Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übersicht über Firewall-Filterprofile auf Routern der ACX-Serie (Junos OS Evolved)

Firewall-Filterprofile auf Routern der ACX-Serie (Junos OS Evolved)

Junos OS Evolved unterstützt zwei vordefinierte Profile für eingehende IPv6-Firewall-Filter: profile-one und profile-two. Jedes Profil unterstützt eine Teilmenge der Übereinstimmungsbedingungen für IPv6-Firewallfilter. Die Profile sind verschiedenen Profilkategorien zugeordnet. Profilkategorien sind eine Möglichkeit, Firewall-Filter basierend auf der Richtung und dem Schnittstellentyp zu unterscheiden. Die Profilkategorien sind nämlich ingress-inet6-user-acl und ingress-inet6-lo0-acl. Ab 24.4R1 wird auch eine neue Kategorie egress-inet6-user-acl eingeführt.

  • ingress-inet6-user-acl Die Profilkategorie ist für Firewall-Filter vorgesehen, bei denen IPv6-Übereinstimmungsbedingungen (und -aktionen) am Eingang auf die geroutete Layer-3-Schnittstelle oder -Routing-Instanz angewendet werden.

  • ingress-inet6-lo0-acl Die Profilkategorie ist für Firewall-Filter gedacht, bei denen IPv6-Übereinstimmungsbedingungen (und -aktionen) am Eingang auf Loopback-Schnittstellen angewendet werden.

Ab 24.4R1:

  • egress-inet6-user-acl Die Profilkategorie ist für Firewall-Filter vorgesehen, bei denen IPv6-Übereinstimmungsbedingungen (und -aktionen) am Ausgang der gerouteten Layer-3-Schnittstelle angewendet werden.

Sie können Profile kombiniert oder getrennt auf Profilkategorien anwenden.

  • Für ingress-inet6-user-acl und ingress-inet6-lo0-acl Profilkategorien können Sie die folgende Konfigurationsanweisung verwenden, um profile-oneprofile-two die Profilkategorien oder beide Profilkategorien zusammen festzulegen. Zu jedem Zeitpunkt wird nur ein Profil für beide Profilkategorien angewendet.

  • Ab Version 24.4R1 verwenden Sie die folgende Konfigurationsanweisung, um sich oder nur auf die ingress-inet6-lo0-acl Profilkategorie anzuwenden.profile-oneprofile-two

  • Ab Version 24.4R1 verwenden Sie die folgende Konfigurationsanweisung, um sich oder nur auf die egress-inet6-user-acl Profilkategorie anzuwenden.profile-oneprofile-two

HINWEIS:

  • Ist standardmäßig profile-two für alle Profilkategorien aktiv.

  • Die Packet Forward Engine (PFE) wird automatisch neu gestartet, wenn sich die Profileinstellungen unterscheiden, damit die neuen Konfigurationen wirksam werden.

  • Vor 24.4R1:

    • show evo-pfemand filter profile-summary kann verwendet werden, um das aktuell verwendete Profil anzuzeigen.

    • show evo-pfemand filter profile-info kann verwendet werden, um Profilinformationen für alle Profile anzuzeigen.

    • show evo-pfemand filter hw summary kann verwendet werden, um das aktuelle Profil anzuzeigen, das in noch älteren Versionen (vor 23.1R1) gültig ist.

    Nach 24.4R1:

    • show system packet-forwarding-options firewall-profile profile-summary können Sie sich das aktuell gültige Profil für alle Profilkategorien anzeigen lassen.

    • show system packet-forwarding-options firewall-profile profile-info können Profilinformationen für alle Profile in allen Profilkategorien angezeigt werden.

  • Konfigurationen für alle Profilkategorien können nebeneinander existieren.

Im Folgenden sind die Unterschiede bei den unterstützten Übereinstimmungsbedingungen für Firewallfilter in den Profilen aufgeführt. Andere Übereinstimmungen und Aktionen, die für beide Profile unterstützt werden, sind hier nicht aufgeführt.

Tabelle 1: Eingangs-/Ausgangs-IPv6-Firewall-Filter stimmen mit den Bedingungen überein

Firewall-Filter-Übereinstimmungsbedingungen

Profil Zwei

Profil eins

Quelladresse (bis zu 64 Bit)

Ja

Ja

source-prefix-list (bis zu 64 Bit)

Ja

Ja

Präfix-Liste (bis zu 64 Bit)

Ja

Ja

Quelladresse (bis zu 128 Bit)

Nein

Ja

source-prefix-list (bis zu 128 Bit)

Nein

Ja

Präfix-Liste (bis zu 128 Bit)

Nein

Ja

hop-limit

Ja

Nein

TCP-etabliert

Ja

Nein

TCP-Flags

Ja

Nein

tcp-initial

Ja

Nein

traffic-class

Ja

Nein
Tabelle 2: Eingangs-Loopback (Lo0)-Firewall-Filter stimmen mit den Bedingungen überein

Firewall-Filter-Übereinstimmungsbedingungen

Profil Zwei

Profil eins

Zieladresse (bis zu 64 Bit)

Ja

Ja

destination-prefix-list (bis zu 64 Bit)

Ja

Ja

Präfix-Liste (bis zu 64 Bit)

Ja

Ja

Zieladresse (bis zu 128 Bit)

Nein

Ja

destination-prefix-list (bis zu 128 Bit)

Nein

Ja

Präfix-Liste (bis zu 128 Bit)

Nein

Ja

hop-limit

Ja

Nein

TCP-etabliert

Ja

Nein

TCP-Flags

Ja

Nein

tcp-initial

Ja

Nein

traffic-class

Ja

Nein
Tabelle 3: Unterstützte Bindungspunkte

Bindpoint

Profil 2 (Eingang)

Profil zwei (Eingangs-Loopback)

Profil eins (Ingress)

Profil eins (Eingangs-Loopback)

Weiterleitungstabellenfilter (FTF)

Ja

n/z

Nein

n/z

BGP-Flow-Spec-Filter

Ja

n/z

Nein

n/z

Nicht standardmäßige Routing-Instanz (lo0.1, lo0.2 usw.)

n/z

Ja

n/z

Nein