Acciones de finalización del filtro de firewall
Los filtros de firewall admiten un conjunto de acciones de terminación para cada familia de protocolos. Una acción de terminación de filtro detiene toda evaluación de un filtro de firewall para un paquete específico. El enrutador realiza la acción especificada y no se examinan términos adicionales.
No puede configurar la next term acción con una acción de finalización en el mismo término de filtro. Sin embargo, puede configurar la next term acción con otra acción que no termine en el mismo término de filtro.
En Junos OS y Junos OS evolucionado, next term
no puede aparecer como el último término de la acción. No se admite un término de filtro en el que next term
se especifica como una acción pero sin ninguna condición de coincidencia configurada.
En el caso de los enrutadores de la serie MX con MPC, debe inicializar el contador de filtros para los filtros de coincidencia solo Trio caminando por la MIB SNMP correspondiente, por ejemplo, show snmp mib walk name ascii
. Esto obliga a Junos a aprender los contadores de filtros y asegurarse de que se muestran las estadísticas de filtro. Esta guía se aplica a todos los filtros de firewall de modo mejorado, filtros con condiciones flexibles y filtros con ciertas acciones de terminación. Consulte esos temas, enumerados en Documentación relacionada, para obtener más información.
Tabla 1 Describe las acciones de terminación que puede especificar en un término de filtro de firewall.
Acción de terminación |
Description |
Protocolos |
---|---|---|
accept |
Acepte el paquete. |
|
|
En una interfaz orientada al cliente en un enrutador de la serie MX instalado en el borde del proveedor (PE) de una red de transporte IPv4, habilite la desencapsulación de paquetes de encapsulación de enrutamiento genérico (GRE) transportados a través de un túnel GRE basado en filtros. Puede configurar un término de filtro que empareje esta acción con una condición de coincidencia que incluya una coincidencia de encabezado de paquete para el protocolo GRE. Para un filtro IPv4, incluya la Cuando la interfaz recibe un paquete coincidente, los procesos que se ejecutan en el motor de reenvío de paquetes realizan las siguientes operaciones:
De forma predeterminada, el motor de reenvío de paquetes utiliza la instancia de enrutamiento predeterminada para reenviar paquetes de carga a la red de destino. Si la carga es MPLS, el motor de reenvío de paquetes realiza la búsqueda de rutas en la tabla de enrutamiento de ruta MPLS utilizando la etiqueta de ruta del encabezado MPLS. Si especifica la decapsulate acción con un nombre de instancia de enrutamiento opcional, el motor de reenvío de paquetes realiza la búsqueda de ruta en la instancia de enrutamiento y la instancia debe estar configurada. Nota:
En los enrutadores MX960, la acción desencapsula los Para obtener más información, consulte Descripción de la tunelización basada en filtros en redes IPv4 y Componentes de la tunelización basada en filtros en redes IPv4. |
|
|
En una interfaz orientada al cliente en un enrutador de la serie MX instalado en el borde del proveedor (PE) de una red de transporte IPv4, habilite la desencapsulación de los paquetes del protocolo de túnel de capa 2 (L2TP) transportados a través de un túnel L2TP basado en filtros. Puede configurar un término de filtro que empareje esta acción con una condición de coincidencia que incluya una coincidencia de encabezado de paquete para el protocolo L2TP. Para el tráfico IPv4, se adjuntan a la interfaz un filtro El extremo del túnel remoto envía un paquete de túnel IP que contiene una dirección MAC Ethernet en la carga. Si la dirección MAC de destino del paquete de carga contiene la dirección MAC del enrutador, el paquete Ethernet se envía en la dirección saliente hacia la red, y se procesa y reenvía como si se recibiera en el puerto del cliente. Si la dirección MAC de origen del paquete de carga contiene la dirección MAC del enrutador, el paquete Ethernet se transmite en la dirección de salida hacia el puerto del cliente. Si el túnel no contiene la cookie de recepción configurada, no se produce la inyección de paquetes. En tal caso, cualquier paquete de túnel recibido se cuenta y se deja caer de la misma manera en que se cuentan y descartan los paquetes que llegan con una cookie incorrecta. Con la
Nota:
La |
|
|
Descarte un paquete silenciosamente, sin enviar un mensaje del Protocolo de mensajes de control de Internet (ICMP). Los paquetes desechados están disponibles para su registro y muestreo. |
|
|
En una interfaz orientada al cliente en un enrutador de la serie MX instalado en el borde del proveedor (PE) de una red de transporte IPv4, habilite la tunelización de encapsulación de enrutamiento genérico (GRE) basada en filtros mediante la plantilla de túnel especificada. Puede configurar un término de filtro que empareje esta acción con las condiciones de coincidencia adecuadas y, a continuación, adjuntar el filtro a la entrada de una interfaz lógica Ethernet o de una interfaz Ethernet agregada en una tarjeta de interfaz modular (MIC) o un concentrador de puerto modular (MPC) del enrutador. Si confirma una configuración que adjunta un filtro de encapsulación a una interfaz que no admite la tunelización GRE basada en filtros, el sistema escribe un mensaje de advertencia syslog que indica que la interfaz no admite el filtro. Cuando la interfaz recibe un paquete coincidente, los procesos que se ejecutan en el motor de reenvío de paquetes utilizan la información de la plantilla de túnel especificada para realizar las siguientes operaciones:
La plantilla de túnel especificada debe configurarse mediante la |
|
|
En una interfaz orientada al cliente en un enrutador de la serie MX instalado en el borde del proveedor (PE) de una red de transporte IPv4, habilite la tunelización L2TP basada en filtros mediante la plantilla de túnel especificada. Puede configurar un término de filtro que empareje esta acción con las condiciones de coincidencia adecuadas y, a continuación, adjuntar el filtro a la entrada de una interfaz lógica Ethernet o de una interfaz Ethernet agregada en una tarjeta de interfaz modular (MIC) o un concentrador de puerto modular (MPC) del enrutador. Si confirma una configuración que adjunta un filtro de encapsulación a una interfaz que no admite la tunelización GRE basada en filtros, el sistema escribe un mensaje de advertencia syslog que indica que la interfaz no admite el filtro. Cuando la interfaz recibe un paquete coincidente, los procesos que se ejecutan en el motor de reenvío de paquetes utilizan la información de la plantilla de túnel especificada para realizar las siguientes operaciones:
|
|
|
Excluya el paquete de ser incluido en estadísticas contables precisas para suscriptores tunelizados en un LAC L2TP. Se utiliza normalmente en filtros que coinciden con el tráfico de control DHCPv6 o ICMPv6 Si no se excluyen estos paquetes, el mecanismo de detección de tiempo de espera de inactividad considera estos paquetes como tráfico de datos, lo que hace que el tiempo de espera nunca caduque. (El tiempo de espera de inactividad se configura con las instrucciones y El término excluye a los paquetes de ser incluidos en los recuentos tanto para la contabilidad exacta de la familia como para la contabilidad precisa del servicio. Los paquetes todavía se incluyen en las estadísticas de la interfaz de sesión. El término está disponible para ambos |
|
|
Dirija el paquete al sistema lógico especificado. Nota:
Esta acción no se admite en los enrutadores de transporte de paquetes de la serie PTX. |
|
|
Rechazar el paquete y devolver un mensaje ICMPv4 o ICMPv6:
Nota:
Los paquetes rechazados se pueden muestrear o registrar si configura la El En enrutadores PTX1000, la acción de rechazo solo se admite en las interfaces de entrada. |
|
|
Dirija el paquete a la instancia de enrutamiento especificada. |
|
|
Dirija el paquete a la topología especificada. Nota:
Esta acción no se admite en los enrutadores de transporte de paquetes de la serie PTX. Cada instancia de enrutamiento (enrutador principal o virtual) admite una topología predeterminada a la que se reenvían todas las clases de reenvío. Para el enrutamiento multitopología, puede configurar un filtro de firewall en la interfaz de entrada para que coincida con una clase de reenvío específica, como el reenvío acelerado, con una topología específica. A continuación, el tráfico que coincide con la clase de reenvío especificada se agrega a la tabla de enrutamiento para esa topología. |
|
En los modelos de conmutador QFX5120-48Y y QFX5120-32C, configure discard
la acción explícitamente para desactivar una sesión BFD. Sin embargo, tenga en cuenta que si hay una port-mirror
acción configurada antes de la discard
acción, la sesión BFD no se desactivará.