Acciones de no terminación del filtro de firewall
Los filtros de firewall admiten diferentes conjuntos de acciones de no terminación para cada familia de protocolos, que incluyen una acción de aceptación implícita. En este contexto, la no terminación significa que otras acciones pueden seguir a estas acciones, mientras que ninguna otra acción puede seguir a una acción de terminación . Como tal, no puede configurar la next term acción con una acción de finalización en el mismo término de filtro. Sin embargo, puede configurar la next term acción con otra acción que no termine en el mismo término de filtro.
En Junos OS y Junos OS evolucionado, next term no puede aparecer como el último término de la acción. No se admite un término de filtro en el que next term se especifica como una acción pero sin ninguna condición de coincidencia configurada.
Tabla 1 Describe las acciones de no terminación que puede configurar para un término de filtro de firewall.
Acción de no terminación |
Description |
Familias de protocolos |
|---|---|---|
|
|
Asigne el paquete a una de las 17 colas de salida de BGP priorizadas. |
|
|
|
Cuente el paquete en el contador con nombre. |
|
|
|
Configure el valor del bit No fragmentar (indicador) en el encabezado IPv4 para especificar si el datagrama se puede fragmentar:
Nota:
Las |
|
|
|
Establezca el bit de punto de código de servicios diferenciados IPv4 (DSCP). Puede especificar un valor numérico desde El valor DSCP predeterminado es También puede especificar uno de los siguientes sinónimos de texto:
Nota:
Esta acción no se admite en los enrutadores de la serie PTX. Nota:
Las tarjetas de línea MPC que se ejecutan en enrutadores de la serie MX admiten cualquier valor (de 0 a 63) junto con la acción de filtro de Nota:
Las acciones |
|
|
|
Vigile los paquetes de una prioridad de tráfico mediante el aplicador jerárquico mejorado especificado. |
|
|
|
De forma predeterminada, un aplicador jerárquico procesa el tráfico que recibe según la clase de reenvío del tráfico. El tráfico premium, de reenvío acelerado, tiene prioridad para el ancho de banda sobre el tráfico agregado de mejor esfuerzo. El Nota:
La opción de |
|
|
|
Clasifique el paquete en la clase de reenvío con nombre:
|
|
|
|
Examinar el paquete mediante el aplicador jerárquico especificado |
|
|
|
Utilice la asociación de seguridad IPsec especificada. Nota:
Esta acción no se admite en enrutadores serie MX, FPC tipo 5 en enrutadores T4000 ni enrutadores de transporte de paquetes serie PTX. |
|
|
|
Utilice el grupo de equilibrio de carga especificado. Nota:
Esta acción no se admite en enrutadores serie MX ni enrutadores de transporte de paquetes serie PTX. |
|
|
|
Registre la información del encabezado del paquete en un búfer dentro del motor de reenvío de paquetes. Puede acceder a esta información emitiendo el Nota:
La acción de registro de las familias de capa 2 (L2) solo está disponible para enrutadores de la serie MX con MPC (modo MPC si el enrutador solo tiene MPC o modo de mezcla si tiene MPC y DCP). Para los enrutadores de la serie MX con DPC, la acción de registro para las familias L2 se omite si está configurada. |
|
|
|
Dirigir paquetes a un sistema lógico específico. |
|
|
|
Establezca el nivel de prioridad de pérdida de paquetes (PLP). Tampoco puede configurar la acción de Esta acción se admite en enrutadores M120 y M320; enrutadores M7i y M10i con el CFEB-E mejorado; y enrutadores de la serie MX. Para el tráfico IP en enrutadores serie M320, MX y T con concentradores PIC flexibles (FPC) Enhanced II, debe incluir la Para obtener información acerca de la instrucción y el |
|
|
|
Utilice el grupo de salto siguiente especificado. Se recomienda no usar la |
|
|
|
(Serie MX) Dirija los paquetes a la interfaz de salida especificada. |
|
|
|
(Serie MX) Dirija los paquetes a la dirección IPv4 de destino especificada. |
|
|
|
(Serie MX) Dirija los paquetes a la dirección IPv6 de destino especificada. |
|
|
|
Actualiza un campo de bits en el búfer de clave de paquete, que especifica el tráfico que omitirá el reenvío basado en flujos. Los paquetes con el modificador de |
|
|
|
Nombre del agente de policía que se va a utilizar para limitar la velocidad del tráfico. |
|
|
|
(Serie MX) Nombre del mapa de políticas utilizado para asignar reglas de reescritura específicas a un cliente específico. |
|
|
|
Espejo de puerto del paquete según la familia especificada. Esta acción solo se admite en enrutadores M120, enrutadores M320 configurados con FPC III mejorados, enrutadores serie MX y enrutadores de transporte de paquetes serie PTX. Se recomienda no utilizar las |
|
|
|
El puerto refleja un paquete para una instancia. Esta acción solo se admite en los enrutadores de la serie MX. Se recomienda no utilizar las |
|
|
|
Contar o proteger los paquetes según el nombre de acción especificado. Nota:
Esta acción no se admite en los enrutadores de transporte de paquetes de la serie PTX. |
|
|
|
Dirija los paquetes a la instancia de enrutamiento especificada. |
|
|
|
Muestree el paquete. Nota:
Junos OS no muestra paquetes que se originan en el enrutador. Si configura un filtro y lo aplica al lado de salida de una interfaz, solo se muestrearán los paquetes de tránsito que pasan por esa interfaz. Los paquetes que se envían desde el motor de enrutamiento al motor de reenvío de paquetes no se muestran. |
|
|
|
Utilice el mecanismo de conteo en línea al capturar estadísticas de suscriptores por servicio. Cuente el paquete para la contabilidad del servicio. El recuento se aplica a un contador con nombre específico ( Las Nota:
Esta acción no se admite en las FPC T4000 tipo 5 ni en los enrutadores de transporte de paquetes de la serie PTX. |
|
|
|
Use el mecanismo de conteo diferido al capturar estadísticas por servicio de suscriptores. El recuento se aplica a un contador con nombre específico ( Las Nota:
Esta acción no se admite en las FPC T4000 tipo 5 ni en los enrutadores de transporte de paquetes de la serie PTX. |
|
|
|
(Solo si el Indique a los filtros posteriores de la cadena que el paquete ya se ha procesado. Esta acción, junto con la condición de coincidencia en la recepción de filtros, ayuda a agilizar el Nota:
Esta acción no se admite en las FPC T4000 tipo 5 ni en los enrutadores de transporte de paquetes de la serie PTX. |
|
|
|
Marque los paquetes que pasan las condiciones de coincidencia de la regla con el identificador de división correspondiente a la configuración de segmentación de red de servicios. Consulte segmento (acción de filtro de firewall). |
|
|
|
Registre el paquete en el archivo de registro del sistema. La acción del firewall syslog para los filtros existentes Interfaz de entrada, acción, VLAN ID1, VLAN ID2, tipo de Ethernet, direcciones MAC de origen y destino, protocolo, direcciones IP de origen y destino, puertos de origen y destino, y número de paquetes. Nota:
La acción syslog de las familias L2 solo está disponible para enrutadores de la serie MX con MPC (modo MPC si el enrutador solo tiene MPC o modo mixto si tiene MPC y DCP). Para los enrutadores de la serie MX con DPC, la acción syslog para las familias L2 se omite si está configurada. |
|
|
|
Controle el paquete utilizando el controlador de tres colores de velocidad única o de dos velocidades especificado. Nota:
Tampoco puede configurar la |
|
|
|
Especifique el punto de código de clase de tráfico. Puede especificar un valor numérico desde El valor predeterminado de la clase de tráfico es el mejor esfuerzo, es decir, En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto:
Nota:
Las acciones |
|