特定于接口的防火墙过滤器实例概述
实例化特定于接口的防火墙过滤器
在 T 系列、M120、M320、MX 系列路由器和 EX 系列交换机上,您可以启用 Junos OS,以便为应用过滤器的每个接口自动创建特定于接口的防火墙过滤器实例。如果启用防火墙过滤器的接口特定实例化,然后将该过滤器应用于多个接口,则无论多个接口上的流量总和如何,过滤器术语中配置的任何 count 操作或 policer 操作都会作用于进入或退出每个接口的流量流。
您可以通过在 interface-specific 过滤器配置中包含语句来为每个防火墙过滤器启用此选项。
在 T 系列、M120、M320、MX 系列路由器和 EX 系列交换机上,接口分布在多个数据包转发组件之间。
除 M120 和 M320 路由器外,M 系列路由器不支持特定于接口的防火墙过滤。如果将防火墙过滤器应用于 M120 或 M320 路由器以外的 M 系列路由器上的多个接口,则过滤器将作用于进入或退出这些接口的流量总和。
标准无状态防火墙过滤器和服务过滤器支持特定于接口的防火墙过滤。简单筛选器不支持特定于接口的实例。
防火墙过滤器实例的接口特定名称
当 Junos OS 为逻辑接口创建单独的防火墙过滤器实例时,该实例将与接口特定名称相关联。系统生成的防火墙过滤器实例名称由已配置过滤器的名称后跟连字符 ('-')、完整的接口名称以及输入过滤器实例的 '' 或输出过滤器实例的 '-i-o' 组成。
Input filter instance name—例如,如果将特定于接口的防火墙过滤器 filter_s_tcp 应用于逻辑接口 at-1/1/1.0上的输入,Junos OS 将使用以下系统生成的名称实例化特定于接口的过滤器实例:
filter_s_tcp-at-1/1/1.0-i
Output filter instance name—例如,如果将特定于接口的防火墙过滤器 filter_s_tcp 应用于逻辑接口 ge-2/2/2.2的输出,Junos OS 将使用以下系统生成的名称实例化特定于接口的过滤器实例:
count_s_tcp-ge-2/2/2.2-o
输入指定无状态防火墙过滤器名称的 Junos OS 操作模式命令时,可以使用过滤器实例的接口特定名称。
在启用特定于接口的实例的情况下配置防火墙过滤器时,我们建议您将过滤器名称的长度限制为 52 字节 。这是因为防火墙过滤器名称的长度限制为 64 个字节 。如果系统生成的过滤器实例名称超过此最大长度,策略框架软件可能会拒绝该实例名称。
特定于接口的防火墙过滤器计数器
实例化特定于接口的防火墙过滤器会导致数据包转发引擎为每个接口单独维护防火墙过滤器的任何计数器。通过指定 count counter-name 非终止操作,可以为每个防火墙过滤器术语指定特定于接口的计数器。
系统生成的特定于接口的防火墙过滤器计数器的名称由配置的计数器的名称后跟连字符 ('-')、完整的接口名称以及输入过滤器实例的 '' 或输出过滤器实例的 '-i-o' 组成。
Interface-specific input filter counter name— 例如,假设您为特定于接口的防火墙过滤器配置过滤器计数器 count_tcp 。如果将过滤器应用于逻辑接口 at-1/1/1.0上的输入,Junos OS 将创建以下系统生成的计数器名称:
count_tcp-at-1/1/1.0-i
Interface-specific output filter counter name— 例如,假设您为特定于接口的防火墙过滤器配置过滤器计数器 count_udp 。如果将过滤器应用于逻辑接口 ge-2/2/2.2上的输出,Junos OS 将创建以下系统生成的计数器名称:
count_udp-ge-2/2/2.2-o
特定于接口的防火墙过滤器监管器
特定于接口的防火墙过滤器的实例化不仅可以创建任何防火墙过滤器计数器的单独实例,还可以创建任何监管器操作的单独实例。通过防火墙过滤器配置中指定的操作应用的任何监管器都将单独应用于接口组中的每个接口。通过指定 policer policer-name 非终止操作,可以为每个防火墙过滤器术语指定特定于接口的监管器。