Conjuntos de serviços
Noções básicas sobre conjuntos de serviços
O Junos OS permite que você crie conjuntos de serviços que definem uma coleção de serviços a serem executados por uma interface de serviços adaptativos (AS) ou placas de linha multisserviços (MS-DPC, MS-MIC e MS-MPC). Você pode configurar o conjunto de serviços como um conjunto de serviços no estilo de interface ou como um conjunto de serviços no estilo next-hop.
Um conjunto de serviços de interface é usado como um modificador de ação em toda a interface. Você pode usar um conjunto de serviços no estilo de interface quando quiser aplicar serviços a pacotes que passam por uma interface.
Um conjunto de serviços next-hop é um método baseado em rotas para aplicar um serviço específico. Somente os pacotes destinados a um próximo salto específico são atendidos pela criação de rotas estáticas explícitas. Essa configuração é útil quando os serviços precisam ser aplicados a uma tabela inteira de roteamento e encaminhamento (VRF) de rede virtual privada (VPN) ou quando as decisões de roteamento determinam que os serviços precisam ser executados. Quando um serviço next-hop é configurado, a interface de serviço é considerada um módulo de duas pernas com uma perna configurada para ser a interface interna (dentro da rede) e a outra configurada como a interface externa (fora da rede).
Para evitar a queda de pacotes durante uma desativação do conjunto de serviços ou uma operação de exclusão do conjunto de serviços, primeiro desative as interfaces correspondentes ao conjunto de serviços, aguarde algum tempo e depois desative ou exclua o conjunto de serviços. No entanto, se o fluxo de tráfego for muito alto, essa solução alternativa não ajudará.
Para configurar conjuntos de serviços, inclua as seguintes declarações no nível de [edit services] hierarquia:
[edit services] service-set service-set-name { (ids-rules rule-names | ids-rule-sets rule-set-name); (ipsec-vpn-rules rule-names | ipsec-vpn-rule-sets rule-set-name); max-session-setup-rate max-setup-rate; (nat-rules rule-names | nat-rule-sets rule-set-name); (pgcp-rules rule-names | pgcp-rule-sets rule-set-name); (ptsp-rules rule-names | ptsp-rule-sets rule-set-name); (stateful-firewall-rules rule-names | stateful-firewall-rule-sets rule-set-name); allow-multicast; extension-service service-name { provider-specific rules; } interface-service { service-interface interface-name; } ipsec-vpn-options { anti-replay-window-size bits; clear-dont-fragment-bit; ike-access-profile profile-name; local-gateway address; no-anti-replay; passive-mode-tunneling; trusted-ca [ ca-profile-names ]; tunnel-mtu bytes; } max-flows number; next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; service-interface-pool name; } syslog { host hostname { services severity-level; facility-override facility-name; log-prefix prefix-value; } } } adaptive-services-pics { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } } logging { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } }
Veja também
Configuração de conjuntos de serviços a serem aplicados a interfaces de serviços
Você configura uma interface de serviços para especificar a interface de serviços adaptativos na qual o serviço deve ser executado. As interfaces de serviços são usadas com qualquer um dos tipos de conjunto de serviços descritos nas seções a seguir.
- Configuração de conjuntos de serviços de interface
- Configuração de conjuntos de serviços de próximo salto
- Determinando a direção do tráfego
Configuração de conjuntos de serviços de interface
Um conjunto de serviços de interface é usado como um modificador de ação em toda a interface. Para configurar a interface de serviços, inclua a interface-service declaração no nível da [edit services service-set service-set-name] hierarquia:
[edit services service-set service-set-name] interface-service { service-interface interface-name; }
Apenas o nome do dispositivo é necessário, pois o software do roteador gerencia automaticamente os números das unidades lógicas. A interface de serviços deve ser uma interface de serviços adaptável para a qual você configurou unit 0 family inet no nível de [edit interfaces interface-name hierarquia.
Depois de definir e agrupar as regras de serviço configurando a definição do conjunto de serviços, você pode aplicar serviços a uma ou mais interfaces instaladas no roteador. Quando você aplica o conjunto de serviços a uma interface, ele garante automaticamente que os pacotes sejam direcionados para o PIC.
Para associar um conjunto de serviços definido a uma interface, inclua uma service-set instrução com a input instrução or output no nível da [edit interfaces interface-name unit logical-unit-number family inet service] hierarquia:
[edit interfaces interface-name unit logical-unit-number family inet service]
input {
service-set service-set-name <service-filter filter-name>;
post-service-filter filter-name;
}
output {
service-set service-set-name <service-filter filter-name>;
}
Se um pacote estiver entrando na interface, a direção da correspondência será input. Se um pacote estiver saindo da interface, a direção da correspondência será output. O conjunto de serviços retém as informações da interface de entrada mesmo depois que os serviços são aplicados, de modo que funções como encaminhamento de classe de filtro e uso de classe de destino (DCU) que dependem das informações da interface de entrada continuem funcionando.
Você configura o mesmo conjunto de serviços nos lados de entrada e saída da interface. Opcionalmente, é possível incluir filtros associados a cada conjunto de serviços para refinar o destino e, adicionalmente, processar o tráfego. Se você incluir a service-set declaração sem uma service-filter definição, o software do roteador assumirá que a condição de correspondência é verdadeira e selecionará o conjunto de serviços para processamento automaticamente.
Se você configurar conjuntos de serviços com filtros, eles deverão ser configurados nos lados de entrada e saída da interface.
Você pode incluir mais de uma definição de conjunto de serviços em cada lado da interface. Se você incluir vários conjuntos de serviços, o software do roteador os avaliará na ordem em que aparecem na configuração. O sistema executa o primeiro conjunto de serviços para o qual encontra uma correspondência no filtro de serviço e ignora as definições subseqüentes. Um máximo de seis conjuntos de serviços podem ser aplicados a uma interface. Ao aplicar vários conjuntos de serviços a uma interface, você também deve configurar e aplicar um filtro de serviço à interface.
Uma instrução adicional permite que você especifique um filtro para processar o tráfego após a execução do conjunto de serviços de entrada. Para configurar esse tipo de filtro, inclua a post-service-filter declaração no nível da [edit interfaces interface-name unit logical-unit-number family inet service input] hierarquia:
post-service-filter filter-name;
A post-service-filter instrução não é suportada quando a interface de serviço está em um MS-MIC ou MS-MPC.
Para obter um exemplo, consulte Exemplo: Configuração de conjuntos de serviços.
Com conjuntos de serviços de estilo de interface que são configurados com pacotes de fornecimento de extensão do Junos OS, o tráfego não é atendido quando a interface de entrada faz parte de uma instância VRF e a interface de serviço não faz parte da mesma instância VRF.
Quando o MultiServices PIC configurado para um conjunto de serviços é colocado administrativamente offline ou sofre uma falha, todo o tráfego que entra na interface configurada com um conjunto de serviços IDP é descartado sem notificação. Para evitar essa perda de tráfego, inclua a bypass-traffic-on-pic-failure instrução no nível da [edit services service-set service-set-name service-set-options] hierarquia. Quando essa declaração é configurada, os pacotes afetados são encaminhados no caso de uma falha ou offlining do MultiServices PIC, como se os serviços de estilo de interface não estivessem configurados. Esse problema se aplica apenas às configurações do Junos Application Aware (anteriormente conhecido como Dynamic Application Awareness) usando conjuntos de serviços IDP. Esse recurso de encaminhamento funcionou apenas com o Mecanismo de Encaminhamento de Pacotes (PFE) inicialmente. A partir do Junos OS Release 11.3, o recurso de encaminhamento de pacotes é estendido aos pacotes gerados pelo Mecanismo de Roteamento também para conjuntos de serviços de bypass.
Configuração de conjuntos de serviços de próximo salto
Um conjunto de serviços next-hop é um método baseado em rotas para aplicar um serviço específico. Somente os pacotes destinados a um próximo salto específico são atendidos pela criação de rotas estáticas explícitas. Essa configuração é útil quando os serviços precisam ser aplicados a uma tabela inteira de roteamento e encaminhamento (VRF) de rede virtual privada (VPN) ou quando as decisões de roteamento determinam que os serviços precisam ser executados.
Quando um serviço next-hop é configurado, o AS ou o PIC multisserviços é considerado um módulo de duas pernas com uma etapa configurada para ser a interface interna (dentro da rede) e a outra configurada como a interface externa (fora da rede).
Você pode criar índices IFL maiores que 8000 somente se o conjunto de serviços de interface não estiver configurado.
Para configurar o domínio, inclua a service-domain declaração no nível da [edit interfaces interface-name unit logical-unit-number] hierarquia:
service-domain (inside | outside);
A service-domain configuração deve corresponder à configuração do serviço next-hop dentro e fora das interfaces. Para configurar as interfaces interna e externa, inclua a next-hop-service declaração no nível da [edit services service-set service-set-name] hierarquia. As interfaces especificadas devem ser interfaces lógicas no mesmo AS PIC. Você não pode configurar unit 0 para essa finalidade e a interface lógica escolhida não deve ser usada por outro conjunto de serviços.
next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; }
O tráfego no qual o serviço é aplicado é forçado para a interface interna usando uma rota estática. Por exemplo:
routing-options {
static {
route 10.1.2.3 next-hop sp-1/1/0.1;
}
}
Depois que o serviço é aplicado, o tráfego sai por meio da interface externa. Uma pesquisa é então executada no Mecanismo de Encaminhamento de Pacotes (PFE) para enviar o pacote para fora do AS ou PIC de Multisserviços.
O tráfego reverso entra na interface externa, é atendido e enviado para a interface interna. A interface interna encaminha o tráfego para fora do AS ou do PIC multisserviços.
Determinando a direção do tráfego
Quando você configura conjuntos de serviços de próximo salto, o AS PIC funciona como uma interface de duas partes, na qual uma parte é a interface interna e a outra parte é a interface externa . A seguinte sequência de ações ocorre:
Para associar as duas partes a interfaces lógicas, você configura duas interfaces lógicas com a
service-domaininstrução, uma com oinsidevalor e outra com ooutsidevalor, para marcá-las como uma interface de serviço interna ou externa.O roteador encaminha o tráfego a ser atendido para a interface interna, usando a tabela de pesquisa de próximo salto.
Depois que o serviço é aplicado, o tráfego sai da interface externa. Uma pesquisa de rota é então executada nos pacotes a serem enviados para fora do roteador.
Quando o tráfego reverso retorna na interface externa, o serviço aplicado é desfeito; por exemplo, o tráfego IPsec é descriptografado ou os endereços NAT são desmascarados. Os pacotes atendidos então emergem na interface interna, o roteador executa uma pesquisa de rota e o tráfego sai do roteador.
A direção de correspondência de uma regra de serviço, seja de entrada, saída ou entrada/saída, é aplicada em relação ao fluxo de tráfego através do AS PIC, não através de uma interface interna ou externa específica.
Quando um pacote é enviado para um AS PIC, as informações de direção do pacote são transportadas junto com ele. Isso é verdadeiro para conjuntos de serviços de estilo de interface e estilo de next-hop.
Conjuntos de serviços de estilo de interface
A direção do pacote é determinada pelo fato de um pacote estar entrando ou saindo de qualquer interface do Mecanismo de Encaminhamento de Pacotes (com relação ao plano de encaminhamento) na qual a interface-service instrução é aplicada. Isso é semelhante à direção de entrada e saída para filtros de firewall stateless.
A direção da correspondência também pode depender da topologia da rede. Por exemplo, você pode rotear todo o tráfego externo por meio de uma interface que é usada para proteger as outras interfaces no roteador e configurar vários serviços nessa interface especificamente. Como alternativa, você pode usar uma interface para tráfego prioritário e configurar serviços especiais nela, mas não se preocupar em proteger o tráfego nas outras interfaces.
Conjuntos de serviços no estilo next-hop
A direção do pacote é determinada pela interface AS PIC usada para rotear pacotes para o AS PIC. Se você usar a instrução para rotear o inside-interface tráfego, a direção do pacote será input. Se você usar a outside-interface instrução para direcionar pacotes para o AS PIC, a direção do pacote será output.
A interface à qual você aplica os conjuntos de serviços afeta a direção da correspondência. Por exemplo, aplique a seguinte configuração:
sp-1/1/0 unit 1 service-domain inside; sp-1/1/0 unit 2 service-domain outside;
Se você configurar match-direction inputo , incluirá as seguintes declarações:
[edit] services service-set test1 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test1 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction input; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.1;
Se você configurar match-direction outputo , incluirá as seguintes declarações:
[edit] services service-set test2 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test2 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction output; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.2;
A diferença essencial entre as duas configurações é a mudança na direção da correspondência e o próximo salto das rotas estáticas, apontando para a interface interna ou externa do AS PIC.
Veja também
Configurando limitações do conjunto de serviços
Você pode definir as seguintes limitações na capacidade do conjunto de serviços:
Você pode limitar o número máximo de fluxos permitidos por conjunto de serviços. Para configurar o valor máximo, inclua a
max-flowsdeclaração no nível da[edit services service-set service-set-name]hierarquia:[edit services service-set service-set-name] max-flows number;
A
max-flowsinstrução permite atribuir um único valor de limite de fluxo. Somente para conjuntos de serviços IDS, é possível especificar vários tipos de limites de fluxo com um grau de controle mais preciso. Para obter mais informações, consulte a descrição da declaração em Configurando conjuntos de regras IDS em um MS-DPC.session-limitObservação:Quando uma interface de multisserviços agregados (AMS) é configurada como a interface de serviço para um conjunto de serviços, o
max-flowvalor configurado para o conjunto de serviços é aplicado a cada uma das interfaces de membro na interface AMS. Ou seja, se você tiver configurado 1000 como omax-flowvalor de um conjunto de serviços que usa uma interface AMS com quatro interfaces de membro ativas, cada uma das interfaces de membro poderá lidar com 1000 fluxos cada, resultando em um valor efetivomax-flowde 4000.Você pode limitar o tamanho máximo do segmento (MSS) permitido pelo TCP (Transmission Control Protocol). Para configurar o valor máximo, inclua a
tcp-mssdeclaração no nível da[edit services service-set service-set-name]hierarquia:[edit services service-set service-set-name] tcp-mss number;
O protocolo TCP negocia um valor de MSS durante o estabelecimento da conexão de sessão entre dois pares. O valor de MSS negociado é baseado principalmente na MTU das interfaces às quais os peers de comunicação estão diretamente conectados. No entanto, na rede, devido à variação no MTU do link no caminho percorrido pelos pacotes TCP, alguns pacotes que ainda estão bem dentro do valor do MSS podem ser fragmentados quando o tamanho do pacote em questão excede o MTU do link.
Se o roteador receber um pacote TCP com o bit SYN e o conjunto de opções MSS e a opção MSS especificada no pacote for maior que o valor MSS especificado pela
tcp-mssinstrução, o roteador substituirá o valor MSS no pacote pelo valor mais baixo especificado pelatcp-mssdeclaração. O intervalo para otcp-mss mss-valueparâmetro é de 536 até 65535.Para visualizar estatísticas de pacotes SYN recebidos e pacotes SYN cujo valor MSS é modificado, emita o
show services service-sets statistics tcp-msscomando de modo operacional. Para obter mais informações sobre este tópico, consulte a Biblioteca de Administração do Junos OS.A partir do Junos OS Release 17.1R1, você pode limitar a taxa de configuração de sessão por conjunto de serviços para um MS-MPC. Para configurar a taxa de configuração máxima permitida, inclua a
max-session-setup-ratedeclaração no nível da[edit services service-set service-set-name]hierarquia:[edit services service-set service-set-name] max-session-setup-rate (number | numberk);
A taxa máxima de configuração de sessão é o número máximo de configurações de sessão permitidas por segundo. Depois que essa taxa é atingida, todas as tentativas adicionais de configuração de sessão são descartadas.
O intervalo para o é de 1 a
max-session-setup-ratenumber 429.496.729. Você também pode expressar a taxa de instalação como milhares de sessões usando numberk. A partir do Junos OS Release 18.4R1, 1k=1000 para omax-session-setup-rate. Antes do lançamento do Junos OS 18.4R1, 1k=1024. Se você não incluir amax-session-setup-rateinstrução, a taxa de configuração da sessão não será limitada.
Veja também
Exemplo: configuração de conjuntos de serviços
Aplique dois conjuntos my-input-service-set de serviços e my-output-service-set, em toda a interface. Todo o tráfego foi my-input-service-set aplicado a ele. Depois que o conjunto de serviços é aplicado, a filtragem adicional é feita usando my_post_service_input_filter.
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
Configuração de pools de interface de serviço
Permitindo que os PICs de serviços aceitem tráfego multicast
Para permitir que o tráfego multicast seja enviado para o PIC de serviços adaptativos ou multisserviços, inclua a allow-multicast declaração no nível da [edit services service-set service-set-name] hierarquia. Se essa declaração não for incluída, o tráfego multicast será descartado por padrão. Essa instrução se aplica apenas ao tráfego multicast usando um conjunto de serviços next-hop; Não há suporte para a configuração do conjunto de serviços de interface. Somente fluxos unidirecionais são criados para pacotes multicast.
Veja também
Aplicação de filtros e serviços a interfaces
Depois de definir e agrupar as regras de serviço configurando a definição do conjunto de serviços, você pode aplicar serviços a uma ou mais interfaces no roteador. Para associar um conjunto de serviços definido a uma interface, inclua a service-set instrução com a input instrução or output no nível de [edit interfaces interface-name unit logical-unit-number family inet service] hierarquia:
[edit interfaces interface-name unit logical-unit-number family inet service] input { service-set service-set-name <service-filter filter-name>; post-service-filter filter-name; } output { service-set service-set-name <service-filter filter-name>; }
Quando você habilita serviços em uma interface, o encaminhamento de caminho reverso não é suportado. Não é possível configurar serviços na interface de gerenciamento (fxp0) ou na interface de loopback (lo0).
Você pode configurar diferentes conjuntos de serviços nos lados de entrada e saída da interface. No entanto, para conjuntos de serviços com regras de serviço bidirecionais, você deve incluir a mesma definição de conjunto de serviços nas input instruções and . output Qualquer conjunto de serviços incluído na service instrução deve ser configurado com a interface-service declaração no nível de [edit services service-set service-set-name] hierarquia; para obter mais informações, consulte Configurando conjuntos de serviços a serem aplicados a interfaces de serviços.
Se você configurar uma interface com um filtro de firewall de entrada que inclui uma ação de rejeição e com um conjunto de serviços que inclui regras de firewall stateful, o roteador executará o filtro de firewall de entrada antes que as regras de firewall stateful sejam executadas no pacote. Como resultado, quando o Mecanismo de Encaminhamento de Pacotes envia uma mensagem de erro do Internet Control Message Protocol (ICMP) pela interface, as regras de firewall stateful podem descartar o pacote porque ele não foi visto na direção de entrada.
As possíveis soluções alternativas são incluir um filtro de tabela de encaminhamento para executar a ação de rejeição, porque esse tipo de filtro é executado após o firewall stateful na direção de entrada, ou incluir um filtro de serviço de saída para impedir que os pacotes ICMP gerados localmente vão para o serviço de firewall stateful.
Configurando filtros de serviço
Opcionalmente, é possível incluir filtros associados a cada conjunto de serviços para refinar o destino e, adicionalmente, processar o tráfego. Se você incluir a service-set declaração sem uma service-filter definição, o software do roteador assumirá que a condição de correspondência é verdadeira e selecionará o conjunto de serviços para processamento automaticamente.
Para configurar filtros de serviço, inclua a firewall declaração no nível da [edit] hierarquia:
firewall {
family inet {
service-filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
Você deve especificar inet como a família de endereços para configurar um filtro de serviço.
Você configura filtros de serviço de maneira semelhante aos filtros de firewall. Os filtros de serviço têm as mesmas condições de correspondência que os filtros de firewall, mas as seguintes ações específicas:
count— Adicione o pacote a um contador total.log— Registre o pacote.port-mirror— Espelhe o pacote na porta.sample— Faça uma amostra do pacote.service— Encaminhe o pacote para processamento de serviços.skip— Omita o pacote do processamento de serviços.
Para obter mais informações sobre como configurar filtros de firewall, consulte o Guia do usuário de políticas de roteamento, filtros de firewall e policiais de tráfego.
Você também pode incluir mais de uma definição de conjunto de serviços em cada lado da interface. Se você incluir vários conjuntos de serviços, o software do roteador os avaliará na ordem especificada na configuração. Ele executa o primeiro conjunto de serviços para o qual encontra uma correspondência no filtro de serviço e ignora as definições subsequentes.
Uma instrução adicional permite que você especifique um filtro para processar o tráfego após a execução do conjunto de serviços de entrada. Para configurar esse tipo de filtro, inclua a post-service-filter declaração no nível da [edit interfaces interface-name unit logical-unit-number family inet service input] hierarquia:
post-service-filter filter-name;
O software executa a filtragem pós-serviço somente quando selecionou e executou um conjunto de serviços. Se o tráfego não atender aos critérios de correspondência para nenhum dos conjuntos de serviços configurados, o filtro pós-serviço será ignorado. A post-service-filter instrução não é suportada quando a interface de serviço está em um MS-MIC ou MS-MPC.
Para obter um exemplo de aplicação de um conjunto de serviços a uma interface, consulte Exemplos: Configuração de interfaces de serviços.
Para obter mais informações sobre como aplicar filtros a interfaces, consulte a Biblioteca de interfaces de rede do Junos OS para dispositivos de roteamento. Para obter informações gerais sobre filtros, consulte o Guia do usuário de políticas de roteamento, filtros de firewall e policiais de tráfego.
Depois que o processamento NAT é aplicado aos pacotes, eles não estão sujeitos aos filtros de serviço de saída. Os filtros de serviço afetam apenas o tráfego não convertido.
Exemplos: Configuração de interfaces de serviços
Aplique o conjunto de serviços em toda a my-service-set interface. Todo o tráfego aceito por my_input_filter foi my-input-service-set aplicado a ele. Depois que o conjunto de serviços é aplicado, a filtragem adicional é feita usando o my_post_service_input_filter filtro.
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
filter {
input my_input_filter;
output my_output_filter;
}
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
Configure duas interfaces rsp0 de redundância e rsp1o , e serviços associados.
[edit interfaces]
rsp0 {
redundancy-options {
primary sp-0/0/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 30 {
family inet;
service-domain inside;
}
unit 31 {
family inet;
service-domain outside;
}
}
rsp1 {
redundancy-options {
primary sp-0/1/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 20 {
family inet;
service-domain inside;
}
unit 21 {
family inet;
service-domain outside;
}
}
[edit services]
service-set null-sfw-with-nat {
stateful-firewall-rules allow-all;
nat-rules rule1;
next-hop-service {
inside-service-interface rsp0.30;
outside-service-interface rsp0.31;
}
}
[edit routing-instances]
vpna {
interface rsp0.0;
}
Veja também
Configurando o endereço e o domínio para interfaces de serviços
No PIC AS ou Multiservices, você configura um endereço de origem para mensagens de log do sistema incluindo a address declaração no nível da [edit interfaces interface-name unit logical-unit-number family inet] hierarquia:
address address { ... }
Atribua um endereço IP à interface configurando o address valor. O PIC AS ou Multiservices geralmente oferece suporte apenas a endereços IP versão 4 (IPv4) configurados usando a declaração, mas os family inet serviços IPsec também oferecem suporte a endereços IP versão 6 (IPv6), configurados usando a family inet6 declaração.
Se você configurar o mesmo endereço em várias interfaces na mesma instância de roteamento, o Junos OS usará apenas a primeira configuração, as configurações de endereço restantes serão ignoradas e podem deixar interfaces sem um endereço. As interfaces que não têm um endereço atribuído não podem ser usadas como uma interface doadora para uma interface Ethernet não numerada.
Por exemplo, na configuração a seguir, a configuração de endereço da interface xe-0/0/1.0 é ignorada:
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
xe-0/0/1 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
Para obter informações sobre outras propriedades de endereçamento que você pode configurar que não são específicas para interfaces de serviço, consulte a Biblioteca de interfaces de rede do Junos OS para dispositivos de roteamento.
A service-domain instrução especifica se a interface é usada dentro da rede ou para se comunicar com dispositivos remotos. O software usa essa configuração para determinar quais regras padrão de firewall stateful devem ser aplicadas e para determinar a direção padrão para as regras de serviço. Para configurar o domínio, inclua a service-domain declaração no nível da [edit interfaces interface-name unit logical-unit-number] hierarquia:
service-domain (inside | outside);
Se você estiver configurando a interface em uma definição de conjunto de serviços next-hop, a service-domain configuração deverá corresponder à configuração das inside-service-interface instruções and outside-service-interface ; para obter mais informações, consulte Configurando conjuntos de serviços a serem aplicados a interfaces de serviços.
Veja também
Configurando o log do sistema para conjuntos de serviços
Você especifica propriedades que controlam como as mensagens de log do sistema são geradas para o conjunto de serviços. Esses valores substituem os valores configurados no nível de [edit interfaces interface-name services-options] hierarquia.
Para configurar valores de log do sistema específicos do conjunto de serviços, inclua a syslog declaração no nível da [edit services service-set service-set-name] hierarquia:
syslog { host hostname { class class-name facility-override facility-name; log-prefix prefix-value; port port-number services severity-level; source-address source-address } }
Configure a host instrução com um nome de host ou um endereço IP que especifique o servidor de destino do log do sistema. O nome local do host direciona as mensagens de log do sistema para o Mecanismo de Roteamento. Para servidores de log do sistema externos, o nome do host deve ser acessível a partir da mesma instância de roteamento para a qual o pacote de dados inicial (que acionou o estabelecimento da sessão) é entregue. Você pode especificar apenas um nome de host de log do sistema. O source-address parâmetro é suportado nas interfaces ms, rms e mams.
A partir do Junos OS Release 17.4R1, você pode configurar até um máximo de quatro servidores de log do sistema (combinação de hosts de log do sistema local e coletores de log do sistema remoto) para cada conjunto de serviços no [edit services service-set service-set-name] nível de hierarquia.
O Junos OS não oferece suporte à exportação de mensagens de log do sistema para um servidor de log do sistema externo através da interface fxp.0; Isso ocorre porque a alta taxa de transmissão de mensagens de log do sistema e a largura de banda limitada da interface FXP.0 podem causar vários problemas. O servidor de log do sistema externo deve ser acessível por meio de uma interface roteável.
A Tabela 1 lista os níveis de gravidade que você pode especificar em instruções de configuração no nível de [edit services service-set service-set-name syslog host hostname] hierarquia. Os níveis de emergency até estão info em ordem da gravidade mais alta (maior efeito no funcionamento) para a mais baixa.
Nível de gravidade |
Descrição |
|---|---|
|
Inclui todos os níveis de gravidade |
|
Pânico do sistema ou outra condição que faça com que o roteador pare de funcionar |
|
Condições que exigem correção imediata, como um banco de dados de sistema corrompido |
|
Condições críticas, como erros no disco rígido |
|
Condições de erro que geralmente têm consequências menos graves do que erros nos níveis crítico, de alerta e de emergência |
|
Condições que justificam o monitoramento |
|
Condições que não são erros, mas podem justificar um tratamento especial |
|
Eventos ou condições de interesse que não sejam erros |
Recomendamos definir o nível de gravidade do log do sistema como error durante a operação normal. Para monitorar o uso de recursos PIC, defina o nível como warning. Para coletar informações sobre um ataque de intrusão quando um erro do sistema de detecção de intrusão for detectado, defina o nível como notice para um conjunto de serviços específico. Para depurar uma configuração ou registrar a funcionalidade NAT, defina o nível como info.
Para obter mais informações sobre mensagens de log do sistema, consulte o Explorador de Logs do Sistema.
Para selecionar a classe de mensagens a serem registradas no host de log do sistema especificado, inclua a class instrução no nível da [edit services service-set service-set-name syslog host hostname] hierarquia:
class class-name;
Para usar um código de instalação específico para todos os registros no host de log do sistema especificado, inclua a facility-override instrução no nível da [edit services service-set service-set-name syslog host hostname] hierarquia:
facility-override facility-name;
Os recursos suportados são: authorization, daemon, ftp, kernel, user, e local0 através de local7.
Para especificar um prefixo de texto para todos os registros nesse host de log do sistema, inclua a log-prefix instrução no nível da [edit services service-set service-set-name syslog host hostname] hierarquia:
log-prefix prefix-value;
Veja também
Configuração de regras de serviço
Você especifica a coleção de regras e conjuntos de regras que constituem o conjunto de serviços. O roteador executa conjuntos de regras na ordem em que aparecem na configuração. Você pode incluir apenas um conjunto de regras para cada tipo de serviço. Você configura os nomes e o conteúdo das regras para cada tipo de serviço no nível de [edit services name] hierarquia de cada tipo:
Você configura as regras do serviço de detecção de invasão (IDS) no nível da
[edit services ids]hierarquia; para obter mais informações, consulte Configurando regras de IDS em um MS-DPC para placas MS-DPC e Configurando a proteção contra ataques de rede em um MS-MPC para placas MS-MPC.Você configura regras de Segurança IP (IPsec) no nível de
[edit services ipsec-vpn]hierarquia; para obter mais informações, consulte Entendendo o Junos VPN Site Secure.Você configura as regras da Network Address Translation (NAT) no nível da
[edit services nat]hierarquia; para obter mais informações, consulte Visão geral do Endereçamento de Rede do Junos Address Aware.Você configura assinantes acionados por pacotes e regras de controle de política (PTSP) no nível da
[edit services ptsp]hierarquia; para obter mais informações, consulte Configurando regras de serviço PTSP.Você configura regras de softwire para DS-Lite ou 6rd softwires no nível de
[edit services softwire]hierarquia; para obter mais informações, consulte Configurando regras de softwire.Você configura regras de firewall stateful no nível de
[edit services stateful-firewall]hierarquia; para obter mais informações, consulte Configurando regras de Firewall com estado.
Para configurar as regras e os conjuntos de regras que constituem um conjunto de serviços, inclua as seguintes declarações no nível da [edit services service-set service-set-name] hierarquia:
([ ids-rules rule-names ] |ids-rule-sets rule-set-name); ([ ipsec-vpn-rules rule-names ] | ipsec-vpn-rule-sets rule-set-name); ([ nat-rules rule-names ] | nat-rule-sets rule-set-name); ([ pgcp-rules rule-names] | pgcp-rule-sets rule-set-name); ([softwire-rules rule-names] | softwire-rule-sets rule-set-name); ([ stateful-firewall-rules rule-names ] | stateful-firewall-rule-sets rule-set-name);
Para cada tipo de serviço, você pode incluir uma ou mais regras individuais ou um conjunto de regras.
Se você configurar um conjunto de serviços com regras IPsec, ele não deverá conter regras para nenhum outro serviço. Você pode, no entanto, configurar outro conjunto de serviços contendo regras para os outros serviços e aplicar ambos os conjuntos de serviços à mesma interface.
Você também pode incluir a funcionalidade Junos Application Aware (anteriormente conhecida como Dynamic Application Awareness) em conjuntos de serviços. Para fazer isso, você deve incluir uma idp-profile instrução no nível da [edit services service-set] hierarquia, juntamente com regras de identificação de aplicativo (APPID) e, conforme apropriado, regras de lista de acesso com reconhecimento de aplicativo (AACL) e um policy-decision-statistics-profile. Apenas um conjunto de serviços pode ser aplicado a uma única interface quando a funcionalidade Junos Application Aware é usada. Para obter mais informações, consulte Configurando regras de IDS em um guia do usuário MS-DPC, Visão geral do APPID e interfaces de serviços com reconhecimento de aplicativos para dispositivos de roteamento.
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.
max-session-setup-rate.