Différences de pare-feu et de contrôle entre les routeurs matriciels PTX Series Routeurs de transport de paquets et T Series
Cette rubrique fournit une liste des fonctionnalités de pare-feu et de police disponibles sur les routeurs de transport de paquets PTX et les compare aux fonctions de pare-feu et de contrôle sur les routeurs T Series.
Filtres de pare-feu
Junos OS pare-feu et logiciel de contrôle sur PTX Series Routeurs de transport de paquets prend en charge les filtres IPv4, les filtres IPv6, les filtres MPLS, les filtres CCC, la police d’interface, la police LSP, le filtrage MAC, la surveillance ARP, la surveillance L2 et d’autres fonctionnalités. Les exceptions sont indiquées ci-dessous.
PTX Series Routeurs de transport de paquets ne prennent pas en charge :
Filtres de la table de transfert de sortie
Filtres de table de transfert pour MPLS/CCC
Famille VPLS
PTX Series Routeurs de transport de paquets ne prennent pas en charge les filtres de pare-feu imbriqués. L’instruction
filter
au niveau de la[edit firewall family family-name filter filter-name term term-name
hiérarchie ] est désactivée.Étant donné qu’aucun service PIC n’est présent dans PTX Series Routeurs de transport de paquets, les filtres de service ne sont pas pris en charge pour le trafic IPv4 et IPv6. L’instruction
service-filter
au[edit firewall family (inet | inet6)]
niveau de la hiérarchie est désactivée.Les PTX Series Routeurs de transport de paquets excluent les filtres simples. Ces filtres sont uniquement pris en charge sur les interfaces IQ2 (Gigabit Ethernet Intelligent Queuing) et EQ DPC (Enhanced Queuing Concentractor de Port Dense). L’instruction
simple-filter
au niveau de la[edit firewall family inet)]
hiérarchie est désactivée.Le filtrage de l’interface physique n’est pas pris en charge. L’instruction
physical-interface-filter
au niveau de la[edit firewall family family-name filter filter-name]
hiérarchie est désactivée.La fonctionnalité d’action de préfixe n’est pas prise en charge sur PTX Series Routeurs de transport de paquets. L’instruction
prefix-action
au[edit firewall family inet]
niveau de la hiérarchie est désactivée.Sur les routeurs T Series, vous pouvez collecter diverses informations sur le trafic passant par l’équipement en configurant un ou plusieurs profils comptables qui spécifient certaines caractéristiques communes des données. Les PTX Series Routeurs de transport de paquets ne prennent pas en charge les configurations de comptabilité pour les filtres de pare-feu. L’instruction
accounting-profile
au niveau de la[edit firewall family family-name filter filter-name]
hiérarchie est désactivée.L’action
reject
n’est pas prise en charge sur l’interface de bouclage (lo0
). Si vous appliquez un filtre à l’interface et que le filtre inclut unereject
action, un message d’erreurlo0
s’affiche.PTX Series Routeurs de transport de paquets ne prennent pas en charge les conditions de correspondance d’interface logique Ethernet agrégées. Toutefois, la correspondance de l’interface de liaison enfant est prise en charge.
PTX Series Routeurs de transport de paquets affiche les deux nombres si deux termes différents d’un filtre ont la même condition de correspondance, mais qu’ils ont des nombres différents. Les routeurs T Series n’affichent qu’un seul compte.
PTX Series Routeurs de transport de paquets n’ont pas d’instances de mécanisme de contrôle distinctes lorsqu’un filtre est lié à plusieurs interfaces. Utilisez l’instruction de
interface-specific
configuration pour créer la configuration.Par PTX Series Routeurs de transport de paquets, lorsqu’une interface entrante dispose d’une encapsulation CCC, les paquets entrants entrants via l’interface CCC entrante ne sont pas traités par les filtres de sortie.
Pour l’encapsulation CCC, les PTX Series Routeurs de transport de paquets ajouter 8 octets supplémentaires pour le filtrage de la couche 2 de sortie. Ce n’est pas le cas des routeurs T Series. Par conséquent, les compteurs de sortie sur PTX Series Routeurs de transport de paquets affichent huit octets supplémentaires pour chaque paquet, ce qui a un impact sur la précision du contrôleur.
Sur PTX Series Routeurs de transport de paquets, la sortie de la
show pfe statistics traffic
commande CLI inclut les paquets rejetés par le filtrage DMAC et SMAC. Sur les routeurs T Series, la sortie de commande n’inclut pas ces paquets ignorés, car les filtres MAC sont implémentés dans le PIC et non dans le FPC.Le paquet du dernier fragment qui passe par un pare-feu PTX ne peut pas être mis en correspondance avec la
is-fragment
condition correspondante. Cette fonctionnalité est prise en charge sur les routeurs T Series.Une solution de contournement possible sur PTX Series Routeurs de transport de paquets consiste à configurer deux termes distincts avec les mêmes actions : un terme contient une correspondance avec et l’autre terme contient une correspondance avec
is-fragment
fragment-offset -except 0
.Sur PTX Series Routeurs de transport de paquets, des trames de pause MAC sont générées lorsque les rejets de paquets dépassent 100 Mbit/s. Cela ne se produit que pour les tailles de trame inférieures à 105 octets.
Agents de la circulation
Junos OS pare-feu et logiciel de contrôle sur PTX Series Routeurs de transport de paquets prend en charge les filtres IPv4, les filtres IPv6, les filtres MPLS, les filtres CCC, la police d’interface, la police LSP, le filtrage MAC, la surveillance ARP, la surveillance L2 et d’autres fonctionnalités. Les exceptions sont indiquées ci-dessous.
PTX Series Routeurs de transport de paquets soutiennent le maintien de l’ordre dans le cadre de l’ARP. Ce n’est pas le cas des routeurs T Series.
PTX Series Routeurs de transport de paquets n’appuient pas le maintien de l’ordre des PSL.
PTX Series Routeurs de transport de paquets ne prennent pas en charge l’instruction de
hierarchical-policer
configuration. .PTX Series Routeurs de transport de paquets ne prennent pas en charge l’instruction de
interface-set
configuration. Cette instruction regroupe un certain nombre d’interfaces en un seul ensemble d’interfaces nommées.PTX Series Routeurs de transport de paquets ne prenons pas en charge les types de mécanismes de contrôle suivants, tant pour les mécanismes de contrôle normaux que pour les mécanismes de contrôle tricolores :
logical-bandwidth-policer
— Le mécanisme de contrôle utilise la bande passante de l’interface logique.physical-interface-policer
— Policer est un mécanisme de contrôle d’interface physique.shared-bandwidth-policer
— Partager la bande passante du mécanisme de contrôle entre les liens de paquets.
Lorsqu’une action de contrôle et des actions de priorité de perte de classe de transfert sont configurées dans la même règle (une classification multichamp), les PTX Series Routeurs de transport de paquets fonctionner différemment de ceux des routeurs T Series. Comme indiqué ci-dessous, vous pouvez configurer deux règles dans le filtre pour que le filtre PTX se comporte de la même manière que le filtre T Series :
Configuration PTX Series :
rule-1 { match: {x, y, z} action: {forwarding-class, loss-prio, next} } rule-2 { match: {x, y, z} action: {policer} }
Configuration de la T Series :
rule-1 { match: {x, y, z} action: {forwarding-class, loss-prio, policer} }