Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Service-Sets

Grundlegendes zu Service Sets

Mit Junos OS können Sie Servicesätze erstellen, die eine Sammlung von Services definieren, die von einer Adaptive Services-Schnittstelle (Adaptive Services-Schnittstelle, AS) oder Multiservices-Linecards (MS-DPC, MS-MIC und MS-MPC) ausgeführt werden sollen. Sie können den Service Set entweder als Service Set im Interface-Stil oder als Service Set im Stil des nächsten Hops konfigurieren.

Ein Schnittstellendienstsatz wird als Aktionsmodifizierer für eine gesamte Schnittstelle verwendet. Sie können einen Servicesatz im Schnittstellenstil verwenden, wenn Sie Services auf Pakete anwenden möchten, die eine Schnittstelle durchlaufen.

Ein Next-Hop-Service-Set ist eine routenbasierte Methode zum Anwenden eines bestimmten Service. Nur Pakete, die für einen bestimmten nächsten Hop bestimmt sind, werden durch die Erstellung expliziter statischer Routen bedient. Diese Konfiguration ist nützlich, wenn Services auf eine gesamte VPN-Routing- und Weiterleitungstabelle (Virtual Private Network) angewendet werden müssen oder wenn Routingentscheidungen bestimmen, dass Services ausgeführt werden müssen. Wenn ein Next-Hop-Service konfiguriert ist, wird die Dienstschnittstelle als zweibeiniges Modul betrachtet, wobei ein Bein als interne Schnittstelle (innerhalb des Netzwerks) und das andere als externe Schnittstelle (außerhalb des Netzwerks) konfiguriert ist.

Um Paketverluste während einer Service-Set-Deaktivierung oder eines Service-Set-Löschvorgangs zu vermeiden, schalten Sie zuerst die Schnittstellen herunter, die der Service-Gruppe entsprechen, warten Sie einige Zeit und deaktivieren oder löschen Sie später die Service-Gruppe. Wenn der Datenverkehrsfluss jedoch sehr hoch ist, hilft diese Problemumgehung nicht.

Um Servicegruppen zu konfigurieren, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit services] ein:

Konfigurieren von Service-Sets, die auf Service-Schnittstellen angewendet werden sollen

Sie konfigurieren eine Services-Schnittstelle, um die adaptive Services-Schnittstelle anzugeben, auf der der Service ausgeführt werden soll. Dienstschnittstellen werden mit einem der in den folgenden Abschnitten beschriebenen Servicegruppentypen verwendet.

Konfigurieren von Schnittstellen-Service-Sets

Ein Schnittstellendienstsatz wird als Aktionsmodifizierer für eine gesamte Schnittstelle verwendet. Um die Dienstschnittstelle zu konfigurieren, fügen Sie die interface-service Anweisung auf Hierarchieebene [edit services service-set service-set-name] ein:

Es wird nur der Gerätename benötigt, da die Router-Software logische Gerätenummern automatisch verwaltet. Bei der Services-Schnittstelle muss es sich um eine adaptive Services-Schnittstelle handeln, die Sie auf Hierarchieebene [edit interfaces interface-name konfiguriert unit 0 family inet haben.

Wenn Sie die Serviceregeln definiert und gruppiert haben, indem Sie die Servicesatzdefinition konfiguriert haben, können Sie Services auf eine oder mehrere Schnittstellen anwenden, die auf dem Router installiert sind. Wenn Sie den Service Set auf eine Schnittstelle anwenden, wird automatisch sichergestellt, dass Pakete an den PIC weitergeleitet werden.

Um eine definierte Servicegruppe mit einer Schnittstelle zu verknüpfen, fügen Sie auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number family inet service] eine service-set Anweisung mit der input Anweisung or output ein:

Wenn ein Paket in die Schnittstelle gelangt, lautet inputdie Übereinstimmungsrichtung . Wenn ein Paket die Schnittstelle verlässt, lautet outputdie Übereinstimmungsrichtung . Das Serviceset behält die Eingabeschnittstelleninformationen auch nach dem Anwenden von Services bei, sodass Funktionen wie Filterklassenweiterleitung und Zielklassenverwendung (Destination Class Usage, DCU), die von Eingabeschnittstelleninformationen abhängig sind, weiterhin funktionieren.

Sie konfigurieren denselben Dienstsatz auf der Eingabe- und Ausgabeseite der Schnittstelle. Optional können Sie Filter einschließen, die jedem Dienstsatz zugeordnet sind, um das Ziel zu verfeinern und zusätzlich den Datenverkehr zu verarbeiten. Wenn Sie die Anweisung ohne Definition service-filter einschließen, geht die Routersoftware davon aus, dass die Übereinstimmungsbedingung wahr ist, und wählt automatisch den für die service-set Verarbeitung festgelegten Dienst aus.

Hinweis:

Wenn Sie Service-Sets mit Filtern konfigurieren, müssen diese auf der Input- und Output-Seite der Schnittstelle konfiguriert werden.

Sie können auf jeder Seite der Schnittstelle mehr als eine Servicesatzdefinition einschließen. Wenn Sie mehrere Service-Sets einbeziehen, wertet die Router-Software diese in der Reihenfolge aus, in der sie in der Konfiguration angezeigt werden. Das System führt das erste Service-Set aus, für das es eine Übereinstimmung im Servicefilter findet, und ignoriert die nachfolgenden Definitionen. Es können maximal sechs Service-Sets auf eine Schnittstelle angewendet werden. Wenn Sie mehrere Servicesätze auf eine Schnittstelle anwenden, müssen Sie auch einen Servicefilter konfigurieren und auf die Schnittstelle anwenden.

Mit einer zusätzlichen Anweisung können Sie einen Filter für die Verarbeitung des Datenverkehrs angeben, nachdem der Eingabedienstsatz ausgeführt wurde. Um diesen Filtertyp zu konfigurieren, fügen Sie die post-service-filter Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number family inet service input] ein:

Die post-service-filter Anweisung wird nicht unterstützt, wenn sich die Dienstschnittstelle auf einem MS-MIC oder MS-MPC befindet.

Ein Beispiel finden Sie unter Beispiel: Konfigurieren von Service-Sets.

Hinweis:

Bei Service Sets im Schnittstellenstil, die mit Junos OS-Erweiterungspaketen konfiguriert sind, kann der Datenverkehr nicht bedient werden, wenn die Eingangsschnittstelle Teil einer VRF-Instanz ist und die Serviceschnittstelle nicht Teil derselben VRF-Instanz ist.

Hinweis:

Wenn der für eine Servicegruppe konfigurierte MultiServices-PIC entweder administrativ offline geschaltet wird oder einen Fehler erleidet, wird der gesamte Datenverkehr, der mit einem IDP-Servicesatz in die konfigurierte Schnittstelle gelangt, ohne Benachrichtigung verworfen. Um diesen Datenverkehrsverlust zu vermeiden, schließen Sie die bypass-traffic-on-pic-failure Anweisung auf Hierarchieebene [edit services service-set service-set-name service-set-options] ein. Wenn diese Anweisung konfiguriert ist, werden die betroffenen Pakete im Falle eines MultiServices-PIC-Fehlers oder Offlinings weitergeleitet, als ob keine Dienste im Schnittstellenstil konfiguriert wären. Dieses Problem gilt nur für Junos Application Aware-Konfigurationen (früher als Dynamic Application Awareness bezeichnet), die IDP-Servicesätze verwenden. Diese Weiterleitungsfunktion funktionierte anfangs nur mit der Packet Forwarding Engine (PFE). Ab Junos OS Version 11.3 wird die Paketweiterleitungsfunktion auch auf Pakete ausgeweitet, die von der Routing-Engine für Bypass-Servicesätze generiert werden.

Konfigurieren von Next-Hop-Servicegruppen

Ein Next-Hop-Service-Set ist eine routenbasierte Methode zum Anwenden eines bestimmten Service. Nur Pakete, die für einen bestimmten nächsten Hop bestimmt sind, werden durch die Erstellung expliziter statischer Routen bedient. Diese Konfiguration ist nützlich, wenn Services auf eine gesamte VPN-Routing- und Weiterleitungstabelle (Virtual Private Network) angewendet werden müssen oder wenn Routingentscheidungen bestimmen, dass Services ausgeführt werden müssen.

Wenn ein Next-Hop-Service konfiguriert ist, wird der AS- oder Multiservices-PIC als zweibeiniges Modul betrachtet, wobei ein Bein als interne Schnittstelle (innerhalb des Netzwerks) und das andere als externe Schnittstelle (außerhalb des Netzwerks) konfiguriert ist.

Hinweis:

Sie können IFL-Indizes größer als 8000 nur erstellen, wenn die Schnittstellendienstgruppe nicht konfiguriert ist.

Um die Domäne zu konfigurieren, fügen Sie die service-domain Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number] ein:

Die service-domain Einstellung muss mit der Konfiguration für den Next-Hop-Dienst innerhalb und außerhalb der Schnittstellen übereinstimmen. Um die internen und externen Schnittstellen zu konfigurieren, schließen Sie die next-hop-service Anweisung auf Hierarchieebene [edit services service-set service-set-name] ein. Bei den von Ihnen angegebenen Schnittstellen muss es sich um logische Schnittstellen auf demselben AS PIC handeln. Sie können dies nicht konfigurieren unit 0 , und die von Ihnen gewählte logische Schnittstelle darf nicht von einer anderen Servicegruppe verwendet werden.

Der Datenverkehr, auf den der Dienst angewendet wird, wird über eine statische Route zur internen Schnittstelle gezwungen. Zum Beispiel:

Nachdem der Dienst angewendet wurde, wird der Datenverkehr über die externe Schnittstelle verlassen. Anschließend wird ein Lookup in der Packet Forwarding Engine (PFE) durchgeführt, um das Paket aus dem AS oder Multiservices PIC zu senden.

Der umgekehrte Datenverkehr gelangt in die externe Schnittstelle, wird bedient und an die interne Schnittstelle gesendet. Die interne Schnittstelle leitet den Datenverkehr aus dem AS- oder Multiservices-PIC weiter.

Bestimmen der Verkehrsrichtung

Wenn Sie Servicegruppen für den nächsten Hop konfigurieren, fungiert der AS PIC als zweiteilige Schnittstelle, wobei ein Teil die interne und der andere Teil die externe Schnittstelle ist. Die folgende Abfolge von Aktionen findet statt:

  1. Um die beiden Teile logischen Schnittstellen zuzuordnen, konfigurieren Sie zwei logische Schnittstellen mit der service-domain Anweisung, eine mit dem Wert und eine mit dem outside inside Wert, um sie entweder als interne oder externe Serviceschnittstelle zu kennzeichnen.

  2. Der Router leitet den zu bedienenden Datenverkehr mithilfe der Next-Hop-Lookup-Tabelle an die interne Schnittstelle weiter.

  3. Nachdem der Dienst angewendet wurde, verlässt der Datenverkehr die externe Schnittstelle. Anschließend wird eine Routensuche für die Pakete durchgeführt, die vom Router gesendet werden sollen.

  4. Wenn der umgekehrte Datenverkehr auf der externen Schnittstelle zurückkehrt, wird der angewendete Dienst rückgängig gemacht. Beispielsweise wird IPsec-Datenverkehr entschlüsselt oder NAT-Adressen werden demaskiert. Die gewarteten Pakete werden dann auf der internen Schnittstelle angezeigt, der Router führt eine Routensuche durch, und der Datenverkehr verlässt den Router.

Die Übereinstimmungsrichtung einer Dienstregel, unabhängig davon, ob es sich um Eingabe, Ausgabe oder Eingabe/Ausgabe handelt, wird in Bezug auf den Datenverkehrsfluss durch das AS PIC angewendet, nicht über eine bestimmte interne oder externe Schnittstelle.

Wenn ein Paket an einen AS PIC gesendet wird, werden Informationen zur Paketrichtung mitgeführt. Dies gilt sowohl für den Schnittstellenstil als auch für Servicegruppen im Next-Hop-Stil.

Service-Sets im Schnittstellenstil

Die Paketrichtung wird dadurch bestimmt, ob ein Paket in eine Schnittstelle der Paketweiterleitungs-Engine (in Bezug auf die Weiterleitungsebene), auf die die interface-service Anweisung angewendet wird, ein- oder ausgeht. Dies ähnelt der Ein- und Ausgaberichtung für zustandslose Firewallfilter.

Die Übereinstimmungsrichtung kann auch von der Netzwerktopologie abhängen. Sie können beispielsweise den gesamten externen Datenverkehr über eine Schnittstelle leiten, die zum Schutz der anderen Schnittstellen auf dem Router verwendet wird, und verschiedene Dienste speziell auf dieser Schnittstelle konfigurieren. Alternativ können Sie eine Schnittstelle für vorrangigen Datenverkehr verwenden und spezielle Dienste darauf konfigurieren, sich aber nicht um den Schutz des Datenverkehrs auf den anderen Schnittstellen kümmern.

Service-Sets im Next-Hop-Stil

Die Paketrichtung wird durch die AS-PIC-Schnittstelle bestimmt, die zum Weiterleiten von Paketen an den AS PIC verwendet wird. Wenn Sie die Anweisung zum Weiterleiten des Datenverkehrs verwenden, lautet inputdie inside-interface Paketrichtung . Wenn Sie die Anweisung verwenden, um Pakete an den AS PIC zu leiten, lautet outputdie outside-interface Paketrichtung .

Die Schnittstelle, auf die Sie die Service-Sets anwenden, wirkt sich auf die Übereinstimmungsrichtung aus. Wenden Sie z. B. die folgende Konfiguration an:

Wenn Sie konfigurieren, schließen Sie match-direction inputdie folgenden Anweisungen ein:

Wenn Sie konfigurieren, schließen Sie match-direction outputdie folgenden Anweisungen ein:

Der wesentliche Unterschied zwischen den beiden Konfigurationen ist die Änderung der Übereinstimmungsrichtung und der nächste Hop der statischen Routen, der entweder auf die innere oder die äußere Schnittstelle des AS PIC verweist.

Konfigurieren von Servicesatzeinschränkungen

Sie können die folgenden Einschränkungen für die Servicesatzkapazität festlegen:

  • Sie können die maximal zulässige Anzahl von Datenströmen pro Dienstsatz begrenzen. Um den Maximalwert zu konfigurieren, fügen Sie die max-flows Anweisung auf Hierarchieebene [edit services service-set service-set-name] ein:

    Die max-flows Anweisung ermöglicht die Zuweisung eines einzelnen Flussgrenzwerts. Nur für IDS-Service-Sets können Sie verschiedene Arten von Durchflussgrenzen mit einem feineren Maß an Kontrolle angeben. Weitere Informationen finden Sie in der Beschreibung der session-limit Anweisung unter Konfigurieren von IDS-Regelsätzen auf einem MS-DPC.

    Hinweis:

    Wenn eine aggregierte Multiservices-Schnittstelle (AMS) als Serviceschnittstelle für eine Servicegruppe konfiguriert ist, wird der für die Servicegruppe konfigurierte Wert auf jede der Mitgliedsschnittstellen in der max-flow AMS-Schnittstelle angewendet. Das heißt, wenn Sie 1000 als max-flow Wert für eine Servicegruppe konfiguriert haben, die eine AMS-Schnittstelle mit vier aktiven Memberschnittstellen verwendet, kann jede der Memberschnittstellen jeweils 1000 Flows verarbeiten, was zu einem effektiven max-flow Wert von 4000 führt.

  • Sie können die maximale Segmentgröße (MSS) begrenzen, die vom Transmission Control Protocol (TCP) zulässig ist. Um den Maximalwert zu konfigurieren, fügen Sie die tcp-mss Anweisung auf Hierarchieebene [edit services service-set service-set-name] ein:

    Das TCP-Protokoll handelt während des Verbindungsaufbaus zwischen zwei Peers einen MSS-Wert aus. Der ausgehandelte MSS-Wert basiert in erster Linie auf der MTU der Schnittstellen, mit denen die kommunizierenden Peers direkt verbunden sind. Im Netzwerk können jedoch aufgrund von Schwankungen der Verbindungs-MTU auf dem von den TCP-Paketen genommenen Pfad einige Pakete, die noch deutlich innerhalb des MSS-Werts liegen, fragmentiert werden, wenn die Größe des betreffenden Pakets die MTU der Verbindung überschreitet.

    Wenn der Router ein TCP-Paket mit gesetztem SYN-Bit und MSS-Option empfängt und die im Paket angegebene MSS-Option größer als der in der Anweisung angegebene MSS-Wert ist, ersetzt der Router den MSS-Wert im Paket durch den niedrigeren Wert, der in der tcp-mss tcp-mss Anweisung angegeben ist. Der Bereich für den tcp-mss mss-value Parameter reicht von 536 bis 65535.

    Um Statistiken der empfangenen SYN-Pakete und der SYN-Pakete, deren MSS-Wert geändert wurde, anzuzeigen, geben Sie den show services service-sets statistics tcp-mss Befehl operational mode ein. Weitere Informationen zu diesem Thema finden Sie in der Junos OS-Administrationsbibliothek.

  • Ab Junos OS Version 17.1R1 können Sie die Sitzungseinrichtungsrate pro Servicesatz für eine MS-MPC begrenzen. Um die maximal zulässige Einrichtungsrate zu konfigurieren, fügen Sie die max-session-setup-rate Anweisung auf Hierarchieebene [edit services service-set service-set-name] ein:

    Die maximale Sitzungseinrichtungsrate ist die maximal zulässige Anzahl von Sitzungseinstellungen pro Sekunde. Sobald diese Rate erreicht ist, werden alle weiteren Versuche zum Einrichten einer Sitzung verworfen.

    Der Bereich für die max-session-setup-rate number liegt zwischen 1 und 429.496.729. Sie können die Einrichtungsrate auch als Tausende von Sitzungen ausdrücken, indem Sie k verwenden number. Ab Junos OS Version 18.4R1 gilt 1k=1000 für . max-session-setup-rate Vor Junos OS Version 18.4R1, 1k=1024. Wenn Sie die Anweisung nicht angeben, ist die max-session-setup-rate Sitzungseinrichtungsrate nicht begrenzt.

Beispiel: Konfigurieren von Service-Sets

Wenden Sie zwei Service-Sets my-input-service-set und my-output-service-setauf schnittstellenweiter Basis an. Der gesamte Datenverkehr wurde my-input-service-set darauf angewendet. Nachdem das Serviceset angewendet wurde, wird eine zusätzliche Filterung mit durchgeführt my_post_service_input_filter.

Konfigurieren von Serviceschnittstellenpools

Um einen Serviceschnittstellenpool zu konfigurieren, schließen Sie die folgenden Anweisungen auf Hierarchieebene [edit services service-interface-pools] ein:

Aktivieren von Services PICs für die Annahme von Multicast-Datenverkehr

Damit Multicastdatenverkehr an den Adaptive Services- oder Multiservices-PIC gesendet werden kann, schließen Sie die allow-multicast Anweisung auf Hierarchieebene [edit services service-set service-set-name] ein. Wenn diese Anweisung nicht enthalten ist, wird der Multicastdatenverkehr standardmäßig verworfen. Diese Anweisung gilt nur für Multicastdatenverkehr, der einen Next-Hop-Servicesatz verwendet. Die Konfiguration von Schnittstellen-Service-Sets wird nicht unterstützt. Für Multicastpakete werden nur unidirektionale Datenströme erstellt.

Anwenden von Filtern und Diensten auf Schnittstellen

Wenn Sie die Serviceregeln definiert und gruppiert haben, indem Sie die Servicesatzdefinition konfiguriert haben, können Sie Services auf eine oder mehrere Schnittstellen auf dem Router anwenden. Um eine definierte Servicegruppe mit einer Schnittstelle zu verknüpfen, schließen Sie die service-set Anweisung mit der input oder-Anweisung output auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number family inet service] ein:

Hinweis:

Wenn Sie Dienste auf einer Schnittstelle aktivieren, wird die Weiterleitung des umgekehrten Pfads nicht unterstützt. Sie können keine Services auf der Management-Schnittstelle () oder der Loopback-Schnittstelle (fxp0lo0) konfigurieren.

Sie können verschiedene Service-Sets auf der Eingangs- und Ausgabeseite der Schnittstelle konfigurieren. Bei Servicegruppen mit bidirektionalen Serviceregeln müssen Sie jedoch in beiden input output and-Anweisungen dieselbe Servicesetdefinition angeben. Jede Servicegruppe, die Sie in die Anweisung aufnehmen, muss mit der interface-service Anweisung auf Hierarchieebene [edit services service-set service-set-name] konfiguriert werden. Weitere Informationen finden Sie unter Konfigurieren von Servicesätzen, die auf Serviceschnittstellen angewendet werden sollen.service

Hinweis:

Wenn Sie eine Schnittstelle mit einem Eingabe-Firewall-Filter konfigurieren, der eine Ablehnungsaktion enthält, und mit einem Service-Set, das zustandsbehaftete Firewall-Regeln enthält, führt der Router den Eingabe-Firewall-Filter aus, bevor die Stateful-Firewall-Regeln für das Paket ausgeführt werden. Wenn das Paketweiterleitungsmodul eine ICMP-Fehlermeldung (Internet Control Message Protocol) über die Schnittstelle sendet, verwerfen die zustandsbehafteten Firewallregeln das Paket möglicherweise, da es in Eingaberichtung nicht erkannt wurde.

Mögliche Problemumgehungen bestehen darin, einen Weiterleitungstabellenfilter zum Ausführen der Ablehnungsaktion einzuschließen, da dieser Filtertyp nach der zustandsbehafteten Firewall in Eingaberichtung ausgeführt wird, oder einen Ausgabedienstfilter einzubinden, um zu verhindern, dass die lokal generierten ICMP-Pakete an den zustandsbehafteten Firewalldienst gesendet werden.

Konfigurieren von Dienstfiltern

Optional können Sie Filter einschließen, die jedem Dienstsatz zugeordnet sind, um das Ziel zu verfeinern und zusätzlich den Datenverkehr zu verarbeiten. Wenn Sie die Anweisung ohne service-filter Definition einfügen, geht die Router-Software davon aus, dass die service-set Übereinstimmungsbedingung wahr ist, und wählt den für die Verarbeitung festgelegten Dienst automatisch aus.

Um Servicefilter zu konfigurieren, fügen Sie die firewall Anweisung auf Hierarchieebene [edit] ein:

Hinweis:

Sie müssen als Adressfamilie angeben inet , um einen Dienstfilter zu konfigurieren.

Sie konfigurieren Dienstfilter ähnlich wie Firewallfilter. Für Dienstfilter gelten die gleichen Übereinstimmungsbedingungen wie für Firewallfilter, jedoch die folgenden spezifischen Aktionen:

  • count—Addieren Sie das Paket zu einer Zählersumme.

  • log– Protokollieren Sie das Paket.

  • port-mirror– Port-Mirror des Pakets.

  • sample– Probieren Sie die Packung.

  • service– Leiten Sie das Paket zur Serviceverarbeitung weiter.

  • skip– Das Paket von der Serviceverarbeitung ausschließen.

Weitere Informationen zum Konfigurieren von Firewallfiltern finden Sie im Benutzerhandbuch für Routingrichtlinien, Firewallfilter und Traffic Policers.

Sie können auch mehr als eine Servicesatzdefinition auf jeder Seite der Schnittstelle einschließen. Wenn Sie mehrere Service-Sets einbeziehen, wertet die Router-Software diese in der in der Konfiguration angegebenen Reihenfolge aus. Er führt den ersten Dienstsatz aus, für den er eine Übereinstimmung im Dienstfilter findet, und ignoriert die nachfolgenden Definitionen.

Mit einer zusätzlichen Anweisung können Sie einen Filter für die Verarbeitung des Datenverkehrs angeben, nachdem der Eingabedienstsatz ausgeführt wurde. Um diesen Filtertyp zu konfigurieren, fügen Sie die post-service-filter Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number family inet service input] ein:

Hinweis:

Die Software führt nur dann eine Postservice-Filterung durch, wenn sie ein Service-Set ausgewählt und ausgeführt hat. Wenn der Datenverkehr die Übereinstimmungskriterien für einen der konfigurierten Servicesätze nicht erfüllt, wird der Postservice-Filter ignoriert. Die post-service-filter Anweisung wird nicht unterstützt, wenn sich die Dienstschnittstelle auf einem MS-MIC oder MS-MPC befindet.

Ein Beispiel für das Anwenden eines Service-Sets auf eine Schnittstelle finden Sie unter Beispiele: Konfigurieren von Service-Schnittstellen.

Weitere Informationen zum Anwenden von Filtern auf Schnittstellen finden Sie in der Junos OS Network Interfaces Library for Routing Devices. Allgemeine Informationen zu Filtern finden Sie im Benutzerhandbuch für Routingrichtlinien, Firewallfilter und Traffic Policers.

Hinweis:

Nachdem die NAT-Verarbeitung auf Pakete angewendet wurde, unterliegen sie keinen Ausgabedienstfiltern. Die Dienstfilter wirken sich nur auf nicht übersetzten Datenverkehr aus.

Beispiele: Konfigurieren von Service-Schnittstellen

Wenden Sie den my-service-set Servicesatz schnittstellenweit an. Der gesamte Datenverkehr, der von my_input_filter akzeptiert wird, hat my-input-service-set sich darauf beworben. Nachdem das Serviceset angewendet wurde, wird eine zusätzliche Filterung mithilfe des my_post_service_input_filter Filters durchgeführt.

Konfigurieren Sie zwei Redundanzschnittstellen rsp0 und und rsp1die zugehörigen Dienste.

Konfigurieren der Adresse und Domäne für Serviceschnittstellen

Auf dem AS- oder Multiservices-PIC konfigurieren Sie eine Quelladresse für Systemprotokollmeldungen, indem Sie die address Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number family inet] einfügen:

Weisen Sie der Schnittstelle eine IP-Adresse zu, indem Sie den address Wert konfigurieren. Der AS- oder Multiservices-PIC unterstützt im Allgemeinen nur IPv4-Adressen (IP Version 4), die mit der Anweisung konfiguriert wurden, aber IPsec-Dienste unterstützen auch IPv6-Adressen (IP Version 6), die mit der family inet family inet6 Anweisung konfiguriert wurden.

Hinweis:

Wenn Sie dieselbe Adresse auf mehreren Schnittstellen in derselben Routing-Instanz konfigurieren, verwendet Junos OS nur die erste Konfiguration, die übrigen Adresskonfigurationen werden ignoriert und Schnittstellen können ohne Adresse zurückbleiben. Schnittstellen, denen keine Adresse zugewiesen ist, können nicht als Spenderschnittstelle für eine nicht nummerierte Ethernet-Schnittstelle verwendet werden.

Beispielsweise wird in der folgenden Konfiguration die Adresskonfiguration des Interfaces xe-0/0/1.0 ignoriert:

Weitere Informationen zum Konfigurieren derselben Adresse auf mehreren Schnittstellen finden Sie unter Konfigurieren der Schnittstellenadresse.

Informationen zu anderen Adressierungseigenschaften, die Sie konfigurieren können und die nicht spezifisch für Serviceschnittstellen sind, finden Sie in der Junos OS Network Interfaces Library for Routing Devices.

Die service-domain Anweisung gibt an, ob die Schnittstelle innerhalb des Netzwerks oder zur Kommunikation mit Remotegeräten verwendet wird. Die Software verwendet diese Einstellung, um zu bestimmen, welche standardmäßigen zustandsbehafteten Firewallregeln angewendet werden sollen, und um die Standardrichtung für Serviceregeln zu bestimmen. Um die Domäne zu konfigurieren, fügen Sie die service-domain Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number] ein:

Wenn Sie die Schnittstelle in einer Service-Set-Definition des nächsten Hops konfigurieren, muss die Einstellung mit der Konfiguration für die and-Anweisung outside-service-interface übereinstimmen. Weitere Informationen finden Sie unter Konfigurieren von Service-Sets, die service-domain inside-service-interface auf Service-Schnittstellen angewendet werden sollen.

Konfigurieren der Systemprotokollierung für Servicegruppen

Sie geben Eigenschaften an, die steuern, wie Systemprotokollmeldungen für die Dienstgruppe generiert werden. Diese Werte überschreiben die auf der Hierarchieebene [edit interfaces interface-name services-options] konfigurierten Werte.

Um servicegruppenspezifische Systemprotokollierungswerte zu konfigurieren, fügen Sie die syslog Anweisung auf Hierarchieebene [edit services service-set service-set-name] ein:

Konfigurieren Sie die host Anweisung mit einem Hostnamen oder einer IP-Adresse, die den Zielserver für das Systemprotokoll angibt. Der Hostname local leitet Systemprotokollmeldungen an die Routing-Engine weiter. Bei Protokollservern externer Systeme muss der Hostname von derselben Routinginstanz aus erreichbar sein, an die das ursprüngliche Datenpaket (das den Sitzungsaufbau ausgelöst hat) übermittelt wird. Sie können nur einen Hostnamen für die Systemprotokollierung angeben. Der source-address Parameter wird auf den Schnittstellen ms, rms und mams unterstützt.

Ab Junos OS Version 17.4R1 können Sie bis zu vier Systemprotokollserver (Kombination aus lokalen Systemprotokollhosts und Remote-Systemprotokollsammlern) für jeden Service konfigurieren, der auf [edit services service-set service-set-name] Hierarchieebene festgelegt ist.

Hinweis:

Junos OS unterstützt nicht das Exportieren von Systemprotokollmeldungen auf einen externen Systemprotokollserver über die fxp.0-Schnittstelle. Dies liegt daran, dass die hohe Übertragungsrate von Systemprotokollmeldungen und die begrenzte Bandbreite der fxp.0-Schnittstelle mehrere Probleme verursachen können. Der externe Systemprotokollserver muss über eine routingfähige Schnittstelle erreichbar sein.

In Tabelle 1 sind die Schweregrade aufgeführt, die Sie in Konfigurationsanweisungen auf Hierarchieebene [edit services service-set service-set-name syslog host hostname] angeben können. Die Stufen von emergency bis sind in der Reihenfolge vom höchsten Schweregrad (größte Auswirkung auf die Funktion) bis info zum niedrigsten.

Tabelle 1: Schweregrade von Systemprotokollmeldungen

Schweregrad

Beschreibung

any

Umfasst alle Schweregrade

emergency

Systempanik oder andere Zustände, die dazu führen, dass der Router nicht mehr funktioniert

alert

Bedingungen, die eine sofortige Korrektur erfordern, z. B. eine beschädigte Systemdatenbank

critical

Kritische Bedingungen, wie z. B. Festplattenfehler

error

Fehlerzustände, die in der Regel weniger schwerwiegende Folgen haben als Fehler in den Notfall-, Alarm- und kritischen Stufen

warning

Bedingungen, die eine Überwachung rechtfertigen

notice

Bedingungen, bei denen es sich nicht um Fehler handelt, die jedoch eine besondere Behandlung rechtfertigen können

info

Relevante Ereignisse oder fehlerfreie Bedingungen

Es wird empfohlen, den Schweregrad der Systemprotokollierung während des normalen Betriebs auf error einzustellen. Um die PIC-Ressourcennutzung zu überwachen, legen Sie die Ebene auf warningfest. Um Informationen über einen Intrusion Attack zu sammeln, wenn ein Intrusion Detection Systemfehler erkannt wird, legen Sie die Ebene für einen bestimmten Service Set auf notice fest. Um eine Konfiguration zu debuggen oder NAT-Funktionen zu protokollieren, legen Sie die Ebene auf info.

Weitere Informationen zu Systemprotokollmeldungen finden Sie im Systemprotokoll-Explorer.

Um die Klasse von Nachrichten auszuwählen, die auf dem angegebenen Systemprotokollhost protokolliert werden sollen, fügen Sie die class Anweisung auf Hierarchieebene [edit services service-set service-set-name syslog host hostname] ein:

Um einen bestimmten Einrichtungscode für die gesamte Protokollierung auf dem angegebenen Systemprotokollhost zu verwenden, fügen Sie die facility-override Anweisung auf Hierarchieebene [edit services service-set service-set-name syslog host hostname] ein:

Die unterstützten Funktionen sind: authorization, , , , user, daemonkernelftpund local0 durch .local7

Wenn Sie ein Textpräfix für die gesamte Protokollierung auf diesem Systemprotokollhost angeben möchten, fügen Sie die log-prefix Anweisung auf Hierarchieebene [edit services service-set service-set-name syslog host hostname] ein:

Konfigurieren von Dienstregeln

Sie geben die Sammlung von Regeln und Regelsätzen an, aus denen sich der Servicesatz zusammensetzt. Der Router führt Regelsätze in der Reihenfolge aus, in der sie in der Konfiguration angezeigt werden. Sie können nur einen Regelsatz für jeden Diensttyp einschließen. Sie konfigurieren die Regelnamen und den Inhalt für jeden Diensttyp auf Hierarchieebene [edit services name] für jeden Typ:

Um die Regeln und Regelsätze zu konfigurieren, aus denen ein Dienstsatz besteht, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit services service-set service-set-name] ein:

Für jeden Servicetyp können Sie eine oder mehrere individuelle Regeln oder einen Regelsatz einschließen.

Wenn Sie einen Dienstsatz mit IPsec-Regeln konfigurieren, darf er keine Regeln für andere Dienste enthalten. Sie können jedoch ein anderes Service-Set konfigurieren, das Regeln für die anderen Services enthält, und beide Service-Sets auf dieselbe Schnittstelle anwenden.

Hinweis:

Sie können auch die Junos Application Aware-Funktionalität (früher bekannt als Dynamic Application Awareness) in Servicesätze aufnehmen. Dazu müssen Sie eine idp-profile Anweisung auf Hierarchieebene [edit services service-set] zusammen mit APPID-Regeln (Application Identification) und ggf. AACL-Regeln (Application-Aware Access List) und einer policy-decision-statistics-profile. Bei Verwendung der Junos Application Aware-Funktionalität kann nur ein Servicesatz auf eine einzelne Schnittstelle angewendet werden. Weitere Informationen finden Sie unter Konfigurieren von IDS-Regeln auf einem MS-DPC, APPID-Übersicht und Benutzerhandbuch für Schnittstellen für anwendungsorientierte Dienste für Routing-Geräte.

Tabelle "Änderungshistorie"

Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
18.4R1
Ab Junos OS Version 18.4R1 gilt 1k=1000 für . max-session-setup-rate
17.1R1
Ab Junos OS Version 17.1R1 können Sie die Sitzungseinrichtungsrate pro Servicesatz für eine MS-MPC begrenzen.