Nesta página
Exemplo: Configuração e aplicação de filtros de serviço
Este exemplo mostra como configurar e aplicar filtros de serviço.
Requisitos
Este exemplo usa a interface lógica em qualquer um dos seguintes componentes de hardware:xe-0/1/0.0
SERVIÇOs adaptativos (AS) PIC em um roteador da Série M ou Série T
PIC de multisserviços (MS) em um roteador da Série M ou série T
DPC multisserviços (MS) em um roteador da Série MX
Switch da Série EX
Antes de começar, certifique-se de ter:
Instalou seu roteador compatível (ou switch) e PICs ou DPCs e realizou a configuração inicial do roteador (ou switch).
Configurou a Ethernet básica na topologia e verificou que o tráfego está fluindo na topologia e que o tráfego IPv4 está fluindo através da interface lógica.
xe-0/1/0.0Configurou o conjunto de serviços com regras de entrada e saída de serviços e configurações padrão para serviços em uma interface de serviço.
vrf_svcs
Para obter diretrizes para configurar conjuntos de serviços, consulte Configurando conjuntos de serviços a serem aplicados a interfaces de serviços.Configuring Service Sets to be Applied to Services Interfaces
Visão geral
Neste exemplo, você cria três tipos de filtros de serviço para tráfego IPv4: um filtro de serviço de entrada, um filtro de entrada pós-serviço e um filtro de serviço de saída. Diferentes filtros de serviço podem ser aplicados ao mesmo conjunto de serviços. Veja também: Configuração de conjuntos de serviços a serem aplicados a interfaces de serviços
Topologia
Você aplica o filtro de serviço de entrada e o filtro de entrada pós-serviço no tráfego de entrada na interface lógica, e aplica o filtro de serviço de saída ao tráfego de saída na mesma interface lógica.xe-0/1/0.0
Filtragem do tráfego IPv4 antes de ser aceito para processamento de serviços de entrada — Na interface lógica, você usa o filtro de serviço para filtrar o tráfego de entrada IPv4 antes que o tráfego possa ser aceito para processamento por serviços associados ao conjunto de serviços.
xe-0/1/0.0in_filter_presvcvrf_svcsO filtro de serviço conta os pacotes enviados da porta ICMP 179, direciona esses pacotes para os serviços de entrada associados ao conjunto de serviços e descarta todos os outros pacotes.in_filter_presvcvrf_svcsFiltragem do tráfego IPv4 após ter concluído o processamento do serviço de entrada — Na interface lógica, você usa o filtro de serviço para filtrar o tráfego que está retornando à interface de serviços após a execução do conjunto de serviços de entrada.
xe-0/1/0.0in_filter_postsvcin_filter_presvcO filtro de serviço conta os pacotes enviados da porta ICMP 179 e depois os descarta.in_filter_postsvcFiltragem do tráfego IPv4 antes de ser aceito para processamento de serviços de saída — Na interface lógica, você usa o filtro de serviço para filtrar o tráfego de saída IPv4 antes que o tráfego possa ser aceito para processamento pelos serviços associados ao conjunto de serviços.
xe-0/1/0.0out_filter_presvcvrf_svcsO filtro de serviço conta pacotes destinados à porta TCP 179 e depois direciona os pacotes para os serviços de saída associados ao conjunto de serviços.out_filter_presvcvrf_svcs
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja .Use o editor de CLI no modo de configuração
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configuração dos três filtros de serviço
- Aplicação dos três filtros de serviço
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos em um arquivo de texto, remova qualquer quebra de linha e depois cole os comandos na CLI no nível de hierarquia.[edit]
set firewall family inet service-filter in_filter_presvc term t1 from protocol tcp set firewall family inet service-filter in_filter_presvc term t1 from source-port bgp set firewall family inet service-filter in_filter_presvc term t1 then count svc_in_pkts set firewall family inet service-filter in_filter_presvc term t1 then service set firewall family inet service-filter in_filter_postsvc term t2 from protocol tcp set firewall family inet service-filter in_filter_postsvc term t2 from source-port bgp set firewall family inet service-filter in_filter_postsvc term t2 then count svc_in_pkts_rtn set firewall family inet service-filter in_filter_postsvc term t2 then skip set firewall family inet service-filter out_filter_presvc term t3 from protocol icmp set firewall family inet service-filter out_filter_presvc term t3 from destination-port bgp set firewall family inet service-filter out_filter_presvc term t3 then count svc_out_pkts set firewall family inet service-filter out_filter_presvc term t3 then service set interfaces xe-0/1/0 unit 0 family inet service input service-set vrf_svcs service-filter in_filter_presvc set interfaces xe-0/1/0 unit 0 family inet service input post-service-filter in_filter_postsvc set interfaces xe-0/1/0 unit 0 family inet service output service-set vrf_svcs service-filter out_filter_presvc
Configuração dos três filtros de serviço
Procedimento passo a passo
Para configurar os três filtros de serviço:
Configure o filtro de serviço de entrada.
[edit] user@host# edit firewall family inet service-filter in_filter_presvc [edit firewall family inet service-filter in_filter_presvc] user@host# set term t1 from protocol tcp user@host# set term t1 from source-port bgp user@host# set term t1 then count svc_in_pkts user@host# set term t1 then service
Configure o filtro de entrada pós-serviço.
[edit] user@host# edit firewall family inet service-filter in_filter_postsvc [edit firewall family inet service-filter in_filter_postsvc] user@host# set term t2 from protocol tcp user@host# set term t2 from source-port bgp user@host# set term t2 then count svc_in_pkts_rtn user@host# set term t2 then skip
Configure o filtro de serviço de saída.
[edit] user@host# edit firewall family inet service-filter out_filter_presvc [edit firewall family inet service-filter out_filter_presvc] user@host# set term t3 from protocol icmp user@host# set term t3 from destination-port bgp user@host# set term t3 then count svc_out_pkts user@host# set term t3 then service
Resultados
Confirme a configuração dos filtros de serviço de entrada e saída e do filtro de entrada pós-serviço entrando no comando do modo de configuração.show firewall Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show firewall
family inet {
service-filter in_filter_presvc {
term t1 {
from {
protocol tcp;
source-port bgp;
}
then {
count svc_in_pkts;
service;
}
}
}
service-filter in_filter_postsvc {
term t2 {
from {
protocol tcp;
source-port bgp;
}
then {
count svc_in_pkts_rtn;
skip;
}
}
}
service-filter out_filter_presvc {
term t3 {
from {
protocol icmp;
destination-port bgp;
}
then {
count svc_out_pkts;
service;
}
}
}
}
Aplicação dos três filtros de serviço
Procedimento passo a passo
Para aplicar os três filtros de serviço:
Acesse o protocolo IPv4 na interface de entrada.
xe-0/1/0.0[edit] user@host# edit interfaces xe-0/1/0 unit 0 family inet
Aplique o filtro de serviço de entrada e o filtro de entrada pós-serviço.
[edit interfaces xe-0/1/0 unit 0 family inet] user@host# set service input service-set vrf_svcs service-filter in_filter_presvc user@host# set service input post-service-filter in_filter_postsvc user@host# set service output service-set vrf_svcs service-filter out_filter_presvc
Resultados
Confirme a configuração das interfaces entrando no comando do modo de configuração.show interfaces Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit]
user@host# show interfaces
xe-0/1/0 {
unit 0 {
family inet {
service {
input {
service-set vrf_svcs service-filter in_filter_presvc;
post-service-filter in_filter_postsvc;
}
output {
service-set vrf_svcs service-filter out_filter_presvc;
}
}
}
}
}
Quando terminar de configurar o dispositivo, confirme a configuração do seu candidato.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificar se o tráfego de entrada é filtrado antes do serviço de entrada
- Verificar se o tráfego de entrada é filtrado após o processamento do serviço de entrada
- Verificar se o tráfego de saída é filtrado antes do processamento do serviço de saída
Verificar se o tráfego de entrada é filtrado antes do serviço de entrada
Propósito
Verifique se os pacotes de entrada enviados da porta TCP 179 são enviados para processamento pelos serviços de entrada associados ao conjunto de serviços .vrf_svcs
Ação
Exibir a contagem de pacotes enviados para processamento pelos serviços de entrada associados ao conjunto de serviços .vrf_svcs
[edit] user@host> show firewall filter in_filter_presvc-vrf_svcs counter svc_in_pkts
Verificar se o tráfego de entrada é filtrado após o processamento do serviço de entrada
Propósito
Verifique se os pacotes de entrada enviados da porta TCP 179 são devolvidos do processamento pelos serviços de entrada associados ao conjunto de serviços .vrf_svcs
Ação
Exibir a contagem de pacotes devolvidos do processamento pelos serviços de entrada associados ao conjunto de serviços .vrf_svcs
[edit] user@host> show firewall filter in_filter_postsvc-vrf_svcs counter svc_in_pkts_rtn
Verificar se o tráfego de saída é filtrado antes do processamento do serviço de saída
Propósito
Verifique se os pacotes de saída enviados à porta ICMP 179 são enviados para processamento pelos serviços de saída associados ao conjunto de serviços .vrf_svcs
Ação
Exibir a contagem de pacotes enviados para processamento pelos serviços de saída associados ao conjunto de serviços .vrf_svcs
[edit] user@host> show firewall filter out_filter_presvc-vrf_svcs counter svc_out_pkts