Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de las instancias de filtro de firewall específicas de la interfaz

Instanciación de filtros de firewall específicos de interfaz

En los enrutadores serie T, M120, M320 y MX, puede habilitar Junos OS para crear automáticamente una instancia específica de interfaz de un filtro de firewall para cada interfaz a la que aplique el filtro. Si habilita la instanciación específica de una interfaz de un filtro de firewall y, a continuación, aplica ese filtro a varias interfaces, cualquier count acción o policer acción configurada en los términos de filtro actuará en la secuencia de tráfico que entra o sale de cada interfaz individual, independientemente de la suma de tráfico en las varias interfaces.

Puede habilitar esta opción por filtro de firewall incluyendo la interface-specific instrucción en la configuración del filtro.

Nota:

En los enrutadores serie T, M120, M320 y MX, las interfaces se distribuyen entre varios componentes de reenvío de paquetes.

El filtrado de firewall específico de la interfaz no se admite en enrutadores serie M que no estén en los enrutadores M120 y M320. Si aplica un filtro de firewall a varias interfaces en un enrutador serie M distinto de los enrutadores M120 o M320, el filtro actúa en la suma del tráfico que entra o sale de esas interfaces.

El filtrado de firewall específico de la interfaz se admite para filtros de firewall sin estado estándar y para filtros de servicio. No se admiten instancias específicas de interfaz para filtros simples.

Nota:

Un filtro de firewall no puede ser tanto específico de interfaz como compartido.

Nombres específicos de interfaz para instancias de filtro de firewall

Cuando Junos OS crea una instancia independiente de un filtro de firewall para una interfaz lógica, la instancia se asocia con un nombre específico de la interfaz. El nombre generado por el sistema de una instancia de filtro de firewall consta del nombre del filtro configurado seguido de un guión (''-), el nombre completo de la interfaz y '-i' para una instancia de filtro de entrada o ''-o para una instancia de filtro de salida.

  • Input filter instance name— Por ejemplo, si aplica el filtro filter_s_tcp de firewall específico de la interfaz a la entrada en la interfaz at-1/1/1.0lógica, Junos OS instancia una instancia de filtro específico de interfaz con el siguiente nombre generado por el sistema:

  • Output filter instance name—Por ejemplo, si aplica el filtro filter_s_tcp de firewall específico de la interfaz a la salida en la interfaz so-2/2/2.2lógica, Junos OS instancia una instancia de filtro específico de interfaz con el siguiente nombre generado por el sistema:

Puede usar el nombre específico de la interfaz de una instancia de filtro cuando escriba un comando de modo operativo de Junos OS que especifique un nombre de filtro de firewall sin estado.

Consejo:

Cuando configure un filtro de firewall con instancias específicas de interfaz habilitadas, le recomendamos que limite el nombre del filtro a 52 bytes de longitud. Esto se debe a que los nombres de filtro de firewall están restringidos a 64 bytes de longitud. Si un nombre de instancia de filtro generado por el sistema supera esta longitud máxima, el software de marco de políticas puede rechazar el nombre de instancia.

Contadores de filtro de firewall específicos de la interfaz

La instanciación de filtros de firewall específicos de interfaz hace que el motor de reenvío de paquetes mantenga cualquier contador para el filtro de firewall por separado para cada interfaz. Se especifican contadores específicos de interfaz por término de filtro de firewall especificando la count counter-name acción de no terminación.

El nombre generado por el sistema de un contador de filtros de firewall específico de interfaz consta del nombre del contador configurado seguido de un guión ('-'), el nombre completo de la interfaz y '-i' para una instancia de filtro de entrada o ''-o para una instancia de filtro de salida.

  • Interface-specific input filter counter name— Por ejemplo, suponga que configura el contador count_tcp de filtros para un filtro de firewall específico de la interfaz. Si el filtro se aplica a la entrada en la interfaz at-1/1/1.0lógica, Junos OS crea el siguiente nombre de contador generado por el sistema:

  • Interface-specific output filter counter name— Por ejemplo, suponga que configura el contador count_udp de filtros para un filtro de firewall específico de la interfaz. Si el filtro se aplica a la salida en la interfaz so-2/2/2.2lógica, Junos OS crea el siguiente nombre de contador generado por el sistema:

Policías de filtro de firewall específicos de interfaz

La instanciación de filtros de firewall específicos de la interfaz no solo crea instancias separadas de cualquier contador de filtro de firewall, sino que también crea instancias separadas de cualquier acción de policía. Cualquier agente de políticas aplicado a través de una acción especificada en la configuración del filtro de firewall se aplica por separado a cada interfaz del grupo de interfaz. Para especificar los policias específicos de la interfaz por término de filtro de firewall, se especifica la policer policer-name acción de no finalización.