Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Información general sobre instancias de filtro de Firewall específicas de interfaz

Creación de instancias de filtros de Firewall específicos de la interfaz

En enrutadores serie T, M120, M320, serie MX y conmutadores serie EX, puede habilitar el Junos OS para crear automáticamente una instancia específica de interfaz de un filtro de firewall para cada interfaz a la que aplique el filtro. Si habilita la creación de instancias específicas de interfaz de un filtro de firewall y, a continuación, aplica ese filtro count a varias policer interfaces, cualquier acción o acción configurada en los términos del filtro actuará sobre el flujo de tráfico entrando o saliendo de cada independientemente de la suma de tráfico en las distintas interfaces.

Puede activar esta opción por filtro de cortafuegos si incluye interface-specific la instrucción en la configuración del filtro.

Nota:

En serie T, M120, M320, enrutadores serie MX y conmutadores serie EX, las interfaces se distribuyen entre varios componentes de reenvío de paquetes.

El filtrado de firewall específico de interfaz no se admite en enrutadores M Series distintos de los enrutadores M120 y M320 específicos. Si aplica un filtro de firewall a varias interfaces en un enrutador de M Series distinto de los enrutadores M120 o M320, el filtro actúa en la suma del tráfico que entra o sale de estas interfaces.

El filtrado de Firewall específico de la interfaz se admite para filtros de Firewall estándar sin estado y para filtros de servicio. Las instancias específicas de interfaz no se admiten con filtros simples.

Nombres específicos de interfaces para instancias de filtro de Firewall

Cuando el Junos OS crea una instancia independiente de un filtro de firewall para una interfaz lógica, la instancia se asocia con un nombre específico de interfaz. El nombre generado por el sistema de una instancia de filtro de firewall se compone del nombre del filtro configurado seguido de un guión (' '), el nombre de interfaz completo y ' ' ' para una instancia de filtro de entrada o ' para una instancia de filtro de --i-o salida.

  • Input filter instance name: por ejemplo, si se aplica el filtro de firewall específico de la interfaz a la entrada en la interfaz lógica, Junos OS instancia una instancia de filtro específica de interfaz con el siguiente nombre generado por el filter_s_tcpat-1/1/1.0 sistema:

  • Output filter instance name: por ejemplo, si se aplica el filtro de firewall específico de la interfaz al resultado en la interfaz lógica, Junos OS instancia una instancia de filtro específica de interfaz con el siguiente nombre generado por el filter_s_tcpge-2/2/2.2 sistema:

Puede usar el nombre específico de la interfaz de una instancia de filtro cuando escriba un comando de modo operativo Junos OS que especifique un nombre de filtro de firewall sin estado.

Consejo:

Cuando configure un filtro de firewall con instancias específicas de interfaz habilitadas, recomendamos que limite el nombre del filtro a 52 bytes de longitud. Esto se debe a que los nombres de filtros de firewall están restringidos a 64 bytes de longitud. Si un nombre de instancia de filtro generado por el sistema supera esta longitud máxima, es posible que el software Framework de la Directiva rechace el nombre de instancia.

Contadores de filtro de cortafuegos específicos de interfaz

La creación de instancias de filtros de Firewall específicos de la interfaz hace que la motor de reenvío de paquetes Mantenga los contadores para el filtro de Firewall por separado para cada interfaz. Especifica los contadores específicos de la interfaz por término de filtro de Firewall especificando la count counter-name acción de no terminación.

El nombre generado por el sistema de un contador de filtro de firewall específico de una interfaz se compone del nombre del contador configurado seguido de un guión (' '), el nombre de interfaz completo y ya sea ' ' para una instancia de filtro de entrada o ' para una instancia de filtro de --i-o salida.

  • Interface-specific input filter counter name: por ejemplo, suponga que configura el contador de filtros count_tcp para un filtro de firewall específico para una interfaz. Si se aplica el filtro a la entrada en la interfaz lógica, el Junos OS crea el siguiente nombre de contador generado at-1/1/1.0 por el sistema:

  • Interface-specific output filter counter name: por ejemplo, suponga que configura el contador de filtros count_udp para un filtro de firewall específico para una interfaz. Si el filtro se aplica al resultado en la interfaz lógica, el Junos OS crea el siguiente nombre de contador ge-2/2/2.2 generado por el sistema:

Políticas de filtro de cortafuegos específicas de la interfaz

La creación de instancias de filtros de Firewall específicos de la interfaz no solo crea instancias independientes de los contadores de filtro de firewall, sino que también crea instancias independientes de cualquier acción de policía. Cualquier policía aplicada mediante una acción especificada en la configuración del filtro del cortafuegos se aplica por separado a cada interfaz del grupo de interfaces. Puede especificar las políticas específicas de interfaz por término de filtro de Firewall especificando policer policer-name la acción de no terminación.