服务集
了解服务集
Junos OS 允许您创建服务集,用于定义要由自适应服务接口 (AS) 或多服务线卡(MS-DPC、MS-MIC 和 MS-MPC)执行的服务集合。您可以将服务集配置为接口样式服务集或下一跃点样式服务集。
接口服务集用作整个接口中的操作修饰符。如果要将服务应用于通过接口的数据包,可以使用接口样式的服务集。
下一跃点服务集是一种基于路由的应用特定服务的方法。只有发往特定下一跃点的数据包才能通过创建显式静态路由来提供服务。当服务需要应用于整个虚拟专用网 (VPN) 路由和转发 (VRF) 表时,或者当路由决策确定需要执行服务时,此配置非常有用。配置下一跃点服务时,服务接口被视为一个双腿模块,其中一条腿配置为内部接口(网络内部),另一条腿配置为外部接口(网络外部)。
为了避免在服务集停用或服务集删除操作期间丢包,请先关闭与服务集对应的接口,等待一段时间,然后再停用或删除服务集。但是,如果流量非常高,则此解决方法无济于事。
要配置服务集,请在层次结构级别包含以下语句 [edit services] :
[edit services] service-set service-set-name { (ids-rules rule-names | ids-rule-sets rule-set-name); (ipsec-vpn-rules rule-names | ipsec-vpn-rule-sets rule-set-name); max-session-setup-rate max-setup-rate; (nat-rules rule-names | nat-rule-sets rule-set-name); (pgcp-rules rule-names | pgcp-rule-sets rule-set-name); (ptsp-rules rule-names | ptsp-rule-sets rule-set-name); (stateful-firewall-rules rule-names | stateful-firewall-rule-sets rule-set-name); allow-multicast; extension-service service-name { provider-specific rules; } interface-service { service-interface interface-name; } ipsec-vpn-options { anti-replay-window-size bits; clear-dont-fragment-bit; ike-access-profile profile-name; local-gateway address; no-anti-replay; passive-mode-tunneling; trusted-ca [ ca-profile-names ]; tunnel-mtu bytes; } max-flows number; next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; service-interface-pool name; } syslog { host hostname { services severity-level; facility-override facility-name; log-prefix prefix-value; } } } adaptive-services-pics { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } } logging { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } }
参见
配置要应用于服务接口的服务集
您可以配置服务接口以指定要在其上执行服务的自适应服务接口。服务接口与以下各节中描述的任一服务集类型一起使用。
配置接口服务集
接口服务集用作整个接口中的操作修饰符。要配置服务接口,请在层次结构级别包含 interface-service 语句 [edit services service-set service-set-name] :
[edit services service-set service-set-name] interface-service { service-interface interface-name; }
只需要设备名称,因为路由器软件会自动管理逻辑单元号。服务接口必须是您在层次结构级别为其[edit interfaces interface-name配置unit 0 family inet的自适应服务接口。
通过配置服务集定义定义并分组服务规则后,可以将服务应用于路由器上安装的一个或多个接口。将服务集应用于接口时,它会自动确保将数据包定向到 PIC。
要将定义的服务集与接口关联,请在层次结构级别包含[edit interfaces interface-name unit logical-unit-number family inet service]带有 service-set or input output 语句的语句:
[edit interfaces interface-name unit logical-unit-number family inet service]
input {
service-set service-set-name <service-filter filter-name>;
post-service-filter filter-name;
}
output {
service-set service-set-name <service-filter filter-name>;
}
如果数据包进入接口,则匹配方向为 input。如果数据包离开接口,则匹配方向为 output。即使在应用服务后,服务集也会保留输入接口信息,以便依赖于输入接口信息的过滤器类转发和目标类使用 (DCU) 等功能继续工作。
您可以在接口的输入端和输出端配置相同的服务集。您可以选择包括与每个服务集关联的过滤器,以优化目标并额外处理流量。如果包含 service-set 的语句没有 service-filter 定义,路由器软件将假定匹配条件为 true,并选择要自动处理的服务集。
如果使用过滤器配置服务集,则必须在接口的输入端和输出端配置这些过滤器。
您可以在接口的每一端包含多个服务集定义。如果包含多个服务集,路由器软件将按照它们在配置中出现的顺序对其进行评估。系统执行它在服务过滤器中找到匹配项的第一个服务集,并忽略后续定义。一个接口最多可以应用六个服务集。将多个服务集应用于接口时,还必须配置服务过滤器并将其应用于接口。
附加语句允许您指定过滤器,以便在执行输入服务集后处理流量。要配置此类型的筛选器,请在层次结构级别包含 post-service-filter 语句 [edit interfaces interface-name unit logical-unit-number family inet service input] :
post-service-filter filter-name;
当服务接口位于 MS-MIC 或 MS-MPC 上时,不支持该 post-service-filter 语句。
有关示例,请参阅 示例:配置服务集。
对于配置了 Junos OS 扩展提供包的接口样式服务集,当入口接口是 VRF 实例的一部分而服务接口不是同一 VRF 实例的一部分时,流量将无法得到服务。
当为服务集配置的多服务 PIC 在管理上脱机或出现故障时,进入具有 IDP 服务集的已配置接口的所有流量都将被丢弃,恕不另行通知。为避免此流量丢失,请在层次结构级别包含 bypass-traffic-on-pic-failure 语句 [edit services service-set service-set-name service-set-options] 。配置此语句后,在多服务 PIC 发生故障或脱机时,将转发受影响的数据包,就像未配置接口样式服务一样。此问题仅适用于使用 IDP 服务集的 Junos 应用程序感知(以前称为动态应用程序感知)配置。此转发功能最初仅适用于数据包转发引擎 (PFE)。从 Junos OS 11.3 版开始,数据包转发功能也扩展到路由引擎为绕过服务集生成的数据包。
配置下一跃点服务集
下一跃点服务集是一种基于路由的应用特定服务的方法。只有发往特定下一跃点的数据包才能通过创建显式静态路由来提供服务。当服务需要应用于整个虚拟专用网 (VPN) 路由和转发 (VRF) 表时,或者当路由决策确定需要执行服务时,此配置非常有用。
配置下一跃点服务时,AS 或多服务 PIC 被视为一个双腿模块,其中一条腿配置为内部接口(网络内部),另一条腿配置为外部接口(网络外部)。
仅当未配置接口服务集时,才能创建大于 8000 的 IFL 索引。
要配置域,请在层次结构级别包含 service-domain 语句 [edit interfaces interface-name unit logical-unit-number] :
service-domain (inside | outside);
该 service-domain 设置必须与接口内部和外部下一跃点服务的配置匹配。要配置内部和外部接口,请在层次结构级别包含 next-hop-service 语句 [edit services service-set service-set-name] 。您指定的接口必须是同一 AS PIC 上的逻辑接口。您不能为此目的进行配置 unit 0 ,并且您选择的逻辑接口不得由其他服务集使用。
next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; }
应用服务的流量使用静态路由强制流向内部接口。例如:
routing-options {
static {
route 10.1.2.3 next-hop sp-1/1/0.1;
}
}
应用服务后,流量通过外部接口退出。然后在数据包转发引擎 (PFE) 中执行查找,以将数据包从 AS 或多服务 PIC 发出。
反向流量进入外部接口,得到服务,然后发送到内部接口。内部接口将流量从 AS 或多服务 PIC 转发出去。
确定流量方向
配置下一跃点服务集时,AS PIC 用作由两部分组成的接口,其中一部分是 内部 接口,另一部分是 外部 接口。将执行以下操作顺序:
要将这两个部分与逻辑接口相关联,请使用语句配置
service-domain两个逻辑接口(一个使用值,inside一个outside使用值),以将它们标记为内部或外部服务接口。路由器使用下一跃点查找表将要提供服务的流量转发到内部接口。
应用服务后,流量将从外部接口退出。然后对要从路由器发出的数据包执行路由查找。
当反向流量在外部接口上返回时,应用的服务将被撤消;例如,解密 IPsec 流量或取消屏蔽 NAT 地址。然后,提供服务的数据包出现在内部接口上,路由器执行路由查找,流量离开路由器。
服务规则的匹配方向(无论是输入、输出还是输入/输出)应用于通过 AS PIC 的流量,而不是通过特定的内部或外部接口。
将数据包发送到 AS PIC 时,数据包方向信息将随之携带。接口样式和下一跃点样式服务集都是如此。
界面样式服务集
数据包方向取决于数据包是进入还是离开应用语句的任何数据包转发引擎接口(相对于转发平面)。 interface-service 这类似于无状态防火墙过滤器的输入和输出方向。
匹配方向也可能取决于网络拓扑。例如,您可以通过一个用于保护路由器上其他接口的接口路由所有外部流量,并专门在此接口上配置各种服务。或者,您可以将一个接口用于优先级流量并在其上配置特殊服务,但不关心保护其他接口上的流量。
下一跃点样式服务集
数据包方向由用于将数据包路由到 AS PIC 的 AS PIC 接口确定。 inside-interface 如果使用语句路由流量,则数据包方向为 input。如果使用语句将 outside-interface 数据包定向到 AS PIC,则数据包方向为 output。
应用服务集的接口会影响匹配方向。例如,应用以下配置:
sp-1/1/0 unit 1 service-domain inside; sp-1/1/0 unit 2 service-domain outside;
如果配置 match-direction input,则包括以下语句:
[edit] services service-set test1 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test1 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction input; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.1;
如果配置 match-direction output,则包括以下语句:
[edit] services service-set test2 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test2 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction output; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.2;
两种配置之间的本质区别在于匹配方向和静态路由下一跃点的变化,指向 AS PIC 的内部或外部接口。
参见
配置服务集限制
您可以对服务集容量设置以下限制:
您可以限制每个服务集允许的最大流数。要配置最大值,请在层次结构级别包含
max-flows语句[edit services service-set service-set-name]:[edit services service-set service-set-name] max-flows number;
该
max-flows语句允许您分配单个流量限制值。仅对于 IDS 服务集,您可以通过更精细的控制指定各种类型的流量限制。有关详细信息,请参阅在 MS-DPC 上配置 IDS 规则集中的语句说明session-limit。注意:将聚合多服务 (AMS) 接口配置为服务集的服务接口时,
max-flow为服务集配置的值将应用于 AMS 接口中的每个成员接口。也就是说,如果您已将 1000 配置为max-flow使用具有四个活动成员接口的 AMS 接口的服务集的值,则每个成员接口每个成员接口可以处理 1000 个流,从而产生有效max-flow值 4000。您可以限制传输控制协议 (TCP) 允许的最大分段大小 (MSS)。要配置最大值,请在层次结构级别包含
tcp-mss语句[edit services service-set service-set-name]:[edit services service-set service-set-name] tcp-mss number;
TCP 协议在两个对等方之间建立会话连接期间协商 MSS 值。协商的 MSS 值主要基于通信对等方直接连接到的接口的 MTU。但是,在网络中,由于 TCP 数据包所采用路径上的链路 MTU 会发生变化,当相关数据包的大小超过链路的 MTU 时,某些仍在 MSS 值内的数据包可能会被分段。
如果路由器收到设置了 SYN 位和 MSS 选项的 TCP 数据包,并且数据包中指定的 MSS 选项大于语句指定的
tcp-mssMSS 值,则路由器会将数据包中的 MSS 值替换为语句tcp-mss指定的较低值。参数的范围tcp-mss mss-value是从 536 到 65535。要查看接收的 SYN 数据包和 MSS 值已修改的 SYN 数据包的统计信息,请发出
show services service-sets statistics tcp-mss操作模式命令。有关此主题的详细信息,请参阅 Junos OS 管理库。从 Junos OS 17.1R1 版开始,您可以限制 MS-MPC 的每个服务集的会话设置速率。要配置允许的最大设置速率,请在层次结构级别包含
max-session-setup-rate[edit services service-set service-set-name]语句:[edit services service-set service-set-name] max-session-setup-rate (number | numberk);
最大会话设置速率是每秒允许的最大会话设置数。达到此速率后,将丢弃任何其他会话设置尝试。
的范围
max-session-setup-ratenumber是 1 到 429,496,729。您还可以使用 k 将number设置速率表示为数千个会话。从 Junos OS 版本 18.4R1 开始,1k=1000 表示max-session-setup-rate.在 Junos OS 18.4R1 版之前,1k=1024。如果未包含该max-session-setup-rate语句,则会话设置速率不受限制。
参见
示例:配置服务集
在接口范围内应用两个服务集和 my-input-service-set my-output-service-set。所有流量都已 my-input-service-set 应用于它。应用服务集后,将使用 完成 my_post_service_input_filter其他筛选。
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
配置服务接口池
使服务 PIC 能够接受组播流量
要允许将组播流量发送到自适应服务或多服务 PIC,请在层次结构级别包含 allow-multicast 语句 [edit services service-set service-set-name] 。如果未包含此语句,则默认情况下会丢弃组播流量。此语句仅适用于使用下一跃点服务集的组播流量;不支持接口服务集配置。只会为组播数据包创建单向流。
参见
将过滤器和服务应用于接口
通过配置服务集定义来定义和分组服务规则后,您可以将服务应用于路由器上的一个或多个接口。要将定义的服务集与接口关联,请在层次结构级别将[edit interfaces interface-name unit logical-unit-number family inet service]语句与 or output 语句包含在service-setinput内:
[edit interfaces interface-name unit logical-unit-number family inet service] input { service-set service-set-name <service-filter filter-name>; post-service-filter filter-name; } output { service-set service-set-name <service-filter filter-name>; }
在接口上启用服务时,不支持反向路径转发。您无法在管理接口 (fxp0) 或环路接口 (lo0) 上配置服务。
您可以在接口的输入端和输出端配置不同的服务集。但是,对于具有双向服务规则的服务集,必须在和output语句中input包括相同的服务集定义。语句中包含的service任何服务集都必须在层次结构级别使用该[edit services service-set service-set-name]语句进行interface-service配置;有关更多信息,请参阅配置要应用于服务接口的服务集。
如果配置的接口具有包含拒绝操作的输入防火墙过滤器和包含状态防火墙规则的服务集,则路由器将在数据包上运行有状态防火墙规则之前执行输入防火墙过滤器。因此,当数据包转发引擎通过接口发送互联网控制消息协议 (ICMP) 错误消息时,有状态防火墙规则可能会丢弃数据包,因为在输入方向上看不到数据包。
可能的解决方法是包括一个转发表过滤器来执行拒绝操作,因为这种类型的过滤器是在输入方向的有状态防火墙之后执行的,或者包括一个输出服务过滤器,以防止本地生成的 ICMP 数据包进入有状态防火墙服务。
配置服务过滤器
您可以选择包括与每个服务集关联的过滤器,以优化目标并额外处理流量。如果包含 service-set 不带 service-filter 定义的语句,路由器软件将假定匹配条件为 true,并自动选择要处理的服务集。
要配置服务过滤器,请在层次结构级别包含 firewall 语句 [edit] :
firewall {
family inet {
service-filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
必须指定 inet 为地址族才能配置服务筛选器。
配置服务过滤器的方式与防火墙过滤器类似。服务过滤器与防火墙过滤器具有相同的匹配条件,但需要执行以下特定操作:
count—将数据包添加到计数器总数。log—记录数据包。port-mirror— 数据包的端口镜像。sample—对数据包进行采样。service—转发数据包以进行服务处理。skip— 从服务处理中省略数据包。
有关配置防火墙过滤器的更多信息,请参阅《 路由策略》、《防火墙过滤器》和《流量监管器用户指南》。
您还可以在接口的每一端包含多个服务集定义。如果包括多个服务集,路由器软件将按配置中指定的顺序对其进行评估。它执行在服务筛选器中找到匹配项的第一个服务集,并忽略后续定义。
附加语句允许您指定过滤器,以便在执行输入服务集后处理流量。要配置此类型的筛选器,请在层次结构级别包含 post-service-filter 语句 [edit interfaces interface-name unit logical-unit-number family inet service input] :
post-service-filter filter-name;
软件仅在选择并执行了服务集后过滤。如果流量不符合任何已配置服务集的匹配标准,则忽略服务后过滤器。当服务接口位于 MS-MIC 或 MS-MPC 上时,不支持该 post-service-filter 语句。
有关将服务集应用于接口的示例,请参阅 示例:配置服务接口。
有关将过滤器应用于接口的详细信息,请参阅 路由设备的 Junos OS 网络接口库。有关过滤器的一般信息,请参阅 《路由策略》、《防火墙过滤器》和《流量监管器用户指南》。
对数据包应用 NAT 处理后,它们不受输出服务过滤器的约束。服务过滤器仅影响未转换的流量。
示例:配置服务接口
my-service-set在接口范围内应用服务集。接受my_input_filter的所有流量都已my-input-service-set应用于该流量。应用服务集后,将使用筛选器完成 my_post_service_input_filter其他筛选。
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
filter {
input my_input_filter;
output my_output_filter;
}
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
配置两个冗余接口和 rsp0 rsp1以及关联的服务。
[edit interfaces]
rsp0 {
redundancy-options {
primary sp-0/0/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 30 {
family inet;
service-domain inside;
}
unit 31 {
family inet;
service-domain outside;
}
}
rsp1 {
redundancy-options {
primary sp-0/1/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 20 {
family inet;
service-domain inside;
}
unit 21 {
family inet;
service-domain outside;
}
}
[edit services]
service-set null-sfw-with-nat {
stateful-firewall-rules allow-all;
nat-rules rule1;
next-hop-service {
inside-service-interface rsp0.30;
outside-service-interface rsp0.31;
}
}
[edit routing-instances]
vpna {
interface rsp0.0;
}
参见
配置服务接口的地址和域
在 AS 或多服务 PIC 上,您可以通过在层次结构级别包含 address 语句 [edit interfaces interface-name unit logical-unit-number family inet] 来配置系统日志消息的源地址:
address address { ... }
通过配置address值为接口分配 IP 地址。AS 或多服务 PIC 通常仅支持使用该语句配置的 IP 版本 4 (IPv4) 地址,但 IPsec 服务也支持使用该语句配置family inetfamily inet6的 IP 版本 6 (IPv6) 地址。
如果在同一路由实例中的多个接口上配置相同的地址,Junos OS 仅使用第一种配置,其余地址配置将被忽略,并可能使接口没有地址。未分配地址的接口不能用作未编号以太网接口的捐赠接口。
例如,在以下配置中,接口 xe-0/0/1.0 的地址配置将被忽略:
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
xe-0/0/1 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
有关在多个接口上配置相同地址的更多信息,请参阅 配置接口地址。
有关您可以配置的不特定于服务接口的其他寻址属性的信息,请参阅 路由设备的 Junos OS 网络接口库。
该 service-domain 语句指定接口是在网络内使用还是用于与远程设备通信。软件使用此设置来确定要应用的默认状态防火墙规则,并确定服务规则的默认方向。要配置域,请在层次结构级别包含 service-domain 语句 [edit interfaces interface-name unit logical-unit-number] :
service-domain (inside | outside);
如果要在下一跃点服务集定义中配置接口,则该设置必须与 和inside-service-interfaceoutside-service-interface语句的配置匹配;有关更多信息,service-domain请参阅配置要应用于服务接口的服务集。
参见
为服务集配置系统日志记录
您可以指定用于控制如何为服务集生成系统日志消息的属性。这些值将覆盖在层次结构级别配置 [edit interfaces interface-name services-options] 的值。
要配置特定于服务集的系统日志记录值,请在层次结构级别包含syslog[edit services service-set service-set-name]以下语句:
syslog { host hostname { class class-name facility-override facility-name; log-prefix prefix-value; port port-number services severity-level; source-address source-address } }
host使用指定系统日志目标服务器的主机名或 IP 地址配置语句。主机名local将系统日志消息定向到路由引擎。对于外部系统日志服务器,主机名必须可从初始数据包(触发会话建立)传递到的同一路由实例访问。只能指定一个系统日志记录主机名。ms、rms 和 mams 接口支持该source-address参数。
从 Junos OS 17.4R1 版开始,您最多可以为层次结构级别下 [edit services service-set service-set-name] 的每个服务集配置四个系统日志服务器(本地系统日志主机和远程系统日志收集器的组合)。
Junos OS 不支持通过 fxp.0 接口将系统日志消息导出到外部系统日志服务器;这是因为系统日志消息的高传输速率和 FXP.0 接口的有限带宽可能会导致多个问题。外部系统日志服务器必须可通过可路由接口访问。
表 1 列出了可以在层次结构级别的 [edit services service-set service-set-name syslog host hostname] 配置语句中指定的严重性级别。从 emergency 到的级别按从最高严重性(对功能影响最大)到最低的 info 顺序排列。
严重性级别 |
描述 |
|---|---|
|
包括所有严重性级别 |
|
系统崩溃或导致路由器停止运行的其他情况 |
|
需要立即更正的情况,例如系统数据库损坏 |
|
严重情况,如硬盘错误 |
|
错误条件的后果通常不如紧急、警报和严重级别的错误严重 |
|
需要监控的条件 |
|
不是错误但可能需要特殊处理的情况 |
|
感兴趣的事件或非错误条件 |
建议在正常操作期间将 error 系统日志记录严重性级别设置为。要监视 PIC 资源的使用情况,请将级别 warning设置为 。要在检测到入侵检测系统错误时收集有关入侵攻击的信息,请将特定服务集的级别设置为 。 notice 要调试配置或记录 NAT 功能,请将级别 info设置为 。
有关系统日志消息的详细信息,请参阅 系统日志资源管理器。
要选择要记录到指定系统日志主机的消息类,请在层次结构级别包含 class 以下语句 [edit services service-set service-set-name syslog host hostname] :
class class-name;
要将一个特定设施代码用于对指定系统日志主机的所有日志记录,请在层次结构级别包含 facility-override 以下语句 [edit services service-set service-set-name syslog host hostname] :
facility-override facility-name;
支持的功能包括:、authorizationkernelftpuserdaemon和local0通过。local7
要为此系统日志主机的所有日志记录指定文本前缀,请在层次结构级别包含 log-prefix 以下语句 [edit services service-set service-set-name syslog host hostname] :
log-prefix prefix-value;
参见
配置服务规则
您可以指定构成服务集的规则和规则集的集合。路由器按照规则集在配置中出现的顺序执行规则集。对于每种服务类型,只能包含一个规则集。您可以在层次结构级别为 [edit services name] 每种服务类型配置规则名称和内容:
可以在层次结构级别配置入侵检测服务 (IDS) 规则;有关详细信息,请参阅在 MS-DPC 上的 MS-DPC 上为 MS-DPC 卡配置 IDS 规则和为 MS-MPC 卡配置网络攻击防护。
[edit services ids]您可以在
[edit services ipsec-vpn]层次结构级别配置 IP 安全 (IPsec) 规则;有关详细信息,请参阅 了解 Junos VPN 站点安全。您可以在
[edit services nat]层次结构级别配置网络地址转换 (NAT) 规则;有关详细信息,请参阅 Junos 地址感知网络寻址概述。您可以在层次结构级别配置数据包触发的订阅者和策略控制 (PTSP) 规则;有关更多信息,请参阅配置 PTSP 服务规则
[edit services ptsp]。您可以在层次结构级别为
[edit services softwire]DS-Lite 或第 6 个软连线配置软连线规则;有关详细信息,请参阅 配置软连线规则。您可以在层次结构级别配置有状态防火墙规则;有关更多信息,请参阅配置有状态防火墙规则
[edit services stateful-firewall]。
要配置构成服务集的规则和规则集,请在层次结构级别包括以下语句 [edit services service-set service-set-name] :
([ ids-rules rule-names ] |ids-rule-sets rule-set-name); ([ ipsec-vpn-rules rule-names ] | ipsec-vpn-rule-sets rule-set-name); ([ nat-rules rule-names ] | nat-rule-sets rule-set-name); ([ pgcp-rules rule-names] | pgcp-rule-sets rule-set-name); ([softwire-rules rule-names] | softwire-rule-sets rule-set-name); ([ stateful-firewall-rules rule-names ] | stateful-firewall-rule-sets rule-set-name);
对于每种服务类型,可以包含一个或多个单独的规则,也可以包括一个规则集。
如果使用 IPsec 规则配置服务集,则它不得包含任何其他服务的规则。但是,您可以配置包含其他服务规则的另一个服务集,并将这两个服务集应用于同一接口。
您还可以在服务集中包括 Junos 应用程序感知(以前称为动态应用程序感知)功能。为此,必须在层次结构级别包含一个idp-profile[edit services service-set]语句、应用程序标识 (APPID) 规则,以及应用程序感知访问列表 (AACL) 规则(如有必要)和 policy-decision-statistics-profile.使用 Junos 应用程序感知功能时,只能将一个服务集应用于单个接口。有关详细信息,请参阅在 MS-DPC 上配置 IDS 规则、APPID 概述和路由设备应用程序感知服务接口用户指南。
更改历史记录表
功能支持由您使用的平台和版本决定。使用功能资源管理器确定您的平台是否支持某个 功能 。
max-session-setup-rate=1000 表示 .