Diferencias de firewall y políticas entre los enrutadores de transporte de paquetes de la serie PTX y los enrutadores de matriz de la serie T
En este tema se proporciona una lista de las funciones de firewall y políticas disponibles en los enrutadores de transporte de paquetes PTX y se comparan con las funciones de firewall y vigilancia de los enrutadores de la serie T.
Filtros de firewall
El firewall y el software de vigilancia de Junos OS de los enrutadores de transporte de paquetes de la serie PTX admiten filtros IPv4, filtros IPv6, filtros MPLS, filtros CCC, vigilancia de interfaz, vigilancia de LSP, filtrado de MAC, vigilancia de ARP, vigilancia L2 y otras funciones. A continuación se indican las excepciones.
Los enrutadores de transporte de paquetes de la serie PTX no admiten:
Filtros de tabla de reenvío de salida
Filtros de tabla de reenvío para MPLS/CCC
Familia VPLS
Los enrutadores de transporte de paquetes de la serie PTX no admiten filtros de firewall anidados. La
filter
instrucción en el nivel de[edit firewall family family-name filter filter-name term term-name
jerarquía ] está deshabilitada.Dado que no hay PIC de servicio presentes en los enrutadores de transporte de paquetes de la serie PTX, los filtros de servicio no son compatibles con el tráfico IPv4 e IPv6. La
service-filter
instrucción en[edit firewall family (inet | inet6)]
el nivel jerárquico está deshabilitada.Los enrutadores de transporte de paquetes de la serie PTX excluyen los filtros simples. Estos filtros solo son compatibles con las interfaces de colas inteligentes Gigabit Ethernet (IQ2) y de concentrador de puerto denso (EQ DPC) de cola mejorada. La
simple-filter
instrucción en el nivel jerárquico[edit firewall family inet)]
está deshabilitada.No se admite el filtrado de interfaz física. La
physical-interface-filter
instrucción en el nivel jerárquico[edit firewall family family-name filter filter-name]
está deshabilitada.La función de acción de prefijo no se admite en los enrutadores de transporte de paquetes de la serie PTX. La
prefix-action
instrucción en[edit firewall family inet]
el nivel jerárquico está deshabilitada.En los enrutadores de la serie T, puede recopilar una variedad de información sobre el tráfico que pasa a través del dispositivo mediante la configuración de uno o más perfiles de contabilidad que especifiquen algunas características comunes de los datos. Los enrutadores de transporte de paquetes de la serie PTX no admiten configuraciones de contabilidad para filtros de firewall. La
accounting-profile
instrucción en el nivel jerárquico[edit firewall family family-name filter filter-name]
está deshabilitada.La
reject
acción no se admite en la interfaz de circuito cerrado (lo0
). Si aplica un filtro a lalo0
interfaz y el filtro incluye unareject
acción, aparecerá un mensaje de error.Los enrutadores de transporte de paquetes de la serie PTX no admiten condiciones de coincidencia de interfaz lógica Ethernet agregadas. Sin embargo, se admite la coincidencia de interfaces de vínculos secundarios.
Enrutadores de transporte de paquetes de la serie PTX muestra ambos recuentos si dos términos diferentes en un filtro tienen la misma condición de coincidencia pero tienen diferentes recuentos. Los enrutadores de la serie T muestran un solo recuento.
Los enrutadores de transporte de paquetes de la serie PTX no tienen instancias de policía independientes cuando un filtro está enlazado a varias interfaces. Utilice la instrucción configuration
interface-specific
para crear la configuración.En los enrutadores de transporte de paquetes de la serie PTX, cuando una interfaz de entrada tiene encapsulación CCC, los filtros de salida no procesarán los paquetes que entren a través de la interfaz CCC de entrada.
Para la encapsulación CCC, los enrutadores de transporte de paquetes de la serie PTX agregan 8 bytes adicionales para el filtrado de capa 2 de salida. Los routers de la serie T no. Por lo tanto, los contadores de salida de los enrutadores de transporte de paquetes de la serie PTX muestran ocho bytes adicionales para cada paquete, lo que afecta a la precisión de la aplicación.
En los enrutadores de transporte de paquetes de la serie PTX, el resultado del comando CLI
show pfe statistics traffic
incluye los paquetes descartados por el filtrado DMAC y SMAC. En los enrutadores de la serie T, el resultado del comando no incluye estos paquetes descartados porque los filtros MAC se implementan en la PIC y no en la FPC.El paquete del último fragmento que pasa por un firewall PTX no puede coincidir con la
is-fragment
condición coincidente. Esta función es compatible con los enrutadores de la serie T.Una posible solución en los enrutadores de transporte de paquetes de la serie PTX es configurar dos términos separados con las mismas acciones: Un término contiene una coincidencia con
is-fragment
y el otro término contiene una coincidencia confragment-offset -except 0
.En los enrutadores de transporte de paquetes de la serie PTX, las tramas de pausa MAC se generan cuando los descartes de paquetes superan los 100 Mbps. Esto solo ocurre para tamaños de trama inferiores a 105 bytes.
Policías de tráfico
El firewall y el software de vigilancia de Junos OS de los enrutadores de transporte de paquetes de la serie PTX admiten filtros IPv4, filtros IPv6, filtros MPLS, filtros CCC, vigilancia de interfaz, vigilancia de LSP, filtrado de MAC, vigilancia de ARP, vigilancia L2 y otras funciones. A continuación se indican las excepciones.
Los enrutadores de transporte de paquetes de la serie PTX admiten la vigilancia ARP. Los enrutadores de la serie T no lo hacen.
Los enrutadores de transporte de paquetes de la serie PTX no admiten la vigilancia de LSP.
Los enrutadores de transporte de paquetes de la serie PTX no admiten la instrucción de
hierarchical-policer
configuración.Los enrutadores de transporte de paquetes de la serie PTX no admiten la instrucción de
interface-set
configuración. Esta instrucción agrupa varias interfaces en un único conjunto de interfaces con nombre.Los enrutadores de transporte de paquetes de la serie PTX no admiten los siguientes tipos de controladores para los controladores normales y los controladores de tres colores:
logical-bandwidth-policer
— Policer utiliza ancho de banda de interfaz lógica.physical-interface-policer
— Policer es un policer de interfaz física.shared-bandwidth-policer
— Comparta el ancho de banda del controlador entre los enlaces de paquete.
Cuando se configuran una acción de policía y acciones de prioridad de pérdida de clase de reenvío dentro de la misma regla (una clasificación de campos múltiples), los enrutadores de transporte de paquetes de la serie PTX funcionan de manera diferente a los enrutadores de la serie T. Como se muestra a continuación, puede configurar dos reglas en el filtro para que el filtro PTX se comporte igual que el filtro de la serie T:
Configuración de la serie PTX:
rule-1 { match: {x, y, z} action: {forwarding-class, loss-prio, next} } rule-2 { match: {x, y, z} action: {policer} }
Configuración de la serie T:
rule-1 { match: {x, y, z} action: {forwarding-class, loss-prio, policer} }