Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Diferencias de firewall y políticas entre los enrutadores de transporte de paquetes de la serie PTX y los enrutadores de matriz de la serie T

En este tema se proporciona una lista de las funciones de firewall y políticas disponibles en los enrutadores de transporte de paquetes PTX y se comparan con las funciones de firewall y vigilancia de los enrutadores de la serie T.

Filtros de firewall

El firewall y el software de vigilancia de Junos OS de los enrutadores de transporte de paquetes de la serie PTX admiten filtros IPv4, filtros IPv6, filtros MPLS, filtros CCC, vigilancia de interfaz, vigilancia de LSP, filtrado de MAC, vigilancia de ARP, vigilancia L2 y otras funciones. A continuación se indican las excepciones.

  • Los enrutadores de transporte de paquetes de la serie PTX no admiten:

    • Filtros de tabla de reenvío de salida

    • Filtros de tabla de reenvío para MPLS/CCC

    • Familia VPLS

  • Los enrutadores de transporte de paquetes de la serie PTX no admiten filtros de firewall anidados. La instrucción en el nivel de jerarquía ] está deshabilitada.filter[edit firewall family family-name filter filter-name term term-name

  • Dado que no hay PIC de servicio presentes en los enrutadores de transporte de paquetes de la serie PTX, los filtros de servicio no son compatibles con el tráfico IPv4 e IPv6. La instrucción en el nivel jerárquico está deshabilitada.service-filter[edit firewall family (inet | inet6)]

  • Los enrutadores de transporte de paquetes de la serie PTX excluyen los filtros simples. Estos filtros solo son compatibles con las interfaces de colas inteligentes Gigabit Ethernet (IQ2) y de concentrador de puerto denso (EQ DPC) de cola mejorada. La instrucción en el nivel jerárquico está deshabilitada.simple-filter[edit firewall family inet)]

  • No se admite el filtrado de interfaz física. La instrucción en el nivel jerárquico está deshabilitada.physical-interface-filter[edit firewall family family-name filter filter-name]

  • La función de acción de prefijo no se admite en los enrutadores de transporte de paquetes de la serie PTX. La instrucción en el nivel jerárquico está deshabilitada.prefix-action[edit firewall family inet]

  • En los enrutadores de la serie T, puede recopilar una variedad de información sobre el tráfico que pasa a través del dispositivo mediante la configuración de uno o más perfiles de contabilidad que especifiquen algunas características comunes de los datos. Los enrutadores de transporte de paquetes de la serie PTX no admiten configuraciones de contabilidad para filtros de firewall. La instrucción en el nivel jerárquico está deshabilitada.accounting-profile[edit firewall family family-name filter filter-name]

  • La acción no se admite en la interfaz de circuito cerrado ().rejectlo0 Si aplica un filtro a la interfaz y el filtro incluye una acción, aparecerá un mensaje de error.lo0reject

  • Los enrutadores de transporte de paquetes de la serie PTX no admiten condiciones de coincidencia de interfaz lógica Ethernet agregadas. Sin embargo, se admite la coincidencia de interfaces de vínculos secundarios.

  • Enrutadores de transporte de paquetes de la serie PTX muestra ambos recuentos si dos términos diferentes en un filtro tienen la misma condición de coincidencia pero tienen diferentes recuentos. Los enrutadores de la serie T muestran un solo recuento.

  • Los enrutadores de transporte de paquetes de la serie PTX no tienen instancias de policía independientes cuando un filtro está enlazado a varias interfaces. Utilice la instrucción configuration para crear la configuración.interface-specific

  • En los enrutadores de transporte de paquetes de la serie PTX, cuando una interfaz de entrada tiene encapsulación CCC, los filtros de salida no procesarán los paquetes que entren a través de la interfaz CCC de entrada.

  • Para la encapsulación CCC, los enrutadores de transporte de paquetes de la serie PTX agregan 8 bytes adicionales para el filtrado de capa 2 de salida. Los routers de la serie T no. Por lo tanto, los contadores de salida de los enrutadores de transporte de paquetes de la serie PTX muestran ocho bytes adicionales para cada paquete, lo que afecta a la precisión de la aplicación.

  • En los enrutadores de transporte de paquetes de la serie PTX, el resultado del comando CLI incluye los paquetes descartados por el filtrado DMAC y SMAC.show pfe statistics traffic En los enrutadores de la serie T, el resultado del comando no incluye estos paquetes descartados porque los filtros MAC se implementan en la PIC y no en la FPC.

  • El paquete del último fragmento que pasa por un firewall PTX no puede coincidir con la condición coincidente.is-fragment Esta función es compatible con los enrutadores de la serie T.

    Una posible solución en los enrutadores de transporte de paquetes de la serie PTX es configurar dos términos separados con las mismas acciones: Un término contiene una coincidencia con y el otro término contiene una coincidencia con .is-fragmentfragment-offset -except 0

  • En los enrutadores de transporte de paquetes de la serie PTX, las tramas de pausa MAC se generan cuando los descartes de paquetes superan los 100 Mbps. Esto solo ocurre para tamaños de trama inferiores a 105 bytes.

Policías de tráfico

El firewall y el software de vigilancia de Junos OS de los enrutadores de transporte de paquetes de la serie PTX admiten filtros IPv4, filtros IPv6, filtros MPLS, filtros CCC, vigilancia de interfaz, vigilancia de LSP, filtrado de MAC, vigilancia de ARP, vigilancia L2 y otras funciones. A continuación se indican las excepciones.

  • Los enrutadores de transporte de paquetes de la serie PTX admiten la vigilancia ARP. Los enrutadores de la serie T no lo hacen.

  • Los enrutadores de transporte de paquetes de la serie PTX no admiten la vigilancia de LSP.

  • Los enrutadores de transporte de paquetes de la serie PTX no admiten la instrucción de configuración.hierarchical-policer

  • Los enrutadores de transporte de paquetes de la serie PTX no admiten la instrucción de configuración.interface-set Esta instrucción agrupa varias interfaces en un único conjunto de interfaces con nombre.

  • Los enrutadores de transporte de paquetes de la serie PTX no admiten los siguientes tipos de controladores para los controladores normales y los controladores de tres colores:

    • logical-bandwidth-policer — Policer utiliza ancho de banda de interfaz lógica.

    • physical-interface-policer — Policer es un policer de interfaz física.

    • shared-bandwidth-policer — Comparta el ancho de banda del controlador entre los enlaces de paquete.

  • Cuando se configuran una acción de policía y acciones de prioridad de pérdida de clase de reenvío dentro de la misma regla (una clasificación de campos múltiples), los enrutadores de transporte de paquetes de la serie PTX funcionan de manera diferente a los enrutadores de la serie T. Como se muestra a continuación, puede configurar dos reglas en el filtro para que el filtro PTX se comporte igual que el filtro de la serie T:

    Configuración de la serie PTX:

    Configuración de la serie T:

Temas relacionados