服务过滤器
ACX 系列中的服务过滤器
将服务集应用于内联服务接口上的流量时,可以选择使用服务过滤器来细化服务集的目标并处理流量。借助服务过滤器,您可以在将流量传送到目的地之前,对内联服务接口上的一组定义的服务执行数据包过滤,从而对流量进行作。在 ACX 系列路由器中,您可以在输入服务处理接受数据包之前对流量应用服务过滤器。
在 ACX 系列路由器中,过滤器使用 service-set 三态内容可寻址存储器 (TCAM) 空间实现。分配的 TCAM 空间由网桥族过滤器共享。NNI-Address-Overload-Reverse 过滤器共享相同的空间(对于配置了地址过载的每个服务集,将为给定的过载 IP 地址和端口范围配置内部过滤器,以便将匹配的反向 NAT(公共到私有)流量重定向到服务)。从扩展角度来看,分配的124个硬件TCAM条目由这些功能共享,TCAM条目的分配按照先到先得的模式进行。
也可以看看
应用服务过滤器的准则
本主题涵盖以下信息:
内联服务接口的限制
您只能将服务过滤器应用于与 内联服务接口 上的服务集相关联的 IPv4 流量。
ACX 系列路由器不支持服务后过滤器。
用于应用服务过滤器的语句层次结构
在输入服务处理接受数据包之前,您可以启用 IPv4 流量的数据包过滤。为此,请将服务过滤器与接口服务集一起应用于内联服务接口输入。
以下配置显示了可将服务过滤器应用于内联服务接口的层次结构级别:
[edit]
interfaces {
interface-name {
unit unit-number {
family (inet | inet6) {
service {
input {
service-set service-set-name service-filter service-filter-name;
}
output {
[ service-set service-set-name <service-filter filter-name> ];
}
}
}
}
}
}
将服务规则与内联服务接口相关联
要定义要应用于内联服务接口的服务规则并对其进行分组,请通过在层次结构级别包含service-set service-set-name[edit services]该语句来定义接口服务集。
要将接口服务集应用于内联服务接口的输入,请在以下层级包含 服务集service-set-name :
[edit interfaces interface-name unit unit-number input]
在接受数据包进行服务处理之前过滤流量
要在接受数据包进行输入服务处理之前过滤 IPv4 流量,请在以下层次结构级别添加 service-set service-set-name service-filter service-filter-name :
[edit interfaces interface-name unit unit-number family inet service input]
对于 service-set-name,指定在层次结构级别配置的 [edit services service-set] 服务集。
即使在应用服务之后,服务集仍会保留输入接口信息,以便依赖于输入接口信息的过滤器类转发等功能继续运行。
以下要求适用于在接受数据包进行服务处理之前过滤入站或出站流量:
在接口的输入端和输出端配置相同的服务集。
如果包含不
service-set带可选 服务过滤器 定义的语句,Junos OS 会假定匹配条件为 true,并自动选择服务集进行处理。仅当配置并选择了服务集时,才会应用服务过滤器。
也可以看看
IPv4 流量的服务过滤器匹配条件
在 ACX 系列中,服务过滤器仅支持 IPv4 流量的无状态防火墙过滤器匹配条件的子集。 表 1 介绍了服务过滤器匹配条件。
匹配条件 |
描述 |
协议族 |
|---|---|---|
目标地址 address |
匹配 IP 目标地址字段。 |
Family INET |
目标端口 number |
匹配 UDP 或 TCP 目标端口字段。 您不能在同一术语中同时指定 端口 和 目标端口 匹配条件。 如果为 IPv4 流量配置此匹配条件,建议同时配置 protocol udp 或 protocol tcp match 语句,以指定端口上使用的协议。 |
Family INET |
IP 选项 values |
将 8 位 IP 选项字段(如果存在)与指定的值或值列表进行匹配。 |
Family INET |
协议 number |
匹配 IP 协议类型字段。 |
Family INET |
源-地址 address |
匹配 IP 源地址。 |
Family INET |
源端口 number |
匹配 UDP 或 TCP 源端口字段。 如果为 IPv4 流量配置此匹配条件,建议同时配置 protocol udp 或 protocol tcp match 语句,以指定端口上使用的协议。 |
Family INET |
TCP 标志 value |
匹配 TCP 报头中 8 位 TCP 标志字段中的一个或多个低阶 6 位。 如果为 IPv4 流量配置此匹配条件,建议同时配置同一术语中的 protocol tcp match 语句,以指定端口上正在使用 TCP 协议。 |
Family INET |
也可以看看
服务过滤器作
ACX 系列支持不同的终止和非终止作集,您可以在服务过滤器术语中配置这些作。
服务过滤器不支持 下一个术语 作。
表 2 介绍了可在服务过滤器术语中配置的终止作。
终止作 |
描述 |
协议族 |
|---|---|---|
服务 |
将数据包定向到服务处理。 |
INET |
表 3 介绍了可在服务过滤器术语中配置的非终止作。
非终止作 |
描述 |
协议族 |
|---|---|---|
|
接受数据包。 |
INET |
计数 counter-name |
计算指定计数器中的数据包。 |
INET |
日志 |
将数据包标头信息记录在数据包转发引擎内的缓冲区中。您可以通过在命令行界面 (CLI) 上发出 |
INET |
端口镜像 |
根据指定的家族对数据包进行端口镜像。 |
INET |