Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Acciones de terminación de filtros de Firewall

Los filtros de Firewall admiten un conjunto de acciones de terminación para cada familia de protocolos. Una acción de terminación de filtros detiene toda la evaluación de un filtro de Firewall para un paquete específico. El enrutador realiza la acción especificada y no se examinan los términos adicionales.

Nota:

No puede configurar la next term acción con una acción de terminación en el mismo término de filtro. Sin embargo, puede configurar la next term acción con otra acción de no terminación en el mismo término de filtro.

En Junos OS ha evolucionado, next term no puede aparecer como el último término de la acción. No se admite un next term término de filtro donde se especifica como una acción, pero sin ninguna condición de coincidencia configurada.

En el caso de enrutadores serie MX con MPC, debe inicializar el contador de filtros para filtros de coincidencia de solo trío mediante el recorrido por el snmp BIA correspondiente, por ejemplo, show snmp mib walk name ascii . Esto obliga a Junos a aprender los contadores de filtro y garantizar que se muestran las estadísticas del filtro. Esta guía se aplica a todos los filtros de Firewall de modo mejorado, a los filtros con condiciones flexibles y a filtros con determinadas acciones de terminación. Consulte esos temas, que se enumeran en la sección documentación relacionada, para obtener más detalles.

Tabla 1describe las acciones de terminación que puede especificar en un término de filtro de Firewall.

Tabla 1: Acciones de terminación para filtros de cortafuegos

Acción de terminación

Descriptiva

Protocol

accept

Aceptar el paquete.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching(sólo para conmutadores de la serie EX)

decapsulate gre [ routing-instance instance-name ]

En una interfaz orientada a clientes de un enrutador de la serie MX instalada en el extremo de proveedor (PE) de una red de transporte IPv4, habilite la desencapsulación de paquetes GRE (Generic Routing Encapsulation) transportadas a través de un túnel GRE basado en filtros.

Puede configurar un término de filtro que empareja esta acción con una condición de coincidencia que incluye una coincidencia de encabezado de paquete para el protocolo GRE. Para un filtro IPv4, incluya la protocol gre condición coincidir (o protocol 47).Conecte el filtro a la entrada de una interfaz lógica Ethernet o a una interfaz Ethernet agregada en una tarjeta de interfaz modular (MIC) o un concentrador de Puerto modular (MPC) en el enrutador.Si confirma una configuración que adjunta un filtro de deencapsulación a una interfaz que no admite túneles GRE basados en filtros, el sistema escribe un mensaje de advertencia de Syslogs que indica que la interfaz no admite el filtro.

Cuando la interfaz recibe un paquete coincidente, los procesos que se ejecutan en el motor de reenvío de paquetes realizan las operaciones siguientes:

  • Quite el encabezado GRE externo.

  • Reenvíe el paquete de carga interna a su destino original realizando una búsqueda de destino.

De forma predeterminada, el motor de reenvío de paquetes usa la instancia de enrutamiento predeterminada para reenviar paquetes de carga a la red de destino. Si la carga es MPLS, el motor de reenvío de paquetes realiza la búsqueda de rutas en la tabla de enrutamiento de MPLS ruta de acceso mediante la etiqueta Route del encabezado MPLS.

Si se especifica la decapsulate acción con un nombre de instancia de enrutamiento opcional, el motor de reenvío de paquetes realiza la búsqueda de la ruta en la instancia de enrutamiento, y la instancia debe configurarse.

Nota:

En MX960 enrutadores, decapsulate la acción desencapsulará los paquetes de túnel IP en IP e IPv6 en IP. Esta acción se configura en el [edit firewall family inet filter filter-name term term-name] nivel de jerarquía.

Para obtener más información, consulte Descripción de los túneles basados en filtro en redes IPv4Componentes de túneles basados en filtros a través de redes IPv4 y .

  • family inet

decapsulate l2tp [ routing-instance instance-name ] [ forwarding-class class-name ] [ output-interface interface-name ] [ cookie l2tpv3-cookie ] [ sample ]

En una interfaz orientada a clientes de un enrutador de la serie MX instalada en el extremo de proveedor (PE) de una red de transporte IPv4, habilite la desencapsulación de paquetes del Protocolo de túnel de capa 2 (L2TP) transportados a través de un túnel L2TP basado en filtros.

Puede configurar un término de filtro que empareja esta acción con una condición de coincidencia que incluye una coincidencia de encabezado de paquete para el protocolo L2TP. Para el tráfico IPv4, se adjuntará a la interfaz $junos-input-filter un $junos-output-filter filtro de Firewall de entrada y un filtro de Firewall de salida. Conecte el filtro a la entrada de una interfaz lógica Ethernet o a una interfaz Ethernet agregada en una tarjeta de interfaz modular (MIC) o un concentrador de Puerto modular (MPC) en el enrutador. Si confirma una configuración que adjunta un filtro de deencapsulación a una interfaz que no admite el túnel L2TP basado en filtros, el sistema escribe un mensaje de advertencia de syslog que indica que la interfaz no admite el filtro.

El extremo de túnel remoto envía un paquete de túnel IP que contiene un dirección MAC Ethernet en la carga. Si el dirección MAC de destino del paquete de carga contiene la dirección MAC del enrutador, el paquete Ethernet se envía en la dirección de salida hacia la red, y se procesa y se reenvía como si se recibiera en el puerto del cliente. Si el dirección MAC de origen del paquete de carga contiene la dirección MAC del enrutador, el paquete Ethernet se transmite en la dirección de salida hacia el puerto del cliente. Si el túnel no contiene la cookie Receive (recepción) configurada, la inserción de paquetes no se producirá. En este caso, cualquier paquete de túnel recibido se cuenta y se descarta de la misma manera en que se cuentan y se eliminan los paquetes que llegan con una cookie equivocada.

Se pueden especificar los siguientes parámetros con la decapsulate l2tp acción:

  • routing-instance instance-name: de forma predeterminada, motor de reenvío de paquetes la instancia de enrutamiento predeterminada para reenviar paquetes de carga a la red de destino. Si la carga es MPLS, el motor de reenvío de paquetes realiza la búsqueda de rutas en la tabla de enrutamiento de MPLS ruta de acceso mediante la etiqueta Route del encabezado MPLS. Si se especifica la decapsulate acción con un nombre de instancia de enrutamiento opcional, el motor de reenvío de paquetes realiza la búsqueda de la ruta en la instancia de enrutamiento, y la instancia debe configurarse.

  • forwarding-class class-name— (Opcional) Clasifique los paquetes l2TP a la clase de reenvío especificada.

  • output-interface interface-name— (Opcional) Para túneles L2TP, habilite que el paquete se duplique y envíe hacia el cliente o la red (en función de la dirección MAC en la carga ethernet).

  • cookie l2tpv3-cookie— (Opcional) Para túneles L2TP, especifique la cookie L2TP para los paquetes duplicados. Si el túnel no contiene la cookie Receive (recepción) configurada, la inserción de paquetes no se producirá. En este caso, cualquier paquete de túnel recibido se cuenta y se descarta de la misma manera en que se cuentan y se eliminan los paquetes que llegan con una cookie equivocada.

  • sample— (Opcional) Pruebe el paquete. Junos OS no muestra los paquetes que se originan en el enrutador. Si configura un filtro y lo aplica al resultado de una interfaz, solo se muestrearán los paquetes de tránsito que pasan a través de esa interfaz. No se muestrean los paquetes que se envían desde el motor de enrutamiento al motor de reenvío de paquetes.

Nota:

La decapsulate l2tp acción que configure en el [edit firewall family inet filter filter-name term term-name] nivel de jerarquía no procesará tráfico con opciones de IPv4 e IPv6. Como resultado, la funcionalidad de desencapsulación de paquetes L2TP descarta el tráfico con dichas opciones.

family inet

discard

Descartar un paquete de forma silenciosa, sin enviar un mensaje de protocolo de mensajes de control de Internet (ICMP). Hay paquetes descartados disponibles para el registro y el muestreo.

  • family any

  • family inet

  • family inet6

  • family mpls

  • family vpls

  • family ccc

  • family bridge

  • family ethernet-switching(sólo para conmutadores de la serie EX)

encapsulate template-name

En una interfaz orientada a clientes de un enrutador serie MX instalado en el extremo de proveedor (PE) de una red de transporte IPv4, habilite el túnel de encapsulación de enrutamiento genérico (GRE) basado en filtros mediante la plantilla de túnel especificada.

Puede configurar un término de filtro que emparejara esta acción con las condiciones de coincidencia apropiadas y, a continuación, adjuntar el filtro a la entrada de una interfaz lógica Ethernet o una interfaz Ethernet agregada en una tarjeta de interfaz modular (MIC) o en un concentrador de Puerto modular (MPC ) del enrutador.Si confirma una configuración que asocia un filtro encapsulador a una interfaz que no admite túneles GRE basados en filtros, el sistema escribe un mensaje de advertencia de Syslogs que indica que la interfaz no admite el filtro.

Cuando la interfaz recibe un paquete coincidente, los procesos que se ejecutan en el motor de reenvío de paquetes usar la información de la plantilla de túnel especificada para realizar las operaciones siguientes:

  1. Adjunte un encabezado GRE (con o sin valor de clave de túnel, como se especifica en la plantilla de túnel.

  2. Adjunte un encabezado para el protocolo de transporte IPv4.

  3. Reenvíe el paquete GRE resultante desde la interfaz de origen de túnel al destino de túnel (el enrutador de PE remoto).

La plantilla de túnel especificada debe configurarse tunnel-end-point con la instrucción [edit firewall] en [edit logical-systems logical-system-name firewall] el nivel de jerarquía o. Para obtener más información, Descripción de los túneles basados en filtro en redes IPv4consulte.

  • family inet

  • family inet6

  • family any

  • family mpls

encapsulate template-name (para túneles L2TP)

En una interfaz orientada a clientes de un enrutador serie MX instalado en el extremo de proveedor (PE) de una red de transporte IPv4, habilite el túnel L2TP basado en filtros mediante la plantilla de túnel especificada. Puede configurar un término de filtro que emparejara esta acción con las condiciones de coincidencia apropiadas y, a continuación, adjuntar el filtro a la entrada de una interfaz lógica Ethernet o una interfaz Ethernet agregada en una tarjeta de interfaz modular (MIC) o en un concentrador de Puerto modular (MPC ) del enrutador. Si confirma una configuración que asocia un filtro encapsulador a una interfaz que no admite túneles GRE basados en filtros, el sistema escribe un mensaje de advertencia de Syslogs que indica que la interfaz no admite el filtro. Cuando la interfaz recibe un paquete coincidente, los procesos que se ejecutan en el motor de reenvío de paquetes usar la información de la plantilla de túnel especificada para realizar las operaciones siguientes:

  1. Adjunte un encabezado L2TP (con o sin valor de clave de túnel, según lo especificado en la plantilla de túnel).

  2. Adjunte un encabezado para el protocolo de transporte IPv4.

  3. Reenvíe el paquete L2TP resultante desde la interfaz de origen de túnel hasta el destino de túnel (el enrutador de PE remoto). La plantilla de túnel especificada debe configurarse tunnel-end-point con la instrucción [edit firewall] en [edit logical-systems logical-system-name firewall] la jerarquía de instrucciones or.

  • family inet

exclude-accounting

Excluya el paquete para que se incluya en las estadísticas de contabilidad exactas de los suscriptores del túnel en un CONCENTRADOr de la sesión L2TP. Usado normalmente en filtros que coinciden con DHCPv6 o ICMPv6 control no se excluyen estos paquetes da como resultado el mecanismo de detección de tiempo de espera de inactividad que considera estos paquetes como tráfico de datos, lo que hace que el tiempo de espera no expire nunca. (El tiempo de espera inactivo se client-idle-timeout configura client-idle-timeout-ingress-only con las instrucciones y en las opciones sesión de Perfil de acceso.)

El término excluye los paquetes para que no se incluyan en el recuento para cuentas precisas de la familia y contabilidad precisa del servicio. Los paquetes siguen incluidos en las estadísticas de la interfaz de sesión.

El término está disponible para ambas inetinet6 familias, pero solo se utiliza para inet6.

  • family inet

  • family inet6

logical-system logical-system-name

Dirija el paquete al sistema lógico especificado.

Nota:

Esta acción no se admite en enrutadores de transporte de paquetes serie PTX.

  • family inet

  • family inet6

reject message-type

Rechazar el paquete y devolver un mensaje ICMPv4 o ICMPv6:

  • Si se message-type especifica no, se destination unreachable devuelve un mensaje de forma predeterminada.

  • Si tcp-reset se especifica as message-type, tcp-reset solo se devuelve si el paquete es un paquete TCP. De lo administratively-prohibited contrario, se devuelve el mensaje, que tiene un valor de 13.

  • Si se especifica message-type otro, se devuelve dicho mensaje.

Nota:

Los paquetes rechazados pueden ser muestreados o registrados si configura la sample acción syslog o. Para MX2K-MPC11E, los mensajes de rechazar ICMP atraviesan filtros de salida, políticas y configuraciones de clase de servicio (CoS), por lo que se incluyen en esas estadísticas. Lo mismo sucede con los destination unreachable mensajes.

message-type Puede ser uno de los siguientes valores: address-unreachable, administratively-prohibited, bad-host-tos, bad-network-tos, beyond-scope, fragmentation-needed, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, no-route, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachablesource-host-isolated,, o tcp-reset. source-route-failed

En PTX1000 enrutadores, la acción rechazar sólo se admite en las interfaces de entrada.

  • family inet

  • family inet6

routing-instance instance-name

Dirija el paquete a la instancia de enrutamiento especificada.

  • family inet

  • family inet6

topology topology-name

Dirija el paquete a la topología especificada.

Nota:

Esta acción no se admite en enrutadores de transporte de paquetes serie PTX.

Cada instancia de enrutamiento (enrutador principal o virtual) admite una topología predeterminada a la cual se reenvía todas las clases de reenvío. Para multitopology enrutamiento, puede configurar un filtro de firewall en la interfaz de entrada para que coincida con una clase de reenvío específico, como el reenvío acelerado, con una topología específica. El tráfico que coincide con la clase de reenvío especificada se agrega a continuación a la tabla de enrutamiento de esa topología.

  • family inet

  • family inet6