PTX 시리즈 패킷 전송 라우터와 T 시리즈 매트릭스 라우터의 방화벽 및 폴리싱 차이점
이 주제는 PTX 패킷 전송 라우터에서 사용할 수 있는 방화벽 및 폴리시 기능 목록을 제공하고 T 시리즈 라우터의 방화벽 및 폴리싱 기능과 비교합니다.
방화벽 필터
PTX 시리즈 패킷 전송 라우터의 Junos OS 방화벽 및 폴리싱 소프트웨어는 IPv4 필터, IPv6 필터, MPLS 필터, CCC 필터, 인터페이스 폴리싱, LSP 폴리싱, MAC 필터링, ARP 폴리싱, L2 폴리싱 및 기타 기능을 지원합니다. 예외는 아래에 명시되어 있습니다.
PTX 시리즈 패킷 전송 라우터는 다음을 지원하지 않습니다.
송신 포워딩 테이블 필터
MPLS/CCC를 위한 포워딩 테이블 필터
제품군 VPLS
PTX 시리즈 패킷 전송 라우터는 중첩된 방화벽 필터를 지원하지 않습니다.
filter
] 계층 수준의 문[edit firewall family family-name filter filter-name term term-name
은 비활성화됩니다.PTX 시리즈 패킷 전송 라우터에는 서비스 PIC가 없기 때문에 서비스 필터는 IPv4 및 IPv6 트래픽 모두에 대해 지원되지 않습니다. 계층 수준의 문
[edit firewall family (inet | inet6)]
은service-filter
비활성화됩니다.PTX 시리즈 패킷 전송 라우터는 단순 필터를 제외합니다. 이러한 필터는 기가비트 이더넷 지능형 큐잉(IQ2) 및 향상된 큐잉 고밀도 포트 집중기(EQ DPC) 인터페이스에서만 지원됩니다.
simple-filter
계층 수준의 문[edit firewall family inet)]
은 비활성화됩니다.물리적 인터페이스 필터링은 지원되지 않습니다.
physical-interface-filter
계층 수준의 문[edit firewall family family-name filter filter-name]
은 비활성화됩니다.접두사 작업 기능은 PTX 시리즈 패킷 전송 라우터에서 지원되지 않습니다. 계층 수준의 문
[edit firewall family inet]
은prefix-action
비활성화됩니다.T 시리즈 라우터에서는 데이터의 몇 가지 공통 특성을 지정하는 하나 이상의 계정 프로필을 설정하여 디바이스를 통과하는 트래픽에 대한 다양한 정보를 수집할 수 있습니다. PTX 시리즈 패킷 전송 라우터는 방화벽 필터에 대한 계정 구성을 지원하지 않습니다.
accounting-profile
계층 수준의 문[edit firewall family family-name filter filter-name]
은 비활성화됩니다.reject
루프백(lo0
) 인터페이스에서는 작업이 지원되지 않습니다. 인터페이스에 필터를lo0
적용하고 필터에 작업이 포함되어reject
있으면 오류 메시지가 나타납니다.PTX 시리즈 패킷 전송 라우터는 어그리게이션된 이더넷 논리적 인터페이스 일치 조건을 지원하지 않습니다. 그러나 하위 링크 인터페이스 일치는 지원됩니다.
PTX 시리즈 패킷 전송 라우터는 필터의 서로 다른 두 용어가 동일한 일치 조건을 갖지만 카운트가 다른 경우 두 카운트를 모두 표시합니다. T 시리즈 라우터는 한 번만 표시합니다.
PTX 시리즈 패킷 전송 라우터는 필터가 여러 인터페이스에 바인딩될 때 별도의 폴리서 인스턴스를 갖지 않습니다.
interface-specific
구성 문을 사용하여 구성을 생성합니다.PTX 시리즈 패킷 전송 라우터에서 수신 인터페이스에 CCC 캡슐화가 있는 경우 수신 CCC 인터페이스를 통해 들어오는 패킷은 송신 필터에 의해 처리되지 않습니다.
CCC 캡슐화의 경우, PTX 시리즈 패킷 전송 라우터는 송신 레이어 2 필터링을 위해 8바이트를 추가합니다. T 시리즈 라우터는 그렇지 않습니다. 따라서 PTX 시리즈 패킷 전송 라우터의 송신 카운터는 각 패킷에 대해 8바이트를 추가로 표시하여 폴리서 정확도에 영향을 미칩니다.
PTX 시리즈 패킷 전송 라우터에서 CLI 명령의
show pfe statistics traffic
출력에는 DMAC 및 SMAC 필터링에 의해 폐기된 패킷이 포함됩니다. T 시리즈 라우터에서는 MAC 필터가 FPC가 아닌 PIC에서 구현되기 때문에 명령 출력에는 이러한 폐기된 패킷이 포함되지 않습니다.PTX 방화벽을 통과하는 마지막 조각 패킷은 일치 조건과 일치
is-fragment
할 수 없습니다. 이 기능은 T 시리즈 라우터에서 지원됩니다.PTX 시리즈 패킷 전송 라우터에서 가능한 해결 방법은 동일한 작업으로 두 개의 개별 용어를 구성하는 것입니다. 한 용어에는 에
is-fragment
대한 일치 항목이 포함되고 다른 용어에는 에fragment-offset -except 0
대한 일치 항목이 포함됩니다.PTX 시리즈 패킷 전송 라우터에서 패킷 폐기가 100Mbps를 초과하면 MAC 일시 중지 프레임이 생성됩니다. 이 문제는 프레임 크기가 105바이트보다 작은 경우에만 발생합니다.
교통 정책
PTX 시리즈 패킷 전송 라우터의 Junos OS 방화벽 및 폴리싱 소프트웨어는 IPv4 필터, IPv6 필터, MPLS 필터, CCC 필터, 인터페이스 폴리싱, LSP 폴리싱, MAC 필터링, ARP 폴리싱, L2 폴리싱 및 기타 기능을 지원합니다. 예외는 아래에 명시되어 있습니다.
PTX 시리즈 패킷 전송 라우터는 ARP 폴리싱을 지원합니다. T 시리즈 라우터는 그렇지 않습니다.
PTX 시리즈 패킷 전송 라우터는 LSP 폴리싱을 지원하지 않습니다.
PTX 시리즈 패킷 전송 라우터는
hierarchical-policer
구성 문을 지원하지 않습니다. .PTX 시리즈 패킷 전송 라우터는
interface-set
구성 문을 지원하지 않습니다. 이 문은 여러 인터페이스를 하나의 명명된 인터페이스 집합으로 그룹화합니다.PTX 시리즈 패킷 전송 라우터는 일반 폴리서와 3색 폴리서 모두에 대해 다음과 같은 폴리서 유형을 지원하지 않습니다.
logical-bandwidth-policer
— 폴리서는 논리적 인터페이스 대역폭을 사용합니다.physical-interface-policer
— 폴리서는 물리적 인터페이스 폴리서입니다.shared-bandwidth-policer
— 번들 링크 간에 폴리서 대역폭을 공유합니다.
폴리서 작업과 포워딩 클래스, 손실 우선 순위 작업이 동일한 규칙( 멀티필드 분류) 내에서 구성되면, PTX 시리즈 패킷 전송 라우터는 T 시리즈 라우터와 다르게 작동합니다. 아래 그림과 같이 필터에서 두 가지 규칙을 구성하여 PTX 필터가 T 시리즈 필터와 동일하게 동작하도록 할 수 있습니다.
PTX 시리즈 구성:
rule-1 { match: {x, y, z} action: {forwarding-class, loss-prio, next} } rule-2 { match: {x, y, z} action: {policer} }
T 시리즈 구성:
rule-1 { match: {x, y, z} action: {forwarding-class, loss-prio, policer} }