Service-Sets
Service-Sets verstehen
Mit Junos OS können Sie Service-Sets erstellen, die eine Sammlung von Services definieren, die von einer Adaptive Services-Schnittstelle (AS) oder Multiservices-Linecards (MS-DPC, MS-MIC und MS-MPC) ausgeführt werden sollen. Sie können den Servicesatz entweder als Servicesatz im Schnittstellenstil oder als Servicesatz im Next-Hop-Stil konfigurieren.
Ein Schnittstellenservicesatz wird als Aktionsmodifizierer für eine gesamte Schnittstelle verwendet. Sie können einen Servicesatz im Schnittstellenstil verwenden, wenn Sie Services auf Pakete anwenden möchten, die eine Schnittstelle durchlaufen.
Ein Next-Hop-Service-Set ist eine routenbasierte Methode zum Anwenden eines bestimmten Service. Nur Pakete, die für einen bestimmten nächsten Hop bestimmt sind, werden durch die Erstellung expliziter statischer Routen bedient. Diese Konfiguration ist nützlich, wenn Services auf eine gesamte Virtual Private Network (VPN)-Routing- und Weiterleitungstabelle (VRF) angewendet werden müssen oder wenn Routing-Entscheidungen ergeben, dass Services ausgeführt werden müssen. Wenn ein Next-Hop-Service konfiguriert ist, wird die Serviceschnittstelle als zweibeiniges Modul betrachtet, wobei ein Zweig als interne Schnittstelle (innerhalb des Netzwerks) und der andere als externe Schnittstelle (außerhalb des Netzwerks) konfiguriert ist.
Um Paketverluste während einer Service-Set-Deaktivierung oder eines Service-Set-Löschvorgangs zu vermeiden, fahren Sie zuerst die Schnittstellen herunter, die dem Service-Set entsprechen, warten Sie einige Zeit und deaktivieren oder löschen Sie später den Service-Set. Wenn der Datenverkehrsfluss jedoch sehr hoch ist, hilft dieser Workaround nicht.
Um Servicesets zu konfigurieren, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit services] ein:
[edit services] service-set service-set-name { (ids-rules rule-names | ids-rule-sets rule-set-name); (ipsec-vpn-rules rule-names | ipsec-vpn-rule-sets rule-set-name); max-session-setup-rate max-setup-rate; (nat-rules rule-names | nat-rule-sets rule-set-name); (pgcp-rules rule-names | pgcp-rule-sets rule-set-name); (ptsp-rules rule-names | ptsp-rule-sets rule-set-name); (stateful-firewall-rules rule-names | stateful-firewall-rule-sets rule-set-name); allow-multicast; extension-service service-name { provider-specific rules; } interface-service { service-interface interface-name; } ipsec-vpn-options { anti-replay-window-size bits; clear-dont-fragment-bit; ike-access-profile profile-name; local-gateway address; no-anti-replay; passive-mode-tunneling; trusted-ca [ ca-profile-names ]; tunnel-mtu bytes; } max-flows number; next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; service-interface-pool name; } syslog { host hostname { services severity-level; facility-override facility-name; log-prefix prefix-value; } } } adaptive-services-pics { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } } logging { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } }
Siehe auch
Konfigurieren von Service-Sets, die auf Service-Schnittstellen angewendet werden sollen
Sie konfigurieren eine Serviceschnittstelle, um die adaptive Serviceschnittstelle anzugeben, auf der der Service ausgeführt werden soll. Dienstschnittstellen werden mit einem der in den folgenden Abschnitten beschriebenen Dienstsatztypen verwendet.
- Konfigurieren von Schnittstellen-Service-Sets
- Konfigurieren von Next-Hop-Service-Sets
- Bestimmen der Datenverkehrsrichtung
Konfigurieren von Schnittstellen-Service-Sets
Ein Schnittstellenservicesatz wird als Aktionsmodifizierer für eine gesamte Schnittstelle verwendet. Um die Services-Schnittstelle zu konfigurieren, fügen Sie die interface-service Anweisung auf Hierarchieebene [edit services service-set service-set-name] ein:
[edit services service-set service-set-name] interface-service { service-interface interface-name; }
Es wird nur der Gerätename benötigt, da die Router-Software die Nummern logischer Einheiten automatisch verwaltet. Die Services-Schnittstelle muss eine adaptive Services-Schnittstelle sein, für die Sie auf Hierarchieebene [edit interfaces interface-name konfiguriert unit 0 family inet haben.
Wenn Sie die Serviceregeln durch Konfigurieren der Servicesatzdefinition definiert und gruppiert haben, können Sie Services auf eine oder mehrere Schnittstellen anwenden, die auf dem Router installiert sind. Wenn Sie den Servicesatz auf eine Schnittstelle anwenden, wird automatisch sichergestellt, dass Pakete an den PIC weitergeleitet werden.
Um einen definierten Servicesatz einer Schnittstelle zuzuordnen, fügen Sie eine service-set Anweisung mit der input oder-Anweisung output auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number family inet service] ein:
[edit interfaces interface-name unit logical-unit-number family inet service]
input {
service-set service-set-name <service-filter filter-name>;
post-service-filter filter-name;
}
output {
service-set service-set-name <service-filter filter-name>;
}
Wenn ein Paket in die Schnittstelle eintritt, lautet inputdie Übereinstimmungsrichtung . Wenn ein Paket die Schnittstelle verlässt, lautet outputdie Übereinstimmungsrichtung . Der Servicesatz behält die Eingabeschnittstelleninformationen auch nach dem Anwenden von Services bei, sodass Funktionen wie Filterklassenweiterleitung und Zielklassenverwendung (DCU), die von Eingabeschnittstelleninformationen abhängen, weiterhin funktionieren.
Sie konfigurieren dasselbe Service-Set auf der Eingangs- und Ausgabeseite der Schnittstelle. Sie können optional Filter hinzufügen, die jedem Service-Set zugeordnet sind, um das Ziel zu verfeinern und zusätzlich den Datenverkehr zu verarbeiten. Wenn Sie die service-set Anweisung ohne service-filter Definition einfügen, geht die Router-Software davon aus, dass die Übereinstimmungsbedingung wahr ist, und wählt den Servicesatz für die automatische Verarbeitung aus.
Wenn Sie Service-Sets mit Filtern konfigurieren, müssen diese auf der Eingangs- und Ausgabeseite der Schnittstelle konfiguriert werden.
Sie können mehr als eine Servicesatzdefinition auf jeder Seite der Schnittstelle einschließen. Wenn Sie mehrere Service-Sets einbeziehen, wertet die Router-Software diese in der Reihenfolge aus, in der sie in der Konfiguration angezeigt werden. Das System führt das erste Service-Set aus, für das es eine Übereinstimmung im Servicefilter findet, und ignoriert die nachfolgenden Definitionen. Es können maximal sechs Service-Sets auf eine Schnittstelle angewendet werden. Wenn Sie mehrere Service-Sets auf eine Schnittstelle anwenden, müssen Sie auch einen Service-Filter konfigurieren und auf die Schnittstelle anwenden.
Mit einer zusätzlichen Anweisung können Sie einen Filter für die Verarbeitung des Datenverkehrs angeben, nachdem der Eingabedienstsatz ausgeführt wurde. Um diesen Filtertyp zu konfigurieren, schließen Sie die post-service-filter Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number family inet service input] ein:
post-service-filter filter-name;
Die post-service-filter Anweisung wird nicht unterstützt, wenn sich die Serviceschnittstelle auf einem MS-MIC oder MS-MPC befindet.
Ein Beispiel finden Sie unter Beispiel: Konfigurieren von Service-Sets.
Bei Servicesätzen im Schnittstellenstil, die mit Junos OS-Erweiterungspaketen konfiguriert sind, kann der Datenverkehr nicht verarbeitet werden, wenn die Eingangsschnittstelle Teil einer VRF-Instanz ist und die Dienstschnittstelle nicht Teil derselben VRF-Instanz ist.
Wenn der für einen Servicesatz konfigurierte MultiServices-PIC entweder administrativ offline genommen wird oder ein Fehler auftritt, wird der gesamte Datenverkehr, der mit einem IDP-Servicesatz in die konfigurierte Schnittstelle gelangt, ohne Benachrichtigung verworfen. Um diesen Datenverkehrsverlust zu vermeiden, schließen Sie die bypass-traffic-on-pic-failure Anweisung auf Hierarchieebene [edit services service-set service-set-name service-set-options] ein. Wenn diese Anweisung konfiguriert ist, werden die betroffenen Pakete im Falle eines MultiServices-PIC-Fehlers oder Offlinings weitergeleitet, als ob schnittstellenartige Services nicht konfiguriert wären. Dieses Problem betrifft nur Junos Application Aware-Konfigurationen (früher als Dynamic Application Awareness bezeichnet), die IDP-Servicesets verwenden. Diese Weiterleitungsfunktion funktionierte anfangs nur mit der Packet Forwarding Engine (PFE). Ab Junos OS Version 11.3 wird die Paketweiterleitungsfunktion auch auf Pakete ausgeweitet, die von der Routing-Engine für Umgehungsdienstsätze generiert werden.
Konfigurieren von Next-Hop-Service-Sets
Ein Next-Hop-Service-Set ist eine routenbasierte Methode zum Anwenden eines bestimmten Service. Nur Pakete, die für einen bestimmten nächsten Hop bestimmt sind, werden durch die Erstellung expliziter statischer Routen bedient. Diese Konfiguration ist nützlich, wenn Services auf eine gesamte Virtual Private Network (VPN)-Routing- und Weiterleitungstabelle (VRF) angewendet werden müssen oder wenn Routing-Entscheidungen ergeben, dass Services ausgeführt werden müssen.
Wenn ein Next-Hop-Service konfiguriert ist, wird der AS- oder Multiservices-PIC als zweibeiniges Modul betrachtet, wobei ein Zweig als interne Schnittstelle (innerhalb des Netzwerks) und der andere als externe Schnittstelle (außerhalb des Netzwerks) konfiguriert ist.
Sie können IFL-Indizes größer als 8000 nur erstellen, wenn der Schnittstellenservicesatz nicht konfiguriert ist.
Um die Domäne zu konfigurieren, schließen Sie die service-domain Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number] ein:
service-domain (inside | outside);
Die service-domain Einstellung muss mit der Konfiguration für den Next-Hop-Service innerhalb und außerhalb der Schnittstellen übereinstimmen. Um die internen und externen Schnittstellen zu konfigurieren, schließen Sie die next-hop-service Anweisung auf Hierarchieebene [edit services service-set service-set-name] ein. Die Schnittstellen, die Sie angeben, müssen logische Schnittstellen auf demselben AS PIC sein. Sie können für diesen Zweck nicht konfigurieren unit 0 , und die von Ihnen gewählte logische Schnittstelle darf nicht von einem anderen Service-Set verwendet werden.
next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; }
Der Datenverkehr, auf den der Service angewendet wird, wird über eine statische Route an die interne Schnittstelle geleitet. Zum Beispiel:
routing-options {
static {
route 10.1.2.3 next-hop sp-1/1/0.1;
}
}
Nachdem der Service angewendet wurde, wird der Datenverkehr über die externe Schnittstelle beendet. Anschließend wird im Packet Forwarding Engine (PFE) eine Suche durchgeführt, um das Paket aus dem AS- oder Multiservices-PIC zu senden.
Der umgekehrte Datenverkehr gelangt in die externe Schnittstelle, wird bedient und an die interne Schnittstelle gesendet. Die interne Schnittstelle leitet den Datenverkehr aus dem AS- oder Multiservices-PIC weiter.
Bestimmen der Datenverkehrsrichtung
Wenn Sie Next-Hop-Service-Sets konfigurieren, fungiert der AS-PIC als zweiteilige Schnittstelle, wobei ein Teil die interne Schnittstelle und der andere Teil die äußere Schnittstelle ist. Die folgende Abfolge von Aktionen findet statt:
Um die beiden Teile mit logischen Schnittstellen zu verknüpfen, konfigurieren Sie zwei logische Schnittstellen mit der
service-domainAnweisung, eine mit deminsideWert und eine mit demoutsideWert, um sie entweder als interne oder externe Serviceschnittstelle zu kennzeichnen.Der Router leitet den zu bedienenden Datenverkehr mithilfe der Next-Hop-Lookup-Tabelle an die interne Schnittstelle weiter.
Nachdem der Service angewendet wurde, verlässt der Datenverkehr die externe Schnittstelle. Anschließend wird eine Routensuche für die Pakete durchgeführt, die vom Router gesendet werden sollen.
Wenn der umgekehrte Datenverkehr über die externe Schnittstelle zurückkehrt, wird der angewendete Dienst rückgängig gemacht. Beispielsweise wird IPsec-Datenverkehr entschlüsselt oder NAT-Adressen werden entlarvt. Die bedienten Pakete werden dann auf der internen Schnittstelle angezeigt, der Router führt eine Routensuche durch und der Datenverkehr verlässt den Router.
Die Übereinstimmungsrichtung einer Dienstregel, ob Eingabe, Ausgabe oder Eingabe/Ausgabe, wird in Bezug auf den Datenverkehrsfluss durch das AS PIC angewendet, nicht durch eine bestimmte interne oder externe Schnittstelle.
Wenn ein Paket an ein AS PIC gesendet wird, werden Informationen über die Paketrichtung mitgeführt. Dies gilt sowohl für Service-Sets im Schnittstellenstil als auch für Service-Sets im Next-Hop-Stil.
Service-Sets im Schnittstellenstil
Die Paketrichtung wird dadurch bestimmt, ob ein Paket in eine Schnittstelle der Packet Forwarding Engine (in Bezug auf die Weiterleitungsebene), auf der die interface-service Anweisung angewendet wird, eintritt oder diese verlässt. Dies ähnelt der Eingabe- und Ausgaberichtung für zustandslose Firewall-Filter.
Die Übereinstimmungsrichtung kann auch von der Netzwerktopologie abhängen. Sie können z. B. den gesamten externen Datenverkehr über eine Schnittstelle leiten, die zum Schutz der anderen Schnittstellen auf dem Router verwendet wird, und verschiedene Services speziell auf dieser Schnittstelle konfigurieren. Alternativ können Sie eine Schnittstelle für Datenverkehr mit Priorität verwenden und spezielle Services darauf konfigurieren, sich aber nicht um den Schutz des Datenverkehrs auf den anderen Schnittstellen kümmern.
Service-Sets im Next-Hop-Stil
Die Paketrichtung wird durch die AS PIC-Schnittstelle bestimmt, die zum Routing der Pakete an den AS PIC verwendet wird. Wenn Sie die inside-interface Anweisung zum Weiterleiten des Datenverkehrs verwenden, lautet inputdie Paketrichtung . Wenn Sie die outside-interface Anweisung verwenden, um Pakete an den AS PIC zu leiten, lautet outputdie Paketrichtung .
Die Schnittstelle, auf die Sie die Servicesets anwenden, wirkt sich auf die Übereinstimmungsrichtung aus. Wenden Sie beispielsweise die folgende Konfiguration an:
sp-1/1/0 unit 1 service-domain inside; sp-1/1/0 unit 2 service-domain outside;
Wenn Sie match-direction inputkonfigurieren, fügen Sie die folgenden Anweisungen ein:
[edit] services service-set test1 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test1 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction input; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.1;
Wenn Sie match-direction outputkonfigurieren, fügen Sie die folgenden Anweisungen ein:
[edit] services service-set test2 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test2 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction output; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.2;
Der wesentliche Unterschied zwischen den beiden Konfigurationen besteht in der Änderung der Übereinstimmungsrichtung und dem nächsten Hop der statischen Routen, der entweder auf die interne oder externe Schnittstelle des AS PIC zeigt.
Siehe auch
Konfigurieren von Service-Set-Einschränkungen
Sie können die folgenden Einschränkungen für die Service-Set-Kapazität festlegen:
Sie können die maximal zulässige Anzahl von Flows pro Service-Set begrenzen. Um den Maximalwert zu konfigurieren, schließen Sie die
max-flowsAnweisung auf Hierarchieebene[edit services service-set service-set-name]ein:[edit services service-set service-set-name] max-flows number;
Mit der
max-flowsAnweisung können Sie einen einzelnen Durchflussgrenzwert zuweisen. Nur für IDS-Service-Sets können Sie verschiedene Arten von Durchflussgrenzen mit einem feineren Steuerungsgrad angeben. Weitere Informationen finden Sie in der Beschreibung dersession-limitAnweisung in Konfigurieren von IDS-Regelsätzen auf einem MS-DPC.Hinweis:Wenn eine AMS-Schnittstelle (Aggregated Multiservices) als Dienstschnittstelle für einen Dienstsatz konfiguriert ist, wird der
max-flowfür den Dienstsatz konfigurierte Wert auf jede der Mitgliedsschnittstellen in der AMS-Schnittstelle angewendet. Das heißt, wenn Sie 1000 alsmax-flowWert für einen Servicesatz konfiguriert haben, der eine AMS-Schnittstelle mit vier aktiven Mitgliedsschnittstellen verwendet, kann jede der Mitgliedsschnittstellen jeweils 1000 Datenströme verarbeiten, was zu einem effektivenmax-flowWert von 4000 führt.Sie können die maximale Segmentgröße (MSS) begrenzen, die vom Transmission Control Protocol (TCP) zugelassen wird. Um den Maximalwert zu konfigurieren, schließen Sie die
tcp-mssAnweisung auf Hierarchieebene[edit services service-set service-set-name]ein:[edit services service-set service-set-name] tcp-mss number;
Das TCP-Protokoll handelt während des Verbindungsaufbaus zwischen zwei Peers einen MSS-Wert aus. Der ausgehandelte MSS-Wert basiert in erster Linie auf der MTU der Schnittstellen, mit denen die kommunizierenden Peers direkt verbunden sind. Im Netzwerk können jedoch aufgrund von Variationen der Link-MTU auf dem von den TCP-Paketen genommenen Pfad einige Pakete, die sich noch deutlich innerhalb des MSS-Werts befinden, fragmentiert werden, wenn die Größe des betreffenden Pakets die MTU der Verbindung überschreitet.
Wenn der Router ein TCP-Paket mit gesetztem SYN-Bit und MSS-Option empfängt und die im Paket angegebene MSS-Option größer als der in der
tcp-mssAnweisung angegebene MSS-Wert ist, ersetzt der Router den MSS-Wert im Paket durch den niedrigeren Wert, der in dertcp-mssAnweisung angegeben ist. Der Bereich für dentcp-mss mss-valueParameter reicht von 536 bis 65535.Um Statistiken über empfangene SYN-Pakete und SYN-Pakete anzuzeigen, deren MSS-Wert geändert wird, geben Sie den
show services service-sets statistics tcp-mssBefehl Betriebsmodus ein. Weitere Informationen zu diesem Thema finden Sie in der Junos OS Administration Library.Ab Junos OS Version 17.1R1 können Sie die Sitzungseinrichtungsrate pro Servicesatz für einen MS-MPC begrenzen. Um die maximal zulässige Einrichtungsrate zu konfigurieren, schließen Sie die
max-session-setup-rateAnweisung auf Hierarchieebene[edit services service-set service-set-name]ein:[edit services service-set service-set-name] max-session-setup-rate (number | numberk);
Die maximale Sitzungseinrichtungsrate ist die maximale Anzahl von Sitzungseinrichtungen, die pro Sekunde zulässig sind. Wenn diese Rate erreicht ist, werden alle weiteren Einrichtungsversuche verworfen.
Die Spanne für die
max-session-setup-ratenumber liegt zwischen 1 und 429.496.729. Sie können die Einrichtungsrate auch als Tausende von Sitzungen ausdrücken, indem Sie k verwenden number. Ab Junos OS Version 18.4R1 1k=1000 für .max-session-setup-rateVor Junos OS Version 18.4R1, 1k = 1024. Wenn Sie diemax-session-setup-rateAnweisung nicht einbeziehen, ist die Sitzungseinrichtungsrate nicht begrenzt.
Siehe auch
Beispiel: Konfigurieren von Service-Sets
Wenden Sie zwei Service-Sets my-input-service-set und my-output-service-setauf schnittstellenweiter Basis an. Der gesamte Datenverkehr hat my-input-service-set sich darauf beworben. Nachdem das Serviceset angewendet wurde, erfolgt eine zusätzliche Filterung mit my_post_service_input_filter.
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
Serviceschnittstellenpools konfigurieren
Aktivieren von Service-PICs zur Annahme von Multicast-Datenverkehr
Damit Multicast-Datenverkehr an das Adaptive Services- oder Multiservices-PIC gesendet werden kann, schließen Sie die allow-multicast Anweisung auf Hierarchieebene [edit services service-set service-set-name] ein. Wenn diese Anweisung nicht enthalten ist, wird der Multicast-Datenverkehr standardmäßig verworfen. Diese Anweisung gilt nur für Multicast-Datenverkehr mit einem Next-Hop-Servicesatz. Die Konfiguration des Schnittstellenservicesatzes wird nicht unterstützt. Für Multicast-Pakete werden nur unidirektionale Flüsse erstellt.
Siehe auch
Filter und Services auf Schnittstellen anwenden
Wenn Sie die Serviceregeln durch Konfigurieren der Servicesatzdefinition definiert und gruppiert haben, können Sie Services auf eine oder mehrere Schnittstellen auf dem Router anwenden. Um einen definierten Servicesatz einer Schnittstelle zuzuordnen, schließen Sie die service-set Anweisung mit der input output oder-Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number family inet service] ein:
[edit interfaces interface-name unit logical-unit-number family inet service] input { service-set service-set-name <service-filter filter-name>; post-service-filter filter-name; } output { service-set service-set-name <service-filter filter-name>; }
Wenn Sie Services auf einer Schnittstelle aktivieren, wird die Weiterleitung umgekehrter Pfade nicht unterstützt. Sie können Services nicht auf der Verwaltungsschnittstelle (fxp0) oder der Loopback-Schnittstelle (lo0) konfigurieren.
Sie können verschiedene Service-Sets auf der Eingangs- und Ausgabeseite der Schnittstelle konfigurieren. Bei Service-Sets mit bidirektionalen Serviceregeln müssen Sie jedoch dieselbe Service-Set-Definition in die input output und-Anweisungen aufnehmen. Jeder Servicesatz, den Sie in die service Anweisung aufnehmen, muss mit der interface-service Anweisung auf Hierarchieebene [edit services service-set service-set-name] konfiguriert werden. Weitere Informationen finden Sie unter Konfigurieren von Servicesätzen, die auf Serviceschnittstellen angewendet werden sollen.
Wenn Sie eine Schnittstelle mit einem Eingabe-Firewall-Filter konfigurieren, der eine Ablehnungsaktion enthält, und mit einem Service-Set, das Stateful-Firewall-Regeln enthält, führt der Router den Eingabe-Firewall-Filter aus, bevor die Stateful-Firewall-Regeln für das Paket ausgeführt werden. Wenn die Packet Forwarding Engine eine ICMP-Fehlermeldung (Internet Control Message Protocol) über die Schnittstelle sendet, können die Stateful-Firewall-Regeln das Paket verwerfen, da es nicht in Eingaberichtung angezeigt wurde.
Mögliche Problemumgehungen bestehen darin, einen Weiterleitungstabellenfilter zum Ausführen der Ablehnungsaktion einzuschließen, da dieser Filtertyp nach der zustandsbehafteten Firewall in Eingaberichtung ausgeführt wird, oder einen Ausgabedienstfilter einzuschließen, um zu verhindern, dass die lokal generierten ICMP-Pakete an den zustandsbehafteten Firewalldienst gesendet werden.
Konfigurieren von Dienstfiltern
Sie können optional Filter hinzufügen, die jedem Service-Set zugeordnet sind, um das Ziel zu verfeinern und zusätzlich den Datenverkehr zu verarbeiten. Wenn Sie die service-set Anweisung ohne service-filter Definition einfügen, geht die Router-Software davon aus, dass die Übereinstimmungsbedingung wahr ist, und wählt den Service-Satz für die automatische Verarbeitung aus.
Um Dienstfilter zu konfigurieren, schließen Sie die firewall Anweisung auf Hierarchieebene [edit] ein:
firewall {
family inet {
service-filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
Sie müssen als Adressfamilie angeben inet , um einen Dienstfilter zu konfigurieren.
Sie konfigurieren Dienstfilter auf ähnliche Weise wie Firewall-Filter. Dienstfilter haben die gleichen Übereinstimmungsbedingungen wie Firewall-Filter, jedoch die folgenden spezifischen Aktionen:
count– Addieren Sie das Paket zu einer Zählersumme.log– Protokollieren Sie das Paket.port-mirror– Port-Spiegelung des Pakets.sample– Probieren Sie das Paket aus.service– Weiterleiten des Pakets zur Serviceverarbeitung.skip– Lassen Sie das Paket bei der Serviceverarbeitung aus.
Weitere Informationen zum Konfigurieren von Firewall-Filtern finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Datenverkehrs-Policer.
Sie können auch mehr als eine Servicesatzdefinition auf jeder Seite der Schnittstelle einfügen. Wenn Sie mehrere Service-Sets einbeziehen, wertet die Router-Software diese in der in der Konfiguration angegebenen Reihenfolge aus. Es führt das erste Service-Set aus, für das es eine Übereinstimmung im Service-Filter findet, und ignoriert die nachfolgenden Definitionen.
Mit einer zusätzlichen Anweisung können Sie einen Filter für die Verarbeitung des Datenverkehrs angeben, nachdem der Eingabedienstsatz ausgeführt wurde. Um diesen Filtertyp zu konfigurieren, schließen Sie die post-service-filter Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number family inet service input] ein:
post-service-filter filter-name;
Die Software führt die Postservice-Filterung nur durch, wenn sie ein Service-Set ausgewählt und ausgeführt hat. Wenn der Datenverkehr die Übereinstimmungskriterien für einen der konfigurierten Servicesätze nicht erfüllt, wird der Postservice-Filter ignoriert. Die post-service-filter Anweisung wird nicht unterstützt, wenn sich die Serviceschnittstelle auf einem MS-MIC oder MS-MPC befindet.
Ein Beispiel für das Anwenden eines Service-Sets auf eine Schnittstelle finden Sie unter Beispiele: Konfigurieren von Serviceschnittstellen.
Weitere Informationen zum Anwenden von Filtern auf Schnittstellen finden Sie in der Junos OS Network Interfaces Library for Routing Devices. Allgemeine Informationen zu Filtern finden Sie im Benutzerhandbuch zu Routing-Richtlinien, Firewall-Filtern und Traffic Policers.
Nachdem die NAT-Verarbeitung auf Pakete angewendet wurde, unterliegen sie keinen Ausgabedienstfiltern. Die Dienstfilter wirken sich nur auf nicht übersetzten Datenverkehr aus.
Beispiele: Konfigurieren von Dienstschnittstellen
Wenden Sie das my-service-set Serviceset schnittstellenweit an. Der gesamte Datenverkehr, der von my_input_filter akzeptiert wird, hat my-input-service-set sich auf ihn bezogen. Nachdem der Servicesatz angewendet wurde, erfolgt eine zusätzliche Filterung mithilfe des my_post_service_input_filter Filters.
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
filter {
input my_input_filter;
output my_output_filter;
}
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
Konfigurieren Sie zwei Redundanzschnittstellen rsp0 und rsp1und zugehörige Services.
[edit interfaces]
rsp0 {
redundancy-options {
primary sp-0/0/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 30 {
family inet;
service-domain inside;
}
unit 31 {
family inet;
service-domain outside;
}
}
rsp1 {
redundancy-options {
primary sp-0/1/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 20 {
family inet;
service-domain inside;
}
unit 21 {
family inet;
service-domain outside;
}
}
[edit services]
service-set null-sfw-with-nat {
stateful-firewall-rules allow-all;
nat-rules rule1;
next-hop-service {
inside-service-interface rsp0.30;
outside-service-interface rsp0.31;
}
}
[edit routing-instances]
vpna {
interface rsp0.0;
}
Siehe auch
Adresse und Domäne für Serviceschnittstellen konfigurieren
Im AS- oder Multiservices-PIC konfigurieren Sie eine Quelladresse für Systemprotokollmeldungen, indem Sie die address Anweisung auf der [edit interfaces interface-name unit logical-unit-number family inet] Hierarchieebene einschließen:
address address { ... }
Weisen Sie der Schnittstelle eine IP-Adresse zu, indem Sie den address Wert konfigurieren. Der AS- oder Multiservices-PIC unterstützt im Allgemeinen nur IPv4-Adressen (IP-Version 4), die mit der family inet Anweisung konfiguriert wurden, aber IPsec-Services unterstützen auch IPv6-Adressen (IP-Version 6), die mit der family inet6 Anweisung konfiguriert wurden.
Wenn Sie dieselbe Adresse auf mehreren Schnittstellen in derselben Routing-Instanz konfigurieren, verwendet Junos OS nur die erste Konfiguration, die restlichen Adresskonfigurationen werden ignoriert, und Schnittstellen können ohne Adresse bleiben. Schnittstellen, denen keine Adresse zugewiesen ist, können nicht als Donor-Schnittstelle für eine nicht nummerierte Ethernet-Schnittstelle verwendet werden.
In der folgenden Konfiguration wird beispielsweise die Adresskonfiguration der Schnittstelle xe-0/0/1.0 ignoriert:
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
xe-0/0/1 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
Informationen zu anderen Adressierungseigenschaften, die Sie konfigurieren können und die nicht spezifisch für Dienstschnittstellen sind, finden Sie in der Junos OS Network Interfaces Library for Routing Devices.
Die service-domain Anweisung gibt an, ob die Schnittstelle innerhalb des Netzwerks oder zur Kommunikation mit entfernten Geräten verwendet wird. Die Software verwendet diese Einstellung, um zu bestimmen, welche standardmäßigen zustandsbehafteten Firewallregeln angewendet werden sollen, und um die Standardrichtung für Dienstregeln zu bestimmen. Um die Domäne zu konfigurieren, schließen Sie die service-domain Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number] ein:
service-domain (inside | outside);
Wenn Sie die Schnittstelle in einer Next-Hop-Service-Set-Definition konfigurieren, muss die service-domain Einstellung mit der Konfiguration für die inside-service-interface outside-service-interface and-Anweisungen übereinstimmen. Weitere Informationen finden Sie unter Konfigurieren von Service-Sets, die auf Service-Schnittstellen angewendet werden sollen.
Siehe auch
Systemprotokollierung für Service-Sets konfigurieren
Sie geben Eigenschaften an, die steuern, wie Systemprotokollmeldungen für die Servicegruppe generiert werden. Diese Werte überschreiben die auf Hierarchieebene [edit interfaces interface-name services-options] konfigurierten Werte.
Um servicesatzspezifische Systemprotokollierungswerte zu konfigurieren, schließen Sie die syslog Anweisung auf Hierarchieebene [edit services service-set service-set-name] ein:
syslog { host hostname { class class-name facility-override facility-name; log-prefix prefix-value; port port-number services severity-level; source-address source-address } }
Konfigurieren Sie die host Anweisung mit einem Hostnamen oder einer IP-Adresse, die den Zielserver des Systemprotokolls angibt. Der Hostname local leitet Systemprotokollmeldungen an die Routing-Engine weiter. Bei externen Systemprotokollservern muss der Hostname von derselben Routing-Instanz aus erreichbar sein, an die das ursprüngliche Datenpaket (das den Sitzungsaufbau ausgelöst hat) übermittelt wird. Sie können nur einen Hostnamen für die Systemprotokollierung angeben. Der source-address Parameter wird auf den Schnittstellen ms, rms und mams unterstützt.
Ab Junos OS Version 17.4R1 können Sie bis zu maximal vier Systemprotokollserver (Kombination aus lokalen Systemprotokollhosts und Remote-Systemprotokollsammlern) für jeden Servicesatz auf [edit services service-set service-set-name] Hierarchieebene konfigurieren.
Junos OS unterstützt nicht den Export von Systemprotokollmeldungen an einen externen Systemprotokollserver über die fxp.0-Schnittstelle. Dies liegt daran, dass die hohe Übertragungsrate von Systemprotokollmeldungen und die begrenzte Bandbreite der FXP.0-Schnittstelle mehrere Probleme verursachen können. Der externe Systemprotokollserver muss über eine routingfähige Schnittstelle erreichbar sein.
Tabelle 1 listet die Schweregrade auf, die Sie in Konfigurationsanweisungen auf Hierarchieebene [edit services service-set service-set-name syslog host hostname] angeben können. Die Stufen von emergency bis sind info vom höchsten Schweregrad (größte Auswirkung auf die Funktion) bis zum niedrigsten geordnet.
Schweregrad |
Beschreibung |
|---|---|
|
Umfasst alle Schweregrade |
|
Systempanik oder ein anderer Zustand, der dazu führt, dass der Router nicht mehr funktioniert |
|
Bedingungen, die eine sofortige Korrektur erfordern, wie z. B. eine beschädigte Systemdatenbank |
|
Kritische Bedingungen, wie z. B. Festplattenfehler |
|
Fehlerzustände, die in der Regel weniger schwerwiegende Folgen haben als Fehler in der Notfall-, Alarm- und kritischen Stufe |
|
Überwachungsbedürftige Bedingungen |
|
Bedingungen, die keine Fehler sind, aber eine besondere Behandlung rechtfertigen könnten |
|
Ereignisse oder Nicht-Fehlerbedingungen von Interesse |
Es wird empfohlen, den Schweregrad der Systemprotokollierung während des normalen Betriebs auf error festzulegen. Um die PIC-Ressourcennutzung zu überwachen, legen Sie die Stufe auf warningfest. Um Informationen über einen Intrusion Attack zu sammeln, wenn ein Intrusion Detection Systemfehler erkannt wird, legen Sie die Stufe für ein bestimmtes Service-Set auf notice fest. Um eine Konfiguration zu debuggen oder NAT-Funktionen zu protokollieren, legen Sie die Ebene auf infofest.
Weitere Informationen zu Systemprotokollmeldungen finden Sie im Systemprotokoll-Explorer.
Um die Klasse der Nachrichten auszuwählen, die auf dem angegebenen Systemprotokollhost protokolliert werden sollen, fügen Sie die class Anweisung auf der [edit services service-set service-set-name syslog host hostname] Hierarchieebene ein:
class class-name;
Um einen bestimmten Einrichtungscode für die gesamte Protokollierung auf dem angegebenen Systemprotokollhost zu verwenden, schließen Sie die facility-override Anweisung auf Hierarchieebene [edit services service-set service-set-name syslog host hostname] ein:
facility-override facility-name;
Die unterstützten Einrichtungen sind: authorization, daemon, ftp, , kernelund userlocal0 durch local7.
Um ein Textpräfix für die gesamte Protokollierung auf diesem Systemprotokollhost anzugeben, fügen Sie die log-prefix Anweisung auf Hierarchieebene [edit services service-set service-set-name syslog host hostname] ein:
log-prefix prefix-value;
Siehe auch
Konfigurieren von Dienstregeln
Sie geben die Auflistung der Regeln und Regelsätze an, aus denen der Service-Satz besteht. Der Router führt Regelsätze in der Reihenfolge aus, in der sie in der Konfiguration angezeigt werden. Sie können nur einen Regelsatz für jeden Servicetyp einschließen. Sie konfigurieren die Regelnamen und den Inhalt für jeden Servicetyp auf der [edit services name] Hierarchieebene für jeden Typ:
Sie konfigurieren Intrusion Detection Service (IDS)-Regeln auf Hierarchieebene
[edit services ids]. Weitere Informationen finden Sie unter Konfigurieren von IDS-Regeln auf einem MS-DPC für MS-DPC-Karten und Konfigurieren des Schutzes gegen Netzwerkangriffe auf einem MS-MPC für MS-MPC-Karten.Sie konfigurieren IP-Sicherheit-Regeln (IPsec) auf der
[edit services ipsec-vpn]Hierarchieebene. Weitere Informationen finden Sie unter Grundlegendes zu Junos VPN Site Secure.Sie konfigurieren Network Address Translation (NAT)-Regeln auf der
[edit services nat]Hierarchieebene. Weitere Informationen finden Sie unter Junos Address Aware Netzwerkadressierung – Übersicht.Sie konfigurieren paketgesteuerte Abonnenten und Policy Control (PTSP)-Regeln auf Hierarchieebene
[edit services ptsp]. Weitere Informationen finden Sie unter Konfigurieren von PTSP-Serviceregeln.Softwire-Regeln für DS-Lite- oder 6rd-Softwires konfigurieren Sie auf Hierarchieebene
[edit services softwire]; weitere Informationen finden Sie unter Softwire-Regeln konfigurieren.Sie konfigurieren Stateful-Firewall-Regeln auf Hierarchieebene
[edit services stateful-firewall]. Weitere Informationen finden Sie unter Konfigurieren von Stateful Firewall-Regeln.
Um die Regeln und Regelsätze zu konfigurieren, aus denen ein Service-Set besteht, schließen Sie die folgenden Anweisungen auf Hierarchieebene [edit services service-set service-set-name] ein:
([ ids-rules rule-names ] |ids-rule-sets rule-set-name); ([ ipsec-vpn-rules rule-names ] | ipsec-vpn-rule-sets rule-set-name); ([ nat-rules rule-names ] | nat-rule-sets rule-set-name); ([ pgcp-rules rule-names] | pgcp-rule-sets rule-set-name); ([softwire-rules rule-names] | softwire-rule-sets rule-set-name); ([ stateful-firewall-rules rule-names ] | stateful-firewall-rule-sets rule-set-name);
Für jeden Servicetyp können Sie eine oder mehrere einzelne Regeln oder einen Regelsatz einschließen.
Wenn Sie einen Dienstsatz mit IPsec-Regeln konfigurieren, darf er keine Regeln für andere Dienste enthalten. Sie können jedoch einen anderen Servicesatz konfigurieren, der Regeln für die anderen Dienste enthält, und beide Dienstsätze auf dieselbe Schnittstelle anwenden.
Sie können auch die Funktionalität von Junos Application Aware (früher bekannt als Dynamic Application Awareness) in Servicesets aufnehmen. Dazu müssen Sie eine idp-profile Anweisung auf Hierarchieebene zusammen mit Regeln für die [edit services service-set] Anwendungsidentifizierung (APPID) und ggf. Regeln für die anwendungsbezogene Zugriffsliste (AACL) und eine policy-decision-statistics-profile. Bei Verwendung der Funktionalität von Junos Application Aware kann nur ein Servicesatz auf eine einzelne Schnittstelle angewendet werden. Weitere Informationen finden Sie unter Konfigurieren von IDS-Regeln auf einem MS-DPC, APPID-Übersicht und Benutzerhandbuch für Application Aware Services Interfaces für Routing-Geräte.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.
max-session-setup-rate