PTX 시리즈 패킷 전송 라우터와 T 시리즈 매트릭스 라우터의 방화벽 및 폴리싱 차이점

이 주제는 PTX 패킷 전송 라우터에서 사용할 수 있는 방화벽 및 폴리시 기능 목록을 제공하고 T 시리즈 라우터의 방화벽 및 폴리싱 기능과 비교합니다.

방화벽 필터

PTX 시리즈 패킷 전송 라우터의 Junos OS 방화벽 및 폴리싱 소프트웨어는 IPv4 필터, IPv6 필터, MPLS 필터, CCC 필터, 인터페이스 폴리싱, LSP 폴리싱, MAC 필터링, ARP 폴리싱, L2 폴리싱 및 기타 기능을 지원합니다. 예외는 아래에 명시되어 있습니다.

• PTX 시리즈 패킷 전송 라우터는 다음을 지원하지 않습니다.

  • 송신 포워딩 테이블 필터

  • MPLS/CCC를 위한 포워딩 테이블 필터

  • 제품군 VPLS

• PTX 시리즈 패킷 전송 라우터는 중첩된 방화벽 필터를 지원하지 않습니다. filter] 계층 수준의 문[edit firewall family family-name filter filter-name term term-name은 비활성화됩니다.

• PTX 시리즈 패킷 전송 라우터에는 서비스 PIC가 없기 때문에 서비스 필터는 IPv4 및 IPv6 트래픽 모두에 대해 지원되지 않습니다. 계층 수준의 문 [edit firewall family (inet | inet6)] 은 service-filter 비활성화됩니다.

• PTX 시리즈 패킷 전송 라우터는 단순 필터를 제외합니다. 이러한 필터는 기가비트 이더넷 지능형 큐잉(IQ2) 및 향상된 큐잉 고밀도 포트 집중기(EQ DPC) 인터페이스에서만 지원됩니다. simple-filter 계층 수준의 문[edit firewall family inet)] 은 비활성화됩니다.

• 물리적 인터페이스 필터링은 지원되지 않습니다. physical-interface-filter 계층 수준의 문[edit firewall family family-name filter filter-name] 은 비활성화됩니다.

• 접두사 작업 기능은 PTX 시리즈 패킷 전송 라우터에서 지원되지 않습니다. 계층 수준의 문 [edit firewall family inet] 은 prefix-action 비활성화됩니다.

• T 시리즈 라우터에서는 데이터의 몇 가지 공통 특성을 지정하는 하나 이상의 계정 프로필을 설정하여 디바이스를 통과하는 트래픽에 대한 다양한 정보를 수집할 수 있습니다. PTX 시리즈 패킷 전송 라우터는 방화벽 필터에 대한 계정 구성을 지원하지 않습니다. accounting-profile 계층 수준의 문 [edit firewall family family-name filter filter-name] 은 비활성화됩니다.

• reject 루프백(lo0) 인터페이스에서는 작업이 지원되지 않습니다. 인터페이스에 필터를 lo0 적용하고 필터에 작업이 포함되어 reject 있으면 오류 메시지가 나타납니다.

• PTX 시리즈 패킷 전송 라우터는 어그리게이션된 이더넷 논리적 인터페이스 일치 조건을 지원하지 않습니다. 그러나 하위 링크 인터페이스 일치는 지원됩니다.

• PTX 시리즈 패킷 전송 라우터는 필터의 서로 다른 두 용어가 동일한 일치 조건을 갖지만 카운트가 다른 경우 두 카운트를 모두 표시합니다. T 시리즈 라우터는 한 번만 표시합니다.

• PTX 시리즈 패킷 전송 라우터는 필터가 여러 인터페이스에 바인딩될 때 별도의 폴리서 인스턴스를 갖지 않습니다. interface-specific 구성 문을 사용하여 구성을 생성합니다.

• PTX 시리즈 패킷 전송 라우터에서 수신 인터페이스에 CCC 캡슐화가 있는 경우 수신 CCC 인터페이스를 통해 들어오는 패킷은 송신 필터에 의해 처리되지 않습니다.

• CCC 캡슐화의 경우, PTX 시리즈 패킷 전송 라우터는 송신 레이어 2 필터링을 위해 8바이트를 추가합니다. T 시리즈 라우터는 그렇지 않습니다. 따라서 PTX 시리즈 패킷 전송 라우터의 송신 카운터는 각 패킷에 대해 8바이트를 추가로 표시하여 폴리서 정확도에 영향을 미칩니다.

• PTX 시리즈 패킷 전송 라우터에서 CLI 명령의 show pfe statistics traffic 출력에는 DMAC 및 SMAC 필터링에 의해 폐기된 패킷이 포함됩니다. T 시리즈 라우터에서는 MAC 필터가 FPC가 아닌 PIC에서 구현되기 때문에 명령 출력에는 이러한 폐기된 패킷이 포함되지 않습니다.

• PTX 방화벽을 통과하는 마지막 조각 패킷은 일치 조건과 일치 is-fragment 할 수 없습니다. 이 기능은 T 시리즈 라우터에서 지원됩니다.

  PTX 시리즈 패킷 전송 라우터에서 가능한 해결 방법은 동일한 작업으로 두 개의 개별 용어를 구성하는 것입니다. 한 용어에는 에 is-fragment 대한 일치 항목이 포함되고 다른 용어에는 에 fragment-offset -except 0대한 일치 항목이 포함됩니다.

• PTX 시리즈 패킷 전송 라우터에서 패킷 폐기가 100Mbps를 초과하면 MAC 일시 중지 프레임이 생성됩니다. 이 문제는 프레임 크기가 105바이트보다 작은 경우에만 발생합니다.

교통 정책

PTX 시리즈 패킷 전송 라우터의 Junos OS 방화벽 및 폴리싱 소프트웨어는 IPv4 필터, IPv6 필터, MPLS 필터, CCC 필터, 인터페이스 폴리싱, LSP 폴리싱, MAC 필터링, ARP 폴리싱, L2 폴리싱 및 기타 기능을 지원합니다. 예외는 아래에 명시되어 있습니다.

• PTX 시리즈 패킷 전송 라우터는 ARP 폴리싱을 지원합니다. T 시리즈 라우터는 그렇지 않습니다.

• PTX 시리즈 패킷 전송 라우터는 LSP 폴리싱을 지원하지 않습니다.

• PTX 시리즈 패킷 전송 라우터는 hierarchical-policer 구성 문을 지원하지 않습니다. .

• PTX 시리즈 패킷 전송 라우터는 interface-set 구성 문을 지원하지 않습니다. 이 문은 여러 인터페이스를 하나의 명명된 인터페이스 집합으로 그룹화합니다.

• PTX 시리즈 패킷 전송 라우터는 일반 폴리서와 3색 폴리서 모두에 대해 다음과 같은 폴리서 유형을 지원하지 않습니다.

  • logical-bandwidth-policer — 폴리서는 논리적 인터페이스 대역폭을 사용합니다.

  • physical-interface-policer — 폴리서는 물리적 인터페이스 폴리서입니다.

  • shared-bandwidth-policer — 번들 링크 간에 폴리서 대역폭을 공유합니다.

• 폴리서 작업과 포워딩 클래스, 손실 우선 순위 작업이 동일한 규칙( 멀티필드 분류) 내에서 구성되면, PTX 시리즈 패킷 전송 라우터는 T 시리즈 라우터와 다르게 작동합니다. 아래 그림과 같이 필터에서 두 가지 규칙을 구성하여 PTX 필터가 T 시리즈 필터와 동일하게 동작하도록 할 수 있습니다.

  PTX 시리즈 구성:

  content_copy zoom_out_map

  rule-1 {
      match: {x, y, z}
      action: {forwarding-class, loss-prio, next}
  }
      rule-2 {
          match: {x, y, z}
          action: {policer}
      }
  

  T 시리즈 구성:

  content_copy zoom_out_map

  rule-1 {
      match: {x, y, z}
      action: {forwarding-class, loss-prio, policer}
  }