服务过滤器
ACX 系列服务过滤器
将服务集应用于内联服务接口上的流量时,您可以选择性地使用服务过滤器来优化服务集的目标并处理流量。借助服务过滤器,您可以在流量传输到目标之前,对内联服务接口上定义的一组服务执行数据包过滤,从而对流量进行作。在 ACX 系列路由器中,您可以先对流量应用服务过滤器,然后再接受数据包进行输入服务处理。
在 ACX 系列路由器中, service-set 过滤器是使用三态内容寻址存储器 (TCAM) 空间实现的。分配的 TCAM 空间由网桥家族过滤器共享。NNI-Address-Overload-Reverse 过滤器共享相同的空间(对于配置了地址重载的每个服务集,将内部过滤器配置为给定的过载 IP 地址和端口范围,以便将匹配的反向 nat(公共到私有)流量重定向到服务)。从扩展的角度来看,分配的 124 个硬件 TCAM 条目由这些功能共享,TCAM 条目的分配按照先到先得的模式进行。
另见
应用服务过滤器的准则
本主题介绍以下信息:
内联服务接口的限制
您只能将服务过滤器应用于与 内联服务接口 上的服务集关联的 IPv4 流量。
ACX 系列路由器不支持服务后过滤器。
用于应用服务过滤器的语句层次结构
在接受数据包进行输入服务处理之前,您可以启用 IPv4 流量的数据包过滤。为此,请结合接口服务集对内联服务接口输入应用服务过滤器。
以下配置显示了可将服务过滤器应用于内联服务接口的层次结构级别:
[edit]
interfaces {
interface-name {
unit unit-number {
family (inet | inet6) {
service {
input {
service-set service-set-name service-filter service-filter-name;
}
output {
[ service-set service-set-name <service-filter filter-name> ];
}
}
}
}
}
}
将服务规则与内联服务接口相关联
要对应用于内联服务接口的服务规则进行定义和分组,可以通过在[edit services]层次结构级别包含service-set service-set-name语句来定义接口服务集。
要将接口服务集应用于内联服务接口的输入,请在以下层级包含 服务集service-set-name :
[edit interfaces interface-name unit unit-number input]
在接受数据包进行服务处理之前过滤流量
要在接受数据包进行输入服务处理之前过滤 IPv4 流量,请在以下层级添加 服务集 service-set-name 服务过滤器 service-filter-name :
[edit interfaces interface-name unit unit-number family inet service input]
service-set-name对于 ,指定在[edit services service-set]层次结构级别上配置的服务集。
即使在应用服务之后,服务集也会保留输入接口信息,以便依赖于输入接口信息的过滤器类转发等功能继续工作。
在接受用于服务处理的数据包之前过滤入站或出站流量,需要满足以下要求:
您可以在接口的输入端和输出端配置相同的服务集。
如果包含
service-set的语句没有可选 的服务过滤器 定义,则 Junos OS 将假定匹配条件为 true,并自动选择服务集进行处理。仅当配置并选择了服务集时,才会应用服务过滤器。
另见
IPv4 流量的服务过滤器匹配条件
在 ACX 系列中,服务过滤器仅支持 IPv4 流量的无状态防火墙过滤器匹配条件的一部分。服务过滤器匹配条件如 表1 所示。
匹配条件 |
描述 |
协议族 |
|---|---|---|
目标地址 address |
匹配 IP 目标地址字段。 |
家庭 Inet |
目标端口 number |
匹配 UDP 或 TCP 目标端口字段。 不能在同一术语中同时指定 端口 和 目标端口 匹配条件。 如果为 IPv4 流量配置此匹配条件,建议您同时在同一术语中配置 协议 udp 或 协议 tcp 匹配语句,以指定端口上使用的协议。 |
家庭 Inet |
IP 选项 values |
将 8 位 IP 选项字段(如果存在)与指定值或值列表进行匹配。 |
家庭 Inet |
协议 number |
匹配 IP 协议类型字段。 |
家庭 Inet |
源地址 address |
匹配 IP 源地址。 |
家庭 Inet |
源端口 number |
匹配 UDP 或 TCP 源端口字段。 如果为 IPv4 流量配置此匹配条件,建议您同时在同一术语中配置 协议 udp 或 协议 tcp 匹配语句,以指定端口上使用的协议。 |
家庭 Inet |
tcp 标志 value |
匹配 TCP 报头的 8 位 TCP 标志字段中的一个或多个低阶 6 位。 如果为 IPv4 流量配置此匹配条件,建议您同时在同一术语中配置 协议 tcp match 语句,以指定端口上是否使用了 TCP 协议。 |
家庭 Inet |
另见
服务过滤器作
ACX 系列支持不同的终止和非终止作集,您可以在服务筛选器术语中配置这些作。
服务筛选器不支持 下一术语 作。
表 2 介绍了可以在服务筛选器术语中配置的终止作。
终止作 |
描述 |
协议族 |
|---|---|---|
服务 |
将数据包定向到服务处理。 |
inet |
表 3 介绍了可以在服务筛选器术语中配置的非终止作。
非终止作 |
描述 |
协议族 |
|---|---|---|
|
接受数据包。 |
inet |
计数 counter-name |
对指定计数器中的数据包进行计数。 |
inet |
日志 |
将数据包标头信息记录在数据包转发引擎的缓冲区中。您可以通过在命令行界面 (CLI) 上发出 |
inet |
端口镜像 |
基于指定的家族对数据包进行端口镜像。 |
inet |