Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

接口特定防火墙过滤器实例概述

接口特定防火墙过滤器的实例化

在 T Series、M120、M320 和 MX 系列路由器上,您可以启用 Junos OS 为应用过滤器的每个接口自动创建防火墙过滤器的接口特定实例。 如果您启用防火墙过滤器的接口特定实例化,然后将该过滤器应用于多个接口, count则过滤器policer术语中配置的任何操作或操作均针对每个人进入或退出的信息流流接口,而不管多个接口上的流量总和如何。

您可以通过在过滤器配置中包括语句,为interface-specific每个防火墙过滤器启用此选项。

注:

在T Series、M120、M320 和 MX 系列路由器上,接口分布在多个数据包转发组件之间。

路由器上不支持接口特定防火墙M Series路由器和 M120 路由器M320过滤。如果将防火墙过滤器应用于 M Series 路由器上而不是 M120 或 M320 路由器上的多个接口,则过滤器将作用于进入或退出这些接口的信息流总和。

对于标准无状态防火墙过滤器和服务过滤器,支持特定于接口的防火墙过滤。简单的过滤器不支持接口特定实例。

注:

防火墙过滤器不能既特定于接口,也不能共享接口。

防火墙过滤器实例的接口特定名称

当Junos OS为逻辑接口创建防火墙过滤器单独的实例时,实例与特定接口的名称进行关联。防火墙过滤器实例的系统生成名称包含配置的过滤器名称,后跟连字符 (' ')、完整接口名称,以及输入过滤器实例的 " " 或 输出过滤器实例的 " " 。 --i-o

  • Input filter instance name—例如,如果将接口特定防火墙过滤器应用于逻辑接口的输入,Junos OS以下系统生成的名称实例化接口特定的过滤器 filter_s_tcpat-1/1/1.0 实例:

  • Output filter instance name—例如,如果将特定于接口的防火墙过滤器应用于逻辑接口的输出,Junos OS以下系统生成的名称实例化接口特定的过滤器 filter_s_tcpso-2/2/2.2 实例:

输入指定无状态防火墙过滤器名称的 Junos OS 模式 命令时,您可以使用过滤器实例的接口特定名称。

提示:

当配置启用了接口特定实例的防火墙过滤器时,建议将过滤器名称长度限制为 52 字节。这是因为防火墙过滤器名称长度限制为 64 字节。如果系统生成的过滤器实例名称超过此最大长度,策略框架软件可能会拒绝实例名称。

接口特定的防火墙过滤器计数器

接口特定防火墙过滤器的实例化会导致数据包转发引擎为每个接口单独维护防火墙过滤器的任何计数器。您可通过指定count counter-name非终止操作来指定每个防火墙过滤器术语的接口特定计数器。

接口特定防火墙过滤器计数器的系统生成名称包含配置的计数器的名称,后跟连字符 (' ')、完整接口名称,以及输入过滤器实例的 " " 或 输出过滤器实例的 " " 。 --i-o

  • Interface-specific input filter counter name—例如,假设您为接口特定的防火墙过滤器 count_tcp 配置过滤器计数器。如果过滤器应用于逻辑接口的输入,Junos OS at-1/1/1.0 将创建以下系统生成的计数器名称:

  • Interface-specific output filter counter name—例如,假设您为接口特定的防火墙过滤器 count_udp 配置过滤器计数器。如果过滤器应用于逻辑接口的输出,Junos OS so-2/2/2.2 将创建以下系统生成的计数器名称:

接口特定的防火墙过滤器监管器

接口特定防火墙过滤器的实例化不仅会创建任何防火墙过滤器计数器的单独实例,还会创建任何监管器操作的单独实例。通过防火墙过滤器配置中指定的动作应用的任何监管器将分别应用于接口组中的每个接口。您可通过指定policer policer-name非终止操作来指定每个防火墙过滤器术语的接口特定监管器。