Nesta página
Exemplo: Configuração e aplicação de filtros de serviço
Este exemplo mostra como configurar e aplicar filtros de serviço.
Requisitos
Este exemplo usa a interface xe-0/1/0.0
lógica em qualquer um dos seguintes componentes de hardware:
SERVIÇOs adaptativos (AS) PIC em um roteador da Série M ou Série T
PIC de multisserviços (MS) em um roteador da Série M ou série T
DPC multisserviços (MS) em um roteador da Série MX
Switch da Série EX
Antes de começar, certifique-se de ter:
Instalou seu roteador compatível (ou switch) e PICs ou DPCs e realizou a configuração inicial do roteador (ou switch).
Configurou a Ethernet básica na topologia e verificou que o tráfego está fluindo na topologia e que o tráfego IPv4 está fluindo através da interface
xe-0/1/0.0
lógica.Configurou o conjunto
vrf_svcs
de serviços com regras de entrada e saída de serviços e configurações padrão para serviços em uma interface de serviço.
Para obter diretrizes para configurar conjuntos de serviços, consulte Configurando conjuntos de serviços a serem aplicados a interfaces de serviços.
Visão geral
Neste exemplo, você cria três tipos de filtros de serviço para tráfego IPv4: um filtro de serviço de entrada, um filtro de entrada pós-serviço e um filtro de serviço de saída. Diferentes filtros de serviço podem ser aplicados ao mesmo conjunto de serviços. Veja também: Configuração de conjuntos de serviços a serem aplicados a interfaces de serviços
Topologia
Você aplica o filtro de serviço de entrada e o filtro de entrada pós-serviço no tráfego de entrada na interface xe-0/1/0.0
lógica, e aplica o filtro de serviço de saída ao tráfego de saída na mesma interface lógica.
Filtragem do tráfego IPv4 antes de ser aceito para processamento de serviços de entrada — Na interface
xe-0/1/0.0
lógica, você usa o filtroin_filter_presvc
de serviço para filtrar o tráfego de entrada IPv4 antes que o tráfego possa ser aceito para processamento por serviços associados ao conjuntovrf_svcs
de serviços. Oin_filter_presvc
filtro de serviço conta os pacotes enviados da porta ICMP 179, direciona esses pacotes para os serviços de entrada associados ao conjuntovrf_svcs
de serviços e descarta todos os outros pacotes.Filtragem do tráfego IPv4 após ter concluído o processamento do serviço de entrada — Na interface
xe-0/1/0.0
lógica, você usa o filtroin_filter_postsvc
de serviço para filtrar o tráfego que está retornando à interface de serviços após a execução do conjuntoin_filter_presvc
de serviços de entrada. Oin_filter_postsvc
filtro de serviço conta os pacotes enviados da porta ICMP 179 e depois os descarta.Filtragem do tráfego IPv4 antes de ser aceito para processamento de serviços de saída — Na interface
xe-0/1/0.0
lógica, você usa o filtroout_filter_presvc
de serviço para filtrar o tráfego de saída IPv4 antes que o tráfego possa ser aceito para processamento pelos serviços associados ao conjuntovrf_svcs
de serviços. Oout_filter_presvc
filtro de serviço conta pacotes destinados à porta TCP 179 e depois direciona os pacotes para os serviços de saída associados ao conjuntovrf_svcs
de serviços.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configuração dos três filtros de serviço
- Aplicação dos três filtros de serviço
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos em um arquivo de texto, remova qualquer quebra de linha e depois cole os comandos na CLI no nível de [edit]
hierarquia.
set firewall family inet service-filter in_filter_presvc term t1 from protocol tcp set firewall family inet service-filter in_filter_presvc term t1 from source-port bgp set firewall family inet service-filter in_filter_presvc term t1 then count svc_in_pkts set firewall family inet service-filter in_filter_presvc term t1 then service set firewall family inet service-filter in_filter_postsvc term t2 from protocol tcp set firewall family inet service-filter in_filter_postsvc term t2 from source-port bgp set firewall family inet service-filter in_filter_postsvc term t2 then count svc_in_pkts_rtn set firewall family inet service-filter in_filter_postsvc term t2 then skip set firewall family inet service-filter out_filter_presvc term t3 from protocol icmp set firewall family inet service-filter out_filter_presvc term t3 from destination-port bgp set firewall family inet service-filter out_filter_presvc term t3 then count svc_out_pkts set firewall family inet service-filter out_filter_presvc term t3 then service set interfaces xe-0/1/0 unit 0 family inet service input service-set vrf_svcs service-filter in_filter_presvc set interfaces xe-0/1/0 unit 0 family inet service input post-service-filter in_filter_postsvc set interfaces xe-0/1/0 unit 0 family inet service output service-set vrf_svcs service-filter out_filter_presvc
Configuração dos três filtros de serviço
Procedimento passo a passo
Para configurar os três filtros de serviço:
Configure o filtro de serviço de entrada.
[edit] user@host# edit firewall family inet service-filter in_filter_presvc [edit firewall family inet service-filter in_filter_presvc] user@host# set term t1 from protocol tcp user@host# set term t1 from source-port bgp user@host# set term t1 then count svc_in_pkts user@host# set term t1 then service
Configure o filtro de entrada pós-serviço.
[edit] user@host# edit firewall family inet service-filter in_filter_postsvc [edit firewall family inet service-filter in_filter_postsvc] user@host# set term t2 from protocol tcp user@host# set term t2 from source-port bgp user@host# set term t2 then count svc_in_pkts_rtn user@host# set term t2 then skip
Configure o filtro de serviço de saída.
[edit] user@host# edit firewall family inet service-filter out_filter_presvc [edit firewall family inet service-filter out_filter_presvc] user@host# set term t3 from protocol icmp user@host# set term t3 from destination-port bgp user@host# set term t3 then count svc_out_pkts user@host# set term t3 then service
Resultados
Confirme a configuração dos filtros de serviço de entrada e saída e do filtro de entrada pós-serviço entrando no comando do show firewall
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit] user@host# show firewall family inet { service-filter in_filter_presvc { term t1 { from { protocol tcp; source-port bgp; } then { count svc_in_pkts; service; } } } service-filter in_filter_postsvc { term t2 { from { protocol tcp; source-port bgp; } then { count svc_in_pkts_rtn; skip; } } } service-filter out_filter_presvc { term t3 { from { protocol icmp; destination-port bgp; } then { count svc_out_pkts; service; } } } }
Aplicação dos três filtros de serviço
Procedimento passo a passo
Para aplicar os três filtros de serviço:
Acesse o protocolo IPv4 na interface
xe-0/1/0.0
de entrada.[edit] user@host# edit interfaces xe-0/1/0 unit 0 family inet
Aplique o filtro de serviço de entrada e o filtro de entrada pós-serviço.
[edit interfaces xe-0/1/0 unit 0 family inet] user@host# set service input service-set vrf_svcs service-filter in_filter_presvc user@host# set service input post-service-filter in_filter_postsvc user@host# set service output service-set vrf_svcs service-filter out_filter_presvc
Resultados
Confirme a configuração das interfaces entrando no comando do show interfaces
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
[edit] user@host# show interfaces xe-0/1/0 { unit 0 { family inet { service { input { service-set vrf_svcs service-filter in_filter_presvc; post-service-filter in_filter_postsvc; } output { service-set vrf_svcs service-filter out_filter_presvc; } } } } }
Quando terminar de configurar o dispositivo, confirme a configuração do seu candidato.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificar se o tráfego de entrada é filtrado antes do serviço de entrada
- Verificar se o tráfego de entrada é filtrado após o processamento do serviço de entrada
- Verificar se o tráfego de saída é filtrado antes do processamento do serviço de saída
Verificar se o tráfego de entrada é filtrado antes do serviço de entrada
Propósito
Verifique se os pacotes de entrada enviados da porta TCP 179 são enviados para processamento pelos serviços de entrada associados ao conjunto de serviços vrf_svcs
.
Ação
Exibir a contagem de pacotes enviados para processamento pelos serviços de entrada associados ao conjunto de serviços vrf_svcs
.
[edit] user@host> show firewall filter in_filter_presvc-vrf_svcs counter svc_in_pkts
Verificar se o tráfego de entrada é filtrado após o processamento do serviço de entrada
Propósito
Verifique se os pacotes de entrada enviados da porta TCP 179 são devolvidos do processamento pelos serviços de entrada associados ao conjunto de serviços vrf_svcs
.
Ação
Exibir a contagem de pacotes devolvidos do processamento pelos serviços de entrada associados ao conjunto de serviços vrf_svcs
.
[edit] user@host> show firewall filter in_filter_postsvc-vrf_svcs counter svc_in_pkts_rtn
Verificar se o tráfego de saída é filtrado antes do processamento do serviço de saída
Propósito
Verifique se os pacotes de saída enviados à porta ICMP 179 são enviados para processamento pelos serviços de saída associados ao conjunto de serviços vrf_svcs
.
Ação
Exibir a contagem de pacotes enviados para processamento pelos serviços de saída associados ao conjunto de serviços vrf_svcs
.
[edit] user@host> show firewall filter out_filter_presvc-vrf_svcs counter svc_out_pkts