Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de los perfiles de filtro de firewall en enrutadores de la serie ACX (Junos OS evolucionado)

Perfiles de filtro de firewall en enrutadores de la serie ACX (Junos OS evolucionado)

Junos OS Evolved admite dos perfiles predefinidos para la entrada de filtros profile-one de firewall IPv6 y profile-two. Cada perfil admite un subconjunto de condiciones de coincidencia de filtro de firewall IPv6. Los perfiles están asociados a diferentes categorías de perfiles. Las categorías de perfil son una forma de distinguir los filtros de firewall según la dirección y el tipo de interfaz. Las categorías de perfil son a saber, ingress-inet6-user-acl y ingress-inet6-lo0-acl. A partir de 24.4R1, también se introduce una nueva categoría egress-inet6-user-acl .

  • ingress-inet6-user-acl la categoría de perfil es para filtros de firewall con condiciones (y acciones) de coincidencia IPv6 aplicadas en la entrada en la interfaz enrutada de capa 3 o en la instancia de enrutamiento.

  • ingress-inet6-lo0-acl la categoría de perfil es para filtros de firewall con condiciones (y acciones) de coincidencia IPv6 aplicadas en la entrada en interfaces de circuito cerrado.

A partir de la 24.4R1:

  • egress-inet6-user-acl la categoría de perfil es para filtros de firewall con condiciones (y acciones) de coincidencia IPv6 aplicadas a la salida de la interfaz enrutada de capa 3.

Puede aplicar perfiles a categorías de perfil de forma combinada o por separado.

  • Para ingress-inet6-user-acl las categorías y ingress-inet6-lo0-acl perfil, puede utilizar la siguiente instrucción de configuración para definir profile-one o profile-two para ambas categorías de perfil combinadas. En cualquier momento, solo se aplicará un perfil para ambas categorías de perfiles.

  • A partir de la versión 24.4R1, para aplicar profile-one o profile-two solo a la categoría de ingress-inet6-lo0-acl perfil, utilice la siguiente instrucción de configuración.

  • A partir de la versión 24.4R1, para aplicar profile-one o profile-two solo a la categoría de egress-inet6-user-acl perfil, utilice la siguiente instrucción de configuración.

Nota:
  • De forma predeterminada, profile-two está activo para todas las categorías de perfil.

  • El motor de reenvío de paquetes (PFE) se reinicia automáticamente cuando hay una diferencia en la configuración del perfil para que las nuevas configuraciones surtan efecto.

  • Antes de 24.4R1:

    • show evo-pfemand filter profile-summary se puede utilizar para mostrar el perfil actual que se está utilizando.

    • show evo-pfemand filter profile-info se puede utilizar para mostrar información de perfil para todos los perfiles.

    • show evo-pfemand filter hw summary se puede utilizar para mostrar el perfil actual vigente incluso en versiones anteriores (anteriores a 23.1R1).

    Después de 24.4R1:

    • show system packet-forwarding-options firewall-profile profile-summary se puede utilizar para mostrar el perfil actual en vigor para todas las categorías de perfil.

    • show system packet-forwarding-options firewall-profile profile-info Se puede utilizar para mostrar información de perfil para todos los perfiles en todas las categorías de perfil.

  • Las configuraciones para todas las categorías de perfil pueden coexistir juntas.

A continuación se muestran las diferencias en las condiciones de coincidencia de filtro de firewall compatibles en los perfiles. Otras coincidencias y acciones compatibles con ambos perfiles no se enumeran aquí.

Tabla 1: Los filtros de firewall IPv6 de entrada/salida coinciden con las condiciones

Condiciones de coincidencia del filtro de firewall

Perfil Dos

Perfil Uno

dirección de origen (hasta 64 bits)

source-prefix-list (hasta 64 bits)

Lista de prefijos (hasta 64 bits)

dirección de origen (hasta 128 bits)

No

source-prefix-list (hasta 128 bits)

No

Lista de prefijos (hasta 128 bits)

No

límite de salto

No

Establecido por TCP

No

Indicadores TCP

No

TCP-inicial

No

clase de tráfico

No

Tabla 2: Los filtros del firewall de retorno de entrada (Lo0) coinciden con las condiciones

Condiciones de coincidencia del filtro de firewall

Perfil Dos

Perfil Uno

dirección de destino (hasta 64 bits)

lista de prefijos de destino (hasta 64 bits)

Lista de prefijos (hasta 64 bits)

dirección de destino (hasta 128 bits)

No

lista de prefijos de destino (hasta 128 bits)

No

Lista de prefijos (hasta 128 bits)

No

límite de salto

No

Establecido por TCP

No

Indicadores TCP

No

TCP-inicial

No

clase de tráfico

No

Tabla 3: Puntos de enlace admitidos

Punto de enlace

Perfil dos (ingreso)

Perfil dos (circuito cerrado de entrada)

Perfil uno (ingreso)

Perfil uno (bucle invertido de entrada)

Filtro de tabla de reenvío (FTF)

NA

No

NA

Filtro BGP Flow-spec

NA

No

NA

Instancia de enrutamiento no predeterminada ( lo0.1, lo0.2 etc.)

NA

NA

No