Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral das instâncias de filtro de firewall específicas da interface

Instanciação de filtros de firewall específicos para interface

Na Série T, M120, M320, roteadores da Série MX e switches da Série EX, você pode permitir que o Junos OS crie automaticamente uma instância específica de interface de um filtro de firewall para cada interface à qual você aplica o filtro. Se você habilitar a instanciação específica da interface de um filtro de firewall e então aplicar esse filtro em várias interfaces, quaisquer ações ou ações configuradas nos termos do filtro atuam no fluxo de tráfego entrando ou saindo de cada interface individual, independentemente da soma do tráfego nas múltiplas interfaces.countpolicer

Você pode habilitar essa opção por filtro de firewall, incluindo a declaração na configuração do filtro.interface-specific

Nota:

Na Série T, M120, M320, roteadores da Série MX e switches da Série EX, as interfaces são distribuídas entre vários componentes de encaminhamento de pacotes.

A filtragem de firewall específica de interface não é suportada em roteadores da Série M que não sejam os roteadores M120 e M320. Se você aplicar um filtro de firewall em várias interfaces em um roteador da Série M que não seja os roteadores M120 ou M320, o filtro age na soma do tráfego entrando ou saindo dessas interfaces.

A filtragem de firewall específica de interface é suportada para filtros de firewall sem estado padrão e para filtros de serviço. Instâncias específicas da interface não são suportadas para filtros simples.

Nomes específicos de interface para instâncias de filtro de firewall

Quando o Junos OS cria uma instância separada de um filtro de firewall para uma interface lógica, a instância é associada a um nome específico da interface. O nome gerado pelo sistema de uma instância de filtro de firewall consiste no nome do filtro configurado seguido por um hífen (''), o nome completo da interface e '' para uma instância de filtro de entrada ou '' para uma instância de filtro de saída.--i-o

  • — Por exemplo, se você aplicar o filtro de firewall específico da interface à entrada na interface lógica, o Junos OS instancia uma instância de filtro específica da interface com o seguinte nome gerado pelo sistema:Input filter instance namefilter_s_tcpat-1/1/1.0

  • — Por exemplo, se você aplicar o filtro de firewall específico da interface à saída na interface lógica, o Junos OS instancia uma instância de filtro específica da interface com o seguinte nome gerado pelo sistema:Output filter instance namefilter_s_tcpge-2/2/2.2

Você pode usar o nome específico da interface de uma instância de filtro quando digita um comando de modo operacional Junos OS que especifica um nome de filtro de firewall sem estado.

Dica:

Quando você configura um filtro de firewall com instâncias específicas da interface habilitadas, recomendamos que você limite o nome do filtro a 52 bytes de comprimento. Isso porque os nomes do filtro de firewall são restritos a 64 bytes de comprimento. Se um nome de instância de filtro gerado pelo sistema exceder esse comprimento máximo, o software da estrutura de políticas pode rejeitar o nome da instância.

Contadores de filtro de firewall específicos para interface

A instanciação de filtros de firewall específicos de interface faz com que o Mecanismo de encaminhamento de pacotes mantenha quaisquer contadores para o filtro de firewall separadamente para cada interface. Você especifica contadores específicos de interface por termo de filtro de firewall especificando a ação que não termina.count counter-name

O nome gerado pelo sistema de um contador de filtro de firewall específico da interface consiste no nome do contador configurado seguido por um hífen (''), o nome completo da interface e '' para uma instância de filtro de entrada ou '' para uma instância de filtro de saída.--i-o

  • — Por exemplo, suponha que você configure o contador de filtros para um filtro de firewall específico da interface.Interface-specific input filter counter namecount_tcp Se o filtro for aplicado à entrada na interface lógica, o Junos OS cria o seguinte nome de contraponto gerado pelo sistema:at-1/1/1.0

  • — Por exemplo, suponha que você configure o contador de filtros para um filtro de firewall específico da interface.Interface-specific output filter counter namecount_udp Se o filtro for aplicado à saída na interface lógica, o Junos OS cria o seguinte nome de contraponto gerado pelo sistema:ge-2/2/2.2

Roteadores de filtro de firewall específicos para interface

A instanciação de filtros de firewall específicos de interface não só cria instâncias separadas de quaisquer contadores de filtro de firewall, mas também cria instâncias separadas de qualquer ação do policiador. Todos os policiais aplicados por meio de uma ação especificada na configuração do filtro de firewall são aplicados separadamente a cada interface no grupo de interface. Você especifica policiais específicos de interface por termo de filtro de firewall especificando a ação sem terminação.policer policer-name