Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Diferencias de firewall y de políticas entre enrutadores de transporte de paquetes de serie PTX y enrutadores de matriz serie T

En este tema se proporciona una lista de características de firewall y policier disponibles en enrutadores de transporte de paquetes PTX y se comparan con características de firewall y de políticas en enrutadores serie T.

Filtros de cortafuegos

Junos OS cortafuegos y software de políticas en enrutadores de transporte de paquetes serie PTX admite filtros IPv4, filtros IPv6, MPLS filtros, CCC filtros, políticas de interfaz, políticas LSP, filtros de equipos MAC, políticas ARP, políticas de seguridad a nivel de seguridad y otras funciones. Las excepciones se indican a continuación.

  • Serie PTX enrutadores de transporte de paquetes no son compatibles con:

    • Filtros de tabla de envío de salida

    • Filtros de tabla de reenvío MPLS/CCC

    • VPLS familiar

  • Serie PTX enrutadores de transporte de paquetes no admiten filtros de Firewall anidados. La filter instrucción en el [edit firewall family family-name filter filter-name term term-namenivel] de la jerarquía está deshabilitada.

  • Dado que no hay ninguna foto de servicio en los enrutadores de transporte de paquetes serie PTX, no se admiten filtros de servicio para el tráfico IPv4 e IPv6. La service-filter instrucción en [edit firewall family (inet | inet6)] el nivel jerárquico está deshabilitada.

  • Los enrutadores de transporte de paquetes serie PTX excluyen a los filtros simples. Estos filtros son compatibles solamente con las interfaces de puesta en cola inteligente (IQ2) Gigabit Ethernet y de cola de Concentrador de puerto compacto (EC DPC). La simple-filter instrucción en el [edit firewall family inet)] nivel jerárquico está deshabilitada.

  • No se admite el filtrado de interfaz físico. La physical-interface-filter instrucción en el [edit firewall family family-name filter filter-name] nivel jerárquico está deshabilitada.

  • La característica de acción de prefijo no es compatible con enrutadores de transporte de paquetes serie PTX. La prefix-action instrucción en [edit firewall family inet] el nivel jerárquico está deshabilitada.

  • En serie T enrutadores, puede recopilar diversa información acerca del tráfico que pasa a través del dispositivo estableciendo uno o varios perfiles de contabilidad que especifican algunas características comunes de los datos. Los enrutadores de transporte de paquetes serie PTX no admiten configuraciones de cuentas para filtros del firewall. La accounting-profile instrucción en el [edit firewall family family-name filter filter-name] nivel jerárquico está deshabilitada.

  • La reject acción no es compatible con la interfaz delo0bucle de retroceso (). Si aplica un filtro a la lo0 interfaz y el filtro incluye una reject acción, aparecerá un mensaje de error.

  • Serie PTX enrutadores de transporte de paquetes no admiten condiciones de coincidencia de interfaces lógicas Ethernet agregadas. Sin embargo, se admite la coincidencia de interfaz de vínculo secundario.

  • Serie PTX enrutadores de transporte de paquetes muestra ambos recuentos si dos términos distintos en un filtro tienen la misma condición de coincidencia, pero tienen recuentos diferentes. Los enrutadores serie T muestran solamente un recuento de un número.

  • Serie PTX enrutadores de transporte de paquetes no tienen instancias de policía independientes cuando un filtro está enlazado a varias interfaces. Utilice la interface-specific instrucción de configuración para crear la configuración.

  • En serie PTX enrutadores de transporte de paquetes, cuando una interfaz de Ingress tiene encapsulación CCC, los paquetes que entran a través de la interfaz CCC de entrada no serán procesados por los filtros de salida.

  • Para la encapsulación CCC, los enrutadores de transporte de paquetes serie PTX anexan 8 bytes adicionales para el filtrado de la capa de salida 2. Los enrutadores serie T no lo hacen. Por lo tanto, los contadores de salida de serie PTX enrutadores de transporte de paquetes muestran ocho bytes adicionales para cada paquete, lo que afecta a la precisión de los responsables de la policía.

  • En serie PTX enrutadores de transporte de paquetes, show pfe statistics traffic la salida del comando de CLI incluye los paquetes descartados por el filtrado de DMAC y SMAC. En serie T enrutadores, la salida del comando no incluye estos paquetes descartados porque los filtros de MAC se implementan en el PIC y no en el FPC.

  • La condición is-fragment coincidente no puede hacer coincidir el último paquete fragmentado que pasa a través de un firewall PTX. Esta característica es compatible con enrutadores de serie T.

    Una posible solución en los enrutadores serie PTX de transporte de paquetes consiste en configurar dos términos independientes con las mismas acciones: un término contiene una coincidencia is-fragment y el otro término contiene una coincidencia con. fragment-offset -except 0

  • En serie PTX enrutadores de transporte de paquetes, las tramas de las pausas de MAC se generan cuando las descartaciones de paquetes superan los 100 Mbps. Esto solo ocurre para tamaños de marco con menos de 105 bytes.

Policiers de tráfico

Junos OS cortafuegos y software de políticas en enrutadores de transporte de paquetes serie PTX admite filtros IPv4, filtros IPv6, MPLS filtros, CCC filtros, políticas de interfaz, políticas LSP, filtros de equipos MAC, políticas ARP, políticas de seguridad a nivel de seguridad y otras funciones. Las excepciones se indican a continuación.

  • Los enrutadores de transporte de paquetes serie PTX admiten políticas ARP. Los enrutadores serie T no lo hacen.

  • Serie PTX enrutadores de transporte de paquetes no admiten las políticas del LSP.

  • Serie PTX enrutadores de transporte de paquetes no hierarchical-policer admiten la instrucción de configuración. .

  • Serie PTX enrutadores de transporte de paquetes no interface-set admiten la instrucción de configuración. Esta instrucción agrupa varias interfaces en un único conjunto de interfaz con nombre.

  • Serie PTX enrutadores de transporte de paquetes no admiten los siguientes tipos de policía para las políticas normales y las de tres colores:

    • logical-bandwidth-policer : el agente de policía utiliza el ancho de banda de la interfaz lógica.

    • physical-interface-policer : el agente de policía es un agente de policía de interfaz física.

    • shared-bandwidth-policer — Comparta el ancho de banda del agente de policía entre los enlaces del paquete.

  • Cuando una acción de policía o de clase de reenvío, las acciones de pérdida de prioridad se configuran dentro de la misma regla (una clasificación multicampo), el serie PTX enrutadores de transporte de paquetes funcionan de manera diferente que serie T enrutadores. Como se muestra a continuación, puede configurar dos reglas en el filtro para que el filtro PTX se comporte del mismo modo que el filtro serie T:

    Configuración de serie PTX:

    Configuración de serie T: