Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Différences de pare-feu et de contrôle entre les routeurs matriciels PTX Series Routeurs de transport de paquets et T Series

Cette rubrique fournit une liste des fonctionnalités de pare-feu et de police disponibles sur les routeurs de transport de paquets PTX et les compare aux fonctions de pare-feu et de contrôle sur les routeurs T Series.

Filtres de pare-feu

Junos OS pare-feu et logiciel de contrôle sur PTX Series Routeurs de transport de paquets prend en charge les filtres IPv4, les filtres IPv6, les filtres MPLS, les filtres CCC, la police d’interface, la police LSP, le filtrage MAC, la surveillance ARP, la surveillance L2 et d’autres fonctionnalités. Les exceptions sont indiquées ci-dessous.

  • PTX Series Routeurs de transport de paquets ne prennent pas en charge :

    • Filtres de la table de transfert de sortie

    • Filtres de table de transfert pour MPLS/CCC

    • Famille VPLS

  • PTX Series Routeurs de transport de paquets ne prennent pas en charge les filtres de pare-feu imbriqués. L’instruction filter au niveau de la [edit firewall family family-name filter filter-name term term-namehiérarchie ] est désactivée.

  • Étant donné qu’aucun service PIC n’est présent dans PTX Series Routeurs de transport de paquets, les filtres de service ne sont pas pris en charge pour le trafic IPv4 et IPv6. L’instruction service-filter au [edit firewall family (inet | inet6)] niveau de la hiérarchie est désactivée.

  • Les PTX Series Routeurs de transport de paquets excluent les filtres simples. Ces filtres sont uniquement pris en charge sur les interfaces IQ2 (Gigabit Ethernet Intelligent Queuing) et EQ DPC (Enhanced Queuing Concentractor de Port Dense). L’instruction simple-filter au niveau de la [edit firewall family inet)] hiérarchie est désactivée.

  • Le filtrage de l’interface physique n’est pas pris en charge. L’instruction physical-interface-filter au niveau de la [edit firewall family family-name filter filter-name] hiérarchie est désactivée.

  • La fonctionnalité d’action de préfixe n’est pas prise en charge sur PTX Series Routeurs de transport de paquets. L’instruction prefix-action au [edit firewall family inet] niveau de la hiérarchie est désactivée.

  • Sur les routeurs T Series, vous pouvez collecter diverses informations sur le trafic passant par l’équipement en configurant un ou plusieurs profils comptables qui spécifient certaines caractéristiques communes des données. Les PTX Series Routeurs de transport de paquets ne prennent pas en charge les configurations de comptabilité pour les filtres de pare-feu. L’instruction accounting-profile au niveau de la [edit firewall family family-name filter filter-name] hiérarchie est désactivée.

  • L’action reject n’est pas prise en charge sur l’interface de bouclage (lo0). Si vous appliquez un filtre à l’interface et que le filtre inclut une reject action, un message d’erreur lo0 s’affiche.

  • PTX Series Routeurs de transport de paquets ne prennent pas en charge les conditions de correspondance d’interface logique Ethernet agrégées. Toutefois, la correspondance de l’interface de liaison enfant est prise en charge.

  • PTX Series Routeurs de transport de paquets affiche les deux nombres si deux termes différents d’un filtre ont la même condition de correspondance, mais qu’ils ont des nombres différents. Les routeurs T Series n’affichent qu’un seul compte.

  • PTX Series Routeurs de transport de paquets n’ont pas d’instances de mécanisme de contrôle distinctes lorsqu’un filtre est lié à plusieurs interfaces. Utilisez l’instruction de interface-specific configuration pour créer la configuration.

  • Par PTX Series Routeurs de transport de paquets, lorsqu’une interface entrante dispose d’une encapsulation CCC, les paquets entrants entrants via l’interface CCC entrante ne sont pas traités par les filtres de sortie.

  • Pour l’encapsulation CCC, les PTX Series Routeurs de transport de paquets ajouter 8 octets supplémentaires pour le filtrage de la couche 2 de sortie. Ce n’est pas le cas des routeurs T Series. Par conséquent, les compteurs de sortie sur PTX Series Routeurs de transport de paquets affichent huit octets supplémentaires pour chaque paquet, ce qui a un impact sur la précision du contrôleur.

  • Sur PTX Series Routeurs de transport de paquets, la sortie de la show pfe statistics traffic commande CLI inclut les paquets rejetés par le filtrage DMAC et SMAC. Sur les routeurs T Series, la sortie de commande n’inclut pas ces paquets ignorés, car les filtres MAC sont implémentés dans le PIC et non dans le FPC.

  • Le paquet du dernier fragment qui passe par un pare-feu PTX ne peut pas être mis en correspondance avec la is-fragment condition correspondante. Cette fonctionnalité est prise en charge sur les routeurs T Series.

    Une solution de contournement possible sur PTX Series Routeurs de transport de paquets consiste à configurer deux termes distincts avec les mêmes actions : un terme contient une correspondance avec et l’autre terme contient une correspondance avec is-fragmentfragment-offset -except 0.

  • Sur PTX Series Routeurs de transport de paquets, des trames de pause MAC sont générées lorsque les rejets de paquets dépassent 100 Mbit/s. Cela ne se produit que pour les tailles de trame inférieures à 105 octets.

Agents de la circulation

Junos OS pare-feu et logiciel de contrôle sur PTX Series Routeurs de transport de paquets prend en charge les filtres IPv4, les filtres IPv6, les filtres MPLS, les filtres CCC, la police d’interface, la police LSP, le filtrage MAC, la surveillance ARP, la surveillance L2 et d’autres fonctionnalités. Les exceptions sont indiquées ci-dessous.

  • PTX Series Routeurs de transport de paquets soutiennent le maintien de l’ordre dans le cadre de l’ARP. Ce n’est pas le cas des routeurs T Series.

  • PTX Series Routeurs de transport de paquets n’appuient pas le maintien de l’ordre des PSL.

  • PTX Series Routeurs de transport de paquets ne prennent pas en charge l’instruction de hierarchical-policer configuration. .

  • PTX Series Routeurs de transport de paquets ne prennent pas en charge l’instruction de interface-set configuration. Cette instruction regroupe un certain nombre d’interfaces en un seul ensemble d’interfaces nommées.

  • PTX Series Routeurs de transport de paquets ne prenons pas en charge les types de mécanismes de contrôle suivants, tant pour les mécanismes de contrôle normaux que pour les mécanismes de contrôle tricolores :

    • logical-bandwidth-policer — Le mécanisme de contrôle utilise la bande passante de l’interface logique.

    • physical-interface-policer — Policer est un mécanisme de contrôle d’interface physique.

    • shared-bandwidth-policer — Partager la bande passante du mécanisme de contrôle entre les liens de paquets.

  • Lorsqu’une action de contrôle et des actions de priorité de perte de classe de transfert sont configurées dans la même règle (une classification multichamp), les PTX Series Routeurs de transport de paquets fonctionner différemment de ceux des routeurs T Series. Comme indiqué ci-dessous, vous pouvez configurer deux règles dans le filtre pour que le filtre PTX se comporte de la même manière que le filtre T Series :

    Configuration PTX Series :

    Configuration de la T Series :

Rubriques connexes