Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Übersicht über schnittstellenspezifische Firewall-Filterinstanzen

Instanziierung von schnittstellenspezifischen Firewall-Filtern

Auf Routern der T-Serie, M120-, M320- und MX-Serie können Sie das Junos-Betriebssystem so aktivieren, dass für jede Schnittstelle, auf die Sie den Filter anwenden, automatisch eine schnittstellenspezifische Instanz eines Firewall-Filters erstellt wird. Wenn Sie die schnittstellenspezifische Instanziierung eines Firewallfilters aktivieren und diesen Filter dann auf mehrere Schnittstellen anwenden, wirken sich alle in den Filterbegriffen konfigurierten Aktionen oder Aktionen auf den Datenverkehrsstrom aus, der in jede einzelne Schnittstelle ein- oder ausgeht, unabhängig von der Summe des Datenverkehrs auf den verschiedenen Schnittstellen.countpolicer

Sie können diese Option pro Firewallfilter aktivieren, indem Sie die Anweisung in die Filterkonfiguration aufnehmen.interface-specific

HINWEIS:

Bei Routern der T-Serie, M120-, M320- und MX-Serie sind die Schnittstellen auf mehrere Paketweiterleitungskomponenten verteilt.

Schnittstellenspezifische Firewall-Filterung wird auf anderen Routern der M-Serie als den Routern M120 und M320 nicht unterstützt. Wenn Sie einen Firewall-Filter auf mehrere Schnittstellen eines Routers der M-Serie anwenden, bei dem es sich nicht um die Router M120 oder M320 handelt, wirkt sich der Filter auf die Summe des Datenverkehrs aus, der in diese Schnittstellen ein- oder ausgeht.

Die schnittstellenspezifische Firewallfilterung wird für standardmäßige zustandslose Firewallfilter und für Dienstfilter unterstützt. Schnittstellenspezifische Instanzen werden für einfache Filter nicht unterstützt.

HINWEIS:

Ein Firewallfilter kann nicht sowohl schnittstellenspezifisch als auch schnittstellengemeinsam genutzt werden.

Schnittstellenspezifische Namen für Firewall-Filterinstanzen

Wenn das Junos-Betriebssystem eine separate Instanz eines Firewall-Filters für eine logische Schnittstelle erstellt, wird der Instanz ein schnittstellenspezifischer Name zugeordnet. Der vom System generierte Name einer Firewallfilterinstanz besteht aus dem Namen des konfigurierten Filters, gefolgt von einem Bindestrich (''), dem vollständigen Schnittstellennamen und entweder '' für eine Eingabefilterinstanz oder '' für eine Ausgabefilterinstanz.--i-o

  • —Wenn Sie beispielsweise den schnittstellenspezifischen Firewall-Filter auf die Eingabe an der logischen Schnittstelle anwenden, instanziiert das Junos-Betriebssystem eine schnittstellenspezifische Filterinstanz mit dem folgenden vom System generierten Namen:Input filter instance namefilter_s_tcpat-1/1/1.0

  • —Wenn Sie beispielsweise den schnittstellenspezifischen Firewall-Filter auf die Ausgabe an der logischen Schnittstelle anwenden, instanziiert das Junos-Betriebssystem eine schnittstellenspezifische Filterinstanz mit dem folgenden vom System generierten Namen:Output filter instance namefilter_s_tcpso-2/2/2.2

Sie können den schnittstellenspezifischen Namen einer Filterinstanz verwenden, wenn Sie einen Junos OS-Betriebsmodusbefehl eingeben, der einen zustandslosen Firewallfilternamen angibt.

Tipp:

Wenn Sie einen Firewallfilter mit aktivierten schnittstellenspezifischen Instanzen konfigurieren, empfehlen wir, den Filternamen auf eine Länge von 52 Byte zu beschränken. Dies liegt daran, dass Firewallfilternamen auf eine Länge von 64 Byte beschränkt sind. Wenn der Name einer vom System generierten Filterinstanz diese maximale Länge überschreitet, lehnt die Richtlinienframeworksoftware den Instanznamen möglicherweise ab.

Schnittstellenspezifische Firewall-Filterindikatoren

Die Instanziierung von schnittstellenspezifischen Firewallfiltern bewirkt, dass die Paketweiterleitungs-Engine alle Leistungsindikatoren für den Firewallfilter für jede Schnittstelle separat verwaltet. Sie geben schnittstellenspezifische Leistungsindikatoren pro Firewallfilterbegriff an, indem Sie die nicht beendende Aktion angeben.count counter-name

Der vom System generierte Name eines schnittstellenspezifischen Firewallfilterzählers besteht aus dem Namen des konfigurierten Indikators, gefolgt von einem Bindestrich (''), dem vollständigen Schnittstellennamen und entweder '' für eine Eingabefilterinstanz oder '' für eine Ausgabefilterinstanz.--i-o

  • – Angenommen, Sie konfigurieren den Filterzähler für einen schnittstellenspezifischen Firewallfilter.Interface-specific input filter counter namecount_tcp Wenn der Filter auf die Eingabe an der logischen Schnittstelle angewendet wird, erstellt das Junos-Betriebssystem den folgenden vom System generierten Zählernamen:at-1/1/1.0

  • – Angenommen, Sie konfigurieren den Filterzähler für einen schnittstellenspezifischen Firewallfilter.Interface-specific output filter counter namecount_udp Wenn der Filter auf die Ausgabe an der logischen Schnittstelle angewendet wird, erstellt das Junos-Betriebssystem den folgenden vom System generierten Zählernamen:so-2/2/2.2

Schnittstellenspezifische Firewall-Filter-Policer

Bei der Instanziierung von schnittstellenspezifischen Firewallfiltern werden nicht nur separate Instanzen von Firewallfilterindikatoren erstellt, sondern auch separate Instanzen von Richtlinienaktionen. Alle Policer, die über eine in der Firewallfilterkonfiguration angegebene Aktion angewendet werden, werden separat auf jede Schnittstelle in der Schnittstellengruppe angewendet. Sie geben schnittstellenspezifische Policer pro Firewallfilterbegriff an, indem Sie die nicht beendende Aktion angeben.policer policer-name

Verwandte Themen