Richtlinien für die Anwendung von Servicefiltern
Einschränkungen für adaptive Serviceschnittstellen
Die folgenden Einschränkungen gelten für adaptive Serviceschnittstellen und Servicefilter.
Adaptive Serviceschnittstellen
Sie können einen Servicefilter nur auf IPv4- oder IPv6-Datenverkehr anwenden, der mit einem Servicesatz an einer adaptiven Serviceschnittstelle verknüpft ist. Adaptive Serviceschnittstellen werden nur für die folgende Hardware unterstützt:
Adaptive Services (AS) PICs auf Routern der M- und T-Serie
Multiservices (MS) PICs auf Routern der M- und T-Serie
MS DPCs auf Routern der MX-Serie und Switches der EX-Serie
MS MPCs und MICs auf Routern der MX-Serie
Systemprotokollierung auf einem Remote-Host von Routern der M-Serie
Die Protokollierung von Adaptive Services Schnittstellenmeldungen zu einem externen Server über den oder em0 Port wird auf den Routern der fxp0 M-Serie nicht unterstützt. Die Architektur unterstützt kein System, das Datenverkehr aus einer Verwaltungsschnittstelle protokolliert. Stattdessen wird der Zugriff auf einen externen Server über eine Packet Forwarding Engine-Schnittstelle unterstützt.
Anweisungshierarchie für die Anwendung von Servicefiltern
Sie können die Paketfilterung von IPv4- oder IPv6-Datenverkehr aktivieren, bevor ein Paket für die Verarbeitung von Ein- oder Ausgabeservices akzeptiert wird. Wenden Sie dazu zusammen mit einem Schnittstellenservicesatz einen Servicefilter auf die Ein- oder Ausgabe der adaptiven Serviceschnittstelle an.
Sie können auch die Paketfilterung von IPv4- oder IPv6-Datenverkehr aktivieren, der nach Abschluss der Verarbeitung des Eingabedienstes an die Packet Forwarding Engine zurückgegeben wird. Wenden Sie dazu einen Post-Service-Filter auf die Adaptive Services Interface-Eingabe an.
Die folgende Konfiguration zeigt die Hierarchieebenen, auf denen Sie die Servicefilter auf adaptive Serviceschnittstellen anwenden können:
[edit]
interfaces {
interface-name {
unit unit-number {
family (inet | inet6) {
service {
input {
service-set service-set-name service-filter service-filter-name;
post-service-filter service-filter-name;
}
output {
service-set service-set-name service-filter service-filter-name;
}
}
}
}
}
}
Assoziierung von Serviceregeln mit adaptiven Serviceschnittstellen
Um die Dienstregeln zu definieren und zu gruppieren, die auf eine adaptive Serviceschnittstelle angewendet werden, definieren Sie einen Schnittstellenservice, der durch Einschluss der service-set service-set-name Anweisung auf [edit services] Hierarchieebene festgelegt wird.
Um einen Schnittstellenservicesatz auf die Ein- und Ausgabe einer adaptiven Serviceschnittstelle anzuwenden, schließen Sie die service-set service-set-name folgenden Hierarchieebenen ein:
[edit interfaces interface-name unit unit-number input][edit interfaces interface-name unit unit-number output]
Wenn Sie einen Servicesatz auf eine Richtung einer adaptiven Serviceschnittstelle anwenden, aber keinen Dienstsatz auf die andere Richtung anwenden, tritt beim Commit für die Konfiguration ein Fehler auf.
Der adaptive Services PIC führt unterschiedliche Aktionen aus, je nachdem, ob das Paket für den Eingabe- oder Ausgabedienst an den PIC gesendet wird. Sie können beispielsweise einen einzelnen Servicesatz konfigurieren, um Network Address Translation (NAT) in einer Richtung und Ziel-NAT (dNAT) in der anderen Richtung durchzuführen.
Filterung des Datenverkehrs vor der Annahme von Paketen für die Serviceverarbeitung
Um IPv4- oder IPv6-Datenverkehr zu filtern, bevor Pakete für die Verarbeitung von Ein- oder Ausgabeservices akzeptiert werden, schließen Sie die service-set service-set-name service-filter service-filter-name an einer der folgenden Schnittstellen an:
[edit interfaces interface-name unit unit-number family (inet | inet6) service input][edit interfaces interface-name unit unit-number family (inet | inet6) service output]
Geben Sie für "the service-set-name" einen Servicesatz an, der [edit services service-set] auf Hierarchieebene konfiguriert ist.
Der Servicesatz behält die Eingabeschnittstelleninformationen auch nach der Anwendung von Services bei, sodass Funktionen wie die Weiterleitung der Filterklasse und die Verwendung von Zielklassen (Destination Class Usage, DCU), die von Eingabeschnittstelleninformationen abhängig sind, weiterhin funktionieren.
Die folgenden Anforderungen gelten für das Filtern von eingehendem oder ausgehenden Datenverkehr, bevor Pakete für die Dienstverarbeitung akzeptiert werden:
Sie konfigurieren den gleichen Servicesatz auf der Ein- und Ausgabeseite der Schnittstelle.
Wenn Sie die
service-setAnweisung ohne optionaleservice-filterDefinition einschließen, geht Junos OS davon aus, dass die Übereinstimmungsbedingung wahr ist, und wählt den Dienstsatz für die Verarbeitung automatisch aus.Der Servicefilter wird nur angewendet, wenn ein Servicesatz konfiguriert und ausgewählt ist.
Sie können mehr als eine Servicesatzdefinition auf jeder Seite einer Schnittstelle hinzufügen. Es gelten folgende Richtlinien:
Wenn Sie mehrere Servicesätze einschließen, bewertet die Router -oder Switch-Software diese in der Reihenfolge, in der sie in der Konfiguration angezeigt werden. Das System führt den ersten Servicesatz aus, für den es im Servicefilter eine Übereinstimmung findet, und ignoriert die nachfolgenden Definitionen.
Es können maximal sechs Servicesätze auf eine Schnittstelle angewendet werden.
Wenn Sie mehrere Servicesätze auf eine Schnittstelle anwenden, müssen Sie auch einen Servicefilter konfigurieren und auf die Schnittstelle anwenden.
Postservice-Filterung des zurückgegebenen Service-Datenverkehrs
Als Option zum Filtern von IPv4- oder IPv6-Eingabedienstdatenverkehr können Sie einen Servicefilter auf IPv4- oder IPv6-Datenverkehr anwenden, der nach der Ausführung des Servicesatzes an die Serviceschnittstelle zurückgegeben wird. Um einen Dienstfilter auf diese Weise anzuwenden, fügen Sie die post-service-filter service-filter-name Anweisung auf [edit interfaces interface-name unit unit-number family (inet | inet6) service input] Hierarchieebene ein.