Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Richtlinien für die Anwendung von Dienstfiltern

Einschränkungen für Adaptive Services-Schnittstellen

Für Adaptive Services-Schnittstellen und Dienstfilter gelten die folgenden Einschränkungen.

Adaptive Services-Schnittstellen

Sie können einen Servicefilter auf IPv4- oder IPv6-Datenverkehr anwenden, der mit einem Service-Set nur an einer adaptiven Serviceschnittstelle verknüpft ist. Nur für folgende Hardware werden Schnittstellen für adaptive Dienste unterstützt:

  • PiCs für adaptive Dienste (AS) auf Routern M Series Routern T-Serie Routern

  • Multiservices-PICs (MS) auf Routern M Series T-Serie Routern

  • MS DPCs auf Routern der MX-Serie und Switches der EX-Serie

  • MS MPCs und MICs auf Routern der MX-Serie

Systemprotokollierung auf einem Remote-Host von M Series-Routern

Die Protokollierung von Nachrichten mit Adaptive Services-Schnittstellen an einen externen Server mithilfe des Ports oder Ports wird auf anderen Routern M Series fxp0em0 unterstützt. Die Architektur unterstützt die Systemprotokollierung des Datenverkehrs über eine Verwaltungsschnittstelle nicht. Stattdessen wird über eine Netzwerkschnittstelle der Zugriff auf einen externen Packet Forwarding Engine unterstützt.

Anweisungshierarchie für die Anwendung von Dienstfiltern

Sie können die Paketfilterung von IPv4- oder IPv6-Datenverkehr aktivieren, bevor ein Paket zur Ein- und Ausgangsdienstverarbeitung zugelassen wird. Wenden Sie hierzu einen Dienstfilter auf die Ein- oder Ausgabe der Adaptive Services-Schnittstelle in Verbindung mit einem Schnittstellen-Servicesatz an.

Sie können auch die Paketfilterung von IPv4- oder IPv6-Datenverkehr aktivieren, der nach Abschluss der Eingangsserviceverarbeitung Packet Forwarding Engine den Paketfilter zurückfing. Wenden Sie hierzu einen Post-Service-Filter auf die Schnittstelleneingaben für adaptive Dienste an.

Die folgende Konfiguration zeigt die Hierarchieebenen, in denen Sie die Dienstfilter auf Adaptive Services-Schnittstellen anwenden können:

Verknüpfen von Dienstregeln mit Schnittstellen für adaptive Dienste

Zur Definition und Gruppierung der Dienstregeln, die auf eine Adaptive Services-Schnittstelle angewendet werden sollen, definieren Sie einen Schnittstellen-Servicesatz, indem Sie die Anweisung service-set service-set-name auf der [edit services] Hierarchieebene einkreisen.

Um einen Schnittstellen-Servicesatz auf die Ein- und Ausgabe einer Adaptive Services-Schnittstelle anzuwenden, fügen Sie die service-set service-set-name folgenden Hierarchieebenen hinzu:

  • [edit interfaces interface-name unit unit-number input]

  • [edit interfaces interface-name unit unit-number output]

Wenn Sie einen Servicesatz auf eine Richtung einer adaptiven Dienstschnittstelle anwenden, aber keinen Servicesatz auf die andere Richtung anwenden, tritt ein Fehler beim Commit der Konfiguration auf.

Die PIC für adaptive Dienste führt unterschiedliche Aktionen aus, je nachdem, ob das Paket zur Eingabe oder zum Ausgangsdienst an die PIC gesendet wird. Sie können beispielsweise einen einzelnen Servicesatz so konfigurieren, dass Network Address Translation (NAT) in einer Richtung und einem Ziel-NAT (dNAT) in der anderen Richtung ausführen.

Filtern des Datenverkehrs, bevor Pakete zur Serviceverarbeitung akzeptiert werden

Um IPv4- oder IPv6-Datenverkehr zu filtern, bevor Pakete für die Ein- oder Ausgangsserviceverarbeitung akzeptiert werden, müssen Sie die an einer der service-set service-set-name service-filter service-filter-name folgenden Schnittstellen hinzufügen:

  • [edit interfaces interface-name unit unit-number family (inet | inet6) service input]

  • [edit interfaces interface-name unit unit-number family (inet | inet6) service output]

Geben Sie hier einen auf der Hierarchieebene konfigurierten service-set-name[edit services service-set] Servicesatz an.

Die Service-Set behält die Eingabeschnittstelleninformationen selbst nach der Anwendung der Dienste bei. So funktionieren weiterhin Funktionen wie die Weiterleitung der Filterklasse und die Zielklassenverwendung (Destination Class Usage, DCU), die auf die Informationen der Eingangsschnittstellen abhängen.

Die folgenden Anforderungen gelten für die Filterung des eingehenden und ausgehenden Datenverkehrs, bevor Pakete für die Serviceverarbeitung akzeptiert werden:

  • Sie konfigurieren den gleichen Service-Set auf den Ein- und Ausgabeseiten der Schnittstelle.

  • Wenn Sie die Anweisung ohne eine optionale Definition enthalten, geht der Junos OS davon aus, dass die Übereinstimmungsbedingung wahr ist, und wählt den Servicesatz zur automatischen service-setservice-filter Verarbeitung aus.

  • Der Dienstfilter wird nur angewandt, wenn ein Service-Set konfiguriert und ausgewählt wurde.

Sie können auf jeder Seite einer Schnittstelle mehr als eine Service-Set-Definition enthalten. Es gelten die folgenden Richtlinien:

  • Wenn Sie mehrere Servicesätze umfassen, bewertet die Routersoftware (oder Switch) diese in der Reihenfolge, in der sie in der Konfiguration angezeigt werden. Das System führt den ersten Servicesatz aus, für den es eine Übereinstimmung im Dienstfilter findet, und ignoriert die nachfolgenden Definitionen.

  • An einer Schnittstelle können maximal sechs Servicesätze eingesetzt werden.

  • Wenn Sie mehrere Servicesätze auf eine Schnittstelle anwenden, müssen Sie auch einen Dienstfilter auf die Schnittstelle konfigurieren und anwenden.

Filterung von Rücksendedatenverkehr nach dem Service

Als Option zum Filtern des IPv4- oder IPv6-Eingangsdatenverkehrs können Sie einen Dienstfilter auf IPv4- oder IPv6-Datenverkehr anwenden, der nach Ausführung des Service-Pakets an die Services-Schnittstelle zurückkehren wird. Um einen Dienstfilter auf diese Weise anzuwenden, fügen Sie die post-service-filter service-filter-name Anweisung auf der [edit interfaces interface-name unit unit-number family (inet | inet6) service input] Hierarchieebene ein.