Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de las instancias de filtro de firewall específicas de la interfaz

Creación de instancias de filtros de firewall específicos de la interfaz

En los enrutadores serie T, M120, M320 y MX, puede habilitar Junos OS para que cree automáticamente una instancia específica de la interfaz de un filtro de firewall para cada interfaz a la que aplique el filtro. Si habilita la creación de instancias específicas de interfaz de un filtro de firewall y, a continuación, aplica ese filtro a varias interfaces, todas las acciones o acciones configuradas en los términos del filtro actúan sobre el flujo de tráfico que entra o sale de cada interfaz individual, independientemente de la suma del tráfico en las distintas interfaces.countpolicer

Puede habilitar esta opción por filtro de firewall incluyendo la instrucción en la configuración del filtro.interface-specific

Nota:

En los enrutadores serie T, M120, M320 y MX, las interfaces se distribuyen entre varios componentes de reenvío de paquetes.

El filtrado de firewall específico de la interfaz no se admite en enrutadores serie M que no sean los enrutadores M120 y M320. Si aplica un filtro de firewall a varias interfaces en un enrutador serie M distinto de los enrutadores M120 o M320, el filtro actúa sobre la suma del tráfico que entra o sale de esas interfaces.

El filtrado de firewall específico de la interfaz es compatible con los filtros estándar de firewall sin estado y con los filtros de servicio. Las instancias específicas de la interfaz no son compatibles con los filtros simples.

Nota:

Un filtro de firewall no puede ser específico de la interfaz ni compartido a la vez.

Nombres específicos de la interfaz para instancias de filtro de firewall

Cuando Junos OS crea una instancia independiente de un filtro de firewall para una interfaz lógica, la instancia se asocia con un nombre específico de la interfaz. El nombre generado por el sistema de una instancia de filtro de firewall consta del nombre del filtro configurado seguido de un guión (''), el nombre completo de la interfaz y '' para una instancia de filtro de entrada o '' para una instancia de filtro de salida.--i-o

  • —Por ejemplo, si aplica el filtro de firewall específico de la interfaz a la entrada en la interfaz lógica, Junos OS crea una instancia de filtro específica de la interfaz con el siguiente nombre generado por el sistema:Input filter instance namefilter_s_tcpat-1/1/1.0

  • —Por ejemplo, si aplica el filtro de firewall específico de la interfaz a la salida en la interfaz lógica, Junos OS crea una instancia de filtro específica de la interfaz con el siguiente nombre generado por el sistema:Output filter instance namefilter_s_tcpso-2/2/2.2

Puede utilizar el nombre específico de la interfaz de una instancia de filtro cuando introduzca un comando de modo operativo de Junos OS que especifique un nombre de filtro de firewall sin estado.

Consejo:

Cuando configure un filtro de firewall con instancias específicas de la interfaz habilitadas, le recomendamos que limite el nombre del filtro a 52 bytes de longitud. Esto se debe a que los nombres de filtro de firewall están restringidos a 64 bytes de longitud. Si un nombre de instancia de filtro generado por el sistema supera esta longitud máxima, el software del marco de políticas podría rechazar el nombre de instancia.

Contadores de filtros de firewall específicos de la interfaz

La creación de instancias de filtros de firewall específicos de la interfaz hace que el motor de reenvío de paquetes mantenga los contadores del filtro de firewall por separado para cada interfaz. Para especificar contadores específicos de la interfaz por término de filtro de firewall, especifique la acción de no terminación.count counter-name

El nombre generado por el sistema de un contador de filtros de firewall específico de la interfaz consta del nombre del contador configurado seguido de un guión (''), el nombre completo de la interfaz y '' para una instancia de filtro de entrada o '' para una instancia de filtro de salida.--i-o

  • —Por ejemplo, supongamos que configura el contador de filtros para un filtro de firewall específico de la interfaz.Interface-specific input filter counter namecount_tcp Si el filtro se aplica a la entrada en la interfaz lógica, Junos OS crea el siguiente nombre de contador generado por el sistema:at-1/1/1.0

  • —Por ejemplo, supongamos que configura el contador de filtros para un filtro de firewall específico de la interfaz.Interface-specific output filter counter namecount_udp Si el filtro se aplica a la salida en la interfaz lógica, Junos OS crea el siguiente nombre de contador generado por el sistema:so-2/2/2.2

Aplicadores de filtro de firewall específicos de la interfaz

La creación de instancias de filtros de firewall específicos de la interfaz no solo crea instancias independientes de cualquier contador de filtros de firewall, sino que también crea instancias independientes de cualquier acción de policía. Cualquier aplicador de políticas aplicado a través de una acción especificada en la configuración del filtro de firewall se aplica por separado a cada interfaz del grupo de interfaces. Para especificar los aplicadores específicos de la interfaz por término de filtro de firewall, especifique la acción de no terminación.policer policer-name