Firewall- und Richtlinienunterschiede zwischen Paketübertragungs-Routern der PTX-Serie und Matrix-Routern der T-Serie

Dieses Thema enthält eine Liste der Firewall- und Richtlinienfunktionen, die auf PTX-Paketübertragungsroutern verfügbar sind, und vergleicht sie mit den Firewall- und Überwachungsfunktionen auf Routern der T-Serie.

Firewall-Filter

Die Firewall- und Polizeisoftware von Junos OS auf Paketübertragungs-Routern der PTX-Serie unterstützt IPv4-Filter, IPv6-Filter, MPLS-Filter, CCC-Filter, Schnittstellen-Polizeiarbeit, LSP-Überwachung, MAC-Filterung, ARP-Überwachung, L2-Überwachung und andere Funktionen. Ausnahmen sind unten aufgeführt.

Paketübertragungs-Router der PTX-Serie unterstützen nicht:
- Filter für Ausgangsweiterleitungstabellen
- Weiterleitungstabellenfilter für MPLS/CCC
- Familie VPLS
Paketübertragungsrouter der PTX-Serie unterstützen keine verschachtelten Firewall-Filter. Die filter Anweisung auf der [edit firewall family family-name filter filter-name term term-nameHierarchieebene ] ist deaktiviert.
Da in Paketübertragungs-Routern der PTX-Serie keine Service-PICs vorhanden sind, werden Servicefilter sowohl für IPv4- als auch für IPv6-Datenverkehr nicht unterstützt. Die service-filter Anweisung auf [edit firewall family (inet | inet6)] Hierarchieebene ist deaktiviert.
Die Paketübertragungsrouter der PTX-Serie schließen einfache Filter aus. Diese Filter werden nur auf den Schnittstellen Gigabit Ethernet Intelligent Queuing (IQ2) und Enhanced Queuing Dense Port Concentrator (EQ DPC) unterstützt. Die simple-filter Anweisung auf Hierarchieebene [edit firewall family inet)] ist deaktiviert.
Das Filtern physischer Schnittstellen wird nicht unterstützt. Die physical-interface-filter Anweisung auf Hierarchieebene [edit firewall family family-name filter filter-name] ist deaktiviert.
Die Präfix-Aktionsfunktion wird auf Paketübertragungs-Routern der PTX-Serie nicht unterstützt. Die prefix-action Anweisung auf [edit firewall family inet] Hierarchieebene ist deaktiviert.
Auf Routern der T-Serie können Sie eine Vielzahl von Informationen über den Datenverkehr, der durch das Gerät geleitet wird, erfassen, indem Sie ein oder mehrere Accounting-Profile einrichten, die einige gemeinsame Merkmale der Daten angeben. Die Paketübertragungsrouter der PTX-Serie unterstützen keine Accounting-Konfigurationen für Firewall-Filter. Die accounting-profile Anweisung auf Hierarchieebene [edit firewall family family-name filter filter-name] ist deaktiviert.
Die reject Aktion wird auf der loopback(lo0)-Schnittstelle nicht unterstützt. Wenn Sie einen Filter auf die lo0 Schnittstelle anwenden und der Filter eine reject Aktion enthält, wird eine Fehlermeldung angezeigt.
Paketübertragungsrouter der PTX-Serie unterstützen keine aggregierten Übereinstimmungsbedingungen für logische Ethernet-Schnittstellen. Der Abgleich von Child-Link-Schnittstellen wird jedoch unterstützt.
Paketübertragungsrouter der PTX-Serie zeigen beide Zähler an, wenn zwei verschiedene Begriffe in einem Filter die gleiche Übereinstimmungsbedingung, aber unterschiedliche Zählungen aufweisen. Router der T-Serie zeigen nur einen Zähler an.
Paketübertragungs-Router der PTX-Serie verfügen nicht über separate Policer-Instanzen, wenn ein Filter an mehrere Schnittstellen gebunden ist. Verwenden Sie die configuration-Anweisung interface-specific , um die Konfiguration zu erstellen.
Wenn auf Paketübertragungs-Routern der PTX-Serie eine Eingangsschnittstelle über eine CCC-Kapselung verfügt, werden Pakete, die über die eingehende CCC-Schnittstelle eingehen, nicht von den Ausgangsfiltern verarbeitet.
Für die CCC-Kapselung hängen die Paketübertragungsrouter der PTX-Serie zusätzliche 8 Byte für die Ausgangs-Layer-2-Filterung an. Bei den Routern der T-Serie ist dies nicht der Fall. Daher zeigen die Ausgangszähler auf Paketübertragungs-Routern der PTX-Serie acht zusätzliche Bytes für jedes Paket an, was sich auf die Genauigkeit des Datensatzes auswirkt.
Auf Paketübertragungs-Routern der PTX-Serie enthält die Ausgabe für den CLI-Befehl die Pakete, die von der show pfe statistics traffic DMAC- und SMAC-Filterung verworfen wurden. Bei Routern der T-Serie enthält die Befehlsausgabe diese verworfenen Pakete nicht, da MAC-Filter im PIC und nicht im FPC implementiert sind.
Das letzte Fragmentpaket, das durch eine PTX-Firewall geht, kann nicht mit der übereinstimmenden is-fragment Bedingung abgeglichen werden. Diese Funktion wird von Routern der T-Serie unterstützt.

Eine mögliche Problemumgehung auf Paketübertragungs-Routern der PTX-Serie besteht darin, zwei separate Begriffe mit denselben Aktionen zu konfigurieren: Ein Ausdruck enthält eine Übereinstimmung mit is-fragment und der andere Ausdruck enthält eine Übereinstimmung mit fragment-offset -except 0.
Auf Paketübertragungs-Routern der PTX-Serie werden MAC-Pausenframes generiert, wenn die Anzahl der verworfenen Pakete 100 Mbit/s überschreitet. Dies tritt nur bei Framegrößen auf, die kleiner als 105 Byte sind.

Verkehrspolizisten

Paketübertragungs-Router der PTX-Serie unterstützen ARP-Polizeiarbeit. Bei Routern der T-Serie ist dies nicht der Fall.
Paketübertragungsrouter der PTX-Serie unterstützen kein LSP-Policing.
Paketübertragungsrouter der PTX-Serie unterstützen die hierarchical-policer Konfigurationsanweisung nicht. .
Paketübertragungsrouter der PTX-Serie unterstützen die interface-set Konfigurationsanweisung nicht. Diese Anweisung gruppiert eine Reihe von Schnittstellen in einem einzigen, benannten Schnittstellensatz.
Wenn eine Polizeiaktion und Weiterleitungsklassenaktionen mit Verlustpriorität innerhalb derselben Regel (einer Mehrfeldklassifizierung) konfiguriert sind, funktionieren die Paketübertragungsrouter der PTX-Serie anders als die Router der T-Serie. Wie unten gezeigt, können Sie zwei Regeln im Filter konfigurieren, damit sich der PTX-Filter genauso verhält wie der Filter der T-Serie:

Konfiguration der PTX-Serie:
Konfiguration der T-Serie:

Firewall- und Richtlinienunterschiede zwischen Paketübertragungs-Routern der PTX-Serie und Matrix-Routern der T-Serie

Verwandte Themen