Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Übersicht über schnittstellenspezifische Firewall-Filterinstanzen

Instanziierung von schnittstellenspezifischen Firewall-Filtern

Auf Routern der T- Serie, M120-, M320- und MX- Serie können Sie das Junos-Betriebssystem so aktivieren, dass für jede Schnittstelle, auf die Sie den Filter anwenden, automatisch eine schnittstellenspezifische Instanz eines Firewall-Filters erstellt wird. Wenn Sie die schnittstellenspezifische Instanziierung eines Firewallfilters aktivieren und diesen Filter dann auf mehrere Schnittstellen anwenden, wirken sich alle count in den Filterbegriffen konfigurierten Aktionen oder policer Aktionen auf den Datenverkehrsstrom aus, der in jede einzelne Schnittstelle ein- oder ausgeht, unabhängig von der Summe des Datenverkehrs auf den verschiedenen Schnittstellen.

Sie können diese Option pro Firewallfilter aktivieren, indem Sie die interface-specific Anweisung in die Filterkonfiguration aufnehmen.

HINWEIS:

Bei Routern der T-Serie, M120-, M320- und MX-Serie sind die Schnittstellen auf mehrere Paketweiterleitungskomponenten verteilt.

Schnittstellenspezifische Firewall-Filterung wird auf anderen Routern der M-Serie als den Routern M120 und M320 nicht unterstützt. Wenn Sie einen Firewall-Filter auf mehrere Schnittstellen eines Routers der M-Serie anwenden, bei dem es sich nicht um die Router M120 oder M320 handelt, wirkt sich der Filter auf die Summe des Datenverkehrs aus, der in diese Schnittstellen ein- oder ausgeht.

Die schnittstellenspezifische Firewallfilterung wird für standardmäßige zustandslose Firewallfilter und für Dienstfilter unterstützt. Schnittstellenspezifische Instanzen werden für einfache Filter nicht unterstützt.

HINWEIS:

Ein Firewallfilter kann nicht sowohl schnittstellenspezifisch als auch schnittstellengemeinsam genutzt werden.

Schnittstellenspezifische Namen für Firewall-Filterinstanzen

Wenn das Junos-Betriebssystem eine separate Instanz eines Firewall-Filters für eine logische Schnittstelleerstellt, wird der Instanz ein schnittstellenspezifischer Name zugeordnet. Der vom System generierte Name einer Firewallfilterinstanz besteht aus dem Namen des konfigurierten Filters, gefolgt von einem Bindestrich ('-'), dem vollständigen Schnittstellennamen und entweder '-i' für eine Eingabefilterinstanz oder '-o' für eine Ausgabefilterinstanz.

  • Input filter instance name—Wenn Sie beispielsweise den schnittstellenspezifischen Firewall-Filter filter_s_tcp auf die Eingabe an der logischen Schnittstelle at-1/1/1.0anwenden, instanziiert das Junos-Betriebssystem eine schnittstellenspezifische Filterinstanz mit dem folgenden vom System generierten Namen:

  • Output filter instance name—Wenn Sie beispielsweise den schnittstellenspezifischen Firewall-Filter filter_s_tcp auf die Ausgabe an der logischen Schnittstelle so-2/2/2.2anwenden, instanziiert das Junos-Betriebssystem eine schnittstellenspezifische Filterinstanz mit dem folgenden vom System generierten Namen:

Sie können den schnittstellenspezifischen Namen einer Filterinstanz verwenden, wenn Sie einen Junos OS-Betriebsmodusbefehl eingeben, der einen zustandslosen Firewallfilternamen angibt.

Tipp:

Wenn Sie einen Firewallfilter mit aktivierten schnittstellenspezifischen Instanzen konfigurieren, empfehlen wir, den Filternamen auf eine Länge von 52 Byte zu beschränken. Dies liegt daran, dass Firewallfilternamen auf eine Länge von 64 Byte beschränkt sind. Wenn der Name einer vom System generierten Filterinstanz diese maximale Länge überschreitet, lehnt die Richtlinienframeworksoftware den Instanznamen möglicherweise ab.

Schnittstellenspezifische Firewall-Filterindikatoren

Die Instanziierung von schnittstellenspezifischen Firewallfiltern bewirkt, dass die Paketweiterleitungs-Engine alle Leistungsindikatoren für den Firewallfilter für jede Schnittstelle separat verwaltet. Sie geben schnittstellenspezifische Leistungsindikatoren pro Firewallfilterbegriff an, indem Sie die nicht beendende count counter-name Aktion angeben.

Der vom System generierte Name eines schnittstellenspezifischen Firewallfilterzählers besteht aus dem Namen des konfigurierten Indikators, gefolgt von einem Bindestrich ('-'), dem vollständigen Schnittstellennamen und entweder '-i' für eine Eingabefilterinstanz oder '-o' für eine Ausgabefilterinstanz.

  • Interface-specific input filter counter name– Angenommen, Sie konfigurieren den Filterzähler count_tcp für einen schnittstellenspezifischen Firewallfilter. Wenn der Filter auf die Eingabe an der logischen Schnittstelle at-1/1/1.0angewendet wird, erstellt das Junos -Betriebssystem den folgenden vom System generierten Zählernamen:

  • Interface-specific output filter counter name– Angenommen, Sie konfigurieren den Filterzähler count_udp für einen schnittstellenspezifischen Firewallfilter. Wenn der Filter auf die Ausgabe an der logischen Schnittstelle so-2/2/2.2angewendet wird, erstellt das Junos -Betriebssystem den folgenden vom System generierten Zählernamen:

Schnittstellenspezifische Firewall-Filter-Policer

Bei der Instanziierung von schnittstellenspezifischen Firewallfiltern werden nicht nur separate Instanzen von Firewallfilterindikatoren erstellt, sondern auch separate Instanzen von Richtlinienaktionen. Alle Policer, die über eine in der Firewallfilterkonfiguration angegebene Aktion angewendet werden, werden separat auf jede Schnittstelle in der Schnittstellengruppe angewendet. Sie geben schnittstellenspezifische Policer pro Firewallfilterbegriff an, indem Sie die nicht beendende policer policer-name Aktion angeben.

Verwandte Themen