Firewall- und Richtlinienunterschiede zwischen Paketübertragungs-Routern der PTX-Serie und Matrix-Routern der T-Serie
Dieses Thema enthält eine Liste der Firewall- und Richtlinienfunktionen, die auf PTX-Paketübertragungsroutern verfügbar sind, und vergleicht sie mit den Firewall- und Überwachungsfunktionen auf Routern der T-Serie.
Firewall-Filter
Die Firewall- und Polizeisoftware von Junos OS auf Paketübertragungs-Routern der PTX-Serie unterstützt IPv4-Filter, IPv6-Filter, MPLS-Filter, CCC-Filter, Schnittstellen-Polizeiarbeit, LSP-Überwachung, MAC-Filterung, ARP-Überwachung, L2-Überwachung und andere Funktionen. Ausnahmen sind unten aufgeführt.
Paketübertragungs-Router der PTX-Serie unterstützen nicht:
Filter für Ausgangsweiterleitungstabellen
Weiterleitungstabellenfilter für MPLS/CCC
Familie VPLS
Paketübertragungsrouter der PTX-Serie unterstützen keine verschachtelten Firewall-Filter. Die
filter
Anweisung auf der[edit firewall family family-name filter filter-name term term-name
Hierarchieebene ] ist deaktiviert.Da in Paketübertragungs-Routern der PTX-Serie keine Service-PICs vorhanden sind, werden Servicefilter sowohl für IPv4- als auch für IPv6-Datenverkehr nicht unterstützt. Die
service-filter
Anweisung auf[edit firewall family (inet | inet6)]
Hierarchieebene ist deaktiviert.Die Paketübertragungsrouter der PTX-Serie schließen einfache Filter aus. Diese Filter werden nur auf den Schnittstellen Gigabit Ethernet Intelligent Queuing (IQ2) und Enhanced Queuing Dense Port Concentrator (EQ DPC) unterstützt. Die
simple-filter
Anweisung auf Hierarchieebene[edit firewall family inet)]
ist deaktiviert.Das Filtern physischer Schnittstellen wird nicht unterstützt. Die
physical-interface-filter
Anweisung auf Hierarchieebene[edit firewall family family-name filter filter-name]
ist deaktiviert.Die Präfix-Aktionsfunktion wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt. Die
prefix-action
Anweisung auf[edit firewall family inet]
Hierarchieebene ist deaktiviert.Auf Routern der T-Serie können Sie eine Vielzahl von Informationen über den Datenverkehr, der durch das Gerät geleitet wird, erfassen, indem Sie ein oder mehrere Accounting-Profile einrichten, die einige gemeinsame Merkmale der Daten angeben. Die Paketübertragungsrouter der PTX-Serie unterstützen keine Accounting-Konfigurationen für Firewall-Filter. Die
accounting-profile
Anweisung auf Hierarchieebene[edit firewall family family-name filter filter-name]
ist deaktiviert.Die
reject
Aktion wird auf der loopback(lo0
)-Schnittstelle nicht unterstützt. Wenn Sie einen Filter auf dielo0
Schnittstelle anwenden und der Filter einereject
Aktion enthält, wird eine Fehlermeldung angezeigt.Paketübertragungsrouter der PTX-Serie unterstützen keine aggregierten Übereinstimmungsbedingungen für logische Ethernet-Schnittstellen. Der Abgleich von Child-Link-Schnittstellen wird jedoch unterstützt.
Paketübertragungsrouter der PTX-Serie zeigen beide Zähler an, wenn zwei verschiedene Begriffe in einem Filter die gleiche Übereinstimmungsbedingung, aber unterschiedliche Zählungen aufweisen. Router der T-Serie zeigen nur einen Zähler an.
Paketübertragungs-Router der PTX-Serie verfügen nicht über separate Policer-Instanzen, wenn ein Filter an mehrere Schnittstellen gebunden ist. Verwenden Sie die configuration-Anweisung
interface-specific
, um die Konfiguration zu erstellen.Wenn auf Paketübertragungs-Routern der PTX-Serie eine Eingangsschnittstelle über eine CCC-Kapselung verfügt, werden Pakete, die über die eingehende CCC-Schnittstelle eingehen, nicht von den Ausgangsfiltern verarbeitet.
Für die CCC-Kapselung hängen die Paketübertragungsrouter der PTX-Serie zusätzliche 8 Byte für die Ausgangs-Layer-2-Filterung an. Bei den Routern der T-Serie ist dies nicht der Fall. Daher zeigen die Ausgangszähler auf Paketübertragungs-Routern der PTX-Serie acht zusätzliche Bytes für jedes Paket an, was sich auf die Genauigkeit des Datensatzes auswirkt.
Auf Paketübertragungs-Routern der PTX-Serie enthält die Ausgabe für den CLI-Befehl die Pakete, die von der
show pfe statistics traffic
DMAC- und SMAC-Filterung verworfen wurden. Bei Routern der T-Serie enthält die Befehlsausgabe diese verworfenen Pakete nicht, da MAC-Filter im PIC und nicht im FPC implementiert sind.Das letzte Fragmentpaket, das durch eine PTX-Firewall geht, kann nicht mit der übereinstimmenden
is-fragment
Bedingung abgeglichen werden. Diese Funktion wird von Routern der T-Serie unterstützt.Eine mögliche Problemumgehung auf Paketübertragungs-Routern der PTX-Serie besteht darin, zwei separate Begriffe mit denselben Aktionen zu konfigurieren: Ein Ausdruck enthält eine Übereinstimmung mit
is-fragment
und der andere Ausdruck enthält eine Übereinstimmung mitfragment-offset -except 0
.Auf Paketübertragungs-Routern der PTX-Serie werden MAC-Pausenframes generiert, wenn die Anzahl der verworfenen Pakete 100 Mbit/s überschreitet. Dies tritt nur bei Framegrößen auf, die kleiner als 105 Byte sind.
Verkehrspolizisten
Die Firewall- und Polizeisoftware von Junos OS auf Paketübertragungs-Routern der PTX-Serie unterstützt IPv4-Filter, IPv6-Filter, MPLS-Filter, CCC-Filter, Schnittstellen-Polizeiarbeit, LSP-Überwachung, MAC-Filterung, ARP-Überwachung, L2-Überwachung und andere Funktionen. Ausnahmen sind unten aufgeführt.
Paketübertragungs-Router der PTX-Serie unterstützen ARP-Polizeiarbeit. Bei Routern der T-Serie ist dies nicht der Fall.
Paketübertragungsrouter der PTX-Serie unterstützen kein LSP-Policing.
Paketübertragungsrouter der PTX-Serie unterstützen die
hierarchical-policer
Konfigurationsanweisung nicht. .Paketübertragungsrouter der PTX-Serie unterstützen die
interface-set
Konfigurationsanweisung nicht. Diese Anweisung gruppiert eine Reihe von Schnittstellen in einem einzigen, benannten Schnittstellensatz.Paketübertragungsrouter der PTX-Serie unterstützen die folgenden Policer-Typen sowohl für normale Policer als auch für dreifarbige Policer nicht:
logical-bandwidth-policer
— Policer verwendet die Bandbreite der logischen Schnittstelle.physical-interface-policer
— Policer ist ein physischer Schnittstellen-Policer.shared-bandwidth-policer
— Teilen Sie die Policer-Bandbreite auf Bundle-Links.
Wenn eine Polizeiaktion und Weiterleitungsklassenaktionen mit Verlustpriorität innerhalb derselben Regel (einer Mehrfeldklassifizierung) konfiguriert sind, funktionieren die Paketübertragungsrouter der PTX-Serie anders als die Router der T-Serie. Wie unten gezeigt, können Sie zwei Regeln im Filter konfigurieren, damit sich der PTX-Filter genauso verhält wie der Filter der T-Serie:
Konfiguration der PTX-Serie:
rule-1 { match: {x, y, z} action: {forwarding-class, loss-prio, next} } rule-2 { match: {x, y, z} action: {policer} }
Konfiguration der T-Serie:
rule-1 { match: {x, y, z} action: {forwarding-class, loss-prio, policer} }