Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Firewall- und Richtlinienunterschiede zwischen Paketübertragungs-Routern der PTX-Serie und Matrix-Routern der T-Serie

Dieses Thema enthält eine Liste der Firewall- und Richtlinienfunktionen, die auf PTX-Paketübertragungsroutern verfügbar sind, und vergleicht sie mit den Firewall- und Überwachungsfunktionen auf Routern der T-Serie.

Firewall-Filter

Die Firewall- und Polizeisoftware von Junos OS auf Paketübertragungs-Routern der PTX-Serie unterstützt IPv4-Filter, IPv6-Filter, MPLS-Filter, CCC-Filter, Schnittstellen-Polizeiarbeit, LSP-Überwachung, MAC-Filterung, ARP-Überwachung, L2-Überwachung und andere Funktionen. Ausnahmen sind unten aufgeführt.

  • Paketübertragungs-Router der PTX-Serie unterstützen nicht:

    • Filter für Ausgangsweiterleitungstabellen

    • Weiterleitungstabellenfilter für MPLS/CCC

    • Familie VPLS

  • Paketübertragungsrouter der PTX-Serie unterstützen keine verschachtelten Firewall-Filter. Die Anweisung auf der Hierarchieebene ] ist deaktiviert.filter[edit firewall family family-name filter filter-name term term-name

  • Da in Paketübertragungs-Routern der PTX-Serie keine Service-PICs vorhanden sind, werden Servicefilter sowohl für IPv4- als auch für IPv6-Datenverkehr nicht unterstützt. Die Anweisung auf Hierarchieebene ist deaktiviert.service-filter[edit firewall family (inet | inet6)]

  • Die Paketübertragungsrouter der PTX-Serie schließen einfache Filter aus. Diese Filter werden nur auf den Schnittstellen Gigabit Ethernet Intelligent Queuing (IQ2) und Enhanced Queuing Dense Port Concentrator (EQ DPC) unterstützt. Die Anweisung auf Hierarchieebene ist deaktiviert.simple-filter[edit firewall family inet)]

  • Das Filtern physischer Schnittstellen wird nicht unterstützt. Die Anweisung auf Hierarchieebene ist deaktiviert.physical-interface-filter[edit firewall family family-name filter filter-name]

  • Die Präfix-Aktionsfunktion wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt. Die Anweisung auf Hierarchieebene ist deaktiviert.prefix-action[edit firewall family inet]

  • Auf Routern der T-Serie können Sie eine Vielzahl von Informationen über den Datenverkehr, der durch das Gerät geleitet wird, erfassen, indem Sie ein oder mehrere Accounting-Profile einrichten, die einige gemeinsame Merkmale der Daten angeben. Die Paketübertragungsrouter der PTX-Serie unterstützen keine Accounting-Konfigurationen für Firewall-Filter. Die Anweisung auf Hierarchieebene ist deaktiviert.accounting-profile[edit firewall family family-name filter filter-name]

  • Die Aktion wird auf der loopback()-Schnittstelle nicht unterstützt.rejectlo0 Wenn Sie einen Filter auf die Schnittstelle anwenden und der Filter eine Aktion enthält, wird eine Fehlermeldung angezeigt.lo0reject

  • Paketübertragungsrouter der PTX-Serie unterstützen keine aggregierten Übereinstimmungsbedingungen für logische Ethernet-Schnittstellen. Der Abgleich von Child-Link-Schnittstellen wird jedoch unterstützt.

  • Paketübertragungsrouter der PTX-Serie zeigen beide Zähler an, wenn zwei verschiedene Begriffe in einem Filter die gleiche Übereinstimmungsbedingung, aber unterschiedliche Zählungen aufweisen. Router der T-Serie zeigen nur einen Zähler an.

  • Paketübertragungs-Router der PTX-Serie verfügen nicht über separate Policer-Instanzen, wenn ein Filter an mehrere Schnittstellen gebunden ist. Verwenden Sie die configuration-Anweisung, um die Konfiguration zu erstellen.interface-specific

  • Wenn auf Paketübertragungs-Routern der PTX-Serie eine Eingangsschnittstelle über eine CCC-Kapselung verfügt, werden Pakete, die über die eingehende CCC-Schnittstelle eingehen, nicht von den Ausgangsfiltern verarbeitet.

  • Für die CCC-Kapselung hängen die Paketübertragungsrouter der PTX-Serie zusätzliche 8 Byte für die Ausgangs-Layer-2-Filterung an. Bei den Routern der T-Serie ist dies nicht der Fall. Daher zeigen die Ausgangszähler auf Paketübertragungs-Routern der PTX-Serie acht zusätzliche Bytes für jedes Paket an, was sich auf die Genauigkeit des Datensatzes auswirkt.

  • Auf Paketübertragungs-Routern der PTX-Serie enthält die Ausgabe für den CLI-Befehl die Pakete, die von der DMAC- und SMAC-Filterung verworfen wurden.show pfe statistics traffic Bei Routern der T-Serie enthält die Befehlsausgabe diese verworfenen Pakete nicht, da MAC-Filter im PIC und nicht im FPC implementiert sind.

  • Das letzte Fragmentpaket, das durch eine PTX-Firewall geht, kann nicht mit der übereinstimmenden Bedingung abgeglichen werden.is-fragment Diese Funktion wird von Routern der T-Serie unterstützt.

    Eine mögliche Problemumgehung auf Paketübertragungs-Routern der PTX-Serie besteht darin, zwei separate Begriffe mit denselben Aktionen zu konfigurieren: Ein Ausdruck enthält eine Übereinstimmung mit und der andere Ausdruck enthält eine Übereinstimmung mit .is-fragmentfragment-offset -except 0

  • Auf Paketübertragungs-Routern der PTX-Serie werden MAC-Pausenframes generiert, wenn die Anzahl der verworfenen Pakete 100 Mbit/s überschreitet. Dies tritt nur bei Framegrößen auf, die kleiner als 105 Byte sind.

Verkehrspolizisten

Die Firewall- und Polizeisoftware von Junos OS auf Paketübertragungs-Routern der PTX-Serie unterstützt IPv4-Filter, IPv6-Filter, MPLS-Filter, CCC-Filter, Schnittstellen-Polizeiarbeit, LSP-Überwachung, MAC-Filterung, ARP-Überwachung, L2-Überwachung und andere Funktionen. Ausnahmen sind unten aufgeführt.

  • Paketübertragungs-Router der PTX-Serie unterstützen ARP-Polizeiarbeit. Bei Routern der T-Serie ist dies nicht der Fall.

  • Paketübertragungsrouter der PTX-Serie unterstützen kein LSP-Policing.

  • Paketübertragungsrouter der PTX-Serie unterstützen die Konfigurationsanweisung nicht. .hierarchical-policer

  • Paketübertragungsrouter der PTX-Serie unterstützen die Konfigurationsanweisung nicht.interface-set Diese Anweisung gruppiert eine Reihe von Schnittstellen in einem einzigen, benannten Schnittstellensatz.

  • Paketübertragungsrouter der PTX-Serie unterstützen die folgenden Policer-Typen sowohl für normale Policer als auch für dreifarbige Policer nicht:

    • logical-bandwidth-policer — Policer verwendet die Bandbreite der logischen Schnittstelle.

    • physical-interface-policer — Policer ist ein physischer Schnittstellen-Policer.

    • shared-bandwidth-policer — Teilen Sie die Policer-Bandbreite auf Bundle-Links.

  • Wenn eine Polizeiaktion und Weiterleitungsklassenaktionen mit Verlustpriorität innerhalb derselben Regel (einer Mehrfeldklassifizierung) konfiguriert sind, funktionieren die Paketübertragungsrouter der PTX-Serie anders als die Router der T-Serie. Wie unten gezeigt, können Sie zwei Regeln im Filter konfigurieren, damit sich der PTX-Filter genauso verhält wie der Filter der T-Serie:

    Konfiguration der PTX-Serie:

    Konfiguration der T-Serie:

Verwandte Themen