flow (Security Flow)
Sintaxis
flow {
advanced-options {
drop-matching-link-local-address;
drop-matching-reserved-ip-address;
reverse-route-packet-mode-vr;
}
aging {
early-ageout seconds;
high-watermark percent;
low-watermark percent;
}
allow-dns-reply;
allow-embedded-icmp;
Configuring Access Lists for SNMP Access over Routing Instances;
enable-reroute-uniform-link-check {
nat;
}
enhanced-routing-mode;
ethernet-switching {
block-non-ip-all;
bpdu-vlan-flooding;
bypass-non-ip-unicast;
no-packet-flooding {
no-trace-route;
}
}
force-ip-reassembly;
gre-performance-acceleration;
ipsec-performance-acceleration (Security Flow);
load-distribution {
session-affinity {
ipsec;
}
}
mcast-buffer-enhance;
multicast-nh-resolve-retry multicast-nh-resolve-retry-value;
no-local-favor-ecmp;
packet-log (Security Flow) {
enable;
packet-filter name {
conn-tag conn-tag;
destination-port (afs | bgp | biff | bootpc | bootps | cmd | cvspserver | dhcp | domain | eklogin | ekshell | exec | finger | ftp | ftp-data | http | https | ident | imap | kerberos-sec | klogin | kpasswd | krb-prop | krbupdate | kshell | ldap | ldp | login | mobileip-agent | mobilip-mn | msdp | netbios-dgm | netbios-ns | netbios-ssn | nfsd | nntp | ntalk | ntp | pop3 | pptp | printer | radacct | radius | range | rip | rkinit | smtp | snmp | snmptrap | snpp | socks | ssh | sunrpc | syslog | tacacs | tacacs-ds | talk | telnet | tftp | timed | who | xdmcp | zephyr-clt | zephyr-hm | zephyr-srv);
destination-prefix destination-prefix;
interface interface;
logical-system logical-system;
protocol (ah | egp | esp | gre | icmp | icmp6 | igmp | ipip | number | ospf | pim | rsvp | sctp | tcp | udp);
source-port (afs | bgp | biff | bootpc | bootps | cmd | cvspserver | dhcp | domain | eklogin | ekshell | exec | finger | ftp | ftp-data | http | https | ident | imap | kerberos-sec | klogin | kpasswd | krb-prop | krbupdate | kshell | ldap | ldp | login | mobileip-agent | mobilip-mn | msdp | netbios-dgm | netbios-ns | netbios-ssn | nfsd | nntp | ntalk | ntp | pop3 | pptp | printer | radacct | radius | range | rip | rkinit | smtp | snmp | snmptrap | snpp | socks | ssh | sunrpc | syslog | tacacs | tacacs-ds | talk | telnet | tftp | timed | who | xdmcp | zephyr-clt | zephyr-hm | zephyr-srv);
source-prefix source-prefix;
}
throttle-interval milliseconds;
}
pending-sess-queue-length (high | moderate | normal);
power-mode-ipsec;
preserve-incoming-fragment-size;
route-change-timeout seconds;
strict-packet-order;
syn-flood-protection-mode (syn-cookie | syn-proxy);
sync-icmp-session;
tcp-mss (Security Flow) {
all-tcp {
mss mss;
}
gre-in {
mss mss;
}
gre-out {
mss mss;
}
ipsec-vpn (Security Flow) {
mss mss;
}
}
tcp-session {
fin-invalidate-session;
maximum-window (128K | 1M | 256K | 512K | 64K);
no-sequence-check;
no-syn-check;
no-syn-check-in-tunnel;
rst-invalidate-session;
rst-sequence-check;
strict-syn-check;
tcp-initial-timeout seconds;
time-wait-state {
(session-ageout | session-timeout seconds);
apply-to-half-close-state;
}
}
traceoptions (Security Flow) {
file <filename> <files files> <match match> <size size> <(world-readable | no-world-readable)>;
flag name;
no-remote-trace;
packet-filter name {
conn-tag conn-tag;
destination-port (afs | bgp | biff | bootpc | bootps | cmd | cvspserver | dhcp | domain | eklogin | ekshell | exec | finger | ftp | ftp-data | http | https | ident | imap | kerberos-sec | klogin | kpasswd | krb-prop | krbupdate | kshell | ldap | ldp | login | mobileip-agent | mobilip-mn | msdp | netbios-dgm | netbios-ns | netbios-ssn | nfsd | nntp | ntalk | ntp | pop3 | pptp | printer | radacct | radius | range | rip | rkinit | smtp | snmp | snmptrap | snpp | socks | ssh | sunrpc | syslog | tacacs | tacacs-ds | talk | telnet | tftp | timed | who | xdmcp | zephyr-clt | zephyr-hm | zephyr-srv);
destination-prefix destination-prefix;
interface interface;
logical-system logical-system;
protocol (ah | egp | esp | gre | icmp | icmp6 | igmp | ipip | number | ospf | pim | rsvp | sctp | tcp | udp);
source-port (afs | bgp | biff | bootpc | bootps | cmd | cvspserver | dhcp | domain | eklogin | ekshell | exec | finger | ftp | ftp-data | http | https | ident | imap | kerberos-sec | klogin | kpasswd | krb-prop | krbupdate | kshell | ldap | ldp | login | mobileip-agent | mobilip-mn | msdp | netbios-dgm | netbios-ns | netbios-ssn | nfsd | nntp | ntalk | ntp | pop3 | pptp | printer | radacct | radius | range | rip | rkinit | smtp | snmp | snmptrap | snpp | socks | ssh | sunrpc | syslog | tacacs | tacacs-ds | talk | telnet | tftp | timed | who | xdmcp | zephyr-clt | zephyr-hm | zephyr-srv);
source-prefix source-prefix;
}
rate-limit rate-limit;
trace-level {
(brief | detail | error);
}
}
}
Nivel de jerarquía
[edit security]
Descripción
Determine cómo el dispositivo administra el flujo de paquetes. El dispositivo puede regular el flujo de paquetes de las siguientes maneras:
Opciones
| advanced-options | Opciones avanzadas de configuración de flujo.
|
| allow-dns-reply | Permita un paquete de respuesta DNS entrante sin igual. |
| allow-embedded-icmp | Permitir que pasen los paquetes ICMP incrustados que no coincidan con una sesión. |
| allow-reverse-ecmp | Permitir la búsqueda de ruta ecmp inversa. |
| enable-reroute-uniform-link-check | Habilite la comprobación de reenrutar con un vínculo uniforme.
|
| enhanced-routing-mode | Habilite el escalamiento de rutas mejorado. |
| force-ip-reassembly | Fuerza a reensamblar fragmentos de IP. |
| gre-performance-acceleration | Acelere el rendimiento del tráfico GRE. |
| ipsec-performance-acceleration | Acelere el rendimiento del tráfico IPSec. |
| mcast-buffer-enhance | Permita contener más paquetes durante la creación de sesiones de multidifusión. |
| multicast-nh-resolve-retry | Puede usar este comando configurar los intentos de resolución de la ruta de multidifusión del siguiente salto. Cuando la resolución del salto siguiente de una ruta de multidifusión no se resuelve correctamente, el dispositivo serie SRX intenta resolver la ruta del siguiente salto en función de los recuentos de reintentos especificados.
|
| no-local-favor-ecmp | No prefiere el nodo local en la búsqueda de ruta ECMP de HA. |
| pending-sess-queue-length | Longitud máxima de cola por sesión pendiente.
|
| power-mode-ipsec | Habilite el procesamiento ipsec en modo de alimentación. |
| preserve-incoming-fragment-size | Conserve el tamaño del fragmento entrante para la MTU de salida. |
| route-change-timeout | Valor de tiempo de espera para el cambio de ruta a ruta no existente (segundos).
|
| strict-packet-order | Puede usar este comando para mantener el orden del tráfico de multidifusión y resolver problemas de caída de paquetes. |
| syn-flood-protection-mode | Modo de protección contra inundación TCP SYN.
|
| sync-icmp-session | Permita que las sesiones icmp se sincronicen con el nodo par. |
Nivel de privilegio requerido
security: para ver esta instrucción en la configuración.
security-control: para agregar esta instrucción a la configuración.
Información de versión
Instrucción modificada en Junos OS versión 9.5. La power-mode-ipsec opción se agregó en Junos OS versión 18.3R1 para instancias vSRX, en Junos OS versión 18.4R1 para dispositivos SRX4100 y SRX4200, y en Junos OS versión 18.2R2 para dispositivos SRX5400, SRX5600 y SRX5800. Las multicast-nh-resolve-retry opciones y las strict-packet-order se agregan en Junos OS versión 20.2R2 para dispositivos SRX345 y SRX1500. La gre-performance-acceleration opción agregada en Junos OS versión 21.1R1.