Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Acciones nominativas de filtro de firewall

Los filtros de firewall admiten diferentes conjuntos de acciones no determinativas para cada familia de protocolos, que incluyen una acción de aceptación implícita. En este contexto, no nombrar significa que otras acciones pueden seguir estas acciones, mientras que ninguna otra acción puede seguir una acción de terminación . Como tal, no puede configurar la next term acción con una acción de finalización en el mismo término de filtro. Sin embargo, puede configurar la next term acción con otra acción nominante en el mismo término de filtro.

Nota:

En Junos OS evolucionado, next term no puede aparecer como el último término de la acción. No se admite un término next term de filtro en el que se especifica como una acción, pero sin ninguna condición de coincidencia configurada.

Tabla 1 describe las acciones nominativas que puede configurar para un término de filtro de firewall.

Tabla 1: Acciones nominativas para filtros de firewall

Acción nominante

Descripción

Familias de protocolos

bgp-output-queue-priority priority (expedited | (1-16))

Asigne el paquete a una de las 17 colas de salida del BGP priorizadas.

  • family evpn

  • family inet

  • family inet-mdt

  • family inet-mvpn

  • family inet-vpn

  • family inet6

  • family inet6-mvpn

  • family inet6-vpn

  • family iso-vpn

  • family l2vpn

  • family route-target

  • family traffic-engineering

count counter-name

Cuente el paquete en el contador nombrado.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

dont-fragment (set | clear)

Configure el valor del bit Don't Fragment (marca) en el encabezado IPv4 para especificar si el datagrama se puede fragmentar:

  • set: cambie el valor de la marca a uno para evitar la fragmentación.

  • clear: cambie el valor de la marca a cero, lo que permite la fragmentación.

Nota:

Las dont-fragment (set | clear) acciones solo se admiten en MPC.

family inet

dscp value

Establezca el bit de punto de código de servicios diferenciados (DSCP) IPv4. Puede especificar un valor numérico desde 0 el 63. Para especificar el valor en forma hexadecimal, incluya 0x como prefijo. Para especificar el valor en formato binario, incluya b como prefijo.

El valor predeterminado de DSCP es be (mejor esfuerzo) o 0.

También puede especificar uno de los siguientes sinónimos de texto:

  • af11—Clase 1 de reenvío garantizada, prioridad de baja caída (1)

  • af12—Clase 1 de reenvío garantizada, prioridad de caída media (2)

  • af13—Clase 1 de reenvío garantizada, prioridad de caída alta (3); y así sucesivamente a través af43de, Clase de reenvío garantizado 4, prioridad de caída alta

  • be—El mejor esfuerzo

  • cs0—Selector de clase 0; y así sucesivamente a través cs7de , Selector de clase 0

  • ef—Reenvío acelerado

Nota:

Esta acción no se admite en enrutadores de la serie PTX.

Nota:

Las tarjetas de línea MPC que se ejecutan en enrutadores de la serie MX admiten cualquier valor (de 0 a 63) junto con la acción del filtro de set dscp firewall.

Nota:

Las acciones dscp 0dscp be y solo se admiten en enrutadores T320, T640, T1600, matriz de transmisión, matriz de transmisión Plus y M320, y en concentradores de puerto modular (MPC) de 10 Gigabit Ethernet. Sin embargo, estas acciones no se admiten en concentradores de PIC flexibles (FPC) mejorados III en enrutadores M320. En enrutadores T4000, la dscp 0 acción no se admite durante la interoperación entre una FPC de escala mejorada T1600 tipo 4 y una FPC T4000 tipo 5.

family inet

force-premium

De forma predeterminada, un agente de políticas jerárquico procesa el tráfico que recibe según la clase de reenvío del tráfico. El tráfico premium de reenvío acelerado tiene prioridad para el ancho de banda sobre el tráfico agregado de mejor esfuerzo. El force-premium filtro garantiza que el tráfico que coincida con el término sea tratado como tráfico premium por un agente de policía jerárquico posterior, independientemente de su clase de reenvío. Este tráfico tiene preferencia sobre cualquier tráfico agregado que reciba ese agente de policía.

Nota:

La force-premium opción de filtro solo se admite en MPC.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family VPLS

forwarding-class class-name

Clasifique el paquete en la clase de reenvío nombrada:

  • forwarding-class-name

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

hierarchical-policer

Ordene el paquete mediante el agente de policía jerárquico especificado

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

ipsec-sa ipsec-sa

Utilice la asociación de seguridad IPsec especificada.

Nota:

Esta acción no se admite en enrutadores serie MX, FPC tipo 5 en enrutadores T4000 y enrutadores de transporte de paquetes serie PTX.

family inet

load-balance group-name

Utilice el grupo de equilibrio de carga especificado.

Nota:

Esta acción no se admite en enrutadores serie MX ni enrutadores de transporte de paquetes serie PTX.

family inet

log

Registre la información del encabezado del paquete en un búfer dentro del motor de reenvío de paquetes. Puede obtener acceso a esta información mediante la emisión del show firewall log comando en la interfaz de línea de comandos (CLI).

Nota:

La acción de registro de las familias de capa 2 (L2) solo está disponible para enrutadores serie MX con MPC (modo MPC si el enrutador solo tiene MPC o modo de mezcla si tiene MPC y DCP). En el caso de los enrutadores de la serie MX con DPC, la acción de registro de las familias L2 se ignora si está configurada.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

logical-system logical-system-name

Dirija paquetes a un sistema lógico específico.

  • family inet

  • family inet6

loss-priority (high | medium-high | medium-low | low)

Establezca el nivel de prioridad de pérdida de paquetes (PLP).

Tampoco puede configurar la three-color-policer acción nominante para el mismo término de filtro de firewall. Estas dos acciones nominativas son mutuamente excluyentes.

Esta acción se admite en enrutadores M120 y M320; enrutadores M7i y M10i con la CFEB mejorada (CFEB-E); y enrutadores serie MX.

Para el tráfico IP en enrutadores serie M320, MX y T con concentradores de PIC flexibles (FPC) mejorados II, debe incluir la instrucción en el tri-color[edit class-of-service] nivel de jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. Si la tri-color instrucción no está habilitada, solo puede configurar los high niveles y low . Esto se aplica a todas las familias de protocolos.

Para obtener más información acerca de la tri-color instrucción y el uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo los clasificadores de comportamiento agregan prioridad al tráfico de confianza.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

next-hop-group group-name

Utilice el grupo de salto siguiente especificado.

Recomendamos que no utilice la next-hop-group acción con port-mirror-instance o port-mirror en el mismo filtro de firewall.

  • family any

  • family inet

next-interface interface-name

(Serie MX) Dirija los paquetes a la interfaz de salida especificada.

  • family inet

  • family inet6

next-ip ip-address

(Serie MX) Dirija paquetes a la dirección IPv4 de destino especificada.

family inet

next-ip6 ipv6-address

(Serie MX) Dirija paquetes a la dirección IPv6 de destino especificada.

family inet6

packet-mode

Actualiza un campo de bits en el búfer de clave de paquete, que especifica el tráfico que omitirá el reenvío basado en flujo. Los paquetes con el packet-mode modificador de acciones siguen la ruta de reenvío basado en paquetes y el reenvío basado en flujo por completo. Solo se aplica a los dispositivos SRX100, SRX210, SRX220, SRX240 y SRX650. Para obtener más información acerca de los servicios selectivos basados en paquetes sin estado, consulte la Guía de configuración de seguridad de Junos OS.

family any

policer policer-name

Nombre del agente de policía que se utilizará para limitar el tráfico de velocidad.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

policy-map policy-map-name

(Serie MX) Nombre de la asignación de políticas utilizada para asignar reglas de reescritura específicas a un cliente específico.

  • family any

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

port-mirror instance-name

Espejo de puerto del paquete según la familia especificada. Esta acción se admite solo en enrutadores M120, enrutadores M320 configurados con FPC enhanced III, enrutadores de la serie MX y enrutadores de transporte de paquetes de la serie PTX.

Recomendamos que no utilice tanto las next-hop-group acciones como las port-mirror acciones en el mismo filtro de firewall.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

  • family mpls

port-mirror-instance instance-name

El puerto refleja un paquete para una instancia. Esta acción solo se admite en los enrutadores de la serie MX.

Recomendamos que no utilice tanto las next-hop-group acciones como las port-mirror-instance acciones en el mismo filtro de firewall.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

  • family mpls

prefix-action action-name

Contar o policía paquetes basados en el nombre de acción especificado.

Nota:

Esta acción no se admite en los enrutadores de transporte de paquetes serie PTX.

family inet

routing-instance routing-instance-name

Dirija paquetes a la instancia de enrutamiento especificada.

  • family inet

  • family inet6

sample

Muestra del paquete.

Nota:

Junos OS no muestra paquetes que se originan en el enrutador. Si configura un filtro y lo aplica al lado de salida de una interfaz, solo se muestrean los paquetes de tránsito que pasan por esa interfaz. No se toman muestras de los paquetes que se envían desde el motor de enrutamiento al motor de reenvío de paquetes.

  • family inet

  • family inet6

  • family mpls

service-accounting

Utilice el mecanismo de conteo en línea al capturar estadísticas de suscriptor por servicio.

Cuente el paquete para la contabilidad de servicios. El recuento se aplica a un contador específico denominado (__junos-dyn-service-counter) que RADIUS puede obtener.

Las service-accounting palabras service-accounting-deferred clave son mutuamente excluyentes, tanto por término como por filtro.

Nota:

Esta acción no se admite en FPC T4000 tipo 5 y enrutadores de transporte de paquetes serie PTX.

  • family any

  • family inet

  • family inet6

service-accounting- deferred

Utilice el mecanismo de conteo diferido al capturar estadísticas de suscriptor por servicio. El recuento se aplica a un contador específico denominado (__junos-dyn-service-counter) que RADIUS puede obtener.

Las service-accounting palabras service-accounting-deferred clave son mutuamente excluyentes, tanto por término como por filtro.

Nota:

Esta acción no se admite en FPC T4000 tipo 5 y enrutadores de transporte de paquetes serie PTX.

  • family any

  • family inet

  • family inet6

service-filter-hit

(Solo si la service-filter-hit marca está marcada por un filtro anterior en el tipo actual de filtros encadenados) Dirija el paquete al siguiente tipo de filtros.

Indique a los filtros posteriores de la cadena que el paquete ya se procesó. Esta acción, junto con la condición de coincidencia en los service-filter-hit filtros de recepción, ayuda a optimizar el procesamiento de filtros.

Nota:

Esta acción no se admite en FPC T4000 tipo 5 y enrutadores de transporte de paquetes serie PTX.

  • family any

  • family inet

  • family inet6

syslog

Registre el paquete en el archivo de registro del sistema.

La acción del firewall syslog para familias existentes inet y inet6 la acción en filtros de la syslog familia L2 incluye la siguiente información de L2:

Interfaz de entrada, acción, VLAN ID1, VLAN ID2, tipo Ethernet, direcciones MAC de origen y destino, protocolo, direcciones IP de origen y destino, puertos de origen y destino, y la cantidad de paquetes.

Nota:

La acción syslog de las familias L2 solo está disponible para enrutadores serie MX con MPC (modo MPC si el enrutador solo tiene MPC o modo de mezcla si tiene MPC y DCP). En el caso de los enrutadores serie MX con DPC, la acción syslog para las familias L2 se ignora si está configurada.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

three-color-policer (single-rate | two-rate) policer-name

Policía el paquete mediante el agente de policía de color de una o dos velocidades especificado.

Nota:

Tampoco puede configurar la loss-priority acción para el mismo término de filtro de firewall. Estas dos acciones son excluyentes entre sí.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

traffic-class value

Especifique el punto de código de clase de tráfico. Puede especificar un valor numérico desde 0 el 63. Para especificar el valor en forma hexadecimal, incluya 0x como prefijo. Para especificar el valor en formato binario, incluya b como prefijo.

El valor predeterminado de la clase de tráfico es el mejor esfuerzo, es decir, be o 0.

En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes:

  • af11—Garantía de clase 1 de reenvío, prioridad de baja caída

  • af12—Clase 1 de reenvío garantizado, prioridad de caída media

  • af13—Garantía de clase 1 de reenvío, prioridad de caída alta

  • af21—Garantía de clase 2 de reenvío, prioridad de baja caída

  • af22—Clase 2 de reenvío garantizado, prioridad de caída media

  • af23—Clase 2 de reenvío garantizado, prioridad de caída alta

  • af31—Clase 3 de reenvío garantizado, prioridad de baja caída

  • af32—Clase 3 de reenvío garantizado, prioridad de caída media

  • af33—Garantía de clase 3 de reenvío, prioridad de caída alta

  • af41—Clase 4 de reenvío garantizada, prioridad de caída baja

  • af42—Clase 4 de reenvío garantizada, prioridad de caída media

  • af43—Clase 4 de reenvío garantizado, prioridad de caída alta

  • be—El mejor esfuerzo

  • cs0—Selector de clase 0

  • cs1—Selector de clase 1

  • cs2—Selector de clase 2

  • cs3—Selector de clase 3

  • cs4—Selector de clase 4

  • cs5—Selector de clase 5

  • cs6—Selector de clase 6

  • cs7—Selector de clase 7

  • ef—Reenvío acelerado

Nota:

Las acciones traffic-class 0traffic-class be son compatibles solo en enrutadores serie T y M320, y en el concentrador de puertos modulares (MPC) de 10 Gigabit Ethernet, MPC de 60 Gigabit Ethernet, MPC de cola ethernet de 60 Gigabit y MPC de cola mejorada de 60 Gigabit Ethernet en enrutadores serie MX. Sin embargo, estas acciones no se admiten en concentradores de PIC flexibles (FPC) mejorados III en enrutadores M320.

family inet6

Temas relacionados