Diferenças de firewall e policiamento entre roteadores de transporte de pacotes da Série PTX e roteadores matrix da Série T

Este tópico fornece uma lista de recursos de firewall e política disponíveis em roteadores de transporte de pacotes PTX e os compara com recursos de firewall e policiamento em roteadores da Série T.

Filtros de firewall

O software de firewall e policiamento Junos OS nos roteadores de transporte de pacotes da Série PTX oferece suporte a filtros IPv4, filtros IPv6, filtros MPLS, filtros CCC, policiamento de interface, policiamento LSP, filtragem MAC, policiamento ARP, policiamento L2 e outros recursos. Exceções são anotadas abaixo.

Os roteadores de transporte de pacotes da Série PTX não suportam:
- Filtros de tabela de encaminhamento de saída
- Filtros de tabela de encaminhamento para MPLS/CCC
- VPLS familiares
Os roteadores de transporte de pacotes da Série PTX não oferecem suporte a filtros de firewall aninhados. A filter declaração no [edit firewall family family-name filter filter-name term term-namenível de hierarquia está desabilitada.
Como nenhum PICs de serviço está presente nos roteadores de transporte de pacotes da Série PTX, os filtros de serviço não são suportados tanto para tráfego IPv4 quanto IPv6. A service-filter declaração no [edit firewall family (inet | inet6)] nível hierárquica está desabilitada.
Os roteadores de transporte de pacotes da Série PTX excluem filtros simples. Esses filtros são suportados apenas em enfileiramento inteligente Gigabit Ethernet (IQ2) e interfaces aprimoradas de concentrador de portas densas (EQ DPC). A simple-filter declaração no nível hierárquica [edit firewall family inet)] está desabilitada.
A filtragem de interface física não é suportada. A physical-interface-filter declaração no nível hierárquica [edit firewall family family-name filter filter-name] está desabilitada.
O recurso de ação de prefixo não é suportado em roteadores de transporte de pacotes da Série PTX. A prefix-action declaração no [edit firewall family inet] nível hierárquica está desabilitada.
Nos roteadores da Série T, você pode coletar uma variedade de informações sobre o tráfego que passa pelo dispositivo configurando um ou mais perfis contábeis que especificam algumas características comuns dos dados. Os roteadores de transporte de pacotes da Série PTX não oferecem suporte a configurações contábeis para filtros de firewall. A accounting-profile declaração no nível hierárquica [edit firewall family family-name filter filter-name] está desabilitada.
A reject ação não é suportada na interface de loopback (lo0). Se você aplicar um filtro na lo0 interface e o filtro incluir uma reject ação, uma mensagem de erro será exibida.
Os roteadores de transporte de pacotes da Série PTX não oferecem suporte a condições agregadas de correspondência de interface lógica ethernet. No entanto, a correspondência da interface de enlace infantil é suportada.
Os roteadores de transporte de pacotes da Série PTX contam se dois termos diferentes em um filtro tiverem a mesma condição de correspondência, mas eles têm contagens diferentes. Os roteadores da Série T exibem apenas uma contagem.
Os roteadores de transporte de pacotes da Série PTX não têm instâncias de policiamento separadas quando um filtro está vinculado a várias interfaces. Use a interface-specific declaração de configuração para criar a configuração.
Nos roteadores de transporte de pacotes da Série PTX, quando uma interface de entrada tiver encapsulamento de CCC, os pacotes que chegam pela interface CCC de entrada não serão processados pelos filtros de saída.
Para encapsulamento de CCC, os roteadores de transporte de pacotes da Série PTX aplicação de 8 bytes extras para filtragem de Camada 2 de saída. Os roteadores da Série T não. Portanto, os contadores de saída nos roteadores de transporte de pacotes da Série PTX mostram um bytes extra de oito bytes para cada pacote, o que afeta a precisão do policiador.
Nos roteadores de transporte de pacotes da Série PTX, a saída para o show pfe statistics traffic comando CLI inclui os pacotes descartados pela filtragem de DMAC e SMAC. Nos roteadores da Série T, a saída de comando não inclui esses pacotes descartados porque os filtros MAC são implementados no PIC e não no FPC.
O pacote de último fragmento que passa por um firewall PTX não pode ser compatível com a is-fragment condição de correspondência. Esse recurso é compatível com roteadores da Série T.

Uma possível solução alternativa em roteadores de transporte de pacotes da Série PTX é configurar dois termos separados com as mesmas ações: um termo contém uma correspondência e is-fragment o outro termo contém uma correspondência para fragment-offset -except 0.
Nos roteadores de transporte de pacotes da Série PTX, os quadros de pausa MAC são gerados quando os descartes de pacotes excedem 100 Mbps. Isso ocorre apenas para tamanhos de quadros com menos de 105 bytes.

Roteadores de políticas de tráfego

Os roteadores de transporte de pacotes da Série PTX oferecem suporte ao policiamento ARP. Os roteadores da Série T não.
Os roteadores de transporte de pacotes da Série PTX não oferecem suporte ao policiamento LSP.
Os roteadores de transporte de pacotes da Série PTX não suportam a declaração de hierarchical-policer configuração. .
Os roteadores de transporte de pacotes da Série PTX não suportam a declaração de interface-set configuração. Essa declaração agrupa várias interfaces em um único conjunto de interfaces nomeado.
Quando uma ação do policial e uma classe de encaminhamento, as ações de prioridade de perda são configuradas dentro da mesma regra (uma classificação multicampo), os roteadores de transporte de pacotes da Série PTX funcionam de forma diferente dos roteadores da Série T. Como mostrado abaixo, você pode configurar duas regras no filtro para fazer com que o filtro PTX se comporte da mesma forma que o filtro da Série T:

Configuração da Série PTX:
Configuração da Série T:

Diferenças de firewall e policiamento entre roteadores de transporte de pacotes da Série PTX e roteadores matrix da Série T

Tópicos relacionados