방화벽 필터 종료 동작

accept

패킷을 수락합니다.

decapsulate gre [ routing-instance instance-name ]

IPv4 전송 네트워크의 프로바이더 에지(PE)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 필터 기반 GRE 터널을 통해 전송되는 GRE(Generic Routing Encapsulation) 패킷의 캡슐화 해제를 활성화합니다.

이 작업을 GRE 프로토콜에 대한 패킷 헤더 일치를 포함하는 일치 조건과 연결하는 필터 용어를 구성할 수 있습니다. IPv4 필터의 경우 (또는protocol 47) 일치 조건을 포함합니다 protocol gre . 라우터의 MIC(Modular Interface Card) 또는 MPC(Modular Port Concentrator)의 이더넷 논리적 인터페이스 또는 어그리게이션 이더넷 인터페이스의 입력에 필터를 연결합니다. 필터 기반 GRE 터널링을 지원하지 않는 인터페이스에 캡슐화 해제 필터를 연결하는 구성을 커밋하는 경우, 시스템은 인터페이스가 필터를 지원하지 않는다는 syslog 경고 메시지를 씁니다.

인터페이스가 일치하는 패킷을 수신하면 패킷 전달 엔진에서 실행되는 프로세스는 다음 작업을 수행합니다.

• 외부 GRE 헤더를 제거합니다.

• 대상 조회를 수행하여 내부 페이로드 패킷을 원래 대상으로 전달합니다.

기본적으로 패킷 전달 엔진은 기본 라우팅 인스턴스를 사용하여 페이로드 패킷을 대상 네트워크로 전달합니다. 페이로드가 MPLS인 경우 패킷 전달 엔진은 MPLS 헤더의 경로 레이블을 사용하여 MPLS 경로 라우팅 테이블에서 경로 조회를 수행합니다.

선택 사항인 라우팅 인스턴스 이름으로 작업을 지정하는 decapsulate 경우, 패킷 전달 엔진이 라우팅 인스턴스에서 경로 조회를 수행하며 인스턴스를 구성해야 합니다.

자세한 내용은 및 IPv4 네트워크에서 필터 기반 터널링의 구성 요소을 참조하십시오IPv4 네트워크 전반의 필터 기반 터널링 이해.

decapsulate l2tp [ routing-instance instance-name ] [ forwarding-class class-name ] [ output-interface interface-name ] [ cookie l2tpv3-cookie ] [ sample ]

IPv4 전송 네트워크의 프로바이더 에지(PE)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 필터 기반 L2TP 터널을 통해 전송되는 L2TP(Layer 2 Tunneling Protocol) 패킷의 캡슐화 해제를 활성화합니다.

이 작업을 L2TP 프로토콜에 대한 패킷 헤더 일치를 포함하는 일치 조건과 연결하는 필터 용어를 구성할 수 있습니다. IPv4 트래픽의 경우, 입력 방화벽 필터 $junos-input-filter 와 출력 방화벽 필터가 $junos-output-filter 인터페이스에 연결됩니다. 라우터의 MIC(Modular Interface Card) 또는 MPC(Modular Port Concentrator)의 이더넷 논리적 인터페이스 또는 어그리게이션 이더넷 인터페이스의 입력에 필터를 연결합니다. 필터 기반 L2TP 터널링을 지원하지 않는 인터페이스에 캡슐화 해제 필터를 연결하는 구성을 커밋하는 경우, 시스템은 인터페이스가 필터를 지원하지 않는다는 syslog 경고 메시지를 씁니다.

원격 터널 엔드포인트는 페이로드에 이더넷 MAC 주소가 포함된 IP 터널 패킷을 보냅니다. 페이로드 패킷의 대상 MAC 주소에 라우터의 MAC 주소가 포함되어 있는 경우, 이더넷 패킷은 네트워크를 향해 나가는 방향으로 전송되며, 고객 포트에서 수신되는 것처럼 처리 및 전달됩니다. 페이로드 패킷의 소스 MAC 주소에 라우터의 MAC 주소가 포함된 경우, 이더넷 패킷은 고객 포트를 향해 나가는 방향으로 전송됩니다. 터널에 구성된 수신 쿠키가 포함되어 있지 않으면 패킷 삽입이 발생하지 않습니다. 이 경우 수신된 터널 패킷은 잘못된 쿠키와 함께 도착한 패킷이 계산 및 삭제되는 것과 동일한 방식으로 계산되고 삭제됩니다.

다음 매개 변수를 작업으로 지정할 수 있습니다.decapsulate l2tp

• routing-instance instance-name- 기본적으로 패킷 전달 엔진은 기본 라우팅 인스턴스를 사용하여 페이로드 패킷을 대상 네트워크로 전달합니다. 페이로드가 MPLS인 경우 패킷 전달 엔진은 MPLS 헤더의 경로 레이블을 사용하여 MPLS 경로 라우팅 테이블에서 경로 조회를 수행합니다. 선택 사항인 라우팅 인스턴스 이름으로 작업을 지정하는 decapsulate 경우, 패킷 전달 엔진이 라우팅 인스턴스에서 경로 조회를 수행하며 인스턴스를 구성해야 합니다.

• forwarding-class class-name- (선택 사항) l2TP 패킷을 지정된 포워딩 클래스로 분류합니다.

• output-interface interface-name—(선택 사항) L2TP 터널의 경우 패킷을 복제하여 고객 또는 네트워크로 전송할 수 있습니다(이더넷 페이로드의 MAC 주소 기반).

• cookie l2tpv3-cookie- (선택 사항) L2TP 터널의 경우 복제된 패킷에 대한 L2TP 쿠키를 지정합니다. 터널에 구성된 수신 쿠키가 포함되어 있지 않으면 패킷 삽입이 발생하지 않습니다. 이 경우 수신된 터널 패킷은 잘못된 쿠키와 함께 도착한 패킷이 계산 및 삭제되는 것과 동일한 방식으로 계산되고 삭제됩니다.

• sample- (선택 사항) 패킷을 샘플링합니다. Junos OS는 라우터에서 발생하는 패킷을 샘플링하지 않습니다. 필터를 구성하고 인터페이스의 출력 측에 적용하면 해당 인터페이스를 통과하는 전송 패킷만 샘플링됩니다. 라우팅 엔진에서 패킷 전달 엔진으로 전송되는 패킷은 샘플링되지 않습니다.

discard

인터넷 제어 메시지 프로토콜(ICMP) 메시지를 보내지 않고 조용히 패킷을 버립니다. 폐기된 패킷은 로깅 및 샘플링에 사용할 수 있습니다.

encapsulate template-name

IPv4 전송 네트워크의 프로바이더 에지(PE)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 지정된 터널 템플릿을 사용하여 필터 기반 GRE(Generic Routing Encapsulation) 터널링을 활성화합니다.

이 작업을 적절한 일치 조건과 연결하는 필터 용어를 구성한 다음 라우터의 MIC(Modular Interface Card) 또는 MPC(Modular Port Concentrator)의 이더넷 논리적 인터페이스 또는 어그리게이션 이더넷 인터페이스의 입력에 필터를 연결할 수 있습니다. 필터 기반 GRE 터널링을 지원하지 않는 인터페이스에 캡슐화 필터를 연결하는 구성을 커밋하는 경우, 시스템은 인터페이스가 필터를 지원하지 않는다는 syslog 경고 메시지를 씁니다.

인터페이스가 일치하는 패킷을 수신하면 패킷 전달 엔진에서 실행되는 프로세스는 지정된 터널 템플릿의 정보를 사용하여 다음 작업을 수행합니다.

1. 터널 템플릿에 지정된 대로 GRE 헤더(터널 키 값 포함 또는 제외)를 연결합니다.

2. IPv4 전송 프로토콜에 대한 헤더를 연결합니다.

3. 터널 소스 인터페이스에서 터널 대상(원격 PE 라우터)으로 결과 GRE 패킷을 전달합니다.

지정된 터널 템플릿은 또는 [edit logical-systems logical-system-name firewall] 계층 수준에서 문을 [edit firewall] 사용하여 tunnel-end-point 구성해야 합니다. 자세한 정보는 IPv4 네트워크 전반의 필터 기반 터널링 이해을 참조하십시오.

encapsulate template-name (L2TP 터널의 경우)

IPv4 전송 네트워크의 프로바이더 에지(PE)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 지정된 터널 템플릿을 사용하여 필터 기반 L2TP 터널링을 활성화합니다. 이 작업을 적절한 일치 조건과 연결하는 필터 용어를 구성한 다음 라우터의 MIC(Modular Interface Card) 또는 MPC(Modular Port Concentrator)의 이더넷 논리적 인터페이스 또는 어그리게이션 이더넷 인터페이스의 입력에 필터를 연결할 수 있습니다. 필터 기반 GRE 터널링을 지원하지 않는 인터페이스에 캡슐화 필터를 연결하는 구성을 커밋하는 경우, 시스템은 인터페이스가 필터를 지원하지 않는다는 syslog 경고 메시지를 씁니다. 인터페이스가 일치하는 패킷을 수신하면 패킷 전달 엔진에서 실행되는 프로세스는 지정된 터널 템플릿의 정보를 사용하여 다음 작업을 수행합니다.

1. L2TP 헤더를 연결합니다(터널 템플릿에 지정된 대로 터널 키 값을 포함하거나 포함하지 않음).

2. IPv4 전송 프로토콜에 대한 헤더를 연결합니다.

3. 터널 소스 인터페이스에서 터널 대상(원격 PE 라우터)으로 결과 L2TP 패킷을 전달합니다. 지정된 터널 템플릿은 또는 [edit logical-systems logical-system-name firewall] 문 계층 아래의 [edit firewall] 문을 사용하여 tunnel-end-point 구성해야 합니다.

exclude-accounting

L2TP LAC에서 터널링된 가입자에 대한 정확한 어카운팅 통계에 패킷이 포함되지 않도록 제외합니다. 일반적으로 DHCPv6 또는 ICMPv6 제어 트래픽과 일치하는 필터에 사용됩니다. 이러한 패킷을 제외하지 못하면 유휴 시간 초과 감지 메커니즘이 이러한 패킷을 데이터 트래픽으로 간주하여 시간 제한이 만료되지 않습니다. (유휴 시간 제한은 액세스 프로필 세션 옵션의 client-idle-timeout 및 client-idle-timeout-ingress-only 문으로 구성됩니다.)

이 용어는 패킷이 제품군에 정확한 회계 및 서비스에 대한 정확한 회계 계산에 대한 카운트에 포함되지 않도록 제외합니다. 패킷은 여전히 세션 인터페이스 통계에 포함됩니다.

이 용어는 패 inet6 밀리와 패 inet 밀리에 inet6모두 사용할 수 있지만 에만 사용됩니다.

logical-system logical-system-name

패킷을 지정된 논리적 시스템으로 보냅니다.

reject message-type

패킷을 거부하고 ICMPv4 또는 ICMPv6 메시지를 반환합니다.

• no message-type 를 지정하면 destination unreachable 기본적으로 메시지가 반환됩니다.

• 로 지정된 message-typetcp-reset 경우 tcp-reset 는 패킷이 TCP 패킷인 경우에만 반환됩니다. administratively-prohibited 그렇지 않으면 값이 13인 메시지가 반환됩니다.

• 다른 message-type 항목이 지정되면 해당 메시지가 반환됩니다.

은(는 message-type ) 다음 값 중 하나일 수 있습니다. address-unreachable, administratively-prohibited, bad-host-tos, bad-network-tosbeyond-scopefragmentation-neededhost-prohibitedhost-unknownhost-unreachablenetwork-prohibitednetwork-unknownnetwork-unreachableno-routeport-unreachableprecedence-cutoffprecedence-violationprotocol-unreachablesource-host-isolatedsource-route-failedtcp-reset

PTX1000 라우터에서 거부 작업은 수신 인터페이스에서만 지원됩니다.

routing-instance instance-name

패킷을 지정된 라우팅 인스턴스로 보냅니다.

topology topology-name

패킷을 지정된 토폴로지로 보냅니다.