服务集
了解服务集
您可以通过 Junos OS 创建服务集,用于定义要由自适应服务接口 (AS) 或多服务线卡(MS-DPC、MS-MIC 和 MS-MPC)执行的服务集合。您可以将服务集配置为接口样式服务集或下一跳样式服务集。
接口服务集用作整个接口上的作修饰符。如果要将服务应用于通过某个接口的数据包,可以使用接口样式的服务集。
下一跳服务集是一种基于路由的应用特定服务的方法。只有发往特定下一跃点的数据包才会通过创建显式静态路由来提供服务。当需要将服务应用于整个虚拟专用网 (VPN) 路由和转发 (VRF) 表时,或者当路由决策确定需要执行服务时,此配置非常有用。配置下一跃点服务时,服务接口被视为双腿模块,其中一条腿配置为内部接口(网络内部),另一条腿配置为外部接口(网络外部)。
为避免在服务集停用或服务集删除作期间丢包,请先关闭与服务集对应的接口,等待一段时间,然后停用或删除服务集。但是,如果流量非常高,则此变通方法无济于事。
要配置服务集,请在 [edit services] 层次结构级别包含以下语句:
[edit services] service-set service-set-name { (ids-rules rule-names | ids-rule-sets rule-set-name); (ipsec-vpn-rules rule-names | ipsec-vpn-rule-sets rule-set-name); max-session-setup-rate max-setup-rate; (nat-rules rule-names | nat-rule-sets rule-set-name); (pgcp-rules rule-names | pgcp-rule-sets rule-set-name); (ptsp-rules rule-names | ptsp-rule-sets rule-set-name); (stateful-firewall-rules rule-names | stateful-firewall-rule-sets rule-set-name); allow-multicast; extension-service service-name { provider-specific rules; } interface-service { service-interface interface-name; } ipsec-vpn-options { anti-replay-window-size bits; clear-dont-fragment-bit; ike-access-profile profile-name; local-gateway address; no-anti-replay; passive-mode-tunneling; trusted-ca [ ca-profile-names ]; tunnel-mtu bytes; } max-flows number; next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; service-interface-pool name; } syslog { host hostname { services severity-level; facility-override facility-name; log-prefix prefix-value; } } } adaptive-services-pics { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } } logging { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } }
也可以看看
配置要应用于服务接口的服务集
您可以配置服务接口以指定要在其上执行服务的自适应服务接口。服务接口可与以下部分中介绍的任一服务集类型一起使用。
配置接口服务集
接口服务集用作整个接口上的作修饰符。要配置服务接口,请在层次结构级别包含[edit services service-set service-set-name]该interface-service语句:
[edit services service-set service-set-name] interface-service { service-interface interface-name; }
只需要设备名称,因为路由器软件会自动管理逻辑单元号。服务接口必须是您在层次结构级别上[edit interfaces interface-name为其配置unit 0 family inet的自适应服务接口。
通过配置服务集定义对服务规则进行定义和分组后,您可以将服务应用于路由器上安装的一个或多个接口。将服务集应用于接口时,它会自动确保将数据包定向至 PIC。
要将定义的服务集与接口相关联,请在层次结构级别将[edit interfaces interface-name unit logical-unit-number family inet service]语句与 or output 语句配合service-setinput使用:
[edit interfaces interface-name unit logical-unit-number family inet service]
input {
service-set service-set-name <service-filter filter-name>;
post-service-filter filter-name;
}
output {
service-set service-set-name <service-filter filter-name>;
}
如果有数据包进入接口,则匹配方向为 input。如果数据包离开接口,则匹配方向为 output。即使在应用服务之后,服务集仍会保留输入接口信息,以便依赖于输入接口信息的过滤类转发和目标类使用 (DCU) 等功能继续运行。
在接口的输入端和输出端配置相同的服务集。您可以选择性地添加与每个服务集关联的过滤器,以优化目标并额外处理流量。如果包含不 service-set 带定义的 service-filter 语句,路由器软件会假定匹配条件为 true,并自动选择服务集进行处理。
如果使用过滤器配置服务集,则必须在接口的输入和输出端进行配置。
您可以在接口的每一端包含多个服务集定义。如果包含多个服务集,路由器软件将按其在配置中的出现顺序对其进行评估。系统将执行在服务过滤器中找到匹配项的第一个服务集,并忽略后续定义。一个接口最多可应用于六个服务集。将多个服务集应用于接口时,还必须配置服务过滤器并将其应用于接口。
附加语句允许您指定用于在执行输入服务集后处理流量的过滤器。要配置这种类型的过滤器,请在层次结构级别包含[edit interfaces interface-name unit logical-unit-number family inet service input]该post-service-filter语句:
post-service-filter filter-name;
当服务接口位于 MS-MIC 或 MS-MPC 上时,不支持该 post-service-filter 语句。
有关示例,请参阅 示例:配置服务集。
对于配置了 Junos OS 扩展提供包的接口样式服务集,当入口接口是 VRF 实例的一部分,而服务接口不属于同一 VRF 实例时,流量将无法得到服务。
当为服务集配置的多服务 PIC 以管理方式脱机或发生故障时,进入包含 IDP 服务集的已配置接口的所有流量都将被丢弃,恕不另行通知。为避免这种流量丢失,请在层次结构级别包含[edit services service-set service-set-name service-set-options]该bypass-traffic-on-pic-failure语句。配置此语句后,将在多服务 PIC 故障或脱机时转发受影响的数据包,就像未配置接口样式服务一样。此问题仅适用于使用 IDP 服务集的 Junos Application Aware(以前称为动态应用程序感知)配置。此转发功能最初仅适用于数据包转发引擎 (PFE)。从 Junos OS 11.3 版开始,数据包转发功能也扩展到了路由引擎为绕过服务集生成的数据包。
配置下一跳服务集
下一跳服务集是一种基于路由的应用特定服务的方法。只有发往特定下一跃点的数据包才会通过创建显式静态路由来提供服务。当需要将服务应用于整个虚拟专用网 (VPN) 路由和转发 (VRF) 表时,或者当路由决策确定需要执行服务时,此配置非常有用。
配置下一跃点服务时,AS 或多服务 PIC 被视为双腿模块,其中一条腿配置为内部接口(网络内部),另一条腿配置为外部接口(网络外部)。
只有当未配置接口服务集时,才能创建大于 8000 的 IFL 索引。
要配置域,请在层次结构级别包含该 service-domain 语句 [edit interfaces interface-name unit logical-unit-number] :
service-domain (inside | outside);
该service-domain设置必须与下一跃点服务内部和外部接口的配置匹配。要配置内部和外部接口,请在层次结构级别包含next-hop-service[edit services service-set service-set-name]该语句。您指定的接口必须是同一 AS PIC 上的逻辑接口。您不能为此目的进行配置unit 0,您选择的逻辑接口不得被其他服务集使用。
next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; }
应用服务的流量将使用静态路由强制至内部接口。例如:
routing-options {
static {
route 10.1.2.3 next-hop sp-1/1/0.1;
}
}
应用服务后,流量通过外部接口退出。然后,在数据包转发引擎 (PFE) 中执行查找,以便将数据包从 AS 或多服务 PIC 发送出。
反向流量进入外部接口,接受服务并发送至内部接口。内部接口将流量转发出 AS 或多服务 PIC。
确定流量方向
配置下一跃点服务集时,AS PIC 作为两部分接口运行,其中一部分是 内部 接口,另一部分是 外部 接口。将执行以下作顺序:
要将这两个部分与逻辑接口相关联,请使用
service-domain语句配置两个逻辑接口,一个使用值,一个使用inside值,以outside将其标记为内部或外部服务接口。路由器使用下一跃点查找表将要处理的流量转发到内部接口。
应用服务后,流量将从外部接口退出。然后对要从路由器发送出的数据包执行路由查找。
当反向流量返回外部接口时,应用的服务将被撤销;例如,解密 IPsec 流量或取消屏蔽 NAT 地址。然后,服务的数据包出现在内部接口上,路由器执行路由查找,流量离开路由器。
服务规则的匹配方向(无论是输入、输出还是输入/输出)都应用于通过 AS PIC 的流量,而非通过特定的内部或外部接口。
将数据包发送至 AS PIC 时,数据包方向信息也会随之携带。这对于接口样式和下一跳样式的服务集都是如此。
接口样式服务集
数据包方向取决于数据包是进入还是离开应用该语句的任何数据包转发引擎接口(相对于转发平面)。 interface-service 这类似于无状态防火墙过滤器的输入和输出方向。
匹配方向还取决于网络拓扑。例如,您可以通过一个接口路由所有外部流量(该接口用于保护路由器上的其他接口),并在此接口上专门配置各种服务。或者,您可以将一个接口用于优先级流量,并在其上配置特殊服务,但不关心保护其他接口上的流量。
下一跳点样式服务集
数据包方向由用于将数据包路由到 AS PIC 的 AS PIC 接口决定。如果使用该 inside-interface 语句路由流量,则数据包方向为 input。如果使用该 outside-interface 语句将数据包定向到 AS PIC,则数据包方向为 output。
应用服务集的接口会影响匹配方向。例如,应用以下配置:
sp-1/1/0 unit 1 service-domain inside; sp-1/1/0 unit 2 service-domain outside;
如果配置 match-direction input,请包含以下语句:
[edit] services service-set test1 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test1 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction input; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.1;
如果配置 match-direction output,请包含以下语句:
[edit] services service-set test2 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test2 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction output; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.2;
两种配置之间的本质区别在于匹配方向和静态路由下一跃点的变化,指向 AS PIC 的内部接口或外部接口。
也可以看看
配置服务集限制
您可以对服务集容量设置以下限制:
您可以限制每个服务集允许的最大流量数。要配置最大值,请在层次结构级别包含
[edit services service-set service-set-name]该max-flows语句:[edit services service-set service-set-name] max-flows number;
该
max-flows语句允许您分配单个流量限制值。仅对于 IDS 服务集,您可以指定具有更精细控制程度的各种类型的流量限制。有关更多信息,请参阅在 MS-DPC 上配置 IDS 规则集中的语句说明session-limit。注意:将聚合多服务 (AMS) 接口配置为服务集的服务接口时,为服务集配置的
max-flow值将应用于 AMS 接口中的每个成员接口。也就是说,如果已将 1000 配置为max-flow使用具有四个活动成员接口的 AMS 接口的服务集的值,则每个成员接口每个接口可处理 1000 个流,因此有效max-flow值为 4000。您可以限制传输控制协议 (TCP) 允许的最大分段大小 (MSS)。要配置最大值,请在层次结构级别包含
[edit services service-set service-set-name]该tcp-mss语句:[edit services service-set service-set-name] tcp-mss number;
TCP 协议在两个对等方之间建立会话连接期间协商 MSS 值。协商的 MSS 值主要基于通信对等方直接连接到的接口的 MTU。但是,在网络中,由于 TCP 数据包所采用路径上的链路 MTU 存在差异,当相关数据包的大小超过链路的 MTU 时,某些仍在 MSS 值范围内的数据包可能会被分段。
如果路由器收到设置了 SYN 位和 MSS 选项的 TCP 数据包,且数据包中指定的 MSS 选项大于语句指定的
tcp-mssMSS 值,则路由器会将数据包中的 MSS 值替换为语句指定的tcp-mss较低值。参数tcp-mss mss-value的范围是 到 536 65535。要查看接收的 SYN 数据包和 MSS 值已修改的 SYN 数据包的统计信息,请发出
show services service-sets statistics tcp-mss作模式命令。有关此主题的更多信息,请参阅 Junos OS 管理库。从 Junos OS 17.1R1 版开始,您可以限制 MS-MPC 每个服务集的会话设置速率。要配置允许的最大设置速率,请在层次结构级别包含
[edit services service-set service-set-name]该max-session-setup-rate语句:[edit services service-set service-set-name] max-session-setup-rate (number | numberk);
最大会话设置速率是每秒允许的最大会话设置数。达到此速率后,将丢弃任何其他会话设置尝试。
范围
max-session-setup-ratenumber为 1 到 429,496,729。您还可以使用 k 将number设置速率表示为数千个会话。从 Junos OS 18.4R1 版开始,1k=1000max-session-setup-rate表示。在 Junos OS 18.4R1 之前,1k=1024。如果不包含该max-session-setup-rate语句,则会话设置速率不受限制。
也可以看看
示例:配置服务集
在接口范围内应用两个服务集和 my-input-service-set my-output-service-set。所有流量都已 my-input-service-set 应用到它身上应用服务集后,将使用 my_post_service_input_filter完成其他过滤。
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
配置服务接口池
启用服务 PIC 接受组播流量
要允许将组播流量发送至自适应服务或多服务 PIC,请在层次结构级别包含[edit services service-set service-set-name]该allow-multicast语句。如果未包含此语句,则默认情况下将丢弃组播流量。此语句仅适用于使用下一跃点服务集的组播流量;不支持接口服务集配置。仅为组播数据包创建单向流。
也可以看看
对接口应用过滤器和服务
通过配置服务集定义对服务规则进行定义和分组后,可以将服务应用于路由器上的一个或多个接口。要将定义的服务集与接口相关联,请在层次结构级别将该service-set语句与 or output 语句包含在input[edit interfaces interface-name unit logical-unit-number family inet service]内:
[edit interfaces interface-name unit logical-unit-number family inet service] input { service-set service-set-name <service-filter filter-name>; post-service-filter filter-name; } output { service-set service-set-name <service-filter filter-name>; }
在某个接口上启用服务时,不支持反向路径转发。无法在管理接口 (fxp0) 或环路接口 (lo0) 上配置服务。
您可以在接口的输入侧和输出侧配置不同的服务集。但是,对于具有双向服务规则的服务集,您必须在 and input output 语句中包含相同的服务集定义。语句中包含的service任何服务集都必须在层次结构级别使用[edit services service-set service-set-name]该interface-service语句进行配置;有关更多信息,请参阅配置要应用于服务接口的服务集。
如果为接口配置了包含拒绝作的输入防火墙过滤器和包含状态防火墙规则的服务集,则在对数据包运行状态防火墙规则之前,路由器将先执行输入防火墙过滤器。因此,当数据包转发引擎通过接口发出互联网控制消息协议 (ICMP) 错误消息时,状态防火墙规则可能会丢弃数据包,因为在输入方向上看不到数据包。
可能的变通方法是包括一个转发表过滤器来执行拒绝作(因为这种类型的过滤器是在输入方向的状态防火墙之后执行的),或者包括一个输出服务过滤器,以防止本地生成的 ICMP 数据包进入状态防火墙服务。
配置服务过滤器
您可以选择性地添加与每个服务集关联的过滤器,以优化目标并额外处理流量。如果包含不 service-set 带定义的 service-filter 语句,路由器软件会假定匹配条件为 true,并自动选择服务集进行处理。
要配置服务过滤器,请在层次结构级别包含[edit]该firewall语句:
firewall {
family inet {
service-filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
必须指定 inet 为地址族才能配置服务过滤器。
配置服务过滤器的方法与防火墙过滤器类似。服务过滤器与防火墙过滤器具有相同的匹配条件,但具体作如下:
count— 将数据包添加到计数器总计中。log— 记录数据包。port-mirror— 端口镜像数据包。sample— 对数据包进行采样。service— 转发数据包以进行服务处理。skip— 从服务处理中省略数据包。
有关配置防火墙过滤器的详细信息,请参阅 路由策略、防火墙过滤器和流量监管器用户指南。
您还可以在接口的每一端包含多个服务集定义。如果包含多个服务集,路由器软件将按配置中指定的顺序对其进行评估。它执行在服务过滤器中找到匹配项的第一个服务集,并忽略后续定义。
附加语句允许您指定用于在执行输入服务集后处理流量的过滤器。要配置这种类型的过滤器,请在层次结构级别包含[edit interfaces interface-name unit logical-unit-number family inet service input]该post-service-filter语句:
post-service-filter filter-name;
软件仅在选择并执行服务集后才会执行服务后过滤。如果流量不符合任何配置服务集的匹配标准,则会忽略服务后过滤器。当服务接口位于 MS-MIC 或 MS-MPC 上时,不支持该 post-service-filter 语句。
有关将服务集应用于接口的示例,请参阅 示例:配置服务接口。
有关将过滤器应用于接口的更多信息,请参阅适用于路由 设备的 Junos OS 网络接口库。有关过滤器的常规信息,请参阅路由 策略、防火墙过滤器和流量监管器用户指南。
将 NAT 处理应用于数据包后,它们不受输出服务过滤器的约束。服务过滤器仅影响未转换的流量。
示例:配置服务接口
在接口范围内应用 my-service-set 服务集。所有接受 my_input_filter 的流量都已 my-input-service-set 应用于该流量。应用服务集后,将使用过滤器完成 my_post_service_input_filter 其他过滤。
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
filter {
input my_input_filter;
output my_output_filter;
}
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
配置两个冗余接口、 rsp0 rsp1和 以及相关服务。
[edit interfaces]
rsp0 {
redundancy-options {
primary sp-0/0/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 30 {
family inet;
service-domain inside;
}
unit 31 {
family inet;
service-domain outside;
}
}
rsp1 {
redundancy-options {
primary sp-0/1/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 20 {
family inet;
service-domain inside;
}
unit 21 {
family inet;
service-domain outside;
}
}
[edit services]
service-set null-sfw-with-nat {
stateful-firewall-rules allow-all;
nat-rules rule1;
next-hop-service {
inside-service-interface rsp0.30;
outside-service-interface rsp0.31;
}
}
[edit routing-instances]
vpna {
interface rsp0.0;
}
也可以看看
为服务接口配置地址和域
在 AS 或多服务 PIC 上,可以通过在层次结构级别包含[edit interfaces interface-name unit logical-unit-number family inet]以下address语句来配置系统日志消息的源地址:
address address { ... }
通过配置值 address 为接口分配 IP 地址。AS 或多服务 PIC 通常仅支持使用 family inet 语句配置的 IP 版本 4 (IPv4) 地址,但 IPsec 服务也支持使用 family inet6 语句配置的 IP 版本 6 (IPv6) 地址。
如果在同一路由实例的多个接口上配置相同的地址,则 Junos OS 仅使用第一个配置,其余地址配置将被忽略,并且可能会让接口没有地址。没有分配地址的接口不能用作未编号以太网接口的施主接口。
例如,在以下配置中,将忽略接口 xe-0/0/1.0 的地址配置:
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
xe-0/0/1 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
有关可以配置的不特定于服务接口的其他寻址属性的信息,请参阅适用于路由 设备的 Junos OS 网络接口库。
该 service-domain 语句指定接口是在网络内使用,还是用于与远程设备通信。软件使用此设置来确定要应用哪些默认状态防火墙规则,并确定服务规则的默认方向。要配置域,请在层次结构级别包含该 service-domain 语句 [edit interfaces interface-name unit logical-unit-number] :
service-domain (inside | outside);
如果在下一跃点服务集定义中配置接口,则该 service-domain 设置必须与 and inside-service-interface outside-service-interface 语句的配置匹配;有关更多信息,请参阅 配置要应用于服务接口的服务集。
也可以看看
为服务集配置系统日志记录
您可以指定用于控制如何为服务集生成系统日志消息的属性。这些值覆盖在层次结构级别上配置的 [edit interfaces interface-name services-options] 值。
要配置特定于服务集的系统日志记录值,请在层次结构级别包含该 syslog 语句 [edit services service-set service-set-name] :
syslog { host hostname { class class-name facility-override facility-name; log-prefix prefix-value; port port-number services severity-level; source-address source-address } }
使用指定系统日志目标服务器的主机名或 IP 地址配置 host 语句。主机名 local 将系统日志消息定向到路由引擎。对于外部系统日志服务器,主机名必须能够从初始数据包(触发会话建立)传送到的同一路由实例中访问。您只能指定一个系统日志记录主机名。ms、rms 和 mams 接口支持该 source-address 参数。
从 Junos OS 17.4R1 版开始,您最多可以为层次结构级别下的 [edit services service-set service-set-name] 每个服务集配置四个系统日志服务器(本地系统日志主机和远程系统日志收集器的组合)。
Junos OS 不支持通过 fxp.0 接口将系统日志消息导出到外部系统日志服务器;这是因为系统日志消息的高传输速率和 FXP.0 接口的有限带宽可能会导致多个问题。外部系统日志服务器必须能够通过可路由接口访问。
表 1 列出了可在层次结构级别的[edit services service-set service-set-name syslog host hostname]配置语句中指定的严重性级别。从最后info开始emergency的级别按从最高严重性(对功能影响最大)到最低的顺序排列。
严重性级别 |
描述 |
|---|---|
|
包括所有严重级别 |
|
系统崩溃或其他导致路由器停止运行的情况 |
|
需要立即更正的情况,例如损坏的系统数据库 |
|
危急情况,例如硬盘驱动器错误 |
|
错误情况通常后果不如紧急、警报和严重级别中的错误严重 |
|
需要监控的条件 |
|
非错误但可能需要特殊处理的情况 |
|
关注的事件或非错误条件 |
建议在正常作期间将系统日志记录严重性级别设置为。 error 要监控 PIC 资源使用情况,请将级别 warning设置为 。要在检测到入侵检测系统错误时收集有关入侵攻击的信息,请将特定服务集的级别设置为。 notice 要调试配置或日志 NAT 功能,请将级别 info设置为 。
有关系统日志消息的更多信息,请参阅 系统日志资源管理器。
要选择要记录到指定系统日志主机的消息类,请在层次结构级别包含[edit services service-set service-set-name syslog host hostname]该class语句:
class class-name;
要将一个特定设施代码用于对指定系统日志主机的所有日志记录,请在[edit services service-set service-set-name syslog host hostname]层次结构级别包含该facility-override语句:
facility-override facility-name;
支持的工具包括:authorization、daemon、ftp、kerneluser、和local0通过local7。
要为此系统日志主机的所有日志记录指定文本前缀,请在层次结构级别包含该 log-prefix 语句 [edit services service-set service-set-name syslog host hostname] :
log-prefix prefix-value;
也可以看看
配置服务规则
指定构成服务集的规则和规则集的集合。路由器按照规则集在配置中出现的顺序执行规则集。您只能为每种服务类型包含一个规则集。您可以在每种类型的层次结构级别上 [edit services name] 为每种服务类型配置规则名称和内容:
您可以在层次结构级别配置
[edit services ids]入侵检测服务 (IDS) 规则;有关详细信息,请参阅 在 MS-DPC 卡的 MS-DPC 上配置 IDS 规则 和 在 MS-MPC 上为 MS-MPC 卡配置网络攻击防护 。您可以在层次结构级别配置
[edit services ipsec-vpn]IP 安全性 (IPsec) 规则;有关更多信息,请参阅 了解 Junos VPN Site Secure。。您可以在层次结构级别配置
[edit services nat]网络地址转换 (NAT) 规则;有关更多信息,请参阅 Junos Address Aware 网络寻址概述。。您可以在层次结构级别配置
[edit services ptsp]数据包触发的用户和策略控制 (PTSP) 规则;有关更多信息,请参阅 配置 PTSP 服务规则。您可以在层次结构级别为
[edit services softwire]DS-Lite 或第 6 软线配置软线规则;有关更多信息,请参阅 配置软线规则。您可以在层次结构级别配置
[edit services stateful-firewall]有状态防火墙规则;有关更多信息,请参阅 配置有状态防火墙规则。
要配置构成服务集的规则和规则集,请在 [edit services service-set service-set-name] 层次结构级别包含以下语句:
([ ids-rules rule-names ] |ids-rule-sets rule-set-name); ([ ipsec-vpn-rules rule-names ] | ipsec-vpn-rule-sets rule-set-name); ([ nat-rules rule-names ] | nat-rule-sets rule-set-name); ([ pgcp-rules rule-names] | pgcp-rule-sets rule-set-name); ([softwire-rules rule-names] | softwire-rule-sets rule-set-name); ([ stateful-firewall-rules rule-names ] | stateful-firewall-rule-sets rule-set-name);
对于每种服务类型,您可以包括一个或多个单独的规则,或一个规则集。
如果使用 IPsec 规则配置服务集,则其不得包含任何其他服务的规则。但是,您可以配置包含其他服务规则的另一个服务集,并将这两个服务集应用到同一接口。
您还可以在服务集中包含 Junos Application Aware(以前称为动态应用程序感知)功能。为此,您必须在层次结构级别包含[edit services service-set]语idp-profile句,以及应用程序标识 (APPID) 规则,并酌情添加应用程序感知访问列表 (AACL) 规则和 policy-decision-statistics-profile.使用 Junos Application Aware 功能时,只能将一个服务集应用于单个接口。有关更多信息,请参阅在 MS-DPC 上配置 IDS 规则、APPID 概述和路由设备应用感知服务接口用户指南。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。
max-session-setup-rate用于 .