Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Firewall- und Policing-Unterschiede zwischen den Paketübertragungs-Router- und T-Serie Matrix-Routern der PTX-Serie

Dieses Thema enthält eine Liste der Firewall- und Policier-Funktionen, die auf PTX-Paketübertragungs-Router verfügbar sind, und vergleicht diese mit Firewall- und Policing-Funktionen auf T-Serie Routern.

Firewall-Filter

Junos OS-Firewall- und Policing-Software auf Paketübertragungs-Router der PTX-Serie unterstützt IPv4-Filter, IPv6-Filter, MPLS-Filter, CCC-Filter, Schnittstellen-Überwachung, LSP-Policing, MAC-Filter, ARP-Policing, L2-Policing und andere Funktionen. Für Ausnahmen gelten die nachfolgenden Ausnahmen.

  • PtX-Paketübertragungs-Router unterstützen nicht:

    • Egress Forwarding Table Filters

    • Weiterleitungstabellenfilter für MPLS/CCC

    • VPLS für Produktfamilie

  • Die Paketübertragungs-Router PTX-Serie unterstützen keine eingebetteten Firewall-Filter. Die filter Anweisung auf der ] [edit firewall family family-name filter filter-name term term-name Hierarchieebene ist deaktiviert.

  • Da in den Paketen der PTX-Serie keine Service-PICs Paketübertragungs-Router sind, werden Dienstfilter für IPv4- und IPv6-Datenverkehr nicht unterstützt. Die service-filter Anweisung auf [edit firewall family (inet | inet6)] Hierarchieebene ist deaktiviert.

  • Einfache Filter werden von den Paketübertragungs-Router der PTX-Serie ausgeschlossen. Diese Filter werden nur auf IQ2- (Gigabit Ethernet Intelligent Queuing) und Enhanced Queuing Dense Port Concentrator (EQ DPC)-Schnittstellen unterstützt. Die simple-filter Anweisung auf [edit firewall family inet)] Hierarchieebene ist deaktiviert.

  • Physische Schnittstellenfilter werden nicht unterstützt. Die physical-interface-filter Anweisung auf [edit firewall family family-name filter filter-name] Hierarchieebene ist deaktiviert.

  • Die Funktion zur Prefix-Aktion wird auf den Funktionen der PTX-Paketübertragungs-Router. Die prefix-action Anweisung auf [edit firewall family inet] Hierarchieebene ist deaktiviert.

  • Auf T-Serie Können Sie zahlreiche Informationen über den Datenverkehr erfassen, der das Gerät durchfing, indem Sie ein oder mehrere Buchhaltungsprofile einrichten, die einige allgemeine Merkmale der Daten angeben. Die Paketübertragungs-Router PTX-Serie unterstützen keine Accounting-Konfigurationen für Firewall-Filter. Die accounting-profile Anweisung auf [edit firewall family family-name filter filter-name] Hierarchieebene ist deaktiviert.

  • Die reject Aktion wird auf der Loopback - Schnittstelle nicht lo0 unterstützt. Wenn Sie einen Filter auf die Schnittstelle anwenden und der Filter eine Aktion lo0reject enthält, wird eine Fehlermeldung angezeigt.

  • Die Paketübertragungs-Router der PTX-Serie unterstützen keine aggregierten logischen Ethernet-Schnittstellenbedingungen. Die untergeordnete Zuordnung von Verbindungsschnittstellen wird jedoch unterstützt.

  • Paketübertragungs-Router PTX-Serie zeigt beide Zähler an, wenn zwei unterschiedliche Begriffe in einem Filter über die gleiche Übereinstimmungsbedingung verfügen, aber unterschiedliche Zähler haben. T-Serie-Router zeigen nur eine Zahl an.

  • Wenn ein Filter an mehrere Schnittstellen gebunden ist, verfügen Paketübertragungs-Router PTX-Serie über keine separaten Policer-Instanzen. Verwenden Sie interface-specific die Konfigurationsauszug zur Erstellung der Konfiguration.

  • Wenn auf der Paketübertragungs-Router-Schnittstelle der PTX-Serie über eine CCC-Einkapselung verfügt, werden Pakete, die über die Ingress CCC-Schnittstelle übertragen werden, nicht von den Ausgangsfiltern verarbeitet.

  • Bei der CCC-Einkapselung hat die PTX-Paketübertragungs-Router 8 Bytes für die Egress-Layer-2-Filterung um 8 Bytes. Die T-Serie nicht. Aus den Ausgangszählern der PTX-Serie Paketübertragungs-Router für jedes Paket acht zusätzliche Bytes angezeigt, die die Policer-Genauigkeit haben.

  • Auf der Paketübertragungs-Router der PTX-Serie umfasst die Ausgabe für den CLI-Befehl die pakete, die durch D PK- und show pfe statistics traffic S BEFEHLSZEILE-Filterung verworfen wurden. Auf T-Serie-Routern enthalten die Befehlszeilenpakete nicht diese verworfenen Pakete, da MAC-Filter in der PIC und nicht in der FPC implementiert sind.

  • Das Paket mit dem letzten Fragment, das durch eine PTX-Firewall übertragen wird, kann nicht mit der entsprechenden Bedingung is-fragment übereinstimmen. Diese Funktion wird auf Routern T-Serie unterstützt.

    Ein möglicher Umgehungslösung für den Paketübertragungs-Router der PTX-Serie ist die Konfiguration von zwei separaten Begriffen mit denselben Aktionen: ein Begriff enthält eine Übereinstimmung mit is-fragment und der andere Begriff eine Übereinstimmung fragment-offset -except 0 mit.

  • Auf Paketen der PTX Paketübertragungs-Router werden FRAMES mit MAC-Pause generiert, wenn Paketpakete 100 Mbit/s überschreiten. Dies gilt nur für Framegrößen unter 105 Bytes.

Traffic Policiers

Junos OS-Firewall- und Policing-Software auf Paketübertragungs-Router der PTX-Serie unterstützt IPv4-Filter, IPv6-Filter, MPLS-Filter, CCC-Filter, Schnittstellen-Überwachung, LSP-Policing, MAC-Filter, ARP-Policing, L2-Policing und andere Funktionen. Für Ausnahmen gelten die nachfolgenden Ausnahmen.

  • Paketübertragungs-Router der PTX-Serie unterstützen ARP-Policing. T-Serie nicht.

  • Paketübertragungs-Router PTX-Serie unterstützen keine LSP-Policing.

  • Die Paketübertragungs-Router der PTX-Serie unterstützen die hierarchical-policer Konfiguration nicht.

  • PtX-Paketübertragungs-Router unterstützen die interface-set Konfigurationserklärung nicht. Diese Aussage groupst eine Anzahl von Schnittstellen zu einem einzelnen, benannten Schnittstellensatz.

  • Die Paketübertragungs-Router PTX-Serie unterstützt nicht die folgenden Policer-Typen für normale Policer und dreifarbige Policer:

    • logical-bandwidth-policer — Policer verwendet logische Schnittstellenbandbreite.

    • physical-interface-policer — Policer ist ein Policer für die physische Schnittstelle.

    • shared-bandwidth-policer — Gemeinsamer Policer-Bandbreite unter Bündelverbindungen.

  • Wenn eine Policer-Aktion und eine Weiterleitungsklasse, Verlustprioritätsaktionen innerhalb derselben Regel (eine Mehrfeld-Klassifizierung) konfiguriert werden, funktioniert die Paketübertragungs-Router der PTX-Serie anders als die T-Serie Router. Wie unten dargestellt, können Sie im Filter zwei Regeln konfigurieren, um dafür zu sorgen, dass sich der PTX-Filter genauso verhält wie der T-Serie:

    Konfiguration der PTX-Serie:

    T-Serie Konfiguration: