Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Acciones de no terminación del filtro de Firewall

Los filtros de firewall admiten diferentes conjuntos de acciones no terminales para cada familia de protocolos, lo que incluye una acción de aceptación implícita. En este contexto, la no finalización significa que otras acciones pueden seguir estas acciones, mientras que ninguna otra acción puede seguir a una de terminación . Como tal, no puede configurar la next term acción con una acción de terminación en el mismo término de filtro. Sin embargo, puede configurar la acción con otra acción next termno terminal en el mismo término de filtro.

Nota:

En Junos OS ha evolucionado, next term no puede aparecer como el último término de la acción. No se admite un next term término de filtro donde se especifica como una acción, pero sin ninguna condición de coincidencia configurada.

Tabla 1describe las acciones de no terminación que puede configurar para un término de filtro de Firewall.

Tabla 1: Acciones de no terminación para filtros de cortafuegos

Acción de no terminación

Descriptiva

Familias de protocolos

bgp-output-queue-priority priority (expedited | (1-16))

Asigne el paquete a una de las colas de resultados de 17 priorizadas BGP.

  • family evpn

  • family inet

  • family inet-mdt

  • family inet-mvpn

  • family inet-vpn

  • family inet6

  • family inet6-mvpn

  • family inet6-vpn

  • family iso-vpn

  • family l2vpn

  • family route-target

  • family traffic-engineering

count counter-name

Cuente el paquete en el contador con nombre.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

dont-fragment (set | clear)

Configure el valor del bit Don't Fragment (flag) en el encabezado IPv4 para especificar si el datagrama se puede fragmentar:

  • set: cambie el valor de indicador a uno para evitar la fragmentación.

  • clear: cambie el valor de indicador a cero, lo que permite la fragmentación.

Nota:

Las dont-fragment (set | clear) acciones solo se admiten en el MPCS.

family inet

dscp value

Establecer el bit de punto de código de servicios diferenciados (DSCP) de IPv4. Puede especificar un valor numérico de 0 a. 63 Para especificar el valor en formato hexadecimal, incluir 0x como prefijo. Para especificar el valor en formato binario, b incluya un prefijo.

El valor predeterminado de DSCP be es (mejor esfuerzo) o 0.

También puede especificar uno de los siguientes sinónimos de texto:

  • af11: clase de reenvío garantizada 1, prioridad de caída baja (1)

  • af12: clase de reenvío garantizada 1, prioridad de colocación media (2)

  • af13: clase de reenvío garantizada 1, prioridad de colocación alta (3); y así sucesivamente af43 a través de , Clase de reenvío asegurada 4, prioridad de colocación alta

  • be— El mejor esfuerzo

  • cs0— Selector de clase 0; y así cs7 sucesivamente, selector de clase 0

  • ef— Reenvío acelerado

Nota:

Esta acción no se admite en enrutadores serie PTX.

Nota:

Las fichas de MPC que se ejecutan en enrutadores de la serie MX admiten cualquier valor (desde set dscp 0 a 63), junto con la acción de filtrado del firewall.

Nota:

Las acciones dscp 0 y dscp be solo son compatibles con los enrutadores T320, T640, T1600, TX Matrix, tx Matrix Plus y M320, y en los concentradores de Puerto modular (MPC) de 10 Gigabit Ethernet. Sin embargo, estas acciones no son compatibles con los concentradores de PIC flexible (FPCs) de III mejorado en enrutadores de M320. En los enrutadores T4000 dscp 0 , la acción no se admite durante la interoperación entre un T1600 tipo 4 de escalabilidad mejorado FPC y un T4000 tipo 5 FPC.

family inet

force-premium

De forma predeterminada, un agente de política jerárquico procesa el tráfico que recibe según la clase de reenvío del tráfico. El tráfico de envío acelerado de alta calidad tiene prioridad para el ancho de banda con respecto al tráfico agregado, de mejor esfuerzo. El force-premium filtro garantiza que el tráfico que cumpla el término se trate como tráfico de calidad por parte de una policía jerárquica posterior, independientemente de su clase de reenvío. Este tráfico tiene preferencia sobre cualquier tráfico agregado recibido por dicho policía.

Nota:

La force-premium opción de filtro solo se admite en el MPCS.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family VPLS

forwarding-class class-name

Clasifique el paquete a la clase de reenvío con nombre:

  • reenviando-clase-nombre

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

hierarchical-policer

Policiale el paquete mediante el uso de la políticas jerárquicas especificadas

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

ipsec-sa ipsec-sa

Utilice la Asociación de seguridad IPsec especificada.

Nota:

Esta acción no se admite en enrutadores serie MX, tipo 5 FPCs en enrutadores T4000 y enrutadores serie PTX de transporte de paquetes.

family inet

load-balance group-name

Utilice el grupo de equilibrio de carga especificado.

Nota:

Esta acción no se admite en enrutadores de la serie MX ni enrutadores de transporte de paquetes serie PTX.

family inet

log

Registrar la información del encabezado del paquete en un búfer dentro del motor de reenvío de paquetes. Puede tener acceso a esta información si emite el show firewall log comando en la interfaz de línea de comandos (CLI).

Nota:

La acción de registro de la familia 2 (L2) solo está disponible para enrutadores serie MX con MPCs (modo MPC si el enrutador sólo tiene el MPCs o el modo Mix si es MPCs y DCPs). Para enrutadores serie MX con DPC, la acción de registro para familias L2 se ignora si se configura.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

logical-system logical-system-name

Dirija los paquetes a un sistema lógico específico.

  • family inet

  • family inet6

loss-priority (high | medium-high | medium-low | low)

Establezca el nivel de prioridad de pérdida de paquetes (PLP).

No puede configurar también la three-color-policer acción de no terminación para el mismo término de filtro de Firewall. Estas dos acciones de no terminación son mutuamente excluyentes.

Esta acción se admite en M120 y M320 routers; M7i y M10i con enhanced CFEB (CFEB-E); y enrutadores serie MX.

Para el tráfico IP en enrutadores M320, serie MX y serie T con concentradores de PIC flexibles (FPC) Enhanced II, debe incluir la instrucción en el nivel de jerarquía para confirmar una configuración de PLP con cualquiera de los cuatro niveles tri-color[edit class-of-service] especificados. Si la tri-color instrucción no está habilitada, solo puede configurar los high niveles low y. Esto se aplica a todas las familias de protocolos.

Para obtener información acerca tri-color de la instrucción y el uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de paquetes entrantes, consulte Descripción de cómo el comportamiento agregan clasificadores priorizan el tráfico confiable.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

next-hop-group group-name

Utilice el siguiente grupo de saltos especificado.

Recomendamos que no utilice la next-hop-group acción con la port-mirror-instance acción o port-mirror en el mismo filtro de cortafuegos.

  • family any

  • family inet

next-interface interface-name

(Serie MX) Dirija los paquetes a la interfaz de salida especificada.

  • family inet

  • family inet6

next-ip ip-address

(Serie MX) Dirija los paquetes a la dirección IPv4 de destino especificada.

family inet

next-ip6 ipv6-address

(Serie MX) Dirija los paquetes a la dirección IPv6 de destino especificada.

family inet6

packet-mode

Actualiza un campo de bits en el búfer de la clave del paquete, que especifica el tráfico que omitirá el reenvío basado en flujo. Los paquetes con el packet-mode modificador Action siguen la ruta de acceso de reenvío basada en paquetes y omiten completamente el reenvío basado en el flujo. Solo se aplica a dispositivos de SRX100, SRX210, SRX220, SRX240 y SRX650. Para obtener más información acerca de los servicios selectivos basados en paquetes sin estado, consulte la guía Junos OS de configuración de seguridad .

family any

policer policer-name

Nombre de la policía que se utilizará para limitar la velocidad del tráfico.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

policy-map policy-map-name

(Serie MX) Nombre de la asignación de políticas utilizada para asignar reglas de reescritura específicas a un cliente específico.

  • family any

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

port-mirror instance-name

Port-mirrore el paquete basado en la familia especificada. Esta acción es compatible con enrutadores de M120, M320 enrutadores configurados con enrutadores de la serie MX, FPCs, y de serie PTX de enrutadores de transporte de paquetes.

Recomendamos que no utilice la next-hop-group y las port-mirror acciones del mismo filtro de cortafuegos.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

  • family mpls

port-mirror-instance instance-name

Puerto espejo de un paquete para una instancia. Esta acción solo se admite en los enrutadores serie MX.

Recomendamos que no utilice la next-hop-group y las port-mirror-instance acciones del mismo filtro de cortafuegos.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

  • family mpls

prefix-action action-name

Recuento o paquetes policiales en función del nombre de acción especificado.

Nota:

Esta acción no se admite en enrutadores de transporte de paquetes serie PTX.

family inet

routing-instance routing-instance-name

Dirija los paquetes a la instancia de enrutamiento especificada.

  • family inet

  • family inet6

sample

Muestrear el paquete.

Nota:

Junos OS muestra paquetes que se originaron en el enrutador. Si configura un filtro y lo aplica al resultado de una interfaz, solo se muestrearán los paquetes de tránsito que pasan a través de esa interfaz. No se muestrean los paquetes que se envían desde el motor de enrutamiento al motor de reenvío de paquetes.

  • family inet

  • family inet6

  • family mpls

service-accounting

Utilice el mecanismo de recuento inline cuando Capture estadísticas por servicio para suscriptores.

Cuente el paquete para la contabilidad de servicios. El recuento se aplica a un contador con nombre__junos-dyn-service-counterespecífico () que RADIUS puede obtener.

Las service-accounting palabras service-accounting-deferred clave y son mutuamente excluyentes, tanto por término como por filtro.

Nota:

Esta acción no se admite en T4000 type 5 FPCs y enrutadores de transporte de paquetes serie PTX.

  • family any

  • family inet

  • family inet6

service-accounting- deferred

Utilice el mecanismo de recuento aplazado al capturar estadísticas por servicio del suscriptor. El recuento se aplica a un contador con nombre__junos-dyn-service-counterespecífico () que RADIUS puede obtener.

Las service-accounting palabras service-accounting-deferred clave y son mutuamente excluyentes, tanto por término como por filtro.

Nota:

Esta acción no se admite en T4000 type 5 FPCs y enrutadores de transporte de paquetes serie PTX.

  • family any

  • family inet

  • family inet6

service-filter-hit

(Solo si el service-filter-hit indicador está marcado con un filtro anterior en el tipo actual de filtros encadenados) Dirige el paquete al siguiente tipo de filtros.

Indique a los filtros posteriores de la cadena que el paquete ya se haya procesado. Esta acción, junto con la service-filter-hit condición de coincidencia de filtros de recepción, ayuda a simplificar el procesamiento de los filtros.

Nota:

Esta acción no se admite en T4000 type 5 FPCs y enrutadores de transporte de paquetes serie PTX.

  • family any

  • family inet

  • family inet6

syslog

Registre el paquete en el archivo de registro del sistema.

La acción del cortafuegos de inet syslog inet6 para las familias y syslog la acción de los filtros de la familia L2 incluye la siguiente información L2:

Interfaz de entrada, acción, VLAN ID1, VLAN ID2, tipo de Ethernet, direcciones MAC de origen y destino, protocolo, direcciones IP de origen y destino, puertos de origen y destino, y el número de paquetes.

Nota:

La acción syslog (familia L2) solo está disponible para enrutadores serie MX con MPCs (modo MPC si el enrutador sólo tiene el modo MPCs o Mix si tiene MPCs y DCPs). Para enrutadores serie MX con DPC, la acción syslog para familias L2 se ignora si se configura.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

three-color-policer (single-rate | two-rate) policer-name

Policiale el paquete utilizando el policía de tres colores, una o dos tasas especificadas.

Nota:

Tampoco puede configurar la loss-priority acción para el mismo término de filtro de Firewall. Estas dos acciones son mutuamente excluyentes.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

traffic-class value

Especifique el punto de código de la clase de tráfico. Puede especificar un valor numérico de 0 a. 63 Para especificar el valor en formato hexadecimal, incluir 0x como prefijo. Para especificar el valor en formato binario, b incluya un prefijo.

El valor predeterminado de clase de tráfico es lo mejor posible, es be decir 0o.

En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto:

  • af11: clase de reenvío garantizada 1, prioridad de baja caída

  • af12: clase de reenvío garantizada 1, prioridad de colocación media

  • af13— Clase de reenvío garantizada 1, prioridad de colocación alta

  • af21: clase de reenvío garantizada 2, prioridad de baja caída

  • af22: clase de reenvío garantizada 2, prioridad de colocación media

  • af23: clase de reenvío garantizada 2, prioridad de colocación alta

  • af31: clase de reenvío garantizada 3, prioridad de baja caída

  • af32: clase de reenvío garantizada 3, prioridad de colocación media

  • af33: clase de reenvío garantizada 3, prioridad de colocación alta

  • af41: clase de reenvío garantizada 4, prioridad de baja caída

  • af42: clase de reenvío garantizada 4, prioridad de caída media

  • af43: clase de reenvío garantizada 4, prioridad de colocación alta

  • be— El mejor esfuerzo

  • cs0— Selector de clase 0

  • cs1— Selector de clase 1

  • cs2— Selector de clase 2

  • cs3— Selector de clase 3

  • cs4— Selector de clase 4

  • cs5— Selector de clase 5

  • cs6— Selector de clase 6

  • cs7— Selector de clase 7

  • ef— Reenvío acelerado

Nota:

Las acciones traffic-class 0y traffic-class be son compatibles solamente con enrutadores de serie T y M320 y en el concentrador de Puerto modular (MPC) de 10 Gigabit Ethernet, 60-gigabit Ethernet MPC, 60-Gigabit Ethernet en cola MPC y 60-Gigabit Ethernet Enhanced Queue MPC en la serie mx enrutadores. Sin embargo, estas acciones no son compatibles con los concentradores de PIC flexible (FPCs) de III mejorado en enrutadores de M320.

family inet6

Temas relacionados