Acciones de no terminación del filtro de firewall
Los filtros de firewall admiten diferentes conjuntos de acciones de no terminación para cada familia de protocolos, que incluyen una acción de aceptación implícita. En este contexto, la no terminación significa que otras acciones pueden seguir a estas acciones, mientras que ninguna otra acción puede seguir a una acción de terminación . Como tal, no puede configurar la acción con una acción de finalización en el mismo término de filtro.next term Sin embargo, puede configurar la acción con otra acción que no termine en el mismo término de filtro.next term
En Junos OS y Junos OS evolucionado, no puede aparecer como el último término de la acción.next term No se admite un término de filtro en el que se especifica como una acción pero sin ninguna condición de coincidencia configurada.next term
Tabla 1 Describe las acciones de no terminación que puede configurar para un término de filtro de firewall.
Acción de no terminación |
Description |
Familias de protocolos |
|---|---|---|
|
|
Asigne el paquete a una de las 17 colas de salida de BGP priorizadas. |
|
|
|
Cuente el paquete en el contador con nombre. |
|
|
|
Configure el valor del bit No fragmentar (indicador) en el encabezado IPv4 para especificar si el datagrama se puede fragmentar:
Nota:
Las acciones solo se admiten en MPC. |
|
|
|
Establezca el bit de punto de código de servicios diferenciados IPv4 (DSCP). Puede especificar un valor numérico desde . El valor DSCP predeterminado es (mejor esfuerzo) o . También puede especificar uno de los siguientes sinónimos de texto:
Nota:
Esta acción no se admite en los enrutadores de la serie PTX. Nota:
Las tarjetas de línea MPC que se ejecutan en enrutadores de la serie MX admiten cualquier valor (de 0 a 63) junto con la acción de filtro de firewall. Nota:
Las acciones y solo se admiten en enrutadores T320, T640, T1600, TX Matrix, TX Matrix Plus y M320 y en concentradores de puertos modulares (MPC) Ethernet de 10 Gigabit. |
|
|
|
Vigile los paquetes de una prioridad de tráfico mediante el aplicador jerárquico mejorado especificado. |
|
|
|
De forma predeterminada, un aplicador jerárquico procesa el tráfico que recibe según la clase de reenvío del tráfico. El tráfico premium, de reenvío acelerado, tiene prioridad para el ancho de banda sobre el tráfico agregado de mejor esfuerzo. El filtro garantiza que el tráfico que coincida con el término sea tratado como tráfico premium por un controlador jerárquico posterior, independientemente de su clase de reenvío. Nota:
La opción de filtro solo se admite en MPC. |
|
|
|
Clasifique el paquete en la clase de reenvío con nombre:
|
|
|
|
Examinar el paquete mediante el aplicador jerárquico especificado |
|
|
|
Utilice la asociación de seguridad IPsec especificada. Nota:
Esta acción no se admite en enrutadores serie MX, FPC tipo 5 en enrutadores T4000 ni enrutadores de transporte de paquetes serie PTX. |
|
|
|
Utilice el grupo de equilibrio de carga especificado. Nota:
Esta acción no se admite en enrutadores serie MX ni enrutadores de transporte de paquetes serie PTX. |
|
|
|
Registre la información del encabezado del paquete en un búfer dentro del motor de reenvío de paquetes. Puede acceder a esta información emitiendo el comando en la interfaz de línea de comandos (CLI). Nota:
La acción de registro de las familias de capa 2 (L2) solo está disponible para enrutadores de la serie MX con MPC (modo MPC si el enrutador solo tiene MPC o modo de mezcla si tiene MPC y DCP). Para los enrutadores de la serie MX con DPC, la acción de registro para las familias L2 se omite si está configurada. |
|
|
|
Dirigir paquetes a un sistema lógico específico. |
|
|
|
Establezca el nivel de prioridad de pérdida de paquetes (PLP). Tampoco puede configurar la acción de no terminación para el mismo período de filtro de firewall. Esta acción se admite en enrutadores M120 y M320; enrutadores M7i y M10i con el CFEB-E mejorado; y enrutadores de la serie MX. Para el tráfico IP en enrutadores serie M320, MX y T con concentradores PIC flexibles (FPC) Enhanced II, debe incluir la instrucción en el nivel de jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. Para obtener información acerca de la instrucción y el uso de clasificadores de agregados de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo los clasificadores de agregados de comportamiento priorizan el tráfico de confianza. |
|
|
|
Utilice el grupo de salto siguiente especificado. Se recomienda no usar la acción con la acción o en el mismo filtro de firewall. |
|
|
|
(Serie MX) Dirija los paquetes a la interfaz de salida especificada. |
|
|
|
(Serie MX) Dirija los paquetes a la dirección IPv4 de destino especificada. |
|
|
|
(Serie MX) Dirija los paquetes a la dirección IPv6 de destino especificada. |
|
|
|
Actualiza un campo de bits en el búfer de clave de paquete, que especifica el tráfico que omitirá el reenvío basado en flujos. Los paquetes con el modificador de acción siguen la ruta de reenvío basada en paquetes y omiten completamente el reenvío basado en flujo. |
|
|
|
Nombre del agente de policía que se va a utilizar para limitar la velocidad del tráfico. |
|
|
|
(Serie MX) Nombre del mapa de políticas utilizado para asignar reglas de reescritura específicas a un cliente específico. |
|
|
|
Espejo de puerto del paquete según la familia especificada. Esta acción solo se admite en enrutadores M120, enrutadores M320 configurados con FPC III mejorados, enrutadores serie MX y enrutadores de transporte de paquetes serie PTX. Se recomienda no utilizar las acciones y las del mismo filtro de firewall. |
|
|
|
El puerto refleja un paquete para una instancia. Esta acción solo se admite en los enrutadores de la serie MX. Se recomienda no utilizar las acciones y las del mismo filtro de firewall. |
|
|
|
Contar o proteger los paquetes según el nombre de acción especificado. Nota:
Esta acción no se admite en los enrutadores de transporte de paquetes de la serie PTX. |
|
|
|
Dirija los paquetes a la instancia de enrutamiento especificada. |
|
|
|
Muestree el paquete. Nota:
Junos OS no muestra paquetes que se originan en el enrutador. Si configura un filtro y lo aplica al lado de salida de una interfaz, solo se muestrearán los paquetes de tránsito que pasan por esa interfaz. Los paquetes que se envían desde el motor de enrutamiento al motor de reenvío de paquetes no se muestran. |
|
|
|
Utilice el mecanismo de conteo en línea al capturar estadísticas de suscriptores por servicio. Cuente el paquete para la contabilidad del servicio. El recuento se aplica a un contador con nombre específico () que RADIUS puede obtener. Las palabras clave y son mutuamente excluyentes, tanto por término como por filtro. Nota:
Esta acción no se admite en las FPC T4000 tipo 5 ni en los enrutadores de transporte de paquetes de la serie PTX. |
|
|
|
Use el mecanismo de conteo diferido al capturar estadísticas por servicio de suscriptores. El recuento se aplica a un contador con nombre específico () que RADIUS puede obtener. Las palabras clave y son mutuamente excluyentes, tanto por término como por filtro. Nota:
Esta acción no se admite en las FPC T4000 tipo 5 ni en los enrutadores de transporte de paquetes de la serie PTX. |
|
|
|
(Solo si el indicador está marcado por un filtro anterior en el tipo actual de filtros encadenados) Dirija el paquete al siguiente tipo de filtros. Indique a los filtros posteriores de la cadena que el paquete ya se ha procesado. Esta acción, junto con la condición de coincidencia en la recepción de filtros, ayuda a agilizar el procesamiento del filtro. Nota:
Esta acción no se admite en las FPC T4000 tipo 5 ni en los enrutadores de transporte de paquetes de la serie PTX. |
|
|
|
Marque los paquetes que pasan las condiciones de coincidencia de la regla con el identificador de división correspondiente a la configuración de segmentación de red de servicios. Consulte segmento (acción de filtro de firewall).https://www.juniper.net/documentation/us/en/software/junos/cos-hierarchical/cos/topics/ref/statement/slice(firewallfilteraction).html |
|
|
|
Registre el paquete en el archivo de registro del sistema. La acción del firewall syslog para los filtros existentes y familias, y la acción en los filtros de la familia L2 incluye la siguiente información L2: Interfaz de entrada, acción, VLAN ID1, VLAN ID2, tipo de Ethernet, direcciones MAC de origen y destino, protocolo, direcciones IP de origen y destino, puertos de origen y destino, y número de paquetes. Nota:
La acción syslog de las familias L2 solo está disponible para enrutadores de la serie MX con MPC (modo MPC si el enrutador solo tiene MPC o modo mixto si tiene MPC y DCP). Para los enrutadores de la serie MX con DPC, la acción syslog para las familias L2 se omite si está configurada. |
|
|
|
Controle el paquete utilizando el controlador de tres colores de velocidad única o de dos velocidades especificado. Nota:
Tampoco puede configurar la acción para el mismo período de filtro de firewall. |
|
|
|
Especifique el punto de código de clase de tráfico. Puede especificar un valor numérico desde . El valor predeterminado de la clase de tráfico es el mejor esfuerzo, es decir, o . En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto:
Nota:
Las acciones y solo se admiten en enrutadores serie T y M320 y en el concentrador de puerto modular (MPC) de 10 Gigabit Ethernet, MPC de 60 Gigabit Ethernet, MPC de cola de 60 Gigabit Ethernet y MPC de cola mejorada de 60 Gigabit Ethernet en enrutadores serie MX. |
|