Service-Sets
Grundlegendes zu Service Sets
Mit Junos OS können Sie Servicesätze erstellen, die eine Sammlung von Services definieren, die von einer Adaptive Services-Schnittstelle (Adaptive Services-Schnittstelle, AS) oder Multiservices-Linecards (MS-DPC, MS-MIC und MS-MPC) ausgeführt werden sollen. Sie können den Service Set entweder als Service Set im Interface-Stil oder als Service Set im Stil des nächsten Hops konfigurieren.
Ein Schnittstellendienstsatz wird als Aktionsmodifizierer für eine gesamte Schnittstelle verwendet. Sie können einen Servicesatz im Schnittstellenstil verwenden, wenn Sie Services auf Pakete anwenden möchten, die eine Schnittstelle durchlaufen.
Ein Next-Hop-Service-Set ist eine routenbasierte Methode zum Anwenden eines bestimmten Service. Nur Pakete, die für einen bestimmten nächsten Hop bestimmt sind, werden durch die Erstellung expliziter statischer Routen bedient. Diese Konfiguration ist nützlich, wenn Services auf eine gesamte VPN-Routing- und Weiterleitungstabelle (Virtual Private Network) angewendet werden müssen oder wenn Routingentscheidungen bestimmen, dass Services ausgeführt werden müssen. Wenn ein Next-Hop-Service konfiguriert ist, wird die Dienstschnittstelle als zweibeiniges Modul betrachtet, wobei ein Bein als interne Schnittstelle (innerhalb des Netzwerks) und das andere als externe Schnittstelle (außerhalb des Netzwerks) konfiguriert ist.
Um Paketverluste während einer Service-Set-Deaktivierung oder eines Service-Set-Löschvorgangs zu vermeiden, schalten Sie zuerst die Schnittstellen herunter, die der Service-Gruppe entsprechen, warten Sie einige Zeit und deaktivieren oder löschen Sie später die Service-Gruppe. Wenn der Datenverkehrsfluss jedoch sehr hoch ist, hilft diese Problemumgehung nicht.
Um Servicegruppen zu konfigurieren, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit services]
ein:
[edit services] service-set service-set-name { (ids-rules rule-names | ids-rule-sets rule-set-name); (ipsec-vpn-rules rule-names | ipsec-vpn-rule-sets rule-set-name); max-session-setup-rate max-setup-rate; (nat-rules rule-names | nat-rule-sets rule-set-name); (pgcp-rules rule-names | pgcp-rule-sets rule-set-name); (ptsp-rules rule-names | ptsp-rule-sets rule-set-name); (stateful-firewall-rules rule-names | stateful-firewall-rule-sets rule-set-name); allow-multicast; extension-service service-name { provider-specific rules; } interface-service { service-interface interface-name; } ipsec-vpn-options { anti-replay-window-size bits; clear-dont-fragment-bit; ike-access-profile profile-name; local-gateway address; no-anti-replay; passive-mode-tunneling; trusted-ca [ ca-profile-names ]; tunnel-mtu bytes; } max-flows number; next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; service-interface-pool name; } syslog { host hostname { services severity-level; facility-override facility-name; log-prefix prefix-value; } } } adaptive-services-pics { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } } logging { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } }
Siehe auch
Konfigurieren von Service-Sets, die auf Service-Schnittstellen angewendet werden sollen
Sie konfigurieren eine Services-Schnittstelle, um die adaptive Services-Schnittstelle anzugeben, auf der der Service ausgeführt werden soll. Dienstschnittstellen werden mit einem der in den folgenden Abschnitten beschriebenen Servicegruppentypen verwendet.
- Konfigurieren von Schnittstellen-Service-Sets
- Konfigurieren von Next-Hop-Servicegruppen
- Bestimmen der Verkehrsrichtung
Konfigurieren von Schnittstellen-Service-Sets
Ein Schnittstellendienstsatz wird als Aktionsmodifizierer für eine gesamte Schnittstelle verwendet. Um die Dienstschnittstelle zu konfigurieren, fügen Sie die interface-service
Anweisung auf Hierarchieebene [edit services service-set service-set-name]
ein:
[edit services service-set service-set-name] interface-service { service-interface interface-name; }
Es wird nur der Gerätename benötigt, da die Router-Software logische Gerätenummern automatisch verwaltet. Bei der Services-Schnittstelle muss es sich um eine adaptive Services-Schnittstelle handeln, die Sie auf Hierarchieebene [edit interfaces interface-name
konfiguriert unit 0 family inet
haben.
Wenn Sie die Serviceregeln definiert und gruppiert haben, indem Sie die Servicesatzdefinition konfiguriert haben, können Sie Services auf eine oder mehrere Schnittstellen anwenden, die auf dem Router installiert sind. Wenn Sie den Service Set auf eine Schnittstelle anwenden, wird automatisch sichergestellt, dass Pakete an den PIC weitergeleitet werden.
Um eine definierte Servicegruppe mit einer Schnittstelle zu verknüpfen, fügen Sie auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number family inet service]
eine service-set
Anweisung mit der input
Anweisung or output
ein:
[edit interfaces interface-name unit logical-unit-number family inet service] input { service-set service-set-name <service-filter filter-name>; post-service-filter filter-name; } output { service-set service-set-name <service-filter filter-name>; }
Wenn ein Paket in die Schnittstelle gelangt, lautet input
die Übereinstimmungsrichtung . Wenn ein Paket die Schnittstelle verlässt, lautet output
die Übereinstimmungsrichtung . Das Serviceset behält die Eingabeschnittstelleninformationen auch nach dem Anwenden von Services bei, sodass Funktionen wie Filterklassenweiterleitung und Zielklassenverwendung (Destination Class Usage, DCU), die von Eingabeschnittstelleninformationen abhängig sind, weiterhin funktionieren.
Sie konfigurieren denselben Dienstsatz auf der Eingabe- und Ausgabeseite der Schnittstelle. Optional können Sie Filter einschließen, die jedem Dienstsatz zugeordnet sind, um das Ziel zu verfeinern und zusätzlich den Datenverkehr zu verarbeiten. Wenn Sie die Anweisung ohne Definition service-filter
einschließen, geht die Routersoftware davon aus, dass die Übereinstimmungsbedingung wahr ist, und wählt automatisch den für die service-set
Verarbeitung festgelegten Dienst aus.
Wenn Sie Service-Sets mit Filtern konfigurieren, müssen diese auf der Input- und Output-Seite der Schnittstelle konfiguriert werden.
Sie können auf jeder Seite der Schnittstelle mehr als eine Servicesatzdefinition einschließen. Wenn Sie mehrere Service-Sets einbeziehen, wertet die Router-Software diese in der Reihenfolge aus, in der sie in der Konfiguration angezeigt werden. Das System führt das erste Service-Set aus, für das es eine Übereinstimmung im Servicefilter findet, und ignoriert die nachfolgenden Definitionen. Es können maximal sechs Service-Sets auf eine Schnittstelle angewendet werden. Wenn Sie mehrere Servicesätze auf eine Schnittstelle anwenden, müssen Sie auch einen Servicefilter konfigurieren und auf die Schnittstelle anwenden.
Mit einer zusätzlichen Anweisung können Sie einen Filter für die Verarbeitung des Datenverkehrs angeben, nachdem der Eingabedienstsatz ausgeführt wurde. Um diesen Filtertyp zu konfigurieren, fügen Sie die post-service-filter
Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number family inet service input]
ein:
post-service-filter filter-name;
Die post-service-filter
Anweisung wird nicht unterstützt, wenn sich die Dienstschnittstelle auf einem MS-MIC oder MS-MPC befindet.
Ein Beispiel finden Sie unter Beispiel: Konfigurieren von Service-Sets.
Bei Service Sets im Schnittstellenstil, die mit Junos OS-Erweiterungspaketen konfiguriert sind, kann der Datenverkehr nicht bedient werden, wenn die Eingangsschnittstelle Teil einer VRF-Instanz ist und die Serviceschnittstelle nicht Teil derselben VRF-Instanz ist.
Wenn der für eine Servicegruppe konfigurierte MultiServices-PIC entweder administrativ offline geschaltet wird oder einen Fehler erleidet, wird der gesamte Datenverkehr, der mit einem IDP-Servicesatz in die konfigurierte Schnittstelle gelangt, ohne Benachrichtigung verworfen. Um diesen Datenverkehrsverlust zu vermeiden, schließen Sie die bypass-traffic-on-pic-failure
Anweisung auf Hierarchieebene [edit services service-set service-set-name service-set-options]
ein. Wenn diese Anweisung konfiguriert ist, werden die betroffenen Pakete im Falle eines MultiServices-PIC-Fehlers oder Offlinings weitergeleitet, als ob keine Dienste im Schnittstellenstil konfiguriert wären. Dieses Problem gilt nur für Junos Application Aware-Konfigurationen (früher als Dynamic Application Awareness bezeichnet), die IDP-Servicesätze verwenden. Diese Weiterleitungsfunktion funktionierte anfangs nur mit der Packet Forwarding Engine (PFE). Ab Junos OS Version 11.3 wird die Paketweiterleitungsfunktion auch auf Pakete ausgeweitet, die von der Routing-Engine für Bypass-Servicesätze generiert werden.
Konfigurieren von Next-Hop-Servicegruppen
Ein Next-Hop-Service-Set ist eine routenbasierte Methode zum Anwenden eines bestimmten Service. Nur Pakete, die für einen bestimmten nächsten Hop bestimmt sind, werden durch die Erstellung expliziter statischer Routen bedient. Diese Konfiguration ist nützlich, wenn Services auf eine gesamte VPN-Routing- und Weiterleitungstabelle (Virtual Private Network) angewendet werden müssen oder wenn Routingentscheidungen bestimmen, dass Services ausgeführt werden müssen.
Wenn ein Next-Hop-Service konfiguriert ist, wird der AS- oder Multiservices-PIC als zweibeiniges Modul betrachtet, wobei ein Bein als interne Schnittstelle (innerhalb des Netzwerks) und das andere als externe Schnittstelle (außerhalb des Netzwerks) konfiguriert ist.
Sie können IFL-Indizes größer als 8000 nur erstellen, wenn die Schnittstellendienstgruppe nicht konfiguriert ist.
Um die Domäne zu konfigurieren, fügen Sie die service-domain
Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number]
ein:
service-domain (inside | outside);
Die service-domain
Einstellung muss mit der Konfiguration für den Next-Hop-Dienst innerhalb und außerhalb der Schnittstellen übereinstimmen. Um die internen und externen Schnittstellen zu konfigurieren, schließen Sie die next-hop-service
Anweisung auf Hierarchieebene [edit services service-set service-set-name]
ein. Bei den von Ihnen angegebenen Schnittstellen muss es sich um logische Schnittstellen auf demselben AS PIC handeln. Sie können dies nicht konfigurieren unit 0
, und die von Ihnen gewählte logische Schnittstelle darf nicht von einer anderen Servicegruppe verwendet werden.
next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; }
Der Datenverkehr, auf den der Dienst angewendet wird, wird über eine statische Route zur internen Schnittstelle gezwungen. Zum Beispiel:
routing-options { static { route 10.1.2.3 next-hop sp-1/1/0.1; } }
Nachdem der Dienst angewendet wurde, wird der Datenverkehr über die externe Schnittstelle verlassen. Anschließend wird ein Lookup in der Packet Forwarding Engine (PFE) durchgeführt, um das Paket aus dem AS oder Multiservices PIC zu senden.
Der umgekehrte Datenverkehr gelangt in die externe Schnittstelle, wird bedient und an die interne Schnittstelle gesendet. Die interne Schnittstelle leitet den Datenverkehr aus dem AS- oder Multiservices-PIC weiter.
Bestimmen der Verkehrsrichtung
Wenn Sie Servicegruppen für den nächsten Hop konfigurieren, fungiert der AS PIC als zweiteilige Schnittstelle, wobei ein Teil die interne und der andere Teil die externe Schnittstelle ist. Die folgende Abfolge von Aktionen findet statt:
Um die beiden Teile logischen Schnittstellen zuzuordnen, konfigurieren Sie zwei logische Schnittstellen mit der
service-domain
Anweisung, eine mit dem Wert und eine mit demoutside
inside
Wert, um sie entweder als interne oder externe Serviceschnittstelle zu kennzeichnen.Der Router leitet den zu bedienenden Datenverkehr mithilfe der Next-Hop-Lookup-Tabelle an die interne Schnittstelle weiter.
Nachdem der Dienst angewendet wurde, verlässt der Datenverkehr die externe Schnittstelle. Anschließend wird eine Routensuche für die Pakete durchgeführt, die vom Router gesendet werden sollen.
Wenn der umgekehrte Datenverkehr auf der externen Schnittstelle zurückkehrt, wird der angewendete Dienst rückgängig gemacht. Beispielsweise wird IPsec-Datenverkehr entschlüsselt oder NAT-Adressen werden demaskiert. Die gewarteten Pakete werden dann auf der internen Schnittstelle angezeigt, der Router führt eine Routensuche durch, und der Datenverkehr verlässt den Router.
Die Übereinstimmungsrichtung einer Dienstregel, unabhängig davon, ob es sich um Eingabe, Ausgabe oder Eingabe/Ausgabe handelt, wird in Bezug auf den Datenverkehrsfluss durch das AS PIC angewendet, nicht über eine bestimmte interne oder externe Schnittstelle.
Wenn ein Paket an einen AS PIC gesendet wird, werden Informationen zur Paketrichtung mitgeführt. Dies gilt sowohl für den Schnittstellenstil als auch für Servicegruppen im Next-Hop-Stil.
Service-Sets im Schnittstellenstil
Die Paketrichtung wird dadurch bestimmt, ob ein Paket in eine Schnittstelle der Paketweiterleitungs-Engine (in Bezug auf die Weiterleitungsebene), auf die die interface-service
Anweisung angewendet wird, ein- oder ausgeht. Dies ähnelt der Ein- und Ausgaberichtung für zustandslose Firewallfilter.
Die Übereinstimmungsrichtung kann auch von der Netzwerktopologie abhängen. Sie können beispielsweise den gesamten externen Datenverkehr über eine Schnittstelle leiten, die zum Schutz der anderen Schnittstellen auf dem Router verwendet wird, und verschiedene Dienste speziell auf dieser Schnittstelle konfigurieren. Alternativ können Sie eine Schnittstelle für vorrangigen Datenverkehr verwenden und spezielle Dienste darauf konfigurieren, sich aber nicht um den Schutz des Datenverkehrs auf den anderen Schnittstellen kümmern.
Service-Sets im Next-Hop-Stil
Die Paketrichtung wird durch die AS-PIC-Schnittstelle bestimmt, die zum Weiterleiten von Paketen an den AS PIC verwendet wird. Wenn Sie die Anweisung zum Weiterleiten des Datenverkehrs verwenden, lautet input
die inside-interface
Paketrichtung . Wenn Sie die Anweisung verwenden, um Pakete an den AS PIC zu leiten, lautet output
die outside-interface
Paketrichtung .
Die Schnittstelle, auf die Sie die Service-Sets anwenden, wirkt sich auf die Übereinstimmungsrichtung aus. Wenden Sie z. B. die folgende Konfiguration an:
sp-1/1/0 unit 1 service-domain inside; sp-1/1/0 unit 2 service-domain outside;
Wenn Sie konfigurieren, schließen Sie match-direction input
die folgenden Anweisungen ein:
[edit] services service-set test1 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test1 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction input; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.1;
Wenn Sie konfigurieren, schließen Sie match-direction output
die folgenden Anweisungen ein:
[edit] services service-set test2 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test2 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction output; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.2;
Der wesentliche Unterschied zwischen den beiden Konfigurationen ist die Änderung der Übereinstimmungsrichtung und der nächste Hop der statischen Routen, der entweder auf die innere oder die äußere Schnittstelle des AS PIC verweist.
Siehe auch
Konfigurieren von Servicesatzeinschränkungen
Sie können die folgenden Einschränkungen für die Servicesatzkapazität festlegen:
Sie können die maximal zulässige Anzahl von Datenströmen pro Dienstsatz begrenzen. Um den Maximalwert zu konfigurieren, fügen Sie die
max-flows
Anweisung auf Hierarchieebene[edit services service-set service-set-name]
ein:[edit services service-set service-set-name] max-flows number;
Die
max-flows
Anweisung ermöglicht die Zuweisung eines einzelnen Flussgrenzwerts. Nur für IDS-Service-Sets können Sie verschiedene Arten von Durchflussgrenzen mit einem feineren Maß an Kontrolle angeben. Weitere Informationen finden Sie in der Beschreibung dersession-limit
Anweisung unter Konfigurieren von IDS-Regelsätzen auf einem MS-DPC.Hinweis:Wenn eine aggregierte Multiservices-Schnittstelle (AMS) als Serviceschnittstelle für eine Servicegruppe konfiguriert ist, wird der für die Servicegruppe konfigurierte Wert auf jede der Mitgliedsschnittstellen in der
max-flow
AMS-Schnittstelle angewendet. Das heißt, wenn Sie 1000 alsmax-flow
Wert für eine Servicegruppe konfiguriert haben, die eine AMS-Schnittstelle mit vier aktiven Memberschnittstellen verwendet, kann jede der Memberschnittstellen jeweils 1000 Flows verarbeiten, was zu einem effektivenmax-flow
Wert von 4000 führt.Sie können die maximale Segmentgröße (MSS) begrenzen, die vom Transmission Control Protocol (TCP) zulässig ist. Um den Maximalwert zu konfigurieren, fügen Sie die
tcp-mss
Anweisung auf Hierarchieebene[edit services service-set service-set-name]
ein:[edit services service-set service-set-name] tcp-mss number;
Das TCP-Protokoll handelt während des Verbindungsaufbaus zwischen zwei Peers einen MSS-Wert aus. Der ausgehandelte MSS-Wert basiert in erster Linie auf der MTU der Schnittstellen, mit denen die kommunizierenden Peers direkt verbunden sind. Im Netzwerk können jedoch aufgrund von Schwankungen der Verbindungs-MTU auf dem von den TCP-Paketen genommenen Pfad einige Pakete, die noch deutlich innerhalb des MSS-Werts liegen, fragmentiert werden, wenn die Größe des betreffenden Pakets die MTU der Verbindung überschreitet.
Wenn der Router ein TCP-Paket mit gesetztem SYN-Bit und MSS-Option empfängt und die im Paket angegebene MSS-Option größer als der in der Anweisung angegebene MSS-Wert ist, ersetzt der Router den MSS-Wert im Paket durch den niedrigeren Wert, der in der
tcp-mss
tcp-mss
Anweisung angegeben ist. Der Bereich für dentcp-mss mss-value
Parameter reicht von 536 bis 65535.Um Statistiken der empfangenen SYN-Pakete und der SYN-Pakete, deren MSS-Wert geändert wurde, anzuzeigen, geben Sie den
show services service-sets statistics tcp-mss
Befehl operational mode ein. Weitere Informationen zu diesem Thema finden Sie in der Junos OS-Administrationsbibliothek.Ab Junos OS Version 17.1R1 können Sie die Sitzungseinrichtungsrate pro Servicesatz für eine MS-MPC begrenzen. Um die maximal zulässige Einrichtungsrate zu konfigurieren, fügen Sie die
max-session-setup-rate
Anweisung auf Hierarchieebene[edit services service-set service-set-name]
ein:[edit services service-set service-set-name] max-session-setup-rate (number | numberk);
Die maximale Sitzungseinrichtungsrate ist die maximal zulässige Anzahl von Sitzungseinstellungen pro Sekunde. Sobald diese Rate erreicht ist, werden alle weiteren Versuche zum Einrichten einer Sitzung verworfen.
Der Bereich für die
max-session-setup-rate
number liegt zwischen 1 und 429.496.729. Sie können die Einrichtungsrate auch als Tausende von Sitzungen ausdrücken, indem Sie k verwenden number. Ab Junos OS Version 18.4R1 gilt 1k=1000 für .max-session-setup-rate
Vor Junos OS Version 18.4R1, 1k=1024. Wenn Sie die Anweisung nicht angeben, ist diemax-session-setup-rate
Sitzungseinrichtungsrate nicht begrenzt.
Siehe auch
Beispiel: Konfigurieren von Service-Sets
Wenden Sie zwei Service-Sets my-input-service-set
und my-output-service-set
auf schnittstellenweiter Basis an. Der gesamte Datenverkehr wurde my-input-service-set
darauf angewendet. Nachdem das Serviceset angewendet wurde, wird eine zusätzliche Filterung mit durchgeführt my_post_service_input_filter
.
[edit interfaces fe-0/1/0] unit 0 { family inet { service { input { service-set my-input-service-set; post-service-filter my_post_service_input_filter; } output { service-set my-output-service-set; } } } }
Konfigurieren von Serviceschnittstellenpools
Aktivieren von Services PICs für die Annahme von Multicast-Datenverkehr
Damit Multicastdatenverkehr an den Adaptive Services- oder Multiservices-PIC gesendet werden kann, schließen Sie die allow-multicast
Anweisung auf Hierarchieebene [edit services service-set service-set-name]
ein. Wenn diese Anweisung nicht enthalten ist, wird der Multicastdatenverkehr standardmäßig verworfen. Diese Anweisung gilt nur für Multicastdatenverkehr, der einen Next-Hop-Servicesatz verwendet. Die Konfiguration von Schnittstellen-Service-Sets wird nicht unterstützt. Für Multicastpakete werden nur unidirektionale Datenströme erstellt.
Siehe auch
Anwenden von Filtern und Diensten auf Schnittstellen
Wenn Sie die Serviceregeln definiert und gruppiert haben, indem Sie die Servicesatzdefinition konfiguriert haben, können Sie Services auf eine oder mehrere Schnittstellen auf dem Router anwenden. Um eine definierte Servicegruppe mit einer Schnittstelle zu verknüpfen, schließen Sie die service-set
Anweisung mit der input
oder-Anweisung output
auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number family inet service]
ein:
[edit interfaces interface-name unit logical-unit-number family inet service] input { service-set service-set-name <service-filter filter-name>; post-service-filter filter-name; } output { service-set service-set-name <service-filter filter-name>; }
Wenn Sie Dienste auf einer Schnittstelle aktivieren, wird die Weiterleitung des umgekehrten Pfads nicht unterstützt. Sie können keine Services auf der Management-Schnittstelle () oder der Loopback-Schnittstelle (fxp0
lo0
) konfigurieren.
Sie können verschiedene Service-Sets auf der Eingangs- und Ausgabeseite der Schnittstelle konfigurieren. Bei Servicegruppen mit bidirektionalen Serviceregeln müssen Sie jedoch in beiden input
output
and-Anweisungen dieselbe Servicesetdefinition angeben. Jede Servicegruppe, die Sie in die Anweisung aufnehmen, muss mit der interface-service
Anweisung auf Hierarchieebene [edit services service-set service-set-name]
konfiguriert werden. Weitere Informationen finden Sie unter Konfigurieren von Servicesätzen, die auf Serviceschnittstellen angewendet werden sollen.service
Wenn Sie eine Schnittstelle mit einem Eingabe-Firewall-Filter konfigurieren, der eine Ablehnungsaktion enthält, und mit einem Service-Set, das zustandsbehaftete Firewall-Regeln enthält, führt der Router den Eingabe-Firewall-Filter aus, bevor die Stateful-Firewall-Regeln für das Paket ausgeführt werden. Wenn das Paketweiterleitungsmodul eine ICMP-Fehlermeldung (Internet Control Message Protocol) über die Schnittstelle sendet, verwerfen die zustandsbehafteten Firewallregeln das Paket möglicherweise, da es in Eingaberichtung nicht erkannt wurde.
Mögliche Problemumgehungen bestehen darin, einen Weiterleitungstabellenfilter zum Ausführen der Ablehnungsaktion einzuschließen, da dieser Filtertyp nach der zustandsbehafteten Firewall in Eingaberichtung ausgeführt wird, oder einen Ausgabedienstfilter einzubinden, um zu verhindern, dass die lokal generierten ICMP-Pakete an den zustandsbehafteten Firewalldienst gesendet werden.
Konfigurieren von Dienstfiltern
Optional können Sie Filter einschließen, die jedem Dienstsatz zugeordnet sind, um das Ziel zu verfeinern und zusätzlich den Datenverkehr zu verarbeiten. Wenn Sie die Anweisung ohne service-filter
Definition einfügen, geht die Router-Software davon aus, dass die service-set
Übereinstimmungsbedingung wahr ist, und wählt den für die Verarbeitung festgelegten Dienst automatisch aus.
Um Servicefilter zu konfigurieren, fügen Sie die firewall
Anweisung auf Hierarchieebene [edit]
ein:
firewall { family inet { service-filter filter-name { term term-name { from { match-conditions; } then { action; action-modifiers; } } } } }
Sie müssen als Adressfamilie angeben inet
, um einen Dienstfilter zu konfigurieren.
Sie konfigurieren Dienstfilter ähnlich wie Firewallfilter. Für Dienstfilter gelten die gleichen Übereinstimmungsbedingungen wie für Firewallfilter, jedoch die folgenden spezifischen Aktionen:
count
—Addieren Sie das Paket zu einer Zählersumme.log
– Protokollieren Sie das Paket.port-mirror
– Port-Mirror des Pakets.sample
– Probieren Sie die Packung.service
– Leiten Sie das Paket zur Serviceverarbeitung weiter.skip
– Das Paket von der Serviceverarbeitung ausschließen.
Weitere Informationen zum Konfigurieren von Firewallfiltern finden Sie im Benutzerhandbuch für Routingrichtlinien, Firewallfilter und Traffic Policers.
Sie können auch mehr als eine Servicesatzdefinition auf jeder Seite der Schnittstelle einschließen. Wenn Sie mehrere Service-Sets einbeziehen, wertet die Router-Software diese in der in der Konfiguration angegebenen Reihenfolge aus. Er führt den ersten Dienstsatz aus, für den er eine Übereinstimmung im Dienstfilter findet, und ignoriert die nachfolgenden Definitionen.
Mit einer zusätzlichen Anweisung können Sie einen Filter für die Verarbeitung des Datenverkehrs angeben, nachdem der Eingabedienstsatz ausgeführt wurde. Um diesen Filtertyp zu konfigurieren, fügen Sie die post-service-filter
Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number family inet service input]
ein:
post-service-filter filter-name;
Die Software führt nur dann eine Postservice-Filterung durch, wenn sie ein Service-Set ausgewählt und ausgeführt hat. Wenn der Datenverkehr die Übereinstimmungskriterien für einen der konfigurierten Servicesätze nicht erfüllt, wird der Postservice-Filter ignoriert. Die post-service-filter
Anweisung wird nicht unterstützt, wenn sich die Dienstschnittstelle auf einem MS-MIC oder MS-MPC befindet.
Ein Beispiel für das Anwenden eines Service-Sets auf eine Schnittstelle finden Sie unter Beispiele: Konfigurieren von Service-Schnittstellen.
Weitere Informationen zum Anwenden von Filtern auf Schnittstellen finden Sie in der Junos OS Network Interfaces Library for Routing Devices. Allgemeine Informationen zu Filtern finden Sie im Benutzerhandbuch für Routingrichtlinien, Firewallfilter und Traffic Policers.
Nachdem die NAT-Verarbeitung auf Pakete angewendet wurde, unterliegen sie keinen Ausgabedienstfiltern. Die Dienstfilter wirken sich nur auf nicht übersetzten Datenverkehr aus.
Beispiele: Konfigurieren von Service-Schnittstellen
Wenden Sie den my-service-set
Servicesatz schnittstellenweit an. Der gesamte Datenverkehr, der von my_input_filter
akzeptiert wird, hat my-input-service-set
sich darauf beworben. Nachdem das Serviceset angewendet wurde, wird eine zusätzliche Filterung mithilfe des my_post_service_input_filter
Filters durchgeführt.
[edit interfaces fe-0/1/0] unit 0 { family inet { filter { input my_input_filter; output my_output_filter; } service { input { service-set my-input-service-set; post-service-filter my_post_service_input_filter; } output { service-set my-output-service-set; } } } }
Konfigurieren Sie zwei Redundanzschnittstellen rsp0
und und rsp1
die zugehörigen Dienste.
[edit interfaces] rsp0 { redundancy-options { primary sp-0/0/0; secondary sp-1/3/0; } unit 0 { family inet; } unit 30 { family inet; service-domain inside; } unit 31 { family inet; service-domain outside; } } rsp1 { redundancy-options { primary sp-0/1/0; secondary sp-1/3/0; } unit 0 { family inet; } unit 20 { family inet; service-domain inside; } unit 21 { family inet; service-domain outside; } } [edit services] service-set null-sfw-with-nat { stateful-firewall-rules allow-all; nat-rules rule1; next-hop-service { inside-service-interface rsp0.30; outside-service-interface rsp0.31; } } [edit routing-instances] vpna { interface rsp0.0; }
Siehe auch
Konfigurieren der Adresse und Domäne für Serviceschnittstellen
Auf dem AS- oder Multiservices-PIC konfigurieren Sie eine Quelladresse für Systemprotokollmeldungen, indem Sie die address
Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number family inet]
einfügen:
address address { ... }
Weisen Sie der Schnittstelle eine IP-Adresse zu, indem Sie den address
Wert konfigurieren. Der AS- oder Multiservices-PIC unterstützt im Allgemeinen nur IPv4-Adressen (IP Version 4), die mit der Anweisung konfiguriert wurden, aber IPsec-Dienste unterstützen auch IPv6-Adressen (IP Version 6), die mit der family inet
family inet6
Anweisung konfiguriert wurden.
Wenn Sie dieselbe Adresse auf mehreren Schnittstellen in derselben Routing-Instanz konfigurieren, verwendet Junos OS nur die erste Konfiguration, die übrigen Adresskonfigurationen werden ignoriert und Schnittstellen können ohne Adresse zurückbleiben. Schnittstellen, denen keine Adresse zugewiesen ist, können nicht als Spenderschnittstelle für eine nicht nummerierte Ethernet-Schnittstelle verwendet werden.
Beispielsweise wird in der folgenden Konfiguration die Adresskonfiguration des Interfaces xe-0/0/1.0 ignoriert:
interfaces { xe-0/0/0 { unit 0 { family inet { address 192.168.1.1/24; } } } xe-0/0/1 { unit 0 { family inet { address 192.168.1.1/24; } } }
Weitere Informationen zum Konfigurieren derselben Adresse auf mehreren Schnittstellen finden Sie unter Konfigurieren der Schnittstellenadresse.
Informationen zu anderen Adressierungseigenschaften, die Sie konfigurieren können und die nicht spezifisch für Serviceschnittstellen sind, finden Sie in der Junos OS Network Interfaces Library for Routing Devices.
Die service-domain
Anweisung gibt an, ob die Schnittstelle innerhalb des Netzwerks oder zur Kommunikation mit Remotegeräten verwendet wird. Die Software verwendet diese Einstellung, um zu bestimmen, welche standardmäßigen zustandsbehafteten Firewallregeln angewendet werden sollen, und um die Standardrichtung für Serviceregeln zu bestimmen. Um die Domäne zu konfigurieren, fügen Sie die service-domain
Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number]
ein:
service-domain (inside | outside);
Wenn Sie die Schnittstelle in einer Service-Set-Definition des nächsten Hops konfigurieren, muss die Einstellung mit der Konfiguration für die and-Anweisung outside-service-interface
übereinstimmen. Weitere Informationen finden Sie unter Konfigurieren von Service-Sets, die service-domain
inside-service-interface
auf Service-Schnittstellen angewendet werden sollen.
Siehe auch
Konfigurieren der Systemprotokollierung für Servicegruppen
Sie geben Eigenschaften an, die steuern, wie Systemprotokollmeldungen für die Dienstgruppe generiert werden. Diese Werte überschreiben die auf der Hierarchieebene [edit interfaces interface-name services-options]
konfigurierten Werte.
Um servicegruppenspezifische Systemprotokollierungswerte zu konfigurieren, fügen Sie die syslog
Anweisung auf Hierarchieebene [edit services service-set service-set-name]
ein:
syslog { host hostname { class class-name facility-override facility-name; log-prefix prefix-value; port port-number services severity-level; source-address source-address } }
Konfigurieren Sie die host
Anweisung mit einem Hostnamen oder einer IP-Adresse, die den Zielserver für das Systemprotokoll angibt. Der Hostname local
leitet Systemprotokollmeldungen an die Routing-Engine weiter. Bei Protokollservern externer Systeme muss der Hostname von derselben Routinginstanz aus erreichbar sein, an die das ursprüngliche Datenpaket (das den Sitzungsaufbau ausgelöst hat) übermittelt wird. Sie können nur einen Hostnamen für die Systemprotokollierung angeben. Der source-address
Parameter wird auf den Schnittstellen ms, rms und mams unterstützt.
Ab Junos OS Version 17.4R1 können Sie bis zu vier Systemprotokollserver (Kombination aus lokalen Systemprotokollhosts und Remote-Systemprotokollsammlern) für jeden Service konfigurieren, der auf [edit services service-set service-set-name]
Hierarchieebene festgelegt ist.
Junos OS unterstützt nicht das Exportieren von Systemprotokollmeldungen auf einen externen Systemprotokollserver über die fxp.0-Schnittstelle. Dies liegt daran, dass die hohe Übertragungsrate von Systemprotokollmeldungen und die begrenzte Bandbreite der fxp.0-Schnittstelle mehrere Probleme verursachen können. Der externe Systemprotokollserver muss über eine routingfähige Schnittstelle erreichbar sein.
In Tabelle 1 sind die Schweregrade aufgeführt, die Sie in Konfigurationsanweisungen auf Hierarchieebene [edit services service-set service-set-name syslog host hostname]
angeben können. Die Stufen von emergency
bis sind in der Reihenfolge vom höchsten Schweregrad (größte Auswirkung auf die Funktion) bis info
zum niedrigsten.
Schweregrad |
Beschreibung |
---|---|
|
Umfasst alle Schweregrade |
|
Systempanik oder andere Zustände, die dazu führen, dass der Router nicht mehr funktioniert |
|
Bedingungen, die eine sofortige Korrektur erfordern, z. B. eine beschädigte Systemdatenbank |
|
Kritische Bedingungen, wie z. B. Festplattenfehler |
|
Fehlerzustände, die in der Regel weniger schwerwiegende Folgen haben als Fehler in den Notfall-, Alarm- und kritischen Stufen |
|
Bedingungen, die eine Überwachung rechtfertigen |
|
Bedingungen, bei denen es sich nicht um Fehler handelt, die jedoch eine besondere Behandlung rechtfertigen können |
|
Relevante Ereignisse oder fehlerfreie Bedingungen |
Es wird empfohlen, den Schweregrad der Systemprotokollierung während des normalen Betriebs auf error
einzustellen. Um die PIC-Ressourcennutzung zu überwachen, legen Sie die Ebene auf warning
fest. Um Informationen über einen Intrusion Attack zu sammeln, wenn ein Intrusion Detection Systemfehler erkannt wird, legen Sie die Ebene für einen bestimmten Service Set auf notice
fest. Um eine Konfiguration zu debuggen oder NAT-Funktionen zu protokollieren, legen Sie die Ebene auf info
.
Weitere Informationen zu Systemprotokollmeldungen finden Sie im Systemprotokoll-Explorer.
Um die Klasse von Nachrichten auszuwählen, die auf dem angegebenen Systemprotokollhost protokolliert werden sollen, fügen Sie die class
Anweisung auf Hierarchieebene [edit services service-set service-set-name syslog host hostname]
ein:
class class-name;
Um einen bestimmten Einrichtungscode für die gesamte Protokollierung auf dem angegebenen Systemprotokollhost zu verwenden, fügen Sie die facility-override
Anweisung auf Hierarchieebene [edit services service-set service-set-name syslog host hostname]
ein:
facility-override facility-name;
Die unterstützten Funktionen sind: authorization
, , , , user
, daemon
kernel
ftp
und local0
durch .local7
Wenn Sie ein Textpräfix für die gesamte Protokollierung auf diesem Systemprotokollhost angeben möchten, fügen Sie die log-prefix
Anweisung auf Hierarchieebene [edit services service-set service-set-name syslog host hostname]
ein:
log-prefix prefix-value;
Siehe auch
Konfigurieren von Dienstregeln
Sie geben die Sammlung von Regeln und Regelsätzen an, aus denen sich der Servicesatz zusammensetzt. Der Router führt Regelsätze in der Reihenfolge aus, in der sie in der Konfiguration angezeigt werden. Sie können nur einen Regelsatz für jeden Diensttyp einschließen. Sie konfigurieren die Regelnamen und den Inhalt für jeden Diensttyp auf Hierarchieebene [edit services name]
für jeden Typ:
Sie konfigurieren IDS-Regeln (Intrusion Detection Service) auf Hierarchieebene
[edit services ids]
. Weitere Informationen finden Sie unter Konfigurieren von IDS-Regeln auf einer MS-DPC für MS-DPC-Karten und Konfigurieren des Schutzes vor Netzwerkangriffen auf einer MS-MPC für MS-MPC-Karten .Sie konfigurieren IP-Sicherheitsregeln (IPsec) auf Hierarchieebene
[edit services ipsec-vpn]
. Weitere Informationen finden Sie unter Grundlegendes zu Junos VPN Site Secure.Sie konfigurieren NAT-Regeln (Network Address Translation) auf Hierarchieebene
[edit services nat]
. Weitere Informationen finden Sie unter Übersicht über Junos Address Aware Network Addressing.Paketgesteuerte Abonnenten und PTSP-Regeln (Policy Control) werden auf Hierarchieebene
[edit services ptsp]
konfiguriert. Weitere Informationen finden Sie unter Konfigurieren von PTSP-Dienstregeln.Sie konfigurieren Softwire-Regeln für DS-Lite- oder 6rd-Softwires auf Hierarchieebene
[edit services softwire]
. Weitere Informationen finden Sie unter Softwire-Regeln konfigurieren.Sie konfigurieren zustandsbehaftete Firewallregeln auf Hierarchieebene
[edit services stateful-firewall]
. Weitere Informationen finden Sie unter Konfigurieren von zustandsbehafteten Firewallregeln.
Um die Regeln und Regelsätze zu konfigurieren, aus denen ein Dienstsatz besteht, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit services service-set service-set-name]
ein:
([ ids-rules rule-names ] |ids-rule-sets rule-set-name); ([ ipsec-vpn-rules rule-names ] | ipsec-vpn-rule-sets rule-set-name); ([ nat-rules rule-names ] | nat-rule-sets rule-set-name); ([ pgcp-rules rule-names] | pgcp-rule-sets rule-set-name); ([softwire-rules rule-names] | softwire-rule-sets rule-set-name); ([ stateful-firewall-rules rule-names ] | stateful-firewall-rule-sets rule-set-name);
Für jeden Servicetyp können Sie eine oder mehrere individuelle Regeln oder einen Regelsatz einschließen.
Wenn Sie einen Dienstsatz mit IPsec-Regeln konfigurieren, darf er keine Regeln für andere Dienste enthalten. Sie können jedoch ein anderes Service-Set konfigurieren, das Regeln für die anderen Services enthält, und beide Service-Sets auf dieselbe Schnittstelle anwenden.
Sie können auch die Junos Application Aware-Funktionalität (früher bekannt als Dynamic Application Awareness) in Servicesätze aufnehmen. Dazu müssen Sie eine idp-profile
Anweisung auf Hierarchieebene [edit services service-set]
zusammen mit APPID-Regeln (Application Identification) und ggf. AACL-Regeln (Application-Aware Access List) und einer policy-decision-statistics-profile
. Bei Verwendung der Junos Application Aware-Funktionalität kann nur ein Servicesatz auf eine einzelne Schnittstelle angewendet werden. Weitere Informationen finden Sie unter Konfigurieren von IDS-Regeln auf einem MS-DPC, APPID-Übersicht und Benutzerhandbuch für Schnittstellen für anwendungsorientierte Dienste für Routing-Geräte.
Tabelle "Änderungshistorie"
Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.
max-session-setup-rate