Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Firewall- und Richtlinienunterschiede zwischen Paketübertragungs-Routern der PTX-Serie und Matrix-Routern der T-Serie

Dieses Thema enthält eine Liste der Firewall- und Richtlinienfunktionen, die auf PTX-Paketübertragungsroutern verfügbar sind, und vergleicht sie mit den Firewall- und Überwachungsfunktionen auf Routern der T-Serie.

Firewall-Filter

Die Firewall- und Polizeisoftware von Junos OS auf Paketübertragungs-Routern der PTX-Serie unterstützt IPv4-Filter, IPv6-Filter, MPLS-Filter, CCC-Filter, Schnittstellen-Polizeiarbeit, LSP-Überwachung, MAC-Filterung, ARP-Überwachung, L2-Überwachung und andere Funktionen. Ausnahmen sind unten aufgeführt.

  • Paketübertragungs-Router der PTX-Serie unterstützen nicht:

    • Filter für Ausgangsweiterleitungstabellen

    • Weiterleitungstabellenfilter für MPLS/CCC

    • Familie VPLS

  • Paketübertragungsrouter der PTX-Serie unterstützen keine verschachtelten Firewall-Filter. Die filter Anweisung auf der [edit firewall family family-name filter filter-name term term-nameHierarchieebene ] ist deaktiviert.

  • Da in Paketübertragungs-Routern der PTX-Serie keine Service-PICs vorhanden sind, werden Servicefilter sowohl für IPv4- als auch für IPv6-Datenverkehr nicht unterstützt. Die service-filter Anweisung auf [edit firewall family (inet | inet6)] Hierarchieebene ist deaktiviert.

  • Die Paketübertragungsrouter der PTX-Serie schließen einfache Filter aus. Diese Filter werden nur auf den Schnittstellen Gigabit Ethernet Intelligent Queuing (IQ2) und Enhanced Queuing Dense Port Concentrator (EQ DPC) unterstützt. Die simple-filter Anweisung auf Hierarchieebene [edit firewall family inet)] ist deaktiviert.

  • Das Filtern physischer Schnittstellen wird nicht unterstützt. Die physical-interface-filter Anweisung auf Hierarchieebene [edit firewall family family-name filter filter-name] ist deaktiviert.

  • Die Präfix-Aktionsfunktion wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt. Die prefix-action Anweisung auf [edit firewall family inet] Hierarchieebene ist deaktiviert.

  • Auf Routern der T-Serie können Sie eine Vielzahl von Informationen über den Datenverkehr, der durch das Gerät geleitet wird, erfassen, indem Sie ein oder mehrere Accounting-Profile einrichten, die einige gemeinsame Merkmale der Daten angeben. Die Paketübertragungsrouter der PTX-Serie unterstützen keine Accounting-Konfigurationen für Firewall-Filter. Die accounting-profile Anweisung auf Hierarchieebene [edit firewall family family-name filter filter-name] ist deaktiviert.

  • Die reject Aktion wird auf der loopback(lo0)-Schnittstelle nicht unterstützt. Wenn Sie einen Filter auf die lo0 Schnittstelle anwenden und der Filter eine reject Aktion enthält, wird eine Fehlermeldung angezeigt.

  • Paketübertragungsrouter der PTX-Serie unterstützen keine aggregierten Übereinstimmungsbedingungen für logische Ethernet-Schnittstellen. Der Abgleich von Child-Link-Schnittstellen wird jedoch unterstützt.

  • Paketübertragungsrouter der PTX-Serie zeigen beide Zähler an, wenn zwei verschiedene Begriffe in einem Filter die gleiche Übereinstimmungsbedingung, aber unterschiedliche Zählungen aufweisen. Router der T-Serie zeigen nur einen Zähler an.

  • Paketübertragungs-Router der PTX-Serie verfügen nicht über separate Policer-Instanzen, wenn ein Filter an mehrere Schnittstellen gebunden ist. Verwenden Sie die configuration-Anweisung interface-specific , um die Konfiguration zu erstellen.

  • Wenn auf Paketübertragungs-Routern der PTX-Serie eine Eingangsschnittstelle über eine CCC-Kapselung verfügt, werden Pakete, die über die eingehende CCC-Schnittstelle eingehen, nicht von den Ausgangsfiltern verarbeitet.

  • Für die CCC-Kapselung hängen die Paketübertragungsrouter der PTX-Serie zusätzliche 8 Byte für die Ausgangs-Layer-2-Filterung an. Bei den Routern der T-Serie ist dies nicht der Fall. Daher zeigen die Ausgangszähler auf Paketübertragungs-Routern der PTX-Serie acht zusätzliche Bytes für jedes Paket an, was sich auf die Genauigkeit des Datensatzes auswirkt.

  • Auf Paketübertragungs-Routern der PTX-Serie enthält die Ausgabe für den CLI-Befehl die Pakete, die von der show pfe statistics traffic DMAC- und SMAC-Filterung verworfen wurden. Bei Routern der T-Serie enthält die Befehlsausgabe diese verworfenen Pakete nicht, da MAC-Filter im PIC und nicht im FPC implementiert sind.

  • Das letzte Fragmentpaket, das durch eine PTX-Firewall geht, kann nicht mit der übereinstimmenden is-fragment Bedingung abgeglichen werden. Diese Funktion wird von Routern der T-Serie unterstützt.

    Eine mögliche Problemumgehung auf Paketübertragungs-Routern der PTX-Serie besteht darin, zwei separate Begriffe mit denselben Aktionen zu konfigurieren: Ein Ausdruck enthält eine Übereinstimmung mit is-fragment und der andere Ausdruck enthält eine Übereinstimmung mit fragment-offset -except 0.

  • Auf Paketübertragungs-Routern der PTX-Serie werden MAC-Pausenframes generiert, wenn die Anzahl der verworfenen Pakete 100 Mbit/s überschreitet. Dies tritt nur bei Framegrößen auf, die kleiner als 105 Byte sind.

Verkehrspolizisten

Die Firewall- und Polizeisoftware von Junos OS auf Paketübertragungs-Routern der PTX-Serie unterstützt IPv4-Filter, IPv6-Filter, MPLS-Filter, CCC-Filter, Schnittstellen-Polizeiarbeit, LSP-Überwachung, MAC-Filterung, ARP-Überwachung, L2-Überwachung und andere Funktionen. Ausnahmen sind unten aufgeführt.

  • Paketübertragungs-Router der PTX-Serie unterstützen ARP-Polizeiarbeit. Bei Routern der T-Serie ist dies nicht der Fall.

  • Paketübertragungsrouter der PTX-Serie unterstützen kein LSP-Policing.

  • Paketübertragungsrouter der PTX-Serie unterstützen die hierarchical-policer Konfigurationsanweisung nicht. .

  • Paketübertragungsrouter der PTX-Serie unterstützen die interface-set Konfigurationsanweisung nicht. Diese Anweisung gruppiert eine Reihe von Schnittstellen in einem einzigen, benannten Schnittstellensatz.

  • Paketübertragungsrouter der PTX-Serie unterstützen die folgenden Policer-Typen sowohl für normale Policer als auch für dreifarbige Policer nicht:

    • logical-bandwidth-policer — Policer verwendet die Bandbreite der logischen Schnittstelle.

    • physical-interface-policer — Policer ist ein physischer Schnittstellen-Policer.

    • shared-bandwidth-policer — Teilen Sie die Policer-Bandbreite auf Bundle-Links.

  • Wenn eine Polizeiaktion und Weiterleitungsklassenaktionen mit Verlustpriorität innerhalb derselben Regel (einer Mehrfeldklassifizierung) konfiguriert sind, funktionieren die Paketübertragungsrouter der PTX-Serie anders als die Router der T-Serie. Wie unten gezeigt, können Sie zwei Regeln im Filter konfigurieren, damit sich der PTX-Filter genauso verhält wie der Filter der T-Serie:

    Konfiguration der PTX-Serie:

    Konfiguration der T-Serie: