Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Неустанавляющие действия фильтра межсетевых экранов

Фильтры межсетевых экранов поддерживают различные наборы неустанавляющих действий для каждого семейства протоколов, включая неявное действие при приеме. В этом контексте неудающееся действие означает, что за этими действиями могут следовать другие действия, в то время как никакие другие действия не могут следовать прекращению. Как таковой, нельзя настроить действие с действием, прервав его в next term том же термине фильтра. Однако можно настроить действие другим неудающим действием в том же next term термине фильтра.

Прим.:

На Junos OS Evolved next term не может появиться последний срок действия. Термин фильтра, который определяется как действие, но не имеет настроенных условий next term совпадения, не поддерживается.

Табл. 1 описывает действия, которые можно настроить для термина фильтра межсетевых экранов.

Табл. 1: Неудавающие действия для фильтров межсетевых экранов

Неудающее действие

Описание

Семейства протоколов

bgp-output-queue-priority priority (expedited | (1-16))

Назначьте пакет одной из 17 приоритетных BGP выходных очередях.

  • family evpn

  • family inet

  • family inet-mdt

  • family inet-mvpn

  • family inet-vpn

  • family inet6

  • family inet6-mvpn

  • family inet6-vpn

  • family iso-vpn

  • family l2vpn

  • family route-target

  • family traffic-engineering

count counter-name

Посчитайте пакет в именоваемом счетчике.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

dont-fragment (set | clear)

Настройте значение бита "Don't Fragment" (флаг) в iPv4-семадре, чтобы указать, может ли датаграмма фрагментироваться:

  • set- Измените значение флага на одно, предотвратив фрагментацию.

  • clear- Измените значение флага на 0, разрешив фрагментацию.

Прим.:

Эти dont-fragment (set | clear) действия поддерживаются только на MPC.

family inet

dscp value

Установите бит кода IPv4 Differentiated Services (DSCP). Цифровое значение можно указать с 0 помощью 63 through. Чтобы указать значение в hexademal форме, 0x включим в качестве префикса. Чтобы указать значение в двоичной форме, b включим в качестве префикса.

Значение DSCP по умолчанию be (с наилучшими усилиями) 0 или.

Можно также указать одно из следующих текстовых синонимов:

  • af11- Класс гарантированной переадности 1, низкий приоритет отбросить (1)

  • af12- Гарантированная переадваровка класса 1, средний приоритет сброса (2)

  • af13- Гарантированная переадентиция класса 1, высокий приоритет отбросить (3); и так далее через af43 , Гарантированная переадция класса 4, высокий приоритет сброса

  • be— Наилучшие усилия

  • cs0- Селектор класса 0; и так далее, cs7 селектор класса 0

  • ef— Срочное перенаадение

Прим.:

Это действие не поддерживается на маршрутизаторах серии PTX.

Прим.:

Карты линии MPC, работающие на маршрутизаторах серии MX, поддерживают любое значение (от 0 до 63) в сочетании с действием set dscp фильтра межсетевых экранов.

Прим.:

Действия и поддерживаются только на dscp 0 маршрутизаторах T320, T640, T1600, матрице TX, матрице TX и M320 маршрутизаторах, а также на модульных концентраторах dscp be 10-Gigabit Ethernet для портов (MPC). Однако эти действия не поддерживаются на расширенных гибких концентраторах PIC (FFPC) M320 маршрутизаторах. На T4000 не поддерживается действие во время взаимодействия между FPC T1600 расширенным масштабированием типа 4 и FPC T4000 dscp 0 типа 5.

family inet

force-premium

По умолчанию иерархический дейтаметр обрабатывает получаемый трафик в соответствии с классом переадрикации трафика. Приоритетный трафик в срочной переадрегировании имеет приоритет для полосы пропускания в агрегированном и наилучшем трафике. Фильтр гарантирует, что трафик, совпадающий с этим термином, будет рассматриваться последующим иерархичным отделом управления трафиком как трафик высшего качества вне зависимости от его force-premium класса переадреции. Этому трафику отдается предпочтение по чем-либо агрегированному трафику, полученному этим policer.

Прим.:

Параметр force-premium фильтрации поддерживается только на MPC.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family VPLS

forwarding-class class-name

Классифицировать пакет в именовамый класс переадваровки:

  • forwarding-class-name

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

hierarchical-policer

Применение к пакету определенной иерархической метрики

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

ipsec-sa ipsec-sa

Используйте указанное ассоциацию безопасности IPsec.

Прим.:

Это действие не поддерживается на серия MX, типа 5 FFPC на T4000 маршрутизаторах и серия PTX маршрутизаторах пакетной связи.

family inet

load-balance group-name

Используйте указанную группу балансировки нагрузки.

Прим.:

Это действие не поддерживается на серия MX или серия PTX пакетно-транспортных маршрутизаторах.

family inet

log

За log the packet header information in a buffer within the модуль передачи пакетов. К этой информации можно получить доступ, выдав команду на интерфейс командной строки show firewall log (интерфейс командной строки).

Прим.:

Действие журнала семейство уровней 2 (L2) доступно только для серия MX с MPC (режим MPC, если у маршрутизатора есть только MPC, или режим mix, если у него есть MPC и DCP). Для серия MX с DPC действие журнала для семейство L2 игнорируется при настройке.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

logical-system logical-system-name

Прямая перенаправка пакетов в определенную логическую систему.

  • family inet

  • family inet6

loss-priority (high | medium-high | medium-low | low)

Установите уровень приоритета потери пакетов (PLP).

Нельзя также настроить действие, не устанавливающее действие, для того three-color-policer же термина фильтра межсетевых экранов. Эти два неустанавливающих действия являются взаимоисключающими.

Это действие поддерживается на M120 и M320 маршрутизаторах; M7i и M10i с расширенным CFEB (CFEB-E); и серия MX маршрутизаторов.

Для IP-трафика M320, серия MX и серия T с расширенными гибкими концентраторами PIC II (FFPC), необходимо включить утверждение на уровне иерархии, чтобы сфиксировать конфигурацию PLP с любым из четырех указанных tri-color[edit class-of-service] уровней. Если утверждение tri-color не включено, можно настроить только уровни high и low уровни. Это относится ко всем семействам протоколов.

Для получения сведений о утверждение и использовании классификаторов поведения (BA) для того, чтобы установить уровень PLP входящих пакетов, см. "Как поведение агрегированных классификаторов по приоритету надежного tri-colorтрафика".

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

next-hop-group group-name

Используйте указанную группу следующего перехода.

Не рекомендуется использовать действие с действием в том же фильтре next-hop-groupport-mirror-instanceport-mirror межсетевых экранов.

  • family any

  • family inet

next-interface interface-name

(серия MX) Направить пакеты на указанный исходяющий интерфейс.

  • family inet

  • family inet6

next-ip ip-address

(серия MX) Направление пакетов на указанный адрес назначения IPv4.

family inet

next-ip6 ipv6-address

(серия MX) Направление пакетов на указанный адрес назначения IPv6.

family inet6

packet-mode

Обновление битового поля в буфере ключа пакета, которое определяет трафик, который будет пропускать потоковую переадваровку. Пакеты с модификатором действий полностью следуют по маршруту переадричирования на основе пакетов и полностью на основе потока packet-mode обхода. Применяется только SRX100, SRX210, SRX220, SRX240 и SRX650 устройства. Дополнительные сведения о выборочной службе на основе пакетов без строек с учетом состояния см. в Junos OS безопасности.

family any

policer policer-name

Имя ограничителя, используемого для ограничения скорости трафика.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

policy-map policy-map-name

(серия MX) Имя карты политик, используемой для назначения определенных правил переписать конкретному клиенту.

  • family any

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

port-mirror instance-name

Порт зеркально отражает пакет в зависимости от указанного семейства. Данное действие поддерживается только на M120, M320 с расширенными III FFPC, серия MX маршрутизаторами и серия PTX маршрутизаторами пакетной связи.

Не рекомендуется использовать как действия, так и действия в одном фильтре next-hop-groupport-mirror межсетевых экранов.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

  • family mpls

port-mirror-instance instance-name

Порт зеркально отражает пакет для экземпляра. Это действие поддерживается только на серия MX маршрутизаторах.

Не рекомендуется использовать как действия, так и действия в одном фильтре next-hop-groupport-mirror-instance межсетевых экранов.

  • family any

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

  • family mpls

prefix-action action-name

Посчитайте или проавнотирующее пакеты на основе указанного имени действия.

Прим.:

Это действие не поддерживается на серия PTX packet transport Routers.

family inet

routing-instance routing-instance-name

Направить пакеты на указанный экземпляр маршрутов.

  • family inet

  • family inet6

sample

Пример пакета.

Прим.:

Junos OS не делает выборок пакетов, исходяющих от маршрутизатора. Если настроить фильтр и применить его к выходной стороне интерфейса, то будут выборки только транзитных пакетов, которые проходят через этот интерфейс. Пакеты, отправленные с модуль маршрутизации на модуль передачи пакетов, не пробы.

  • family inet

  • family inet6

  • family mpls

service-accounting

Используйте механизм подсчета по линии при сборе статистики абонента по сервису.

Посчитайте пакет для учета обслуживания. Счетчик применяется к определенному именоваемом счетчику __junos-dyn-service-counter (который RADIUS получить).

Эти service-accountingservice-accounting-deferred ключевые слова и слова являются взаимоисключающими как в разных терминах, так и в разных фильтрах.

Прим.:

Это действие не поддерживается на T4000 FFPC типа 5 серия PTX маршрутизаторах пакетной транспортировки.

  • family any

  • family inet

  • family inet6

service-accounting- deferred

Используйте механизм отложенного подсчета при сборе статистики абонента по сервису. Счетчик применяется к определенному именоваемом счетчику __junos-dyn-service-counter (который RADIUS получить).

Эти service-accountingservice-accounting-deferred ключевые слова и слова являются взаимоисключающими как в разных терминах, так и в разных фильтрах.

Прим.:

Это действие не поддерживается на T4000 FFPC типа 5 серия PTX маршрутизаторах пакетной транспортировки.

  • family any

  • family inet

  • family inet6

service-filter-hit

(Только если флаг отмечен предыдущим фильтром в текущем типе фильтров с цепочкой) Направить пакет фильтрам service-filter-hit следующего типа.

Указать последующим фильтрам в цепочке, что пакет уже был обработан. Это действие в сочетании с условием совпадения в service-filter-hit принимающих фильтрах помогает оптимизировать обработку фильтра.

Прим.:

Это действие не поддерживается на T4000 FFPC типа 5 серия PTX маршрутизаторах пакетной транспортировки.

  • family any

  • family inet

  • family inet6

syslog

Зайдите в журнал пакета в файл системного журнала.

Действие брандмауэра syslog для существующих и семейство, а также действие в фильтрах семейства L2 содержит inetinet6 следующие сведения syslog L2:

Входной интерфейс, действие, VLAN ID1, VLAN ID2, тип Ethernet, MAC-адреса источника и назначения, протокол, IP-адреса источника и назначения, порты источника и назначения и число пакетов.

Прим.:

Действие syslog семейство L2 доступно только для серия MX с MPC (режим MPC, если у маршрутизатора есть только MPC, или режим смешивания, если у него есть MPC и DCP). Для серия MX маршрутизаторов с DPC действие syslog для семейство L2 игнорируется при настройке.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family vpls

three-color-policer (single-rate | two-rate) policer-name

Прогон пакета с помощью указанного одно-скоростного или двух-скоростного трехцветного оговарвара.

Прим.:

Действие нельзя также настроить на один и тот же термин loss-priority фильтра межсетевых экранов. Эти два действия являются взаимоисключающими.

  • family bridge

  • family ccc

  • family inet

  • family inet6

  • family mpls

  • family vpls

traffic-class value

Укажите код точки класса трафика. Цифровое значение можно указать с 0 помощью 63 through. Чтобы указать значение в hexademal форме, 0x включим в качестве префикса. Чтобы указать значение в двоичной форме, b включим в качестве префикса.

Значение класса трафика по умолчанию – best effort (то be есть, 0 или.

В задаваемом численное значение можно указать одно из следующих текстовых синонимов:

  • af11- Гарантированная переадентиция класса 1, низкий приоритет отбросить

  • af12- Гарантированная переадентиция класса 1, средний приоритет сброса

  • af13- Гарантированная переадентиция класса 1, высокий приоритет сброса

  • af21- Гарантированная переадентиция класса 2, низкий приоритет отбросить

  • af22- Гарантированная переадентиция класса 2, средний приоритет сброса

  • af23- Гарантированная переадваровка класса 2, высокий приоритет сброса

  • af31- Гарантированная переадентиция класса 3, низкий приоритет отбросить

  • af32- Гарантированная переадентиция класса 3, средний приоритет сброса

  • af33- Гарантированная переадваровка класса 3, высокий приоритет сброса

  • af41- Гарантированная переадваровка класса 4, низкий приоритет отбросить

  • af42- Гарантированная переадентиция класса 4, средний приоритет сброса

  • af43- Гарантированная переадваровка класса 4, высокий приоритет сброса

  • be— Наилучшие усилия

  • cs0- Селектор класса 0

  • cs1- Селектор класса 1

  • cs2- Селектор класса 2

  • cs3-Селектор класса 3

  • cs4- Селектор класса 4

  • cs5- Селектор класса 5

  • cs6- Селектор класса 6

  • cs7- Селектор класса 7

  • ef— Срочное перенаадение

Прим.:

Действия поддерживаются только на серия T и M320, а также на 10-гигабитном концентраторе модульного порта traffic-class 0traffic-class be Ethernet (MPC), 60-Гигабитном MPC Ethernet, MPC 60-Gigabit Ethernet, MPC в очереди 60 Gigabit Ethernet и 60-Gigabit Ethernet Enhanced Queuing MPC на серия MX маршрутизаторах. Однако эти действия не поддерживаются на расширенных гибких концентраторах PIC (FFPC) M320 маршрутизаторах.

family inet6