방화벽 필터 종료 작업

accept

패킷을 수락합니다.

decapsulate gre [ routing-instance instance-name ]

IPv4 전송 네트워크의 프로바이더 에지(PE)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 필터 기반 GRE 터널을 통해 전송되는 GRE(Generic Routing Encapsulation) 패킷의 캡슐화를 해제할 수 있습니다.

GRE 프로토콜에 대한 패킷 헤더 일치를 포함하는 일치 조건과 이 작업을 페어링하는 필터 용어를 구성할 수 있습니다. IPv4 필터의 경우 (또는protocol 47) 일치 조건을 포함합니다 protocol gre . 라우터의 MIC(Modular Interface Card) 또는 MPC(Modular Port Concentrator)에서 이더넷 논리적 인터페이스 또는 어그리게이션 이더넷 인터페이스의 입력에 필터를 연결합니다. 필터 기반 GRE 터널링을 지원하지 않는 인터페이스에 캡슐화 해제 필터를 연결하는 구성을 커밋하면 시스템은 인터페이스가 필터를 지원하지 않는다는 syslog 경고 메시지를 씁니다.

인터페이스가 일치하는 패킷을 수신하면 패킷 전달 엔진 실행되는 프로세스는 다음 작업을 수행합니다.

• 외부 GRE 헤더를 제거합니다.

• 대상 조회를 수행하여 내부 페이로드 패킷을 원래 대상으로 포워딩합니다.

기본적으로 패킷 전달 엔진 기본 라우팅 인스턴스를 사용하여 페이로드 패킷을 대상 네트워크로 전달합니다. 페이로드가 MPLS 경우, 패킷 전달 엔진 MPLS 헤더의 경로 레이블을 사용하여 MPLS 경로 라우팅 테이블 경로 조회를 수행합니다.

선택적 라우팅 인스턴스 이름으로 작업을 지정 decapsulate 하는 경우, 패킷 전달 엔진 라우팅 인스턴스에서 경로 조회를 수행하고 인스턴스를 구성해야 합니다.

자세한 내용은 및 을 IPv4 네트워크 전반의 필터 기반 터널링 구성 요소참조하십시오IPv4 네트워크 전반의 필터 기반 터널링 이해하기.

decapsulate l2tp [ routing-instance instance-name ] [ forwarding-class class-name ] [ output-interface interface-name ] [ cookie l2tpv3-cookie ] [ sample ]

IPv4 전송 네트워크의 프로바이더 에지(PE)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 필터 기반 L2TP 터널을 통해 전송된 레이어 2 터널링 프로토콜(L2TP) 패킷의 캡슐화 해제를 활성화합니다.

L2TP 프로토콜에 대한 패킷 헤더 일치를 포함하는 일치 조건과 이 작업을 페어링하는 필터 용어를 구성할 수 있습니다. IPv4 트래픽의 경우, 입력 방화벽 필터 $junos-input-filter 및 출력 방화벽 필터 $junos-output-filter 가 인터페이스에 연결됩니다. 라우터의 MIC(Modular Interface Card) 또는 MPC(Modular Port Concentrator)에서 이더넷 논리적 인터페이스 또는 어그리게이션 이더넷 인터페이스의 입력에 필터를 연결합니다. 필터 기반 L2TP 터널링을 지원하지 않는 인터페이스에 캡슐화 해제 필터를 연결하는 구성을 커밋하면 인터페이스가 필터를 지원하지 않는다는 syslog 경고 메시지를 씁니다.

원격 터널 엔드포인트는 페이로드의 이더넷 MAC 주소 포함하는 IP 터널 패킷을 보냅니다. 페이로드 패킷의 대상 MAC 주소 라우터의 MAC 주소 포함하는 경우, 이더넷 패킷은 네트워크를 향해 발신 방향으로 전송되며, 고객 포트에서 수신된 것처럼 처리되고 전달됩니다. 페이로드 패킷의 소스 MAC 주소 라우터의 MAC 주소 포함하는 경우, 이더넷 패킷은 고객 포트를 향해 발신 방향으로 전송됩니다. 터널에 구성된 수신 쿠키가 포함되어 있지 않으면 패킷 주입이 발생하지 않습니다. 이러한 경우, 수신된 모든 터널 패킷은 잘못된 쿠키와 함께 도착하는 패킷이 카운트되고 드롭되는 동일한 방식으로 계산되고 삭제됩니다.

작업으로 다음 매개 변수를 decapsulate l2tp 지정할 수 있습니다.

• routing-instance instance-name-기본적으로 패킷 전달 엔진 기본 라우팅 인스턴스를 사용하여 페이로드 패킷을 대상 네트워크로 전달합니다. 페이로드가 MPLS 경우, 패킷 전달 엔진 MPLS 헤더의 경로 레이블을 사용하여 MPLS 경로 라우팅 테이블 경로 조회를 수행합니다. 선택적 라우팅 인스턴스 이름으로 작업을 지정 decapsulate 하는 경우, 패킷 전달 엔진 라우팅 인스턴스에서 경로 조회를 수행하고 인스턴스를 구성해야 합니다.

• forwarding-class class-name—(옵션) l2TP 패킷을 지정된 포워딩 클래스로 분류합니다.

• output-interface interface-name—(선택 사항) L2TP 터널의 경우 패킷을 복제하여 고객 또는 네트워크(이더넷 페이로드의 MAC 주소 기반)로 전송할 수 있습니다.

• cookie l2tpv3-cookie—(선택 사항) L2TP 터널의 경우 중복된 패킷에 대해 L2TP 쿠키를 지정합니다. 터널에 구성된 수신 쿠키가 포함되어 있지 않으면 패킷 주입이 발생하지 않습니다. 이러한 경우, 수신된 모든 터널 패킷은 잘못된 쿠키와 함께 도착하는 패킷이 카운트되고 드롭되는 동일한 방식으로 계산되고 삭제됩니다.

• sample—(선택 사항) 패킷 샘플. Junos OS 라우터에서 발생하는 패킷을 샘플링하지 않습니다. 필터를 구성하고 인터페이스의 출력 측면에 적용하면 해당 인터페이스를 통과하는 전송 패킷만 샘플링됩니다. 라우팅 엔진 패킷 전달 엔진 전송되는 패킷은 샘플링되지 않습니다.

discard

ICMP(Internet Control Message Protocol) 메시지를 보내지 않고 패킷을 조용히 폐기합니다. 폐기된 패킷은 로깅 및 샘플링에 사용할 수 있습니다.

encapsulate template-name

IPv4 전송 네트워크의 프로바이더 에지(PE)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 지정된 터널 템플릿을 사용하여 필터 기반 GRE(Generic Routing Encapsulation) 터널링을 활성화합니다.

이 작업을 적절한 일치 조건과 페어링하는 필터 용어를 구성한 다음 라우터의 MIC(Modular Interface Card) 또는 MPC(Modular Port Concentrator)에서 이더넷 논리적 인터페이스 또는 어그리게이션 이더넷 인터페이스의 입력에 필터를 연결할 수 있습니다. 필터 기반 GRE 터널링을 지원하지 않는 인터페이스에 캡슐화 필터를 연결하는 구성을 커밋하면 시스템은 인터페이스가 필터를 지원하지 않는다는 syslog 경고 메시지를 씁니다.

인터페이스가 일치하는 패킷을 수신하면 패킷 전달 엔진 실행되는 프로세스는 지정된 터널 템플릿에서 정보를 사용하여 다음 작업을 수행합니다.

1. 터널 템플릿에 명시된 대로 GRE 헤더(터널 키 값의 여부와 관계없이)를 연결합니다.

2. IPv4 전송 프로토콜에 대한 헤더를 연결합니다.

3. 터널 소스 인터페이스에서 터널 대상(원격 PE 라우터)으로 결과 GRE 패킷을 전달합니다.

지정된 터널 템플릿은 또는 [edit logical-systems logical-system-name firewall] 계층 수준에서 문을 [edit firewall] 사용하여 tunnel-end-point 구성해야 합니다. 자세한 내용은 을(를) 참조하십시오 IPv4 네트워크 전반의 필터 기반 터널링 이해하기.

encapsulate template-name (L2TP 터널의 경우)

IPv4 전송 네트워크의 프로바이더 에지(PE)에 설치된 MX 시리즈 라우터의 고객 대면 인터페이스에서 지정된 터널 템플릿을 사용하여 필터 기반 L2TP 터널링을 활성화합니다. 이 작업을 적절한 일치 조건과 페어링하는 필터 용어를 구성한 다음 라우터의 MIC(Modular Interface Card) 또는 MPC(Modular Port Concentrator)에서 이더넷 논리적 인터페이스 또는 어그리게이션 이더넷 인터페이스의 입력에 필터를 연결할 수 있습니다. 필터 기반 GRE 터널링을 지원하지 않는 인터페이스에 캡슐화 필터를 연결하는 구성을 커밋하면 시스템은 인터페이스가 필터를 지원하지 않는다는 syslog 경고 메시지를 씁니다. 인터페이스가 일치하는 패킷을 수신하면 패킷 전달 엔진 실행되는 프로세스는 지정된 터널 템플릿에서 정보를 사용하여 다음 작업을 수행합니다.

1. L2TP 헤더를 연결합니다(터널 키 값의 여부와 관계없이 터널 템플릿에 지정됨).

2. IPv4 전송 프로토콜에 대한 헤더를 연결합니다.

3. 터널 소스 인터페이스에서 터널 대상(원격 PE 라우터)으로 결과 L2TP 패킷을 전달합니다. 지정된 터널 템플릿은 또는 [edit logical-systems logical-system-name firewall] 문 계층 아래의 tunnel-end-point[edit firewall] 문을 사용하여 구성해야 합니다.

exclude-accounting

L2TP LAC에서 터널링된 가입자에 대한 정확한 계정 통계에 패킷이 포함되지 않도록 합니다. 일반적으로 DHCPv6 또는 ICMPv6 제어 트래픽과 일치하는 필터에 사용이 실패하면 이러한 패킷을 데이터 트래픽으로 고려하는 유휴 시간 제한 탐지 메커니즘이 발생하여 시간이 만료되지 않습니다. (유휴 시간 제한은 액세스 프로필 세션 옵션에서 client-idle-timeout 및 client-idle-timeout-ingress-only 문으로 구성됩니다.)

이 용어는 제품군의 정확한 회계 및 서비스 정확한 회계에 대한 수에 패킷이 포함되지 않도록 합니다. 패킷은 여전히 세션 인터페이스 통계에 포함되어 있습니다.

이 용어는 및 제품군 모두 inet 에 사용할 수 있지만 은(는) 에inet6만 inet6 사용됩니다.

logical-system logical-system-name

지정된 논리적 시스템으로 패킷을 전달합니다.

reject message-type

패킷을 거부하고 ICMPv4 또는 ICMPv6 메시지를 반환합니다.

• 을 message-type (를 destination unreachable ) 지정하지 않으면 메시지가 기본적으로 반환됩니다.

• (으)로 message-typetcp-reset 지정된 경우tcp-reset, 은(는) 패킷이 TCP 패킷인 경우에만 반환됩니다. 그렇지 않으면 administratively-prohibited 값이 13인 메시지가 반환됩니다.

• 다른 message-type 메시지가 지정되면 해당 메시지가 반환됩니다.

은 message-type (는) 다음 값 중 하나가 될 수 있습니다. address-unreachable, administratively-prohibited, , bad-network-tosbad-host-tos, beyond-scopefragmentation-neededhost-prohibited, host-unknown, host-unreachable, source-host-isolatednetwork-unreachableno-routeport-unreachablenetwork-unknownnetwork-prohibitedprecedence-violationprotocol-unreachableprecedence-cutoffsource-route-failed, 등 tcp-reset4개에서 3개까지

PTX1000 라우터에서 거부 작업은 수신 인터페이스에서만 지원됩니다.

routing-instance instance-name

지정된 라우팅 인스턴스로 패킷을 전달합니다.

topology topology-name

지정된 토폴로지로 패킷을 전달합니다.