Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Acciones de terminación del filtro de firewall

Los filtros de firewall admiten un conjunto de acciones de terminación para cada familia de protocolos. Una acción de terminación de filtros detiene toda evaluación de un filtro de firewall para un paquete específico. El enrutador realiza la acción especificada y no se examinan términos adicionales.

Nota:

No puede configurar la next term acción con una acción de finalización en el mismo término de filtro. Sin embargo, puede configurar la next term acción con otra acción nominante en el mismo término de filtro.

En Junos OS evolucionado, next term no puede aparecer como el último término de la acción. No se admite un término next term de filtro en el que se especifica como una acción, pero sin ninguna condición de coincidencia configurada.

En el caso de los enrutadores serie MX con MPC, debe inicializar el contador de filtros para filtros de coincidencia de solo Trio caminando el MIB SNMP correspondiente, por ejemplo, show snmp mib walk name ascii. Esto obliga a Junos a aprender los contadores de filtros y asegurarse de que se muestran las estadísticas de filtro. Esta guía se aplica a todos los filtros de firewall en modo mejorado, filtros con condiciones flexibles y filtros con ciertas acciones de terminación. Consulte esos temas, enumerados en Documentación relacionada, para obtener más detalles.

Tabla 1 describe las acciones de terminación que puede especificar en un término de filtro de firewall.

Tabla 1: Acciones de terminación para filtros de firewall

Acción de terminación

Descripción

Protocolos

accept

Acepte el paquete.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching (solo para conmutadores de la serie EX)

decapsulate gre [ routing-instance instance-name ]

En una interfaz orientada al cliente en un enrutador de la serie MX instalado en el borde del proveedor (PE) de una red de transporte IPv4, habilite la desencapsulación de paquetes de encapsulación de enrutamiento genérico (GRE) transportados a través de un túnel GRE basado en filtros.

Puede configurar un término de filtro que empareja esta acción con una condición de coincidencia que incluya una coincidencia de encabezado de paquete para el protocolo GRE. Para un filtro IPv4, incluya la protocol gre condición (o protocol 47) de coincidencia. Conecte el filtro a la entrada de una interfaz lógica de Ethernet o una interfaz Ethernet agregada en una tarjeta de interfaz modular (MIC) o un concentrador de puerto modular (MPC) en el enrutador. Si confirma una configuración que adjunta un filtro de desencapsulación a una interfaz que no admite la tunelización GRE basada en filtros, el sistema escribe un mensaje de advertencia de syslog en el que la interfaz no admite el filtro.

Cuando la interfaz recibe un paquete coincidente, los procesos que se ejecutan en el motor de reenvío de paquetes realizan las siguientes operaciones:

  • Elimine el encabezado gre externo.

  • Reenvíe el paquete de carga interior a su destino original mediante la búsqueda de destino.

De forma predeterminada, el motor de reenvío de paquetes usa la instancia de enrutamiento predeterminada para reenviar paquetes de carga a la red de destino. Si la carga es MPLS, el motor de reenvío de paquetes realiza una búsqueda de ruta en la tabla de enrutamiento de rutas MPLS mediante la etiqueta de ruta en el encabezado MPLS.

Si especifica la decapsulate acción con un nombre de instancia de enrutamiento opcional, el motor de reenvío de paquetes realiza una búsqueda de ruta en la instancia de enrutamiento y la instancia debe estar configurada.

Nota:

En los enrutadores MX960, la decapsulate acción desencapsula los paquetes de tunelización GRE, IP-in-IP e IPv6-in-IP. Configure esta acción en el [edit firewall family inet filter filter-name term term-name] nivel jerárquico .

Para obtener más información, consulte Descripción de la tunelización basada en filtros en redes IPv4 .Componentes de la tunelización basada en filtros en redes IPv4

  • family inet

decapsulate l2tp [ routing-instance instance-name ] [ forwarding-class class-name ] [ output-interface interface-name ] [ cookie l2tpv3-cookie ] [ sample ]

En una interfaz orientada al cliente en un enrutador serie MX instalado en el borde del proveedor (PE) de una red de transporte IPv4, habilite la desencapsulación de paquetes de protocolo de tunelización de capa 2 (L2TP) transportados a través de un túnel L2TP basado en filtros.

Puede configurar un término de filtro que empareja esta acción con una condición de coincidencia que incluya una coincidencia de encabezado de paquete para el protocolo L2TP. Para el tráfico IPv4, se adjuntan un filtro de firewall de entrada y un filtro $junos-input-filter$junos-output-filter de firewall de salida a la interfaz. Conecte el filtro a la entrada de una interfaz lógica de Ethernet o una interfaz Ethernet agregada en una tarjeta de interfaz modular (MIC) o un concentrador de puerto modular (MPC) en el enrutador. Si confirma una configuración que adjunta un filtro de desencapsulación a una interfaz que no admite la tunelización L2TP basada en filtros, el sistema escribe un mensaje de advertencia de syslog en el que la interfaz no admite el filtro.

El punto de conexión de túnel remoto envía un paquete de túnel IP que contiene una dirección MAC de Ethernet en la carga. Si la dirección MAC de destino del paquete de carga contiene la dirección MAC del enrutador, el paquete Ethernet se envía en la dirección de salida hacia la red, y se procesa y reenvía como si se recibiera en el puerto del cliente. Si la dirección MAC de origen del paquete de carga contiene la dirección MAC del enrutador, el paquete Ethernet se transmite en la dirección de salida hacia el puerto del cliente. Si el túnel no contiene la cookie de recepción configurada, no se produce la inyección de paquetes. En tal caso, cualquier paquete de túnel recibido se cuenta y se pierde de la misma manera en que se cuentan y se pierden los paquetes que llegan con una cookie incorrecta.

Con la decapsulate l2tp acción se pueden especificar los siguientes parámetros:

  • routing-instance instance-name— De forma predeterminada, el motor de reenvío de paquetes usa la instancia de enrutamiento predeterminada para reenviar paquetes de carga a la red de destino. Si la carga es MPLS, el motor de reenvío de paquetes realiza una búsqueda de ruta en la tabla de enrutamiento de rutas MPLS mediante la etiqueta de ruta en el encabezado MPLS. Si especifica la decapsulate acción con un nombre de instancia de enrutamiento opcional, el motor de reenvío de paquetes realiza una búsqueda de ruta en la instancia de enrutamiento y la instancia debe estar configurada.

  • forwarding-class class-name—(Opcional) Clasifique los paquetes l2TP en la clase de reenvío especificada.

  • output-interface interface-name—(Opcional) En el caso de los túneles L2TP, habilite el paquete para que se duplique y envíe al cliente o a la red (según la dirección MAC en la carga Ethernet).

  • cookie l2tpv3-cookie—(Opcional) Para túneles L2TP, especifique la cookie L2TP para los paquetes duplicados. Si el túnel no contiene la cookie de recepción configurada, no se produce la inyección de paquetes. En tal caso, cualquier paquete de túnel recibido se cuenta y se pierde de la misma manera en que se cuentan y se pierden los paquetes que llegan con una cookie incorrecta.

  • sample—(Opcional) Muestre el paquete. Junos OS no muestra paquetes que se originan en el enrutador. Si configura un filtro y lo aplica al lado de salida de una interfaz, solo se muestrean los paquetes de tránsito que pasan por esa interfaz. No se toman muestras de los paquetes que se envían desde el motor de enrutamiento al motor de reenvío de paquetes.

Nota:

La decapsulate l2tp acción que configure en el nivel de jerarquía no procesa el [edit firewall family inet filter filter-name term term-name] tráfico con las opciones IPv4 e IPv6. Como resultado, la funcionalidad de desencapsulación de paquetes L2TP descarta el tráfico con estas opciones.

family inet

discard

Descarte un paquete en silencio, sin enviar un mensaje de protocolo de mensaje de control de Internet (ICMP). Los paquetes descartados están disponibles para registro y toma de muestras.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching (solo para conmutadores de la serie EX)

encapsulate template-name

En una interfaz orientada al cliente en un enrutador serie MX instalado en el borde del proveedor (PE) de una red de transporte IPv4, habilite la tunelización de encapsulación de enrutamiento genérico (GRE) basada en filtros mediante la plantilla de túnel especificada.

Puede configurar un término de filtro que empareja esta acción con las condiciones de coincidencia adecuadas y, luego, adjuntar el filtro a la entrada de una interfaz lógica de Ethernet o de una interfaz Ethernet agregada en una tarjeta de interfaz modular (MIC) o un concentrador de puerto modular (MPC) en el enrutador. Si confirma una configuración que adjunta un filtro de encapsulación a una interfaz que no admite la tunelización GRE basada en filtros, el sistema escribe un mensaje de advertencia de syslog en el que la interfaz no admite el filtro.

Cuando la interfaz recibe un paquete coincidente, los procesos que se ejecutan en el motor de reenvío de paquetes utilizan la información en la plantilla de túnel especificada para realizar las siguientes operaciones:

  1. Adjunte un encabezado GRE (con o sin valor de clave de túnel, como se especifica en la plantilla de túnel.

  2. Adjuntar un encabezado para el protocolo de transporte IPv4.

  3. Reenvíe el paquete GRE resultante desde la interfaz de origen del túnel al destino del túnel (el enrutador de PE remoto).

La plantilla de túnel especificada se debe configurar mediante la tunnel-end-point instrucción en el [edit firewall] nivel de jerarquía o [edit logical-systems logical-system-name firewall] . Para obtener más información, consulte Descripción de la tunelización basada en filtros en redes IPv4.

  • family inet

  • family inet6

  • family any

  • family mpls

encapsulate template-name (para túneles L2TP)

En una interfaz orientada al cliente en un enrutador serie MX instalado en el borde del proveedor (PE) de una red de transporte IPv4, habilite la tunelización L2TP basada en filtros mediante la plantilla de túnel especificada. Puede configurar un término de filtro que empareja esta acción con las condiciones de coincidencia adecuadas y, luego, adjuntar el filtro a la entrada de una interfaz lógica de Ethernet o de una interfaz Ethernet agregada en una tarjeta de interfaz modular (MIC) o un concentrador de puerto modular (MPC) en el enrutador. Si confirma una configuración que adjunta un filtro de encapsulación a una interfaz que no admite la tunelización GRE basada en filtros, el sistema escribe un mensaje de advertencia de syslog en el que la interfaz no admite el filtro. Cuando la interfaz recibe un paquete coincidente, los procesos que se ejecutan en el motor de reenvío de paquetes utilizan la información en la plantilla de túnel especificada para realizar las siguientes operaciones:

  1. Adjuntar un encabezado L2TP (con o sin valor de clave de túnel, como se especifica en la plantilla de túnel).

  2. Adjuntar un encabezado para el protocolo de transporte IPv4.

  3. Reenvíe el paquete L2TP resultante desde la interfaz de origen del túnel al destino del túnel (el enrutador de PE remoto). La plantilla de túnel especificada se debe configurar mediante la tunnel-end-point instrucción en la [edit firewall] jerarquía de instrucción o [edit logical-systems logical-system-name firewall] .

  • family inet

exclude-accounting

Excluya el paquete de ser incluido en estadísticas contables precisas para suscriptores tunelados en un L2TP LAC. Normalmente se usa en filtros que coinciden con el tráfico de control DHCPv6 o ICMPv6 El error de excluir estos paquetes da como resultado el mecanismo de detección de tiempo de espera inactivo, considerando estos paquetes como tráfico de datos, lo que hace que el tiempo de espera nunca expire. (El tiempo de espera de inactividad está configurado con las client-idle-timeout instrucciones y client-idle-timeout-ingress-only en las opciones de sesión de perfil de acceso).)

El término excluye que los paquetes se incluyan en los recuentos tanto para la contabilidad precisa de la familia como para la contabilidad precisa del servicio. Los paquetes siguen incluidos en las estadísticas de la interfaz de sesión.

El término está disponible para ambas inet familias, inet6 pero solo se utiliza para inet6.

  • family inet

  • family inet6

logical-system logical-system-name

Dirija el paquete al sistema lógico especificado.

Nota:

Esta acción no se admite en los enrutadores de transporte de paquetes serie PTX.

  • family inet

  • family inet6

reject message-type

Rechazar el paquete y devolver un mensaje ICMPv4 o ICMPv6:

  • Si no se especifica ningún message-type , se devuelve un destination unreachable mensaje de forma predeterminada.

  • Si tcp-reset se especifica como , message-typetcp-reset solo se devuelve si el paquete es un paquete TCP. De lo contrario, se devuelve el administratively-prohibited mensaje, que tiene un valor de 13.

  • Si se especifica otro message-type , se devuelve ese mensaje.

Nota:

Los paquetes rechazados se pueden muestrear o registrar si configura la sample o syslog acción. Para MX2K-MPC11E, los mensajes de rechazo ICMP atraviesan filtros de salida, políticas y configuraciones de clase de servicio (CoS), por lo que se incluyen en esas estadísticas. Lo mismo ocurre con los destination unreachable mensajes.

El message-type valor puede ser uno de los siguientes: address-unreachable, administratively-prohibited, bad-host-tos, bad-network-tosbeyond-scope, fragmentation-needed, host-prohibited, host-unreachablehost-unknown, network-prohibited, network-unreachableport-unreachableno-routenetwork-unknown, precedence-cutoffprotocol-unreachablesource-host-isolatedprecedence-violationsource-route-failed, o .tcp-reset

En enrutadores PTX1000, la acción rechazar solo se admite en interfaces de entrada.

  • family inet

  • family inet6

routing-instance instance-name

Dirija el paquete a la instancia de enrutamiento especificada.

  • family inet

  • family inet6

topology topology-name

Dirija el paquete a la topología especificada.

Nota:

Esta acción no se admite en los enrutadores de transporte de paquetes serie PTX.

Cada instancia de enrutamiento (enrutador principal o virtual) admite una topología predeterminada a la cual se reenvían todas las clases de reenvío. Para el enrutamiento multitopology, puede configurar un filtro de firewall en la interfaz de entrada para que coincida con una clase de reenvío específica, como el reenvío acelerado, con una topología específica. El tráfico que coincide con la clase de reenvío especificada se agrega a la tabla de enrutamiento para esa topología.

  • family inet

  • family inet6

Nota:

En los modelos de conmutadores QFX5120-48Y y QFX5120-32C, configure discard la acción explícitamente para desactivar una sesión BFD. Sin embargo, tenga en cuenta que si hay una port-mirror acción configurada antes de la discard acción, la sesión BFD no se desactivará.