Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Обзор экземпляров фильтров межсетевых экранов, определенных интерфейсом

Мгновение фильтров межсетевых экранов, специфических для интерфейсов

На серия T, M120, M320, серия MX, а также коммутаторов серии EX можно автоматически создать на Junos OS экземпляр фильтра межсетевых экранов для каждого интерфейса, к которому применяется фильтр. Если включить настройку фильтра межсетевых экранов в зависимости от интерфейса и затем применить его к нескольким интерфейсам, любые действия или действия, настроенные в терминах фильтра, действуют в отношении потока трафика, в который входит или выходит каждый отдельный интерфейс, независимо от суммы трафика на нескольких countpolicer интерфейсах.

Эту возможность можно включить для каждого фильтра межсетевых экранов, включив interface-specific утверждение в конфигурацию фильтра.

Прим.:

На серия T, M120, M320, серия MX маршрутизаторах и коммутаторах серии EX интерфейсы распределены между несколькими компонентами переададаторов пакетов.

Фильтрация межсетевых экранов, относя к интерфейсу, не поддерживается M Series, кроме M120 и M320 маршрутизаторов. При применении фильтра брандмауэра к нескольким интерфейсам на M Series, за исключением M120 или M320 маршрутизаторов, фильтр действует на сумме трафика, входного или выйдите из этих интерфейсов.

Фильтрация межсетевых экранов, относяскаяся к интерфейсам, поддерживается для стандартных фильтров межсетевых экранов без с состоянием состояния, а также для фильтров служб. Для простых фильтров не поддерживаются отдельные интерфейсные экземпляры.

Имена фильтров межсетевых экранов, специфические для интерфейсов

Когда Junos OS создает отдельный экземпляр фильтра брандмауэра для логического интерфейса, экземпляр связывается с конкретным интерфейсом именем. Имя фильтра брандмауэра, сформированное системой, состоит из имени настроенного фильтра, за которым следует дефис ('), полное имя интерфейса и « для экземпляра входного фильтра или» для экземпляра фильтра --i-o вывода.

  • Input filter instance name—Например, если применить фильтр межсетевых экранов, специфический к интерфейсу, на входе в логическом интерфейсе, Junos OS экземпляр фильтра, который будет явнее использовать для интерфейса, и следующее сгенерированное системой filter_s_tcpat-1/1/1.0 имя:

  • Output filter instance name— Например, если применить фильтр межсетевых экранов, специфический к интерфейсу, к выходным данным на логическом интерфейсе, Junos OS экземпляр фильтра, который будет явнее использовать для интерфейса, и следующее сгенерированное системой filter_s_tcpge-2/2/2.2 имя:

Можно использовать определенное интерфейсом имя экземпляра фильтра при вводе команды Junos OS operational mode, которая указывает имя фильтра межсетевых экранов без с состоянием состояния.

Совет:

При настройке фильтра брандмауэра с включенными экземплярами, определенными интерфейсом, рекомендуется ограничить длину имени фильтра 52байтами. Дело в том, что длина имен фильтров межсетевых экранов ограничена 64байтами. Если сформированное системой имя экземпляра фильтра превышает максимальную длину, программное обеспечение системы политик может отклонить имя экземпляра.

Счетчики фильтров межсетевых экранов, специфических для интерфейсов

Мгновенное мигание интерфейсных фильтров межсетевых экранов приводит к модуль передачи пакетов счетчиков фильтра межсетевых экранов отдельно для каждого интерфейса. Для каждого термина фильтра межсетевых экранов необходимо указать специфические для интерфейса счетчики, указав действие count counter-name без прерывания.

Имя системного имени счетчика фильтров межсетевых экранов, определенного интерфейсу, состоит из имени настроенного счетчика, за которым следует дефис ('), полное имя интерфейса и имя вводимого экземпляра фильтра или' для экземпляра фильтра --i-o вывода.

  • Interface-specific input filter counter name—Например, предположим, что счетчик фильтров настроен для count_tcp фильтра межсетевых экранов, заме- Если фильтр применяется к входным данным на логическом интерфейсе, Junos OS at-1/1/1.0 создает следующее системное имя счетчика:

  • Interface-specific output filter counter name—Например, предположим, что счетчик фильтров настроен для count_udp фильтра межсетевых экранов, заме- Если фильтр применяется к выходным данным на логическом ge-2/2/2.2 интерфейсе, Junos OS создает следующее системное имя счетчика:

Фильтры межсетевых экранов, специфические для интерфейса

Мгновенное создание фильтров межсетевых экранов, определенных интерфейсу, не только создает отдельные экземпляры всех счетчиков фильтров межсетевых экранов, но и создает отдельные экземпляры любых действий в отношении управления. Любые меры, применяемые с помощью действия, заданного в конфигурации фильтра брандмауэра, применяются отдельно к каждому интерфейсу в группе интерфейсов. За указанием интерфейсных функций управления для фильтра межсетевых экранов указывается действие policer policer-name без прерывания.