Filtros de serviço
Filtros de serviço na Série ACX
Ao aplicar um conjunto de serviços ao tráfego em uma interface de serviços em linha, você pode, opcionalmente, usar filtros de serviço para refinar o destino do conjunto de serviços e também para processar o tráfego. Os filtros de serviço permitem que você manipule o tráfego executando a filtragem de pacotes para um conjunto definido de serviços em uma interface de serviços em linha antes que o tráfego seja entregue ao seu destino. Nos roteadores da Série ACX, você pode aplicar um filtro de serviço ao tráfego antes que os pacotes sejam aceitos para o processamento do serviço de entrada.
Nos roteadores da Série ACX, os filtros são implementados usando o service-set espaço de memória ternária endereçável de conteúdo (TCAM). O espaço TCAM alocado é compartilhado pelo filtro de família de bridge. O mesmo espaço é compartilhado pelo filtro NNI-Address-Overload-Reverse (para cada conjunto de serviços configurado com sobrecarga de endereço, os filtros internos são configurados para o endereço IP sobrecarregado fornecido e o intervalo de portas para redirecionar o tráfego de nat reverso correspondente (público para privado) para o serviço). De uma perspectiva de dimensionamento, as 124 entradas de TCAM de hardware alocadas são compartilhadas por esses recursos e a alocação de entradas de TCAM funciona por ordem de chegada.
Veja também
Diretrizes para a aplicação de filtros de serviço
Este tópico aborda as seguintes informações:
- Restrições para interfaces de serviços em linha
- Hierarquia de instruções para aplicar filtros de serviço
- Associando regras de serviço a interfaces de serviços em linha
- Filtrando o tráfego antes de aceitar pacotes para processamento de serviços
Restrições para interfaces de serviços em linha
Você pode aplicar um filtro de serviço ao tráfego IPv4 associado a um conjunto de serviços somente em uma interface de serviços em linha .
Os roteadores da Série ACX não oferecem suporte a filtros pós-serviço.
Hierarquia de instruções para aplicar filtros de serviço
Você pode habilitar a filtragem de pacotes do tráfego IPv4 antes que um pacote seja aceito para processamento de serviço de entrada. Para fazer isso, aplique um filtro de serviço à entrada da interface de serviços em linha em conjunto com um conjunto de serviços de interface.
A configuração a seguir mostra os níveis de hierarquia nos quais você pode aplicar os filtros de serviço a interfaces de serviços em linha:
[edit]
interfaces {
interface-name {
unit unit-number {
family (inet | inet6) {
service {
input {
service-set service-set-name service-filter service-filter-name;
}
output {
[ service-set service-set-name <service-filter filter-name> ];
}
}
}
}
}
}
Associando regras de serviço a interfaces de serviços em linha
Para definir e agrupar as regras de serviço a serem aplicadas a uma interface de serviços em linha, defina um conjunto de serviços de interface incluindo a service-set service-set-name instrução no nível da [edit services] hierarquia.
Para aplicar um conjunto de serviços de interface à entrada de uma interface de serviços em linha, inclua o conjunto service-set-namede serviços nos seguintes níveis de hierarquia:
[edit interfaces interface-name unit unit-number input]
Filtrando o tráfego antes de aceitar pacotes para processamento de serviços
Para filtrar o tráfego IPv4 antes de aceitar pacotes para processamento de serviços de entrada, inclua o service-filter service-filter-nameconjunto service-set-name de serviços no seguinte nível de hierarquia:
[edit interfaces interface-name unit unit-number family inet service input]
Para o service-set-name, especifique um conjunto de serviços configurado no nível de [edit services service-set] hierarquia.
O conjunto de serviços retém as informações da interface de entrada mesmo depois que os serviços são aplicados, de modo que funções como encaminhamento de classe de filtro que dependem das informações da interface de entrada continuem funcionando.
Os seguintes requisitos se aplicam à filtragem do tráfego de entrada ou saída antes de aceitar pacotes para processamento de serviços:
Você configura o mesmo conjunto de serviços nos lados de entrada e saída da interface.
Se você incluir a
service-setdeclaração sem uma definição opcional de filtro de serviço , o Junos OS assume que a condição de correspondência é verdadeira e seleciona o conjunto de serviços para processamento automaticamente.O filtro de serviço será aplicado somente se um conjunto de serviços estiver configurado e selecionado.
Veja também
Condições de correspondência de filtro de serviço para tráfego IPv4
Na Série ACX, os filtros de serviço suportam apenas um subconjunto das condições de correspondência de filtro de firewall stateless para tráfego IPv4. A Tabela 1 descreve as condições de correspondência do filtro de serviço.
Condição de correspondência |
Descrição |
Famílias de protocolo |
|---|---|---|
endereço de destino address |
Combine o campo de endereço de destino IP. |
Família INET |
porto de destino number |
Combine o campo Porta de destino UDP ou TCP. Você não pode especificar as condições de correspondência de porta e porta de destino no mesmo termo. Se você configurar essa condição de correspondência para o tráfego IPv4, recomendamos que você também configure a protocol udp ou protocol tcp match declaração no mesmo termo para especificar qual protocolo está sendo usado na porta. |
Família INET |
Opções de IP values |
Combine o campo de opção IP de 8 bits, se presente, com o valor especificado ou a lista de valores. |
Família INET |
protocolo number |
Corresponda ao campo Tipo de protocolo IP. |
Família INET |
endereço addressde origem |
Combine o endereço de origem IP. |
Família INET |
porta de origem number |
Combine o campo de porta de origem UDP ou TCP. Se você configurar essa condição de correspondência para o tráfego IPv4, recomendamos que você também configure a protocol udp ou protocol tcp match declaração no mesmo termo para especificar qual protocolo está sendo usado na porta. |
Família INET |
sinalizadores TCP value |
Corresponda a um ou mais dos 6 bits de baixa ordem no campo sinalizadores TCP de 8 bits no cabeçalho TCP. Se você configurar essa condição de correspondência para o tráfego IPv4, recomendamos que você também configure a protocol tcp match declaração no mesmo termo para especificar que o protocolo TCP está sendo usado na porta. |
Família INET |
Veja também
Ações de filtro de serviço
A Série ACX oferece suporte a diferentes conjuntos de ações de terminação e não terminação que você pode configurar em um termo de filtro de serviço.
Os filtros de serviço não dão suporte à ação do próximo termo .
A Tabela 2 descreve as ações de encerramento que você pode configurar em um termo de filtro de serviço.
Ação de rescisão |
Descrição |
Famílias de protocolo |
|---|---|---|
serviço |
Direcione o pacote para o processamento de serviços. |
inet |
A Tabela 3 descreve as ações não terminantes que você pode configurar em um termo de filtro de serviço.
Ação não cessante |
Descrição |
Famílias de protocolo |
|---|---|---|
|
Aceite o pacote. |
inet |
Contagem counter-name |
Conte o pacote no contador nomeado. |
inet |
log |
Registre as informações do cabeçalho do pacote em um buffer dentro do Mecanismo de Encaminhamento de Pacotes. Você pode acessar essas informações emitindo o |
inet |
espelho de porta |
Espelhe o pacote com base na família especificada. |
inet |