Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Diferencias de firewall y políticas entre los enrutadores de transporte de paquetes serie PTX y los enrutadores de matriz serie T

En este tema, se proporciona una lista de las funciones de firewall y policía disponibles en los enrutadores de transporte de paquetes PTX, y se las compara con las funciones de firewall y vigilancia en enrutadores serie T.

Filtros de firewall

El software de control y firewall Junos OS en los enrutadores de transporte de paquetes serie PTX admite filtros IPv4, filtros IPv6, filtros MPLS, filtros CCC, policía de interfaz, policía de LSP, filtrado de MAC, policía ARP, vigilancia de LSP, vigilancia de L2 y otras funciones. A continuación, se señalan excepciones.

  • Los enrutadores de transporte de paquetes de la serie PTX no admiten:

    • Filtros de tabla de reenvío de salida

    • Filtros de tabla de reenvío para MPLS/CCC

    • Familia VPLS

  • Los enrutadores de transporte de paquetes de la serie PTX no admiten filtros de firewall anidados. La filter instrucción en el [edit firewall family family-name filter filter-name term term-namenivel de jerarquía ] está deshabilitada.

  • Dado que no hay PIC de servicio presente en los enrutadores de transporte de paquetes serie PTX, los filtros de servicio no son compatibles con el tráfico IPv4 e IPv6. La service-filter instrucción en el [edit firewall family (inet | inet6)] nivel de jerarquía está deshabilitada.

  • Los enrutadores de transporte de paquetes de la serie PTX excluyen filtros simples. Estos filtros solo se admiten en las interfaces de las colas inteligentes (IQ2) de Gigabit Ethernet y del concentrador de puertos densos de cola mejorada (EQ DPC). La simple-filter instrucción en el [edit firewall family inet)] nivel de jerarquía está deshabilitada.

  • No se admite el filtrado de interfaz física. La physical-interface-filter instrucción en el [edit firewall family family-name filter filter-name] nivel de jerarquía está deshabilitada.

  • La función de acción del prefijo no se admite en enrutadores de transporte de paquetes serie PTX. La prefix-action instrucción en el [edit firewall family inet] nivel de jerarquía está deshabilitada.

  • En los enrutadores serie T, puede recopilar una variedad de información sobre el tráfico que pasa por el dispositivo mediante la configuración de uno o más perfiles de contabilidad que especifiquen algunas características comunes de los datos. Los enrutadores de transporte de paquetes serie PTX no admiten configuraciones de contabilidad para filtros de firewall. La accounting-profile instrucción en el [edit firewall family family-name filter filter-name] nivel de jerarquía está deshabilitada.

  • La reject acción no se admite en la interfaz de circuito cerrado (lo0). Si aplica un filtro a la lo0 interfaz y el filtro incluye una reject acción, aparecerá un mensaje de error.

  • Los enrutadores de transporte de paquetes de la serie PTX no admiten condiciones de coincidencia de interfaz lógica Ethernet agregadas. Sin embargo, se admite una coincidencia de interfaz de vínculo secundario.

  • Los enrutadores de transporte de paquetes serie PTX muestran ambos recuentos si dos términos diferentes en un filtro tienen la misma condición de coincidencia, pero tienen recuentos diferentes. Los enrutadores serie T muestran una sola cuenta.

  • Los enrutadores de transporte de paquetes serie PTX no tienen instancias de policía independientes cuando un filtro está vinculado a varias interfaces. Utilice la interface-specific instrucción configuration para crear la configuración.

  • En los enrutadores de transporte de paquetes serie PTX, cuando una interfaz de entrada tiene encapsulación CCC, los paquetes que llegan a través de la interfaz CCC de entrada no se procesarán mediante los filtros de salida.

  • Para la encapsulación CCC, los enrutadores de transporte de paquetes serie PTX anexan 8 bytes adicionales para el filtrado de la capa 2 de salida. Los enrutadores serie T no lo hacen. Por lo tanto, los contadores de salida en los enrutadores de transporte de paquetes serie PTX muestran ocho bytes adicionales para cada paquete, lo que afecta la precisión del agente de policía.

  • En los enrutadores de transporte de paquetes de la serie PTX, la show pfe statistics traffic salida del comando de la CLI incluye los paquetes descartados por el filtrado de DMAC y SMAC. En los enrutadores serie T, la salida de comando no incluye estos paquetes descartados porque los filtros MAC se implementan en la PIC y no en la FPC.

  • El paquete de último fragmento que pasa por un firewall PTX no puede coincidir con la is-fragment condición de coincidencia. Esta función es compatible con enrutadores serie T.

    Una posible solución en los enrutadores de transporte de paquetes serie PTX es configurar dos términos independientes con las mismas acciones: un término contiene una coincidencia con is-fragment y el otro término contiene una coincidencia con fragment-offset -except 0.

  • En los enrutadores de transporte de paquetes de la serie PTX, las tramas de pausa mac se generan cuando los descartes de paquetes superan los 100 Mbps. Esto ocurre solo para tamaños de trama inferiores a 105 bytes.

Policías de tráfico

El software de control y firewall Junos OS en los enrutadores de transporte de paquetes serie PTX admite filtros IPv4, filtros IPv6, filtros MPLS, filtros CCC, policía de interfaz, policía de LSP, filtrado de MAC, policía ARP, vigilancia de LSP, vigilancia de L2 y otras funciones. A continuación, se señalan excepciones.

  • Los enrutadores de transporte de paquetes de la serie PTX admiten la política ARP. Los enrutadores serie T no lo hacen.

  • Los enrutadores de transporte de paquetes de la serie PTX no admiten políticas de LSP.

  • Los enrutadores de transporte de paquetes serie PTX no admiten la instrucción de hierarchical-policer configuración. .

  • Los enrutadores de transporte de paquetes serie PTX no admiten la instrucción de interface-set configuración. Esta instrucción agrupa varias interfaces en un único conjunto de interfaces denominado.

  • Los enrutadores de transporte de paquetes de la serie PTX no admiten los siguientes tipos de polis, tanto para los policiadores normales como para los de tres colores:

    • logical-bandwidth-policer — Policer utiliza ancho de banda de interfaz lógica.

    • physical-interface-policer — Policer es un agente de policía de interfaz física.

    • shared-bandwidth-policer — Compartir ancho de banda de policía entre los enlaces de paquetes.

  • Cuando una acción de policía y una clase de reenvío, acciones de prioridad de pérdida se configuran dentro de la misma regla (una clasificación de varios campos), los enrutadores de transporte de paquetes de la serie PTX funcionan de manera diferente a los enrutadores de la serie T. Como se muestra a continuación, puede configurar dos reglas en el filtro para que el filtro PTX se comporte igual que el filtro de la serie T:

    Configuración de la serie PTX:

    Configuración de la serie T:

Temas relacionados