Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation des profils de filtres de pare-feu sur les routeurs ACX Series (Junos OS Evolved)

Profils de filtres de pare-feu sur les routeurs ACX Series (Junos OS Evolved)

Junos OS Evolved prend en charge deux profils prédéfinis pour les filtres de pare-feu IPv6 entrants - profile-one et profile-two. Chaque profil prend en charge un sous-ensemble de conditions de correspondance de filtre de pare-feu IPv6. Les profils sont associés à différentes catégories de profils. Les catégories de profil permettent de distinguer les filtres de pare-feu en fonction de leur direction et du type d’interface. Les catégories de profil sont à savoir ingress-inet6-user-acl et ingress-inet6-lo0-acl. À partir de la version 24.4R1, une nouvelle catégorie egress-inet6-user-acl est également introduite.

  • ingress-inet6-user-acl La catégorie de profil correspond aux filtres de pare-feu pour lesquels les conditions de correspondance IPv6 (et les actions) sont appliquées à l’entrée sur l’interface routée de couche 3 ou l’instance de routage.

  • ingress-inet6-lo0-acl La catégorie de profil concerne les filtres de pare-feu pour lesquels les conditions de correspondance IPv6 (et les actions) sont appliquées à l’entrée sur les interfaces de bouclage.

À partir de la version 24.4R1 :

  • egress-inet6-user-acl La catégorie de profil correspond aux filtres de pare-feu pour lesquels les conditions de correspondance IPv6 (et les actions) sont appliquées à la sortie sur l’interface routée de couche 3.

Vous pouvez appliquer des profils à des catégories de profils de manière combinée ou séparée.

  • Pour ingress-inet6-user-acl et ingress-inet6-lo0-acl les catégories de profils, vous pouvez utiliser l’instruction de configuration suivante pour définir profile-one ou profile-two pour les deux catégories de profils combinés. À tout moment, un seul profil sera appliqué pour les deux catégories de profils.

  • À partir de la version 24.4R1, pour appliquer profile-one ou profile-two uniquement à la catégorie de ingress-inet6-lo0-acl profil, vous utilisez l’instruction de configuration suivante.

  • À partir de la version 24.4R1, pour appliquer profile-one ou profile-two uniquement à la catégorie de egress-inet6-user-acl profil, vous utilisez l’instruction de configuration suivante.

REMARQUE :

  • Par défaut, profile-two est actif pour toutes les catégories de profils.

  • Le moteur de transfert de paquets (PFE) est redémarré automatiquement lorsqu’il existe une différence dans les paramètres de profil pour que les nouvelles configurations prennent effet.

  • Avant la version 24.4R1 :

    • show evo-pfemand filter profile-summary permet d’afficher le profil en cours d’utilisation.

    • show evo-pfemand filter profile-info peut être utilisé pour afficher les informations de profil de tous les profils.

    • show evo-pfemand filter hw summary peut être utilisé pour afficher le profil actuel en vigueur dans des versions encore plus anciennes (avant la version 23.1R1).

    Après la version 24.4R1 :

    • show system packet-forwarding-options firewall-profile profile-summary Peut être utilisé pour afficher le profil actuel en vigueur pour toutes les catégories de profils.

    • show system packet-forwarding-options firewall-profile profile-info Peut être utilisé pour afficher les informations de profil de tous les profils dans toutes les catégories de profils.

  • Les configurations de toutes les catégories de profilés peuvent coexister.

Voici les différences dans les conditions de correspondance des filtres de pare-feu pris en charge sur les profils. Les autres correspondances et actions prises en charge pour les deux profils ne sont pas répertoriées ici.

Tableau 1 : Conditions de correspondance des filtres de pare-feu IPv6 entrants/sortants

Conditions de correspondance du filtre de pare-feu

Profil deux

Profil 1

adresse source (jusqu’à 64 bits)

Oui

Oui

source-prefix-list (jusqu’à 64 bits)

Oui

Oui

liste de préfixes (jusqu’à 64 bits)

Oui

Oui

adresse-source (jusqu’à 128 bits)

Non

Oui

source-prefix-list (jusqu’à 128 bits)

Non

Oui

liste de préfixes (jusqu’à 128 bits)

Non

Oui

limite de saut

Oui

Non

Établi par TCP

Oui

Non

tcp-flags

Oui

Non

tcp-initial

Oui

Non

de classe trafic

Oui

Non
Tableau 2 : Conditions de correspondance des filtres de pare-feu de bouclage d’entrée (Lo0)

Conditions de correspondance du filtre de pare-feu

Profil deux

Profil 1

adresse de destination (jusqu’à 64 bits)

Oui

Oui

liste_de-préfixes de destination (jusqu’à 64 bits)

Oui

Oui

liste de préfixes (jusqu’à 64 bits)

Oui

Oui

adresse de destination (jusqu’à 128 bits)

Non

Oui

destination-prefix-list (jusqu’à 128 bits)

Non

Oui

liste de préfixes (jusqu’à 128 bits)

Non

Oui

limite de saut

Oui

Non

Établi par TCP

Oui

Non

tcp-flags

Oui

Non

tcp-initial

Oui

Non

de classe trafic

Oui

Non
Tableau 3 : Points de liaison pris en charge

Point de liaison

Profil deux (entrant)

Profil deux (bouclage entrant)

Profil 1 (entrant)

Profil 1 (bouclage entrant)

Filtre de table de transfert (FTF)

Oui

NA

Non

NA

Filtre BGP Flow-spec

Oui

NA

Non

NA

Instance de routage autre que par défaut ( lo0.1, lo0.2 etc.)

NA

Oui

NA

Non