Conjuntos de serviços
Entender os conjuntos de serviços
O Junos OS permite criar conjuntos de serviços que definem uma coleção de serviços a serem executados por uma interface de serviços adaptativos (AS) ou placas de linha multisserviços (MS-DPC, MS-MIC e MS-MPC). Você pode configurar o conjunto de serviços como um conjunto de serviços no estilo de interface ou como um conjunto de serviços no estilo next-hop.
Um conjunto de serviços de interface é usado como um modificador de ação em toda a interface. Você pode usar um conjunto de serviços no estilo de interface quando quiser aplicar serviços a pacotes que passam por uma interface.
Um conjunto de serviços de próximo salto é um método baseado em rota para aplicar um serviço específico. Apenas os pacotes destinados a um próximo salto específico são atendidos pela criação de rotas estáticas explícitas. Essa configuração é útil quando os serviços precisam ser aplicados a toda uma tabela de roteamento e encaminhamento de rede privada virtual (VPN) (VRF), ou quando as decisões de roteamento determinam que os serviços precisam ser executados. Quando um serviço de próximo salto é configurado, a interface de serviço é considerada um módulo de duas pernas com uma perna configurada como a interface interna (dentro da rede) e a outra configurada como a interface externa (fora da rede).
Para evitar a queda de pacotes durante uma desativação de conjunto de serviços ou uma operação de exclusão de conjunto de serviços, primeiro derrube as interfaces correspondentes ao conjunto de serviços, aguarde em algum momento e depois desative ou exclua o conjunto de serviços. No entanto, se o fluxo de tráfego for muito alto, essa solução alternativa não ajuda.
Para configurar conjuntos de serviços, inclua as seguintes declarações no nível de [edit services] hierarquia:
[edit services] service-set service-set-name { (ids-rules rule-names | ids-rule-sets rule-set-name); (ipsec-vpn-rules rule-names | ipsec-vpn-rule-sets rule-set-name); max-session-setup-rate max-setup-rate; (nat-rules rule-names | nat-rule-sets rule-set-name); (pgcp-rules rule-names | pgcp-rule-sets rule-set-name); (ptsp-rules rule-names | ptsp-rule-sets rule-set-name); (stateful-firewall-rules rule-names | stateful-firewall-rule-sets rule-set-name); allow-multicast; extension-service service-name { provider-specific rules; } interface-service { service-interface interface-name; } ipsec-vpn-options { anti-replay-window-size bits; clear-dont-fragment-bit; ike-access-profile profile-name; local-gateway address; no-anti-replay; passive-mode-tunneling; trusted-ca [ ca-profile-names ]; tunnel-mtu bytes; } max-flows number; next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; service-interface-pool name; } syslog { host hostname { services severity-level; facility-override facility-name; log-prefix prefix-value; } } } adaptive-services-pics { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } } logging { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } }
Veja também
Configuração de conjuntos de serviços a serem aplicados a interfaces de serviços
Você configura uma interface de serviços para especificar a interface de serviços adaptativos na qual o serviço deve ser executado. As interfaces de serviços são usadas com qualquer um dos tipos de conjunto de serviços descritos nas seções a seguir.
- Configuração de conjuntos de serviços de interface
- Configuração de conjuntos de serviços de próximo salto
- Determinando a direção do tráfego
Configuração de conjuntos de serviços de interface
Um conjunto de serviços de interface é usado como um modificador de ação em toda a interface. Para configurar a interface de serviços, inclua a interface-service declaração no nível de [edit services service-set service-set-name] hierarquia:
[edit services service-set service-set-name] interface-service { service-interface interface-name; }
Apenas o nome do dispositivo é necessário, porque o software do roteador gerencia os números de unidade lógica automaticamente. A interface de serviços deve ser uma interface de serviços adaptativa para a qual você configurou unit 0 family inet no nível de [edit interfaces interface-name hierarquia.
Quando você definiu e agrupou as regras de serviço configurando a definição do conjunto de serviços, você pode aplicar serviços a uma ou mais interfaces instaladas no roteador. Quando você aplica o conjunto de serviços a uma interface, ele garante automaticamente que os pacotes sejam direcionados para o PIC.
Para associar um conjunto de serviços definido com uma interface, inclua uma service-set declaração ou input output declaração no [edit interfaces interface-name unit logical-unit-number family inet service] nível hierárquico:
[edit interfaces interface-name unit logical-unit-number family inet service]
input {
service-set service-set-name <service-filter filter-name>;
post-service-filter filter-name;
}
output {
service-set service-set-name <service-filter filter-name>;
}
Se um pacote estiver entrando na interface, a direção da correspondência será input. Se um pacote estiver saindo da interface, a direção da correspondência será output. O conjunto de serviços retém as informações da interface de entrada mesmo após a aplicação dos serviços, de modo que funções como encaminhamento de classe de filtro e uso de classe de destino (DCU) que dependem das informações da interface de entrada continuam funcionando.
Você configura o mesmo conjunto de serviços nos lados de entrada e saída da interface. Você pode incluir opcionalmente filtros associados a cada conjunto de serviços para refinar a meta e processar o tráfego de forma adicional. Se você incluir a service-set declaração sem uma service-filter definição, o software do roteador assume que a condição da correspondência é verdadeira e seleciona o conjunto de serviços para processamento automaticamente.
Se você configurar conjuntos de serviços com filtros, eles devem ser configurados nos lados de entrada e saída da interface.
Você pode incluir mais de uma definição de conjunto de serviços em cada lado da interface. Se você incluir vários conjuntos de serviços, o software do roteador os avalia na ordem em que eles aparecem na configuração. O sistema executa o primeiro conjunto de serviços para o qual encontra uma correspondência no filtro de serviço e ignora as definições subsequentes. No máximo seis conjuntos de serviços podem ser aplicados a uma interface. Quando você aplica vários conjuntos de serviços em uma interface, você também deve configurar e aplicar um filtro de serviço na interface.
Uma declaração adicional permite especificar um filtro para processar o tráfego após a execução do conjunto de serviços de entrada. Para configurar esse tipo de filtro, inclua a post-service-filter declaração no nível de [edit interfaces interface-name unit logical-unit-number family inet service input] hierarquia:
post-service-filter filter-name;
A post-service-filter declaração não é suportada quando a interface de serviço está em um MS-MIC ou MS-MPC.
Por exemplo, veja Exemplo: Configuração de conjuntos de serviços.
Com conjuntos de serviços no estilo de interface configurados com pacotes de extensão do Junos OS, o tráfego não é atendido quando a interface de entrada faz parte de uma instância VRF e a interface de serviço não faz parte da mesma instância VRF.
Quando o PIC multisserviços configurado para um conjunto de serviços for retirado administrativamente offline ou passar por uma falha, todo o tráfego que entra na interface configurada com um conjunto de serviços IDP seria desativado sem notificação. Para evitar essa perda de tráfego, inclua a bypass-traffic-on-pic-failure declaração no nível de [edit services service-set service-set-name service-set-options] hierarquia. Quando esta declaração é configurada, os pacotes afetados são encaminhados no caso de uma falha ou offlining de Pic de MultiServices, como se os serviços no estilo de interface não estivessem configurados. Esse problema se aplica apenas às configurações do Junos Application Aware (anteriormente conhecida como Consciência dinâmica de aplicativos) usando conjuntos de serviços IDP. Esse recurso de encaminhamento funcionou apenas com o Mecanismo de encaminhamento de pacotes (PFE) inicialmente. A partir do Junos OS Release 11.3, o recurso de encaminhamento de pacotes é estendido a pacotes gerados pelo Mecanismo de Roteamento para conjuntos de serviços de bypass também.
Configuração de conjuntos de serviços de próximo salto
Um conjunto de serviços de próximo salto é um método baseado em rota para aplicar um serviço específico. Apenas os pacotes destinados a um próximo salto específico são atendidos pela criação de rotas estáticas explícitas. Essa configuração é útil quando os serviços precisam ser aplicados a toda uma tabela de roteamento e encaminhamento de rede privada virtual (VPN) (VRF), ou quando as decisões de roteamento determinam que os serviços precisam ser executados.
Quando um serviço de próximo salto é configurado, o AS ou Multiservices PIC é considerado um módulo de duas pernas com uma perna configurada como a interface interna (dentro da rede) e a outra configurada como a interface externa (fora da rede).
Você pode criar índices IFL superiores a 8000 apenas se o conjunto de serviços de interface não estiver configurado.
Para configurar o domínio, inclua a service-domain declaração no nível de [edit interfaces interface-name unit logical-unit-number] hierarquia:
service-domain (inside | outside);
A service-domain configuração deve combinar com a configuração para o serviço de próximo salto em interfaces internas e externas. Para configurar as interfaces internas e externas, inclua a next-hop-service declaração no nível de [edit services service-set service-set-name] hierarquia. As interfaces que você especifica devem ser interfaces lógicas no mesmo que PIC. Você não pode configurar unit 0 para essa finalidade, e a interface lógica escolhida por você não deve ser usada por outro conjunto de serviços.
next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; }
O tráfego no qual o serviço é aplicado é forçado à interface interna usando uma rota estática. Por exemplo:
routing-options {
static {
route 10.1.2.3 next-hop sp-1/1/0.1;
}
}
Após a aplicação do serviço, o tráfego sai por meio da interface externa. Uma pesquisa é então realizada no Mecanismo de encaminhamento de pacotes (PFE) para enviar o pacote para fora do AS ou pic multisserviços.
O tráfego reverso entra na interface externa, é atendido e enviado para a interface interna. A interface interna encaminha o tráfego para fora do AS ou multisserviços PIC.
Determinando a direção do tráfego
Quando você configura conjuntos de serviços de próximo salto, o AS PIC funciona como uma interface de duas partes, na qual uma parte é a interface interna e a outra parte é a interface externa . A sequência de ações a seguir ocorre:
Para associar as duas partes com interfaces lógicas, você configura duas interfaces lógicas com a
service-domaindeclaração, uma com oinsidevalor e outra com ooutsidevalor, para marcá-las como uma interface de serviço interna ou externa.O roteador encaminha o tráfego a ser atendido na interface interna, usando a tabela de observação de próximo salto.
Após a aplicação do serviço, o tráfego sai da interface externa. Uma busca de rota é então realizada nos pacotes a serem enviados para fora do roteador.
Quando o tráfego reverso retorna na interface externa, o serviço aplicado é desfeito; por exemplo, o tráfego IPsec é descriptografado ou os endereços NAT são desmascarados. Os pacotes atendidos surgem na interface interna, o roteador realiza uma pesquisa de rota e o tráfego sai do roteador.
A direção de correspondência de uma regra de serviço, seja de entrada, saída ou entrada/saída, é aplicada em relação ao fluxo de tráfego por meio do AS PIC, não por uma interface específica dentro ou fora.
Quando um pacote é enviado para um AS PIC, as informações de direção de pacotes são levadas junto com ele. Isso vale tanto para o estilo de interface quanto para conjuntos de serviços no estilo next-hop.
Conjuntos de serviços de estilo de interface
A direção dos pacotes é determinada por se um pacote está entrando ou deixando qualquer interface do Packet Forwarding Engine (em relação ao plano de encaminhamento) no qual a interface-service declaração é aplicada. Isso é semelhante à direção de entrada e saída para filtros de firewall sem estado.
A direção da correspondência também pode depender da topologia da rede. Por exemplo, você pode rotear todo o tráfego externo por uma interface que é usada para proteger as outras interfaces no roteador e configurar vários serviços nesta interface especificamente. Como alternativa, você pode usar uma interface para priorizar o tráfego e configurar serviços especiais nele, mas não se importa em proteger o tráfego nas outras interfaces.
Conjuntos de serviços no estilo next-hop
A direção de pacotes é determinada pela interface AS PIC usada para rotear pacotes para o AS PIC. Se você usar a inside-interface declaração para rotear o tráfego, a direção do pacote será input. Se você usar a outside-interface declaração para direcionar pacotes para o AS PIC, a direção do pacote será output.
A interface à qual você aplica os conjuntos de serviços afeta a direção da partida. Por exemplo, aplique a seguinte configuração:
sp-1/1/0 unit 1 service-domain inside; sp-1/1/0 unit 2 service-domain outside;
Se você configurar match-direction input, você inclui as seguintes declarações:
[edit] services service-set test1 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test1 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction input; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.1;
Se você configurar match-direction output, você inclui as seguintes declarações:
[edit] services service-set test2 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test2 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction output; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.2;
A diferença essencial entre as duas configurações é a mudança na direção da correspondência e o próximo salto das rotas estáticas, apontando para a interface interna ou externa do AS PIC.
Veja também
Configuração de limitações do conjunto de serviços
Você pode definir as seguintes limitações na capacidade do conjunto de serviços:
Você pode limitar o número máximo de fluxos permitidos por conjunto de serviços. Para configurar o valor máximo, inclua a
max-flowsdeclaração no nível de[edit services service-set service-set-name]hierarquia:[edit services service-set service-set-name] max-flows number;
A
max-flowsdeclaração permite que você atribua um único valor limite de fluxo. Somente para conjuntos de serviçoS IDS, você pode especificar vários tipos de limites de fluxo com um grau de controle mais fino. Para obter mais informações, veja a descrição da declaração na configuração desession-limitconjuntos de regras do IDS em um MS-DPC.Nota:Quando uma interface agregada de multisserviços (AMS) é configurada como a interface de serviço para um conjunto de serviços, o
max-flowvalor configurado para o conjunto de serviços é aplicado a cada uma das interfaces de membro na interface AMS. Ou seja, se você tiver configurado 1000 como omax-flowvalor para um conjunto de serviços que usa uma interface AMS com quatro interfaces de membro ativas, cada uma das interfaces de membro pode lidar com 1000 fluxos cada, resultando em um valor efetivomax-flowde 4000.Você pode limitar o tamanho máximo do segmento (MSS) permitido pelo Protocolo de Controle de Transmissão (TCP). Para configurar o valor máximo, inclua a
tcp-mssdeclaração no nível de[edit services service-set service-set-name]hierarquia:[edit services service-set service-set-name] tcp-mss number;
O protocolo TCP negocia um valor MSS durante o estabelecimento de conexão de sessão entre dois pares. O valor do MSS negociado baseia-se principalmente na MTU das interfaces às quais os pares comunicadores estão diretamente conectados. No entanto, na rede, devido à variação do MTU de enlace no caminho trilhado pelos pacotes TCP, alguns pacotes que ainda estão bem dentro do valor MSS podem ser fragmentados quando o tamanho do pacote em questão excede o MTU do link.
Se o roteador receber um pacote TCP com o conjunto de opções SYN e MSS e a opção MSS especificada no pacote for maior do que o valor MSS especificado pela
tcp-mssdeclaração, o roteador substitui o valor mss no pacote pelo valor mais baixo especificado pelatcp-mssdeclaração. O intervalo para otcp-mss mss-valueparâmetro é de 536 até 65535.Para visualizar estatísticas de pacotes SYN recebidos e pacotes SYN cujo valor MSS é modificado, emita o comando do
show services service-sets statistics tcp-mssmodo operacional. Para obter mais informações sobre este tópico, consulte a Biblioteca de Administração do Junos OS.A partir do Junos OS Release 17.1R1, você pode limitar a taxa de configuração de sessão por serviço definido para um MS-MPC. Para configurar a taxa de configuração máxima permitida, inclua a
max-session-setup-ratedeclaração no nível de[edit services service-set service-set-name]hierarquia:[edit services service-set service-set-name] max-session-setup-rate (number | numberk);
A taxa máxima de configuração da sessão é o número máximo de configurações de sessão permitidas por segundo. Após essa taxa ser alcançada, quaisquer tentativas adicionais de configuração de sessão são descartadas.
O intervalo para o
max-session-setup-ratenumber é de 1 a 429.496.729. Você também pode expressar a taxa de configuração como milhares de sessões usando numberk. Começando no Junos OS Release 18.4R1, 1k=1000 para omax-session-setup-rate. Antes do Junos OS Release 18.4R1, 1k=1024. Se você não incluir amax-session-setup-ratedeclaração, a taxa de configuração da sessão não será limitada.
Veja também
Exemplo: Configuração de conjuntos de serviços
Aplique dois conjuntos de serviços emy-output-service-set, my-input-service-set em toda a interface. Todo o tráfego se aplicou my-input-service-set a ele. Após a aplicação do conjunto de serviços, a filtragem adicional é feita usandomy_post_service_input_filter.
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
Configuração de grupos de interface de serviço
Permitindo que os PICs de serviços aceitem tráfego multicast
Para permitir que o tráfego multicast seja enviado para os Serviços Adaptativos ou Multisserviços PIC, inclua a allow-multicast declaração no [edit services service-set service-set-name] nível hierárquico. Se essa declaração não estiver incluída, o tráfego multicast será descartado por padrão. Essa declaração se aplica apenas ao tráfego multicast usando um conjunto de serviços de próximo salto; A configuração do conjunto de serviços de interface não é suportada. Apenas fluxos unidirecionais são criados para pacotes multicast.
Veja também
Aplicação de filtros e serviços em interfaces
Quando você definiu e agrupou as regras de serviço configurando a definição do conjunto de serviços, você pode aplicar serviços a uma ou mais interfaces no roteador. Para associar um conjunto de serviços definido com uma interface, inclua a service-set declaração com a input declaração ou output a [edit interfaces interface-name unit logical-unit-number family inet service] declaração no nível hierárquico:
[edit interfaces interface-name unit logical-unit-number family inet service] input { service-set service-set-name <service-filter filter-name>; post-service-filter filter-name; } output { service-set service-set-name <service-filter filter-name>; }
Quando você habilita serviços em uma interface, o encaminhamento de caminho reverso não é suportado. Você não pode configurar serviços na interface de gerenciamento (fxp0) ou na interface de loopback (lo0).
Você pode configurar diferentes conjuntos de serviços nos lados de entrada e saída da interface. No entanto, para conjuntos de serviços com regras bidirecionais de serviço, você deve incluir a mesma definição de conjunto de serviços tanto nas input declarações quanto output nas declarações. Qualquer conjunto de serviços que você incluir na service declaração deve ser configurado com a interface-service declaração no nível de [edit services service-set service-set-name] hierarquia; para obter mais informações, consulte Configurando conjuntos de serviço a serem aplicados às interfaces de serviços.
Se você configurar uma interface com um filtro de firewall de entrada que inclua uma ação de rejeição e com um conjunto de serviços que inclui regras de firewall stateful, o roteador executa o filtro de firewall de entrada antes que as regras de firewall stateful sejam executadas no pacote. Como resultado, quando o Mecanismo de encaminhamento de pacotes envia uma mensagem de erro do Protocolo de Mensagem de Controle de Internet (ICMP) pela interface, as regras de firewall stateful podem abandonar o pacote porque ele não foi visto na direção de entrada.
Possíveis soluções alternativas devem incluir um filtro de tabela de encaminhamento para realizar a ação de rejeição, porque esse tipo de filtro é executado após o firewall stateful na direção de entrada, ou incluir um filtro de serviço de saída para evitar que os pacotes ICMP gerados localmente vão para o serviço de firewall stateful.
Configuração de filtros de serviço
Você pode incluir opcionalmente filtros associados a cada conjunto de serviços para refinar a meta e processar o tráfego de forma adicional. Se você incluir a service-set declaração sem uma service-filter definição, o software do roteador assume que a condição da correspondência é verdadeira e seleciona o conjunto de serviços para processamento automaticamente.
Para configurar filtros de serviço, inclua a firewall declaração no nível de [edit] hierarquia:
firewall {
family inet {
service-filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
Você deve especificar inet como a família de endereços para configurar um filtro de serviço.
Você configura filtros de serviço de maneira semelhante aos filtros de firewall. Os filtros de serviço têm as mesmas condições de correspondência que os filtros de firewall, mas as seguintes ações específicas:
count— Adicione o pacote a um contador total.log— Registre o pacote.port-mirror— Espelhar a porta do pacote.sample— Experimente o pacote.service— Encaminhe o pacote para processamento de serviços.skip— Omite o pacote do processamento de serviços.
Para obter mais informações sobre a configuração de filtros de firewall, consulte as políticas de roteamento, filtros de firewall e o guia de usuário dos policiais de tráfego.
Você também pode incluir mais de uma definição de conjunto de serviços em cada lado da interface. Se você incluir vários conjuntos de serviços, o software do roteador os avalia na ordem especificada na configuração. Ele executa o primeiro conjunto de serviços para o qual encontra uma correspondência no filtro de serviço e ignora as definições subsequentes.
Uma declaração adicional permite especificar um filtro para processar o tráfego após a execução do conjunto de serviços de entrada. Para configurar esse tipo de filtro, inclua a post-service-filter declaração no nível de [edit interfaces interface-name unit logical-unit-number family inet service input] hierarquia:
post-service-filter filter-name;
O software realiza filtragem de pós-serviço somente quando ele selecionou e executou um conjunto de serviços. Se o tráfego não atender aos critérios de correspondência para qualquer um dos conjuntos de serviços configurados, o filtro pós-serviço será ignorado. A post-service-filter declaração não é suportada quando a interface de serviço está em um MS-MIC ou MS-MPC.
Para um exemplo da aplicação de um conjunto de serviços em uma interface, veja Exemplos: Configurando interfaces de serviços.
Para obter mais informações sobre a aplicação de filtros nas interfaces, consulte a Biblioteca de interfaces de rede do Junos OS para dispositivos de roteamento. Para obter informações gerais sobre filtros, veja as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego.
Após a aplicação do processamento de NAT em pacotes, eles não estão sujeitos a filtros de serviço de saída. Os filtros de serviço afetam apenas o tráfego não traduzido.
Exemplos: Configuração de interfaces de serviços
Aplique o my-service-set conjunto de serviços em toda a interface. Todo o tráfego que é aceito por my_input_filter my-input-service-set ele se aplica a ele. Após a aplicação do conjunto de serviços, a filtragem adicional é feita usando o my_post_service_input_filter filtro.
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
filter {
input my_input_filter;
output my_output_filter;
}
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
Configure duas interfaces de redundância e rsp1serviços rsp0 associados.
[edit interfaces]
rsp0 {
redundancy-options {
primary sp-0/0/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 30 {
family inet;
service-domain inside;
}
unit 31 {
family inet;
service-domain outside;
}
}
rsp1 {
redundancy-options {
primary sp-0/1/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 20 {
family inet;
service-domain inside;
}
unit 21 {
family inet;
service-domain outside;
}
}
[edit services]
service-set null-sfw-with-nat {
stateful-firewall-rules allow-all;
nat-rules rule1;
next-hop-service {
inside-service-interface rsp0.30;
outside-service-interface rsp0.31;
}
}
[edit routing-instances]
vpna {
interface rsp0.0;
}
Veja também
Configuração do endereço e domínio para interfaces de serviços
No AS ou multisserviços PIC, você configura um endereço fonte para mensagens de log do sistema, incluindo a address declaração no nível hierárquico [edit interfaces interface-name unit logical-unit-number family inet] :
address address { ... }
Atribua um endereço IP à interface configurando o address valor. O AS ou Multiservices PIC geralmente oferece suporte apenas a endereços IP versão 4 (IPv4) configurados usando a declaração, mas os family inet serviços IPsec também oferecem suporte a endereços IP versão 6 (IPv6), configurados usando a family inet6 declaração.
Se você configurar o mesmo endereço em várias interfaces na mesma instância de roteamento, o Junos OS usa apenas a primeira configuração, as configurações de endereço restantes são ignoradas e podem deixar interfaces sem um endereço. Interfaces que não têm um endereço atribuído não podem ser usadas como uma interface de doadores para uma interface Ethernet sem números.
Por exemplo, na configuração a seguinte configuração de endereço da interface xe-0/0/1.0 é ignorada:
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
xe-0/0/1 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
Para obter mais informações sobre a configuração do mesmo endereço em várias interfaces, consulte Configurando o endereço da interface.
Para obter informações sobre outras propriedades de endereçamento, você pode configurar que não são específicas para interfaces de serviço, consulte a Biblioteca de interfaces de rede do Junos OS para dispositivos de roteamento.
A service-domain declaração especifica se a interface é usada dentro da rede ou se comunica com dispositivos remotos. O software usa essa configuração para determinar quais regras de firewall stateful padrão devem ser aplicadas e determinar a direção padrão para as regras de serviço. Para configurar o domínio, inclua a service-domain declaração no nível de [edit interfaces interface-name unit logical-unit-number] hierarquia:
service-domain (inside | outside);
Se você estiver configurando a interface em uma definição de conjunto de serviços de próximo salto, a service-domain configuração deve combinar com a configuração para as inside-service-interface declarações e outside-service-interface para obter mais informações, veja Configurando conjuntos de serviço a serem aplicados a interfaces de serviços.
Veja também
Configuração do registro do sistema para conjuntos de serviços
Você especifica propriedades que controlam como as mensagens de log do sistema são geradas para o conjunto de serviços. Esses valores se sobrepõem aos valores configurados no nível hierárquicos [edit interfaces interface-name services-options] .
Para configurar valores de registro de sistema específicos para o conjunto de serviços, inclua a syslog declaração no nível de [edit services service-set service-set-name] hierarquia:
syslog { host hostname { class class-name facility-override facility-name; log-prefix prefix-value; port port-number services severity-level; source-address source-address } }
Configure a host declaração com um nome de host ou um endereço IP que especifica o servidor alvo de log do sistema. O nome de local host direciona mensagens de log do sistema para o Mecanismo de Roteamento. Para servidores de log externos do sistema, o nome de host deve ser acessível a partir da mesma instância de roteamento à qual o pacote de dados inicial (que desencadeou o estabelecimento de sessão) é entregue. Você pode especificar apenas um nome de host de registro de sistema. O source-address parâmetro é suportado nas interfaces ms, rms e mams.
A partir do Junos OS Release 17.4R1, você pode configurar até um máximo de quatro servidores de log de sistema (combinação de hosts de log de sistema locais e coletores de log de sistema remoto) para cada conjunto de serviços em [edit services service-set service-set-name] nível hierárquicos.
O Junos OS não oferece suporte à exportação de mensagens de log do sistema para um servidor de log externo do sistema por meio da interface do switchp.0; isso ocorre porque a alta taxa de transmissão de mensagens de log do sistema e a largura de banda limitada da interface fxp.0 podem causar vários problemas. O servidor de log externo do sistema deve ser acessível por meio de uma interface roteável.
A Tabela 1 lista os níveis de gravidade que você pode especificar em declarações de configuração no nível de [edit services service-set service-set-name syslog host hostname] hierarquia. Os níveis de emergency passagem info estão em ordem de da mais alta gravidade (maior efeito sobre o funcionamento) ao mais baixo.
Nível de gravidade |
Descrição |
|---|---|
|
Inclui todos os níveis de gravidade |
|
Pânico no sistema ou outra condição que faz com que o roteador pare de funcionar |
|
Condições que exigem correção imediata, como um banco de dados do sistema corrupto |
|
Condições críticas, como erros de disco rígido |
|
Condições de erro que geralmente têm consequências menos graves do que erros nos níveis de emergência, alerta e crítico |
|
Condições que garantem o monitoramento |
|
Condições que não são erros, mas que podem garantir um tratamento especial |
|
Eventos ou condições de interesse sem erro |
Recomendamos definir o nível de gravidade de registro do sistema durante a error operação normal. Para monitorar o uso de recursos pic, definir o nível para warning. Para reunir informações sobre um ataque de intrusão quando um erro de sistema de detecção de intrusão for detectado, defina o nível para notice um conjunto de serviços específico. Para depurar uma configuração ou registrar a funcionalidade NAT, defina o nível para info.
Para obter mais informações sobre mensagens de log do sistema, consulte o System Log Explorer.
Para selecionar a classe de mensagens a serem registradas no host de log do sistema especificado, inclua a class declaração no nível de [edit services service-set service-set-name syslog host hostname] hierarquia:
class class-name;
Para usar um código de instalação específico para todos os registros no host de log do sistema especificado, inclua a facility-override declaração no nível de [edit services service-set service-set-name syslog host hostname] hierarquia:
facility-override facility-name;
As instalações apoiadas são:authorization, daemon, , ftp, kernele userlocal0 por aí local7.
Para especificar um prefixo de texto para todos os logs registrados neste host de log do sistema, inclua a log-prefix declaração no nível de [edit services service-set service-set-name syslog host hostname] hierarquia:
log-prefix prefix-value;
Veja também
Configuração de regras de serviço
Você especifica a coleta de regras e conjuntos de regras que constituem o conjunto de serviços. O roteador executa conjuntos de regras na ordem em que eles aparecem na configuração. Você pode incluir apenas uma regra definida para cada tipo de serviço. Você configura os nomes de regra e o conteúdo para cada tipo de serviço no nível de [edit services name] hierarquia para cada tipo:
Você configura as regras do serviço de detecção de intrusão (IDS) no nível de
[edit services ids]hierarquia; para obter mais informações, veja configuração de regras de IDS em um MS-DPC para placas MS-DPC e configuração de proteção contra ataques de rede em um MS-MPC para placas MS-MPC.Você configura as regras de segurança IP (IPsec) no nível de
[edit services ipsec-vpn]hierarquia; para obter mais informações, consulte Understanding Junos VPN Site Secure..Você configura as regras de tradução de endereços de rede (NAT) no nível hierárquicos
[edit services nat]; para obter mais informações, veja a visão geral do endereçamento de rede consciente do junos..Você configura os assinantes acionados por pacotes e as regras de controle de políticas (PTSP) no nível de
[edit services ptsp]hierarquia; para obter mais informações, veja Configuração das regras de serviço do PTSP.Você configura regras de softwire para DS-Lite ou 6rd softwires no nível de
[edit services softwire]hierarquia; para obter mais informações, veja Configuração das regras do Softwire.Você configura regras de firewall stateful no nível de
[edit services stateful-firewall]hierarquia; para obter mais informações, veja Configuração de regras de firewall stateful.
Para configurar as regras e conjuntos de regras que constituem um conjunto de serviços, inclua as seguintes declarações no nível de [edit services service-set service-set-name] hierarquia:
([ ids-rules rule-names ] |ids-rule-sets rule-set-name); ([ ipsec-vpn-rules rule-names ] | ipsec-vpn-rule-sets rule-set-name); ([ nat-rules rule-names ] | nat-rule-sets rule-set-name); ([ pgcp-rules rule-names] | pgcp-rule-sets rule-set-name); ([softwire-rules rule-names] | softwire-rule-sets rule-set-name); ([ stateful-firewall-rules rule-names ] | stateful-firewall-rule-sets rule-set-name);
Para cada tipo de serviço, você pode incluir uma ou mais regras individuais, ou um conjunto de regras.
Se você configurar um conjunto de serviços com regras IPsec, ele não deve conter regras para quaisquer outros serviços. Você pode, no entanto, configurar outro conjunto de serviços contendo regras para os outros serviços e aplicar ambos os conjuntos de serviços na mesma interface.
Você também pode incluir a funcionalidade Junos Application Aware (anteriormente conhecida como Consciência dinâmica de aplicativos) em conjuntos de serviços. Para isso, você deve incluir uma idp-profile declaração no nível de [edit services service-set] hierarquia, juntamente com as regras de identificação de aplicativos (APPID) e, conforme apropriado, regras e uma lista de acesso com reconhecimento de aplicativos (AACL) e um policy-decision-statistics-profile. Apenas um conjunto de serviços pode ser aplicado a uma única interface quando a funcionalidade Junos Application Aware é usada. Para obter mais informações, veja Configuração das regras do IDS em uma visão geral do MS-DPC, APPID e interfaces de usuário de interfaces de serviços conscientes de aplicativos para dispositivos de roteamento.
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.
max-session-setup-rate.