Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Présentation des instances de filtre de pare-feu spécifiques à l’interface

Instanciation de filtres de pare-feu spécifiques à l’interface

Sur les routeurs T Series, M120, M320 et MX Series, vous pouvez activer Junos OS pour qu’il crée automatiquement une instance spécifique à l’interface d’un filtre de pare-feu pour chaque interface à laquelle vous appliquez le filtre. Si vous activez l’instanciation spécifique à l’interface d’un filtre de pare-feu, puis que vous appliquez ce filtre à plusieurs interfaces, toutes les actions ou actions configurées dans les termes de filtre agissent sur le flux de trafic entrant ou policer sortant de chaque interface individuelle, quelle que soit la somme du trafic sur les count interfaces multiples.

Vous pouvez activer cette option par filtre de pare-feu en incluant l’instruction interface-specific dans la configuration du filtre.

REMARQUE :

Sur les routeurs T Series, M120, M320 et MX Series, les interfaces sont réparties entre plusieurs composants de transfert de paquets.

Le filtrage de pare-feu spécifique à l’interface n’est pas pris en charge sur les routeurs M Series autres que les routeurs M120 et M320. Si vous appliquez un filtre de pare-feu à plusieurs interfaces sur un routeur M Series autre que les routeurs M120 ou M320, le filtre agit sur la somme du trafic entrant ou sortant de ces interfaces.

Le filtrage de pare-feu spécifique à l’interface est pris en charge pour les filtres de pare-feu sans état standard et pour les filtres de service. Les instances spécifiques à l’interface ne sont pas prises en charge pour les filtres simples.

REMARQUE :

Un filtre de pare-feu ne peut pas être à la fois spécifique à une interface et partagé avec une interface.

Noms spécifiques à l’interface pour les instances de filtre de pare-feu

Lorsque Junos OS crée une instance distincte d’un filtre de pare-feu pour une interface logique, l’instance est associée à un nom spécifique à l’interface. Le nom généré par le système d’une instance de filtre de pare-feu se compose du nom du filtre configuré suivi d’un trait d’union (''), du nom complet de l’interface et de '' pour une instance de filtre d’entrée ou ''--o pour une instance de filtre de-i sortie.

  • Input filter instance name—Par exemple, si vous appliquez le filtre de pare-feu spécifique à l’interface à l’entrée de l’interface logique , Junos OS instancie une instance de filtre filter_s_tcp spécifique à l’interface at-1/1/1.0avec le nom généré par le système suivant :

  • Output filter instance name—Par exemple, si vous appliquez le filtre de pare-feu spécifique à l’interface à la sortie au niveau de l’interface logique , Junos OS instancie une instance de filtre filter_s_tcp spécifique à l’interface so-2/2/2.2avec le nom généré par le système suivant :

Vous pouvez utiliser le nom spécifique à l’interface d’une instance de filtre lorsque vous entrez une commande en mode opérationnel Junos OS qui spécifie un nom de filtre de pare-feu sans état.

Conseil :

Lorsque vous configurez un filtre de pare-feu avec des instances spécifiques à l’interface activées, nous vous recommandons de limiter le nom du filtre à 52 octets . En effet, les noms de filtres de pare-feu sont limités à 64 octets . Si le nom d’une instance de filtre généré par le système dépasse cette longueur maximale, le logiciel Policy Framework peut rejeter le nom de l’instance.

Compteurs de filtres de pare-feu spécifiques à l’interface

L’instanciation de filtres de pare-feu spécifiques à une interface oblige le moteur de transfert de paquets à gérer les compteurs du filtre de pare-feu séparément pour chaque interface. Vous spécifiez des compteurs spécifiques à l’interface par terme de filtre de pare-feu en spécifiant l’action count counter-name de non-arrêt.

Le nom généré par le système d’un compteur de filtres de pare-feu spécifique à l’interface se compose du nom du compteur configuré suivi d’un trait d’union (''), du nom complet de l’interface et de '' pour une instance de filtre d’entrée ou ''--o pour une instance de filtre de-i sortie.

  • Interface-specific input filter counter name: par exemple, supposons que vous configuriez le compteur count_tcp de filtres pour un filtre de pare-feu spécifique à une interface. Si le filtre est appliqué à l’entrée au niveau de l’interface at-1/1/1.0logique , Junos OS crée le nom de compteur généré par le système suivant :

  • Interface-specific output filter counter name: par exemple, supposons que vous configuriez le compteur count_udp de filtres pour un filtre de pare-feu spécifique à une interface. Si le filtre est appliqué à la sortie au niveau de l’interface so-2/2/2.2logique , Junos OS crée le nom de compteur généré par le système suivant :

Mécanismes de contrôle des filtres de pare-feu spécifiques à l’interface

L’instanciation de filtres de pare-feu spécifiques à l’interface crée non seulement des instances distinctes de tous les compteurs de filtres de pare-feu, mais également des instances distinctes de toutes les actions du régulateur. Tous les mécanismes de contrôle appliqués par le biais d’une action spécifiée dans la configuration du filtre de pare-feu sont appliqués séparément à chaque interface du groupe d’interfaces. Vous spécifiez des mécanismes de contrôle spécifiques à l’interface par terme de filtre de pare-feu en spécifiant l’action qui ne s’arrête policer policer-name pas.

Rubriques connexes