Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

特定于接口的防火墙过滤器实例概述

接口特定防火墙过滤器实例化

在 T 系列、M120、M320 和 MX 系列路由器上,您可以让 Junos OS 为应用过滤器的每个接口自动创建 防火墙过滤器 的特定接口实例。如果您启用防火墙过滤器的接口特定实例化,然后将该过滤器应用于多个接口,则在过滤器术语中配置的任何 count 操作或 policer 操作都将对进出每个接口的信息流执行操作,而不管多个接口上的流量总和如何。

通过在过滤器配置中包含语句, interface-specific 您可以为每个防火墙过滤器启用此选项。

注:

在 T 系列、M120、M320 和 MX 系列路由器上,接口分布在多个数据包转发组件之间。

M 系列路由器(M120 和 M320 路由器除外)不支持接口特定防火墙过滤。如果将防火墙过滤器应用于 M 系列路由器(M120 或 M320 路由器除外)上的多个接口,则过滤器将按进出这些接口的信息流总和运行。

标准无状态防火墙过滤器和服务过滤器支持接口特定防火墙过滤。简单过滤器不支持接口特定实例。

注:

防火墙过滤器不能为特定接口和接口共享。

防火墙过滤器实例的接口特定名称

当 Junos OS 为 逻辑接口创建防火墙过滤器的单独实例时,该实例会与某个特定接口名称相关联。系统生成的防火墙过滤器实例名称包括配置的过滤器的名称,然后是连字符 ('-')、完整接口名称,以及输入过滤器实例的“-i”或输出过滤器实例的“-o” 。

  • Input filter instance name—例如,如果将接口特定的防火墙过滤器 filter_s_tcp 应用于逻辑接口 at-1/1/1.0的输入,Junos OS 会使用以下系统生成的名称实例化某个特定接口的过滤器实例:

  • Output filter instance name—例如,如果将接口特定的防火墙过滤器 filter_s_tcp 应用于逻辑接口 so-2/2/2.2的输出,Junos OS 会使用以下系统生成的名称实例化某个特定接口的过滤器实例:

输入 Junos OS 操作模式命令 ,指定无状态防火墙过滤器名称时,您可以使用过滤器实例的接口特定名称。

提示:

配置启用了接口特定实例的防火墙过滤器时,建议将过滤器名称长度限制为 52 字节 。这是因为防火墙过滤器名称的长度限制在 64 字节以内 。如果系统生成的过滤器实例名称超过此最大长度,策略框架软件可能会拒绝实例名称。

特定于接口的防火墙过滤器计数器

接口特定防火墙过滤器的实例化会导致数据包转发引擎为每个接口单独维护防火墙过滤器的任何计数器。通过指定非终止操作,您可以为每个防火墙过滤器术语指定特定于接口的 count counter-name 计数器。

系统生成的接口特定防火墙过滤器计数器计数器的名称包括配置计数器的名称,然后是连字符 ('-')、完整接口名称,以及输入过滤器实例的“-i”或输出过滤器实例的“-o” 。

  • Interface-specific input filter counter name—例如,假设您为特定于接口的防火墙过滤器配置过滤器计数 count_tcp 器。如果过滤器应用于逻辑接口 at-1/1/1.0上的输入,Junos OS 将创建以下系统生成的计数器名称:

  • Interface-specific output filter counter name—例如,假设您为特定于接口的防火墙过滤器配置过滤器计数 count_udp 器。如果过滤器应用于逻辑接口 so-2/2/2.2的输出,Junos OS 将创建以下系统生成的计数器名称:

特定于接口的防火墙过滤器监管器

对接口特定防火墙过滤器进行实例化不仅可以创建任何防火墙过滤器计数器的单独实例,还会创建任意监管器操作的单独实例。通过防火墙过滤器配置中指定的操作应用的任何监管器都可单独应用于接口组中的每个接口。您可指定每个防火墙过滤器术语中的接口特定监管器,方法是 policer policer-name 指定非终止操作。