방화벽 필터 종료 작업
방화벽 필터는 각 프로토콜 체계에 대해 일련의 종료 작업을 지원합니다. 필터 종료 작업으로 특정 패킷에 대한 방화벽 필터의 모든 평가가 중단됩니다. 라우터는 지정된 작업을 수행하고 추가 용어는 검토되지 않습니다.
동일한 필터 용어에 next term종료 동작으로 작업을 구성할 수 없습니다. 그러나 동일한 필터 용어에 next term 다른 비테러 동작으로 작업을 구성할 수 있습니다.
Junos OS Evolved에서는 next term
작업의 마지막 용어로 표시될 수 없습니다. 동작으로 지정되지만 구성된 일치 조건 없이 필터 용어 next term
는 지원되지 않습니다.
MPC가 있는 MX 시리즈 라우터의 경우, 예를 들어 show snmp mib walk name ascii
해당 SNMP 관리 정보 베이스(MIB)를 살피고 Trio 전용 일치 필터에 대한 필터 카운터를 초기화해야 합니다. 이렇게 하면 Junos 필터 카운터를 학습하고 필터 통계가 표시되는지 확인합니다. 이 지침은 향상된 모드 방화벽 필터, 유연한 조건을 가진 필터 및 특정 종료 동작을 가진 필터에 모두 적용됩니다. 자세한 내용은 관련 문서에 나열된 주제를 참조하십시오.
표 1 은(는) 방화벽 필터 용어에 지정할 수 있는 종료 작업을 설명합니다.
종료 작업 |
설명 |
프로토콜 |
---|---|---|
accept |
패킷을 수락합니다. |
|
|
IPv4 전송 네트워크의 프로바이더 에지(PE)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 필터 기반 GRE 터널을 통해 전송되는 GRE(Generic Routing Encapsulation) 패킷의 캡슐화를 해제할 수 있습니다. GRE 프로토콜에 대한 패킷 헤더 일치를 포함하는 일치 조건과 이 작업을 페어링하는 필터 용어를 구성할 수 있습니다. IPv4 필터의 경우 (또는 인터페이스가 일치하는 패킷을 수신하면 패킷 전달 엔진 실행되는 프로세스는 다음 작업을 수행합니다.
기본적으로 패킷 전달 엔진 기본 라우팅 인스턴스를 사용하여 페이로드 패킷을 대상 네트워크로 전달합니다. 페이로드가 MPLS 경우, 패킷 전달 엔진 MPLS 헤더의 경로 레이블을 사용하여 MPLS 경로 라우팅 테이블 경로 조회를 수행합니다. 선택적 라우팅 인스턴스 이름으로 작업을 지정 decapsulate 하는 경우, 패킷 전달 엔진 라우팅 인스턴스에서 경로 조회를 수행하고 인스턴스를 구성해야 합니다. 주:
MX960 라우터에서 동작은 자세한 내용은 및 을 IPv4 네트워크 전반의 필터 기반 터널링 구성 요소참조하십시오IPv4 네트워크 전반의 필터 기반 터널링 이해하기. |
|
|
IPv4 전송 네트워크의 프로바이더 에지(PE)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 필터 기반 L2TP 터널을 통해 전송된 레이어 2 터널링 프로토콜(L2TP) 패킷의 캡슐화 해제를 활성화합니다. L2TP 프로토콜에 대한 패킷 헤더 일치를 포함하는 일치 조건과 이 작업을 페어링하는 필터 용어를 구성할 수 있습니다. IPv4 트래픽의 경우, 입력 방화벽 필터 원격 터널 엔드포인트는 페이로드의 이더넷 MAC 주소 포함하는 IP 터널 패킷을 보냅니다. 페이로드 패킷의 대상 MAC 주소 라우터의 MAC 주소 포함하는 경우, 이더넷 패킷은 네트워크를 향해 발신 방향으로 전송되며, 고객 포트에서 수신된 것처럼 처리되고 전달됩니다. 페이로드 패킷의 소스 MAC 주소 라우터의 MAC 주소 포함하는 경우, 이더넷 패킷은 고객 포트를 향해 발신 방향으로 전송됩니다. 터널에 구성된 수신 쿠키가 포함되어 있지 않으면 패킷 주입이 발생하지 않습니다. 이러한 경우, 수신된 모든 터널 패킷은 잘못된 쿠키와 함께 도착하는 패킷이 카운트되고 드롭되는 동일한 방식으로 계산되고 삭제됩니다. 작업으로 다음 매개 변수를
주:
계층 수준에서 구성하는 |
|
|
ICMP(Internet Control Message Protocol) 메시지를 보내지 않고 패킷을 조용히 폐기합니다. 폐기된 패킷은 로깅 및 샘플링에 사용할 수 있습니다. |
|
|
IPv4 전송 네트워크의 프로바이더 에지(PE)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 지정된 터널 템플릿을 사용하여 필터 기반 GRE(Generic Routing Encapsulation) 터널링을 활성화합니다. 이 작업을 적절한 일치 조건과 페어링하는 필터 용어를 구성한 다음 라우터의 MIC(Modular Interface Card) 또는 MPC(Modular Port Concentrator)에서 이더넷 논리적 인터페이스 또는 어그리게이션 이더넷 인터페이스의 입력에 필터를 연결할 수 있습니다. 필터 기반 GRE 터널링을 지원하지 않는 인터페이스에 캡슐화 필터를 연결하는 구성을 커밋하면 시스템은 인터페이스가 필터를 지원하지 않는다는 syslog 경고 메시지를 씁니다. 인터페이스가 일치하는 패킷을 수신하면 패킷 전달 엔진 실행되는 프로세스는 지정된 터널 템플릿에서 정보를 사용하여 다음 작업을 수행합니다.
지정된 터널 템플릿은 또는 |
|
|
IPv4 전송 네트워크의 프로바이더 에지(PE)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 지정된 터널 템플릿을 사용하여 필터 기반 L2TP 터널링을 활성화합니다. 이 작업을 적절한 일치 조건과 페어링하는 필터 용어를 구성한 다음 라우터의 MIC(Modular Interface Card) 또는 MPC(Modular Port Concentrator)에서 이더넷 논리적 인터페이스 또는 어그리게이션 이더넷 인터페이스의 입력에 필터를 연결할 수 있습니다. 필터 기반 GRE 터널링을 지원하지 않는 인터페이스에 캡슐화 필터를 연결하는 구성을 커밋하면 시스템은 인터페이스가 필터를 지원하지 않는다는 syslog 경고 메시지를 씁니다. 인터페이스가 일치하는 패킷을 수신하면 패킷 전달 엔진 실행되는 프로세스는 지정된 터널 템플릿에서 정보를 사용하여 다음 작업을 수행합니다.
|
|
|
L2TP LAC에서 터널링된 가입자에 대한 정확한 계정 통계에 패킷이 포함되지 않도록 합니다. 일반적으로 DHCPv6 또는 ICMPv6 제어 트래픽과 일치하는 필터에 사용이 실패하면 이러한 패킷을 데이터 트래픽으로 고려하는 유휴 시간 제한 탐지 메커니즘이 발생하여 시간이 만료되지 않습니다. (유휴 시간 제한은 액세스 프로필 세션 옵션에서 이 용어는 제품군의 정확한 회계 및 서비스 정확한 회계에 대한 수에 패킷이 포함되지 않도록 합니다. 패킷은 여전히 세션 인터페이스 통계에 포함되어 있습니다. 이 용어는 및 제품군 모두 |
|
|
지정된 논리적 시스템으로 패킷을 전달합니다. 주:
이 작업은 PTX 시리즈 패킷 전송 라우터 지원되지 않습니다. |
|
|
패킷을 거부하고 ICMPv4 또는 ICMPv6 메시지를 반환합니다.
주:
또는 은 PTX1000 라우터에서 거부 작업은 수신 인터페이스에서만 지원됩니다. |
|
|
지정된 라우팅 인스턴스로 패킷을 전달합니다. |
|
|
지정된 토폴로지로 패킷을 전달합니다. 주:
이 작업은 PTX 시리즈 패킷 전송 라우터 지원되지 않습니다. 각 라우팅 인스턴스(기본 또는 가상 라우터)는 모든 포워딩 클래스가 전달되는 하나의 기본 토폴로지 하나를 지원합니다. 멀티토폴로지 라우팅의 경우, 수신 인터페이스의 방화벽 필터를 특정 토폴로지에서 신속 포워딩과 같은 특정 포워딩 클래스와 일치하도록 구성할 수 있습니다. 지정된 포워딩 클래스와 일치하는 트래픽이 해당 토폴로지의 라우팅 테이블 추가됩니다. |
|
QFX5120-48Y 및 QFX5120-32C 스위치 모델에서 BFD 세션을 중단하기 위해 명시적으로 작업을 구성 discard
합니다. 그러나 작업 전에 discard
구성된 작업이 있는 port-mirror
경우 BFD 세션이 중단되지 않습니다.