应用服务过滤器准则

自适应服务接口的限制

以下限制适用于自适应服务接口和服务过滤器。

• 自适应服务接口
• 从 M 系列路由器将系统日志记录到远程主机

用于应用服务过滤器的语句层次结构

在接受数据包用于输入或输出服务处理之前，您可以对 IPv4 或 IPv6 流量启用数据包过滤。为此，请结合接口服务集将服务过滤器应用于自适应服务接口的输入或输出。

您还可以对输入服务处理完成后返回到数据包转发引擎的 IPv4 或 IPv6 流量启用数据包过滤。为此，请对自适应服务接口输入应用服务后过滤器。

以下配置显示了可将服务过滤器应用于自适应服务接口的层次结构级别：

将服务规则与自适应服务接口相关联

要对应用于自适应服务接口的服务规则进行定义和分组，您可以在层次结构级别包含service-set service-set-name语句[edit services]来定义接口服务集。

要对自适应服务接口的输入和输出应用集的接口服务，您可以在以下层次结构级别上包括 service-set service-set-name 接口服务：

• [edit interfaces interface-name unit unit-number input]

• [edit interfaces interface-name unit unit-number output]

如果向自适应服务接口的一个方向应用服务集，但未将服务集应用于另一个方向，则在您提交配置时将发生错误。

自适应服务 PIC 会执行不同的操作，具体取决于数据包是发送至 PIC 以用于输入服务还是用于输出服务。例如，您可以将单个服务集配置为在一个方向上执行网络地址转换 （NAT），将目标 NAT （dNAT） 配置为在一个方向上执行。

在接受数据包进行服务处理之前过滤流量

要先过滤 IPv4 或 IPv6 流量，然后接受数据包进行输入或输出服务处理，请包括 service-set service-set-name service-filter service-filter-name 以下接口之一：

• [edit interfaces interface-name unit unit-number family (inet | inet6) service input]

• [edit interfaces interface-name unit unit-number family (inet | inet6) service output]

service-set-name对于 ，请指定在[edit services service-set]层次结构级别上配置的服务集。

即使应用了服务，服务集也会保留输入接口信息，因此，依赖于输入接口信息的过滤器类转发和目标类使用 （DCU） 等功能将继续工作。

以下要求适用于在接受数据包进行服务处理之前过滤入站或出站流量：

• 您可以在接口的输入和输出端配置相同的服务集。

• 如果包括的 service-set 语句没有可选 service-filter 定义，则 Junos OS 会假设匹配条件为真，并选择服务集进行自动处理。

• 仅当配置和选择了服务集时，才会应用服务过滤器。

您可以在接口的两侧包含多个服务集定义。以下准则适用：

• 如果包含多个服务集，则路由器（或交换机）软件会按照这些服务集在配置中出现的顺序对其进行评估。系统执行在服务过滤器中查找匹配项的第一个服务集，并忽略后续定义。

• 一个接口最多可应用六个服务集。

• 向一个接口应用多个服务集时，还必须配置服务过滤器并将其应用于接口。

返回服务流量的服务后过滤

作为 IPv4 或 IPv6 输入服务流量过滤选项，可将服务过滤器应用于执行服务集后返回到服务接口的 IPv4 或 IPv6 流量。要以这种方式应用服务过滤器，请将语句post-service-filter service-filter-name[edit interfaces interface-name unit unit-number family (inet | inet6) service input]包含在层次结构级别。