ACX 系列路由器上的防火墙过滤器配置文件概述(Junos OS 演化版)
ACX 系列路由器上的防火墙过滤器配置文件(Junos OS 演化版)
Junos OS 演化版支持两个预定义的配置文件,用于入口 IPv6 防火墙过滤器 - profile-one 和 profile-two. 每个配置文件都支持 IPv6 防火墙过滤器匹配条件的一个子集。这些配置文件与不同的配置文件类别相关联。配置文件类别是一种根据方向和接口类型区分防火墙过滤器的方法。配置文件类别分别 ingress-inet6-user-acl 为 和 ingress-inet6-lo0-acl。从 24.4R1 开始,还引入了一个新类别 egress-inet6-user-acl 。
-
ingress-inet6-user-acl配置文件类别用于在第 3 层路由接口或路由实例上的入口处应用了 IPv6 匹配条件(和操作)的防火墙过滤器。 -
ingress-inet6-lo0-acl配置文件类别用于在环路接口上的入口处应用了 IPv6 匹配条件(和操作)的防火墙过滤器。
从 24.4R1 开始:
-
egress-inet6-user-acl配置文件类别用于在第 3 层路由接口的出口处应用了 IPv6 匹配条件(和操作)的防火墙过滤器。
您可以组合或单独将配置文件应用于配置文件类别。
-
对于
ingress-inet6-user-acl和ingress-inet6-lo0-acl配置文件类别,您可以使用以下配置语句将这两个配置文件类别组合起来或同时设置profile-oneprofile-two这两个配置文件类别。在任何时间点,两个配置文件类别都只会应用一个配置文件。set system packet-forwarding-options firewall-profile profile-one>/<profile-two
-
从 24.4R1 开始,要应用
profile-one或profile-two仅ingress-inet6-lo0-acl应用于配置文件类别,请使用以下配置语句。set system packet-forwarding-options firewall-profile ingress lo0-inet6 profile-one/profile-two
-
从 24.4R1 开始,要应用
profile-one或profile-two仅egress-inet6-user-acl应用于配置文件类别,请使用以下配置语句。set system packet-forwarding-options firewall-profile egress inet6 profile-one/profile-two
-
默认情况下,
profile-two对于所有配置文件类别都处于活动状态。 -
当要使新配置生效的配置文件设置存在差异时,数据包转发引擎 (PFE) 将自动重新启动。
-
24.4R1 之前版本:
-
show evo-pfemand filter profile-summary可用于显示当前正在使用的配置文件。 -
show evo-pfemand filter profile-info可用于显示所有配置文件的配置文件信息。 -
show evo-pfemand filter hw summary可用于显示在更早的版本(23.1R1 之前)中有效的当前配置文件。
24.4R1 之后:
-
show system packet-forwarding-options firewall-profile profile-summary可用于显示对所有配置文件类别有效的当前配置文件。 -
show system packet-forwarding-options firewall-profile profile-info可用于显示所有配置文件类别中所有配置文件的配置文件信息。
-
-
所有配置文件类别的配置可以共存。
以下是配置文件上支持的防火墙过滤器匹配条件的差异。此处未列出两个配置文件支持的其他匹配项和操作。
|
防火墙过滤器匹配条件 |
配置文件二 |
配置文件 1 |
|---|---|---|
|
源地址(最高 64 位) |
是 |
是 |
|
source-prefix-list(最高 64 位) |
是 |
是 |
|
prefix-list(最高 64 位) |
是 |
是 |
|
源地址(最高 128 位) |
否 |
是 |
|
source-prefix-list(高达 128 位) |
否 |
是 |
|
prefix-list(最高 128 位) |
否 |
是 |
|
跳数限制 |
是 |
否 |
|
基于 TCP 建立 |
是 |
否 |
|
TCP 标志 |
是 |
否 |
|
TCP 初始 |
是 |
否 |
|
流量类 |
是 |
否 |
|
防火墙过滤器匹配条件 |
配置文件二 |
配置文件 1 |
|---|---|---|
|
目标地址(最高 64 位) |
是 |
是 |
|
destination-prefix-list(最高 64 位) |
是 |
是 |
|
prefix-list(最高 64 位) |
是 |
是 |
|
目标地址(最高 128 位) |
否 |
是 |
|
destination-prefix-list(最高 128 位) |
否 |
是 |
|
prefix-list(最高 128 位) |
否 |
是 |
|
跳数限制 |
是 |
否 |
|
基于 TCP 建立 |
是 |
否 |
|
TCP 标志 |
是 |
否 |
|
TCP 初始 |
是 |
否 |
|
流量类 |
是 |
否 |
|
绑定点 |
配置文件 2(入口) |
配置文件 2(入口环路) |
配置文件 1(入口) |
配置文件 1(入口环路) |
|---|---|---|---|---|
|
转发表过滤器 (FTF) |
是 |
NA |
否 |
NA |
|
BGP 流规范过滤器 |
是 |
NA |
否 |
NA |
|
非默认路由实例(lo0.1、lo0.2 等) |
NA |
是 |
NA |
否 |