服务过滤器概述
服务
自适应服务物理接口卡 (PIC)、多服务 PIC 和多服务密集端口集中器 (DPC) 提供 自适应服务接口。自适应服务接口使您能够通过配置一组服务和应用程序,在单个 PIC 或 DPC 上协调一系列特殊的服务。
注:
T4000 路由器不支持服务过滤器。
服务规则
服务集是一个可选定义,您可以在自适应服务接口上应用于流量。服务集允许您配置方向规则和默认设置的组合,以控制服务集中每个服务的行为。
服务规则优化
在自适应服务接口上将服务集应用于流量时,您可以选择使用 服务过滤器 来优化服务集的目标并处理流量。服务过滤器使您能够在流量被传递到目标之前,对自适应服务接口上的一组定义的服务执行数据包过滤,从而操控流量。在接受数据包进行输入或输出服务处理之前,或者从输入服务处理返回数据包之后,您可以对流量应用服务过滤器。
服务过滤器计数器
与标准防火墙过滤器一样,服务过滤器支持匹配数据包计数。但是,当显示服务过滤器的计数器时,指定过滤器名称的语法会包含应用 服务过滤器的服务集 的名称。
要启用由服务过滤器术语匹配的数据包计数,请在该
count counter-name术语中指定非确定操作。要显示服务过滤器的计数器,请使用
show firewall filter filter-name <counter counter-name>操作模式命令,并指定filter-name如下:__service-service-set-name:service-filter-name
例如,假设您配置了名为 out_filter 计数器的服务 out_counter 过滤器,并将该服务过滤器应用于 逻辑接口 ,以便引导某些数据包由与服务集 nat_set关联的输出服务进行处理。在这种情况下,使用 show firewall 操作模式命令显示计数器的语法如下所示:
[edit] user@host> show firewall filter __service-nat_set:out_filter counter out_counter