Acciones nominativas de filtro de firewall
Los filtros de firewall admiten diferentes conjuntos de acciones no determinativas para cada familia de protocolos, que incluyen una acción de aceptación implícita. En este contexto, no nombrar significa que otras acciones pueden seguir estas acciones, mientras que ninguna otra acción puede seguir una acción de terminación . Como tal, no puede configurar la next term
acción con una acción de finalización en el mismo término de filtro. Sin embargo, puede configurar la next term
acción con otra acción nominante en el mismo término de filtro.
En Junos OS evolucionado, next term
no puede aparecer como el último término de la acción. No se admite un término next term
de filtro en el que se especifica como una acción, pero sin ninguna condición de coincidencia configurada.
Tabla 1 describe las acciones nominativas que puede configurar para un término de filtro de firewall.
Acción nominante |
Descripción |
Familias de protocolos |
---|---|---|
|
Asigne el paquete a una de las 17 colas de salida del BGP priorizadas. |
|
|
Cuente el paquete en el contador nombrado. |
|
|
Configure el valor del bit Don't Fragment (marca) en el encabezado IPv4 para especificar si el datagrama se puede fragmentar:
Nota:
Las |
|
|
Establezca el bit de punto de código de servicios diferenciados (DSCP) IPv4. Puede especificar un valor numérico desde El valor predeterminado de DSCP es También puede especificar uno de los siguientes sinónimos de texto:
Nota:
Esta acción no se admite en enrutadores de la serie PTX. Nota:
Las tarjetas de línea MPC que se ejecutan en enrutadores de la serie MX admiten cualquier valor (de 0 a 63) junto con la acción del filtro de Nota:
Las acciones |
|
|
De forma predeterminada, un agente de políticas jerárquico procesa el tráfico que recibe según la clase de reenvío del tráfico. El tráfico premium de reenvío acelerado tiene prioridad para el ancho de banda sobre el tráfico agregado de mejor esfuerzo. El Nota:
La |
|
|
Clasifique el paquete en la clase de reenvío nombrada:
|
|
|
Ordene el paquete mediante el agente de policía jerárquico especificado |
|
|
Utilice la asociación de seguridad IPsec especificada. Nota:
Esta acción no se admite en enrutadores serie MX, FPC tipo 5 en enrutadores T4000 y enrutadores de transporte de paquetes serie PTX. |
|
|
Utilice el grupo de equilibrio de carga especificado. Nota:
Esta acción no se admite en enrutadores serie MX ni enrutadores de transporte de paquetes serie PTX. |
|
|
Registre la información del encabezado del paquete en un búfer dentro del motor de reenvío de paquetes. Puede obtener acceso a esta información mediante la emisión del Nota:
La acción de registro de las familias de capa 2 (L2) solo está disponible para enrutadores serie MX con MPC (modo MPC si el enrutador solo tiene MPC o modo de mezcla si tiene MPC y DCP). En el caso de los enrutadores de la serie MX con DPC, la acción de registro de las familias L2 se ignora si está configurada. |
|
|
Dirija paquetes a un sistema lógico específico. |
|
|
Establezca el nivel de prioridad de pérdida de paquetes (PLP). Tampoco puede configurar la Esta acción se admite en enrutadores M120 y M320; enrutadores M7i y M10i con la CFEB mejorada (CFEB-E); y enrutadores serie MX. Para el tráfico IP en enrutadores serie M320, MX y T con concentradores de PIC flexibles (FPC) mejorados II, debe incluir la instrucción en el Para obtener más información acerca de la |
|
|
Utilice el grupo de salto siguiente especificado. Recomendamos que no utilice la |
|
|
(Serie MX) Dirija los paquetes a la interfaz de salida especificada. |
|
|
(Serie MX) Dirija paquetes a la dirección IPv4 de destino especificada. |
|
|
(Serie MX) Dirija paquetes a la dirección IPv6 de destino especificada. |
|
|
Actualiza un campo de bits en el búfer de clave de paquete, que especifica el tráfico que omitirá el reenvío basado en flujo. Los paquetes con el |
|
|
Nombre del agente de policía que se utilizará para limitar el tráfico de velocidad. |
|
|
(Serie MX) Nombre de la asignación de políticas utilizada para asignar reglas de reescritura específicas a un cliente específico. |
|
|
Espejo de puerto del paquete según la familia especificada. Esta acción se admite solo en enrutadores M120, enrutadores M320 configurados con FPC enhanced III, enrutadores de la serie MX y enrutadores de transporte de paquetes de la serie PTX. Recomendamos que no utilice tanto las |
|
|
El puerto refleja un paquete para una instancia. Esta acción solo se admite en los enrutadores de la serie MX. Recomendamos que no utilice tanto las |
|
|
Contar o policía paquetes basados en el nombre de acción especificado. Nota:
Esta acción no se admite en los enrutadores de transporte de paquetes serie PTX. |
|
|
Dirija paquetes a la instancia de enrutamiento especificada. |
|
|
Muestra del paquete. Nota:
Junos OS no muestra paquetes que se originan en el enrutador. Si configura un filtro y lo aplica al lado de salida de una interfaz, solo se muestrean los paquetes de tránsito que pasan por esa interfaz. No se toman muestras de los paquetes que se envían desde el motor de enrutamiento al motor de reenvío de paquetes. |
|
|
Utilice el mecanismo de conteo en línea al capturar estadísticas de suscriptor por servicio. Cuente el paquete para la contabilidad de servicios. El recuento se aplica a un contador específico denominado ( Las Nota:
Esta acción no se admite en FPC T4000 tipo 5 y enrutadores de transporte de paquetes serie PTX. |
|
|
Utilice el mecanismo de conteo diferido al capturar estadísticas de suscriptor por servicio. El recuento se aplica a un contador específico denominado ( Las Nota:
Esta acción no se admite en FPC T4000 tipo 5 y enrutadores de transporte de paquetes serie PTX. |
|
|
(Solo si la Indique a los filtros posteriores de la cadena que el paquete ya se procesó. Esta acción, junto con la condición de coincidencia en los Nota:
Esta acción no se admite en FPC T4000 tipo 5 y enrutadores de transporte de paquetes serie PTX. |
|
|
Registre el paquete en el archivo de registro del sistema. La acción del firewall syslog para familias existentes Interfaz de entrada, acción, VLAN ID1, VLAN ID2, tipo Ethernet, direcciones MAC de origen y destino, protocolo, direcciones IP de origen y destino, puertos de origen y destino, y la cantidad de paquetes. Nota:
La acción syslog de las familias L2 solo está disponible para enrutadores serie MX con MPC (modo MPC si el enrutador solo tiene MPC o modo de mezcla si tiene MPC y DCP). En el caso de los enrutadores serie MX con DPC, la acción syslog para las familias L2 se ignora si está configurada. |
|
|
Policía el paquete mediante el agente de policía de color de una o dos velocidades especificado. Nota:
Tampoco puede configurar la |
|
|
Especifique el punto de código de clase de tráfico. Puede especificar un valor numérico desde El valor predeterminado de la clase de tráfico es el mejor esfuerzo, es decir, En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes:
Nota:
Las acciones |
|