Descripción general de los perfiles de filtro de firewall en enrutadores de la serie ACX (Junos OS evolucionado)
Perfiles de filtro de firewall en enrutadores de la serie ACX (Junos OS evolucionado)
Junos OS Evolved admite dos perfiles predefinidos para la entrada de filtros profile-one
de firewall IPv6 y profile-two
. Cada perfil admite un subconjunto de condiciones de coincidencia de filtro de firewall IPv6. Los perfiles están asociados a diferentes categorías de perfiles. Las categorías de perfil son una forma de distinguir los filtros de firewall según la dirección y el tipo de interfaz. Las categorías de perfil son a saber, ingress-inet6-user-acl
y ingress-inet6-lo0-acl
. A partir de 24.4R1, también se introduce una nueva categoría egress-inet6-user-acl
.
-
ingress-inet6-user-acl
la categoría de perfil es para filtros de firewall con condiciones (y acciones) de coincidencia IPv6 aplicadas en la entrada en la interfaz enrutada de capa 3 o en la instancia de enrutamiento. -
ingress-inet6-lo0-acl
la categoría de perfil es para filtros de firewall con condiciones (y acciones) de coincidencia IPv6 aplicadas en la entrada en interfaces de circuito cerrado.
A partir de la 24.4R1:
-
egress-inet6-user-acl
la categoría de perfil es para filtros de firewall con condiciones (y acciones) de coincidencia IPv6 aplicadas a la salida de la interfaz enrutada de capa 3.
Puede aplicar perfiles a categorías de perfil de forma combinada o por separado.
-
Para
ingress-inet6-user-acl
las categorías yingress-inet6-lo0-acl
perfil, puede utilizar la siguiente instrucción de configuración para definirprofile-one
oprofile-two
para ambas categorías de perfil combinadas. En cualquier momento, solo se aplicará un perfil para ambas categorías de perfiles.set system packet-forwarding-options firewall-profile profile-one>/<profile-two
-
A partir de la versión 24.4R1, para aplicar
profile-one
oprofile-two
solo a la categoría deingress-inet6-lo0-acl
perfil, utilice la siguiente instrucción de configuración.set system packet-forwarding-options firewall-profile ingress lo0-inet6 profile-one/profile-two
-
A partir de la versión 24.4R1, para aplicar
profile-one
oprofile-two
solo a la categoría deegress-inet6-user-acl
perfil, utilice la siguiente instrucción de configuración.set system packet-forwarding-options firewall-profile egress inet6 profile-one/profile-two
-
De forma predeterminada,
profile-two
está activo para todas las categorías de perfil. -
El motor de reenvío de paquetes (PFE) se reinicia automáticamente cuando hay una diferencia en la configuración del perfil para que las nuevas configuraciones surtan efecto.
-
Antes de 24.4R1:
-
show evo-pfemand filter profile-summary
se puede utilizar para mostrar el perfil actual que se está utilizando. -
show evo-pfemand filter profile-info
se puede utilizar para mostrar información de perfil para todos los perfiles. -
show evo-pfemand filter hw summary
se puede utilizar para mostrar el perfil actual vigente incluso en versiones anteriores (anteriores a 23.1R1).
Después de 24.4R1:
-
show system packet-forwarding-options firewall-profile profile-summary
se puede utilizar para mostrar el perfil actual en vigor para todas las categorías de perfil. -
show system packet-forwarding-options firewall-profile profile-info
Se puede utilizar para mostrar información de perfil para todos los perfiles en todas las categorías de perfil.
-
-
Las configuraciones para todas las categorías de perfil pueden coexistir juntas.
A continuación se muestran las diferencias en las condiciones de coincidencia de filtro de firewall compatibles en los perfiles. Otras coincidencias y acciones compatibles con ambos perfiles no se enumeran aquí.
Condiciones de coincidencia del filtro de firewall |
Perfil Dos |
Perfil Uno |
---|---|---|
dirección de origen (hasta 64 bits) |
Sí |
Sí |
source-prefix-list (hasta 64 bits) |
Sí |
Sí |
Lista de prefijos (hasta 64 bits) |
Sí |
Sí |
dirección de origen (hasta 128 bits) |
No |
Sí |
source-prefix-list (hasta 128 bits) |
No |
Sí |
Lista de prefijos (hasta 128 bits) |
No |
Sí |
límite de salto |
Sí |
No |
Establecido por TCP |
Sí |
No |
Indicadores TCP |
Sí |
No |
TCP-inicial |
Sí |
No |
clase de tráfico |
Sí |
No |
Condiciones de coincidencia del filtro de firewall |
Perfil Dos |
Perfil Uno |
---|---|---|
dirección de destino (hasta 64 bits) |
Sí |
Sí |
lista de prefijos de destino (hasta 64 bits) |
Sí |
Sí |
Lista de prefijos (hasta 64 bits) |
Sí |
Sí |
dirección de destino (hasta 128 bits) |
No |
Sí |
lista de prefijos de destino (hasta 128 bits) |
No |
Sí |
Lista de prefijos (hasta 128 bits) |
No |
Sí |
límite de salto |
Sí |
No |
Establecido por TCP |
Sí |
No |
Indicadores TCP |
Sí |
No |
TCP-inicial |
Sí |
No |
clase de tráfico |
Sí |
No |
Punto de enlace |
Perfil dos (ingreso) |
Perfil dos (circuito cerrado de entrada) |
Perfil uno (ingreso) |
Perfil uno (bucle invertido de entrada) |
---|---|---|---|---|
Filtro de tabla de reenvío (FTF) |
Sí |
NA |
No |
NA |
Filtro BGP Flow-spec |
Sí |
NA |
No |
NA |
Instancia de enrutamiento no predeterminada ( lo0.1, lo0.2 etc.) |
NA |
Sí |
NA |
No |