방화벽 필터 일치 조건 및 작업(ACX 시리즈 라우터)
ACX 시리즈 유니버설 메트로 라우터에서는 방화벽 필터를 구성하여 패킷을 필터링하고 필터와 일치하는 패킷에 대해 작업을 수행할 수 있습니다. 패킷을 필터링하기 위해 지정된 일치 조건은 필터링되는 트래픽 유형에 따라 다릅니다.
Junos OS 릴리스 19.1R1에서 ACX6360-OR 라우터의 계층 수준에서 지원되지 않는 IPv6 일치 조건의 방화벽 필터.firewall family inet6 filter name
ACX 시리즈 라우터에서 나가는 트래픽에 대한 필터(송신 필터)는 방화벽 필터의 인터페이스별 인스턴스에만 적용할 수 있습니다.
ACX 시리즈 라우터에서는 적용된 방화벽 필터에서 접두사 또는 용어를 수정할 때 TCAM 오류가 표시됩니다. 방화벽 필터에서 접두사 또는 용어를 수정하려면 기존 방화벽 필터를 제거한 다음 수정된 필터를 적용해야 합니다.
ACX 시리즈 라우터에서는 IRB 인터페이스의 송신 방향으로 방화벽 필터를 적용할 수 없습니다.
ACX 시리즈 라우터의 방화벽 필터 일치 조건 및 작업 개요
표 1 에서는 표준 상태 비저장 방화벽 필터를 구성할 수 있는 트래픽 유형을 설명합니다.
트래픽 유형 |
일치 조건이 지정되는 계층 수준 |
|---|---|
프로토콜 독립적 |
ACX 시리즈 라우터에서 이 트래픽 유형에 대해 지원되는 일치 조건은 없습니다. |
IPv4 |
일치 조건의 전체 목록은 IPv4 트래픽에 대한 일치 조건(ACX 시리즈 라우터)을 참조하십시오. |
MPLS |
일치 조건의 전체 목록은 MPLS 트래픽에 대한 일치 조건(ACX 시리즈 라우터)을 참조하십시오.MPLS 트래픽에 대한 일치 조건(ACX 시리즈 라우터) |
레이어 2 CCC |
ACX 시리즈 라우터에서 이 트래픽 유형에 대해 지원되는 일치 조건은 없습니다. |
브리지 |
|
라우터ACX5448 external-tcam의 가용성에 따라 다음 수신 제품군 필터를 확장할 수 있습니다.
가족
ethernet-switching가족
ccc가족
inet가족
inet6가족
mpls가족
vpls
표준 무상태 방화벽 필터 용어에 대한 문에서 용어와 일치하는 패킷에 대해 수행할 작업을 지정할 수 있습니다.then
표 2 에서는 표준 상태 비저장 방화벽 필터 용어로 지정할 수 있는 작업 유형을 요약합니다.
작업 유형 |
설명 |
코멘트 |
|---|---|---|
종료 |
특정 패킷에 대한 방화벽 필터의 모든 평가를 중지합니다. 라우터는 지정된 작업을 수행하며, 패킷을 검사하는 데 추가 용어는 사용되지 않습니다. 표준 방화벽 필터에서 하나의 종료 동작 만 지정할 수 있습니다. 그러나 단일 용어에서 하나 이상의 비 종료 작업과 함께 하나의 종료 작업을 지정할 수 있습니다. 예를 들어, 용어 내에서 및 로 지정할 수 있습니다. |
종료 작업(ACX 시리즈 라우터)을 참조하십시오.종료 작업(ACX 시리즈 라우터) |
종료되지 않음 |
패킷에 대한 다른 기능(예: 카운터 유죄 판결, 패킷 헤더에 대한 정보 로깅, 패킷 데이터 샘플링 또는 시스템 로그 기능을 사용하여 원격 호스트로 정보 전송)을 수행하지만 패킷을 검사하는 데 추가 용어가 사용됩니다. |
Nonterminating Actions(ACX 시리즈 라우터)를 참조하십시오.비 종료 작업(ACX 시리즈 라우터) |
브리지 제품군 방화벽 필터(ACX 시리즈 라우터)의 일치 조건
ACX 시리즈 라우터의 브리지 제품군 방화벽 필터
브리지 제품군 방화벽 필터는 ACX 시리즈 라우터의 IFL 제품군 수준에서 구성할 수 있습니다. 브리지 제품군 필터는 지원되는 레이어2/레이어3 필드를 기반으로 L2 브리지 플로우를 일치시키고 방화벽 작업을 수행하는 데 사용됩니다. ACX 시리즈 라우터에서 브리지 방화벽 필터에 대해 지원되는 최대 용어 수는 124개입니다.
ACX5448 및 ACX7000 시리즈 라우터에서는 브리지 도메인에 IRB가 브리지 도메인에 연결되어 있더라도 레이어 2 스위치 패킷에만 레이어 2 방화벽 필터를 적용해야 합니다. 패킷이 레이어 3으로 전달되면 IRB에 레이어 3 필터를 적용해야 합니다.
ACX 시리즈 라우터에서는 IRB 인터페이스의 송신 방향으로 방화벽 필터를 적용할 수 없습니다.
표 3 에서는 브리지 패밀리 필터에 대해 지원되는 일치 조건을 보여 줍니다.
일치 조건 |
설명 |
|---|---|
적용 그룹 |
구성 데이터를 상속할 그룹을 설정합니다 |
적용 그룹 제외 |
구성 데이터를 브로드캐스트하지 않는 그룹 설정 |
대상 MAC 주소 |
대상 MAC 주소 설정 |
목적지 포트 |
TCP/UDP 대상 포트 일치 |
|
명명된 목록에서 IP 대상 접두사를 일치시킵니다. |
Dscp |
DiffServ(Differentiated Services) 코드 포인트 일치 |
에테르 유형 |
이더넷 유형 일치 |
icmp 코드 |
ICMP 메시지 코드 일치 |
ICMP형 |
ICMP 메시지 유형 일치 |
interface-group |
인터페이스 그룹 일치 |
ip-destination-address |
IP 대상 주소 일치 |
IP 우선 순위 |
IP 우선 순위 값 일치 |
IP 프로토콜 |
IP 프로토콜 유형 일치 |
ip-source-address |
IP 소스 주소 일치 |
learn-vlan-1p-우선 순위 |
학습된 802.1p VLAN 우선 순위와 일치 |
학습-vlan-dei |
사용자 VLAN ID DEI 비트 일치 |
learn-vlan-id |
학습한 VLAN ID 일치 |
소스 MAC 주소 |
소스 MAC 주소 설정 |
|
명명된 목록에서 IP 소스 접두사를 일치시킵니다. |
소스 포트 |
TCP/UDP 소스 포트 일치 |
사용자-vlan-1p-우선순위 |
사용자 일치 802.1p VLAN 우선 순위 |
사용자-vlan-id |
사용자 VLAN ID 일치 |
vlan-ether-유형 |
VLAN 이더넷 유형 일치 |
표 4 에는 지원되는 작업 필드가 표시됩니다.
작업 필드 |
설명 |
|---|---|
수락 |
패킷 수락 |
횟수 |
명명된 카운터의 패킷 카운트 |
삭제 |
패킷 폐기 |
포워딩 클래스 |
패킷을 포워딩 클래스로 분류 |
손실 우선 순위 |
패킷 손실 우선순위 |
로그 |
패킷 전달 엔진 내의 버퍼에 패킷 헤더 정보를 기록합니다. 명령줄 인터페이스(CLI)에서 show firewall log 명령을 실행하여 이 정보에 액세스할 수 있습니다. |
폴리서 |
트래픽 속도 제한에 사용할 폴리서의 이름 |
Syslog |
패킷을 시스템 로그 파일에 기록합니다. |
3색 폴리서 |
three-colo-policer를 사용하여 패킷을 감시합니다. |
브리지 제품군 방화벽 필터는 레이어 2 인터페이스에서 출력 필터로 적용할 수 있습니다. 레이어 2 인터페이스가 명령문으로 구성된 브리지 도메인에 있는 경우, ACX 시리즈 라우터는 브리지 제품군 방화벽 필터에 지정된 사용자 vlan-id match를 사용하여 패킷의 외부 VLAN과 일치시킬 수 있습니다.vlan-id
CCC 방화벽 제품군 필터(ACX 시리즈 라우터)의 일치 조건
CCC 제품군 방화벽 필터에 대한 일치 조건
ACX 시리즈 라우터에서는 CCC(Circuit Cross-Connection) 트래픽(family ccc)에 대한 일치 조건으로 표준 방화벽 필터를 구성할 수 있습니다.
표 5 에는 계층 수준에서 구성할 수 있는 일치 조건이 설명되어 있습니다 .[edit firewall family ccc filter filter-name term term-name]
필드 |
설명 |
|---|---|
|
대상 MAC 주소 |
|
TCP/UDP 대상 포트와 일치합니다. |
|
차별화된 서비스(DiffServ) 코드 포인트와 일치합니다. |
|
ICMP 메시지 코드와 일치합니다. |
|
ICMP 메시지 유형과 일치합니다. |
|
대상 IP 주소와 일치합니다. |
|
IP 우선 순위 값과 일치합니다. |
|
IP 프로토콜 유형과 일치합니다. |
|
소스 IP 주소와 일치합니다. |
|
학습된 802.1p VLAN 우선 순위와 일치 |
|
소스 MAC 주소 |
|
TCP/UDP 소스 포트와 일치 |
|
사용자 802.1p VLAN 우선 순위와 일치 |
IPv4 트래픽 일치 조건(ACX 시리즈 라우터)
ACX 시리즈 라우터에서는 IP 버전 4(IPv4) 트래픽()에 대한 일치 조건으로 표준 무상태 방화벽 필터를 구성할 수 있습니다. family inet 은(는) 계층 수준에서 구성할 수 있는 일치 조건을 설명합니다.표 6[edit firewall family inet filter filter-name term term-name from]
일치 조건 |
설명 |
|---|---|
|
IPv4 대상 주소 필드를 일치시킵니다. 주:
ACX 시리즈 라우터에서는 단 하나의 대상 주소만 지정할 수 있습니다. IPv4 대상 주소 목록은 지원되지 않습니다. |
|
UDP 또는 TCP 대상 포트 필드를 일치시킵니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 또는 일치 문을 구성하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열되어 있습니다). |
|
명명된 목록에서 IP 대상 접두사를 일치시킵니다. |
|
DSCP(Differentiated Services Code Point)를 일치시킵니다. DiffServ 프로토콜은 IP 헤더의 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트가 DSCP를 구성합니다. 자세한 내용은 행동 집계(BA) 분류자가 트러스트 트래픽을 우선순위 지정하는 방법 이해하기를 참조하십시오. 0에서 63 사이의 숫자 값을 지정할 수 있습니다. 16진수 형식으로 값을 지정하려면 0x를 접두사로 포함하십시오. 2진수 형식으로 값을 지정하려면 b를 접두사로 포함합니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).
|
|
(수신 전용) IP 헤더의 3비트 IP 단편화 플래그 필드를 일치시킵니다. 숫자 필드 값 대신 다음 키워드 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). |
|
ICMP 메시지 코드 필드를 일치시킵니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 이 일치 조건을 구성하는 경우, 동일한 용어에 일치 조건도 구성해야 합니다. 숫자 값을 대신해 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). 키워드는 ICMP 유형별로 그룹화되어 있으며 이는 다음과 관련이 있습니다.
|
|
ICMP 메시지 유형 필드를 일치시킵니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). |
|
8비트 IP 옵션 필드(있는 경우)를 지정된 값과 일치시킵니다. ACX 시리즈 라우터는 패킷이 처리를 위해 패킷 전달 엔진으로 전송되도록 하는 일치 조건만 지원합니다. 주:
ACX 시리즈 라우터에서는 IP 옵션 값을 하나만 지정할 수 있습니다. 여러 값을 구성하는 것은 지원되지 않습니다. |
|
IP 우선순위 필드를 일치시킵니다. 숫자 필드 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). |
|
IP 프로토콜 유형 필드를 일치시킵니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4 ), (41), , ( 89), (103), (46), (132), (6), (17) 또는 ( 112). |
|
패킷을 전송하는 소스 노드의 IPv4 주소를 일치시킵니다. |
|
UDP 또는 TCP 소스 포트 필드를 일치시킵니다. IPv4 트래픽에 대해 이 일치 조건을 구성하는 경우, 동일한 용어에 또는 일치 문을 구성하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다. 숫자 값 대신, |
|
명명된 목록에서 IP 소스 접두사를 일치시킵니다. |
|
TCP 헤더의 8비트 TCP 플래그 필드에서 하나 이상의 저순서 6비트를 일치시킵니다. 개별 비트 필드를 지정하기 위해 다음 텍스트 동의어나 16진수 값을 지정할 수 있습니다.
TCP 세션에서, SYN 플래그는 전송된 초기 패킷에서만 설정되어 있는 반면, ACK 플래그는 초기 패킷 후 전송된 모든 패킷에 설정되어 있습니다. 비트 필드 논리 연산자를 사용하여 여러 개의 플래그를 함께 묶을 수 있습니다. 결합된 비트 필드 일치 조건의 경우, 일치 조건을 참조하십시오. 이 일치 조건을 구성하는 경우, 동일한 용어에 |
|
TCP 연결의 패킷 초기 패킷을 일치시킵니다. 이는 이 조건은 프로토콜이 TCP인지 암묵적으로 확인하지 않습니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 |
|
IPv4 TTL(time-to-live) 숫자를 일치시킵니다. TTL 값 또는 TTL 값 범위를 지정합니다. 의 경우 2에서 255 사이의 값을 하나 이상 지정할 수 있습니다. |
IPv6 트래픽 일치 조건(ACX 시리즈 라우터)
인터넷 프로토콜 버전 6(IPv6) 트래픽()에 대한 일치 조건으로 방화벽 필터를 구성할 수 있습니다. 은(는) family inet6 계층 수준에서 구성할 수 있는 일치 조건을 설명합니다.표 7[edit firewall family inet6 filter filter-name term term-name from]
일치 조건 |
설명 |
|
|---|---|---|
|
IPv6 대상 주소 필드를 일치시킵니다. |
|
|
UDP 또는 TCP 대상 포트 필드를 일치시킵니다. 동일한 용어에 이 일치 조건을 구성하는 경우, 동일한 용어에 또는 일치 조건을 구성 하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열되어 있습니다). |
|
|
명명된 목록에서 IP 대상 접두사를 일치시킵니다. |
|
|
Next Header 값을 식별하여 패킷에 포함된 확장 헤더 유형을 일치시킵니다. 패킷의 첫 번째 부분에서 필터는 확장 헤더 유형에서 일치하는 항목을 검색합니다. 프래그먼트 헤더가 있는 패킷이 발견되면(후속 프래그먼트) 다른 확장 헤더의 위치를 예측할 수 없기 때문에 필터는 다음 확장 헤더 유형의 일치 항목만 검색합니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). (51), (60), (50), (44), (0), (135) 또는 (43). 확장 헤더 옵션 의 값을 일치 시키려면 텍스트 동의어 를 사용합니다. 주:
IPv6 패킷의 첫 번째 확장 헤더만 일치시킬 수 있습니다. 하나의 IPv6 확장 헤더를 초과하는 L4 헤더는 일치합니다. |
|
|
홉 제한을 지정된 홉 제한 또는 홉 제한 집합과 일치시킵니다. |
|
|
ICMP 메시지 코드 필드를 일치시킵니다. 이 일치 조건을 구성하는 경우 동일한 용어에 또는 일치 조건도 구성하는 것이 좋습니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 일치 조건도 구성해야 합니다. 숫자 값을 대신해 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). 키워드는 ICMP 유형별로 그룹화되어 있으며 이는 다음과 관련이 있습니다.
|
|
|
ICMP 메시지 유형 필드를 일치시킵니다. 이 일치 조건을 구성하는 경우 동일한 용어에 또는 일치 조건도 구성하는 것이 좋습니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). (149), (148), (1), (129), (128), (145), (144), (142), (141), (130), (131), (132), (147), (146), (136), (135), (140), (139), (2), (4), (100), (101), (200), (201), (137), (134), (138), (133), 또는 (3). (201)의 경우 대괄호 안에 값 범위를 지정할 수도 있습니다. |
|
|
패킷의 첫 번째 8비트 Next Header 필드를 일치시킵니다. 방화벽 일치 조건에 대한 지원은 Junos OS 릴리스 13.3R6 이상에서 사용할 수 있습니다. IPv6의 경우, 일치 조건으로 방화벽 필터를 구성할 때 용어 대신 용어를 사용하는 것이 좋습니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). (51), (60), (8), (50), (44), (47), (0), (1), (58), (58), (2), (4), (41), (135), (59), (89), (103), (43), (46), (132), (6), (17) 또는 (112). 주:
및 일치 조건은 동일한 기능을 수행합니다. 이 기본 옵션입니다. Junos OS CLI에 숨겨져 있습니다. |
|
|
패킷을 전송하는 소스 노드의 IPv6 주소를 일치시킵니다. |
|
|
UDP 또는 TCP 소스 포트 필드를 일치시킵니다. 동일한 용어에 이 일치 조건을 구성하는 경우, 동일한 용어에 또는 일치 조건을 구성 하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다. 숫자 값 대신, |
|
|
명명된 목록에서 IP 소스 접두사를 일치시킵니다. |
|
|
TCP 헤더의 8비트 TCP 플래그 필드에서 하나 이상의 저순서 6비트를 일치시킵니다. 개별 비트 필드를 지정하기 위해 다음 텍스트 동의어나 16진수 값을 지정할 수 있습니다.
TCP 세션에서, SYN 플래그는 전송된 초기 패킷에서만 설정되어 있는 반면, ACK 플래그는 초기 패킷 후 전송된 모든 패킷에 설정되어 있습니다. 비트 필드 논리 연산자를 사용하여 여러 개의 플래그를 함께 묶을 수 있습니다. 결합된 비트 필드 일치 조건의 경우, 이 일치 조건을 구성하는 경우, 동일한 용어에 일치 조건을 구성 하여 TCP 프로토콜이 포트에서 사용되도록 지정하는 것이 좋습니다. |
|
|
TCP 연결의 패킷 초기 패킷을 일치시킵니다. 이것은 의 텍스트 동의어 입니다. 이 조건은 프로토콜이 TCP인지 암묵적으로 확인하지 않습니다. 이 일치 조건을 구성하는 경우, 동일한 용어에 |
|
|
패킷의 CoS(Class of Service) 우선 순위를 지정하는 8비트 필드를 일치시킵니다. 이 필드는 이전에 IPv4에서 서비스 유형(ToS) 필드로 사용되었습니다.
숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음).
|
|
일치 조건(, , 또는 일치 조건)에서 IPv6 주소를 지정하는 경우 RFC 4291, IP 버전 6 주소 지정 아키텍처에 설명된 텍스트 표현 구문을 사용합니다.addressdestination-addresssource-address IPv6 주소에 대한 자세한 내용은 IPv6 개요 및 지원되는 IPv6 표준을 참조하십시오.https://www.juniper.net/documentation/en_US/junos/topics/concept/routing-protocols-ipv6-overview.htmlhttps://www.juniper.net/documentation/en_US/junos/topics/reference/standards/ipv6.html
다음은 방화벽 제품군 inet6 구성의 예입니다.
user@host# show firewall family inet6
filter ipv6-filter {
term t1 {
from {
source-address {
2001:0000:0020:0020:0000:0000:0000:0150/128;
}
destination-address {
2001:0000:0040:0040:0000:0000:0000:0150/128;
}
next-header tcp;
source-port 1000;
destination-port 2000;
extension-header dstopts;
traffic-class ef;
tcp-flags 0x20;
hop-limit 254;
}
then count ipv6-t1-count;
}
term t2 {
from {
icmp-type neighbor-solicit;
}
then count ipv6-t2-count;
}
}MPLS 트래픽에 대한 일치 조건(ACX 시리즈 라우터)
ACX 시리즈 라우터에서는 MPLS 트래픽()에 대한 일치 조건으로 표준 스테이트리스 방화벽 필터를 구성할 수 있습니다.family mpls
프로토콜 제품군의 방화벽 필터에 대한 및 명령문은 관리 인터페이스 및 내부 이더넷 인터페이스( 또는 ), 루프백 인터페이스(), USB 모뎀 인터페이스()를 제외한 모든 인터페이스에서 지원됩니다.input-list filter-namesoutput-list filter-namesmplsfxpem0lo0umd
에는 계층 수준에서 구성할 수 있는 일치 조건이 설명되어 있습니다 .표 8[edit firewall family mpls filter filter-name term term-name from]
| 일치 조건 | 설명 |
|---|---|
|
MPLS 헤더의 실험적(EXP) 비트 번호 또는 비트 번호 범위입니다. 의 경우 0에서 7 사이의 하나 이상의 값을 10진수, 2진수 또는 16진수 형식으로 지정할 수 있습니다. |
비 종료 작업(ACX 시리즈 라우터)
표준 무상태 방화벽 필터는 각 프로토콜 제품군에 대해 서로 다른 일련의 비종료 작업을 지원합니다.
ACX 시리즈 라우터는 이 작업을 지원하지 않습니다.next term
ACX 시리즈 라우터는 패밀리와 패밀리 의 수신 및 송신 방향에서 로그 및 syslog 작업을 지원합니다.inetbridge
ACX5448, ACX710 및 ACX7100 시리즈 라우터는 송신 방향에서 , , , 및 을(를) 지원하지 않습니다.logsyslogrejectforwarding-classloss-priority 수신 및 송신 방향에서 라우터는 인터페이스별 의미만 지원합니다.
표 9 표준 방화벽 필터 용어에 대해 구성할 수 있는 비종료 작업에 대해 설명합니다.
Nonterminating Action(종료되지 않는 작업) |
설명 |
프로토콜 제품군 |
|---|---|---|
|
명명된 카운터의 패킷을 계산합니다. |
|
|
지정된 포워딩 클래스를 기준으로 패킷을 분류합니다.
주:
이 작업은 수신 시에만 지원됩니다. |
|
|
패킷 전달 엔진 내의 버퍼에 패킷 헤더 정보를 기록합니다. 명령줄 인터페이스(CLI)에서 명령을 실행하여 이 정보에 액세스할 수 있습니다. 주:
이 작업은 수신 및 송신에서 지원됩니다. 송신에 대한 작업은 inet6 제품군에 대해 지원되지 않습니다. |
|
|
패킷 손실 우선순위(PLP) 수준을 설정합니다. 동일한 방화벽 필터 용어에 대해 종료되지 않는 작업을 구성할 수도 없습니다. 지정된 4개 수준 중 하나로 PLP 구성을 커밋하려면 계층 수준에 문을 포함해야 합니다.
주:
이 작업은 수신 시에만 지원됩니다. |
|
|
트래픽 속도 제한에 사용할 폴리서의 이름입니다. |
|
|
지정된 패밀리를 기반으로 패킷을 포트 미러링합니다. 주:
이 작업은 수신 시에만 지원됩니다. ACX5048 및 ACX5096 라우터는 을(를) 지원하지 않습니다.port-mirror |
|
|
패킷을 시스템 로그 파일에 기록합니다. 주:
이 작업은 수신 및 송신에서 지원됩니다. 송신에 대한 작업은 inet6 제품군에 대해 지원되지 않습니다. |
|
|
지정된 단일 속도 또는 2 속도 3색 폴리서를 사용하여 패킷을 감시합니다. 동일한 방화벽 필터 용어에 대한 작업도 구성할 수 없습니다. |
|
traffic-class |
트래픽 클래스 코드 포인트 설정 주:
이 작업은 수신 시에만 지원됩니다. |
|
종료 작업(ACX 시리즈 라우터)
표준 무상태 방화벽 필터는 각 프로토콜 제품군에 대해 서로 다른 종료 작업 집합을 지원합니다.
ACX 시리즈 라우터는 이 작업을 지원하지 않습니다.next term
표 10 에서는 표준 방화벽 필터 용어로 지정할 수 있는 종료 동작을 설명합니다.
종료 동작 |
설명 |
프로토콜 |
|---|---|---|
|
패킷을 수락합니다. |
|
|
인터넷 제어 메시지 프로토콜(ICMP) 메시지를 보내지 않고 조용히 패킷을 버립니다. 폐기된 패킷은 로깅 및 샘플링에 사용할 수 있습니다. |
|
|
패킷을 거부하고 ICMPv4 또는 ICMPv6 메시지를 반환합니다.
주:
옵션은 다음 값 중 하나를 가질 수 있습니다. |
|
|
패킷을 지정된 라우팅 인스턴스로 보냅니다. |
|