Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PTX 系列数据包传输路由器和 T 系列矩阵路由器之间的防火墙和监管差异

本主题提供 PTX 数据包传输路由器上可用的防火墙和策略器功能列表,并将其与 T 系列路由器上的防火墙和监管功能进行比较。

防火墙过滤器

PTX 系列数据包传输路由器上的 Junos OS 防火墙和监管软件支持 IPv4 过滤器、IPv6 过滤器、MPLS 过滤器、CCC 过滤器、接口监管、LSP 监管、MAC 过滤、ARP 监管、L2 监管和其他功能。例外情况如下。

  • PTX 系列数据包传输路由器不支持:

    • 出口转发表过滤器

    • 用于 MPLS/CCC 的转发表过滤器

    • 家庭 VPLS

  • PTX 系列数据包传输路由器不支持嵌套防火墙过滤器。filter] 层次结构级别的语句[edit firewall family family-name filter filter-name term term-name被禁用。

  • 由于 PTX 系列数据包传输路由器中不存在服务 PIC,因此 IPv4 和 IPv6 流量不支持服务过滤器。service-filter层次结构级别的语句[edit firewall family (inet | inet6)]被禁用。

  • PTX 系列数据包传输路由器不包括简单过滤器。这些过滤器仅在千兆以太网智能排队 (IQ2) 和增强型排队密集端口集中器 (EQ DPC) 接口上受支持。simple-filter层次结构级别的语句[edit firewall family inet)] 被禁用。

  • 不支持物理接口过滤。physical-interface-filter层次结构级别的语句[edit firewall family family-name filter filter-name] 被禁用。

  • PTX 系列数据包传输路由器不支持前缀操作功能。prefix-action层次结构级别的语句[edit firewall family inet]被禁用。

  • 在 T 系列路由器上,您可以通过设置一个或多个记帐配置文件来指定数据的一些共同特征,从而收集有关通过设备的流量的各种信息。PTX 系列数据包传输路由器不支持防火墙过滤器的记帐配置。accounting-profile层次结构级别的语句[edit firewall family family-name filter filter-name]被禁用。

  • 环路 (lo0) 接口不支持该reject操作。如果将过滤器 lo0 应用于接口,并且过滤器包含 reject 操作,则会显示一条错误消息。

  • PTX 系列数据包传输路由器不支持聚合以太网逻辑接口匹配条件。但是,支持子链路接口匹配。

  • 如果过滤器中的两个不同术语具有相同的匹配条件,但它们具有不同的计数,则 PTX 系列数据包传输路由器将显示这两个计数。T 系列路由器仅显示一个计数。

  • 当一个过滤器绑定到多个接口时,PTX 系列数据包传输路由器没有单独的监管器实例。interface-specific使用配置语句创建配置。

  • 在 PTX 系列数据包传输路由器上,当入口接口具有 CCC 封装时,出口过滤器将不会处理通过入口 CCC 接口传入的数据包。

  • 对于 CCC 封装,PTX 系列数据包传输路由器额外附加 8 个字节,用于出口第 2 层过滤。T 系列路由器没有。因此,PTX 系列数据包传输路由器上的出口计数器为每个数据包显示额外的 8 个字节,这会影响监管器的准确性。

  • 在 PTX 系列数据包传输路由器上,CLI 命令的 show pfe statistics traffic 输出包括 DMAC 和 SMAC 过滤丢弃的数据包。在 T 系列路由器上,命令输出不包括这些丢弃的数据包,因为 MAC 过滤器是在 PIC 中实现的,而不是在 FPC 中实现的。

  • 通过 PTX 防火墙的最后一个分段数据包无法与匹配条件匹配 is-fragment 。T 系列路由器支持此功能。

    PTX 系列数据包传输路由器上可能的解决方法是使用相同的操作配置两个单独的术语:一个术语包含与 的 is-fragment 匹配项,另一个术语包含与 的 fragment-offset -except 0匹配项。

  • 在 PTX 系列数据包传输路由器上,当数据包丢弃超过 100 Mbps 时,将生成 MAC 暂停帧。这仅适用于小于 105 字节的帧大小。

交通警察

PTX 系列数据包传输路由器上的 Junos OS 防火墙和监管软件支持 IPv4 过滤器、IPv6 过滤器、MPLS 过滤器、CCC 过滤器、接口监管、LSP 监管、MAC 过滤、ARP 监管、L2 监管和其他功能。例外情况如下。

  • PTX 系列数据包传输路由器支持 ARP 管制。T 系列路由器没有。

  • PTX 系列数据包传输路由器不支持 LSP 管制。

  • PTX 系列数据包传输路由器不支持配置 hierarchical-policer 语句。

  • PTX 系列数据包传输路由器不支持配置 interface-set 语句。此语句将多个接口分组到单个命名接口集中。

  • PTX 系列数据包传输路由器不支持普通监管器和三色监管器的以下监管器类型:

    • logical-bandwidth-policer — 监管器使用逻辑接口带宽。

    • physical-interface-policer — 监管器是物理接口监管器。

    • shared-bandwidth-policer — 在捆绑链路之间共享监管器带宽。

  • 在同一规则( 多域分类)中配置监管器操作和转发类丢失优先级操作时,PTX 系列数据包传输路由器的工作方式与 T 系列路由器不同。如下所示,您可以在过滤器中配置两个规则,以使 PTX 过滤器的行为与 T 系列过滤器相同:

    PTX 系列配置:

    T 系列配置:

相关主题