Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Richtlinien für die Anwendung von Dienstfiltern

Einschränkungen für Adaptive Services-Schnittstellen

Die folgenden Einschränkungen gelten für adaptive Serviceschnittstellen und Servicefilter.

Adaptive Services-Schnittstellen

Sie können einen Dienstfilter nur auf IPv4- oder IPv6-Datenverkehr anwenden, der einem Dienstsatz an einer Schnittstelle für adaptive Dienste zugeordnet ist. Adaptive Services-Schnittstellen werden nur für die folgende Hardware unterstützt:

  • Adaptive Services (AS) PICs auf Routern der M- und T-Serie

  • Multiservices (MS) PICs auf Routern der M- und T-Serie

  • MS DPCs auf Routern der MX-Serie und Switches der EX-Serie

  • MS MPCs und MICs auf Routern der MX-Serie

Systemprotokollierung auf einem Remote-Host von Routern der M-Serie

Die Protokollierung von Adaptive Services Interface-Nachrichten an einen externen Server über den fxp0 Port "oder em0 " wird auf Routern der M- Serie nicht unterstützt. Die Architektur unterstützt keine Systemprotokollierung des Datenverkehrs aus einer Verwaltungsschnittstelle. Stattdessen wird der Zugriff auf einen externen Server über eine Packet Forwarding Engine-Schnittstelle unterstützt.

Anweisungshierarchie zum Anwenden von Servicefiltern

Sie können die Paketfilterung von IPv4- oder IPv6-Datenverkehr aktivieren, bevor ein Paket für die Verarbeitung durch den Eingabe- oder Ausgabedienst akzeptiert wird. Wenden Sie dazu einen Servicefilter auf die Eingabe oder Ausgabe der Schnittstelle für adaptive Services in Verbindung mit einem Interface-Service-Set an.

Sie können auch die Paketfilterung von IPv4- oder IPv6-Datenverkehr aktivieren, der nach Abschluss der Verarbeitung des Eingabediensts an die Paketweiterleitungs-Engine zurückgegeben wird. Wenden Sie dazu einen Post-Service-Filter auf die Eingabe der Schnittstelle für adaptive Services an.

Die folgende Konfiguration zeigt die Hierarchieebenen, auf denen Sie die Service-Filter auf adaptive Services-Schnittstellen anwenden können:

Verknüpfen von Serviceregeln mit Adaptive Services-Schnittstellen

Um die Serviceregeln zu definieren und zu gruppieren, die auf eine adaptive Services-Schnittstelle angewendet werden sollen, definieren Sie eine Schnittstellen-Service-Menge , indem Sie die service-set service-set-name Anweisung auf Hierarchieebene [edit services] einschließen.

Um ein Interface-Service-Set auf die Ein- und Ausgabe eines Adaptive Services-Interfaces anzuwenden, schließen Sie das service-set service-set-name auf den folgenden Hierarchieebenen ein:

  • [edit interfaces interface-name unit unit-number input]

  • [edit interfaces interface-name unit unit-number output]

Wenn Sie einen Service-Set auf eine Richtung einer adaptiven Services-Schnittstelle anwenden, aber keinen Service-Set auf die andere Richtung, tritt beim Commit der Konfiguration ein Fehler auf.

Der PIC für adaptive Services führt unterschiedliche Aktionen aus, je nachdem, ob das Paket für den Eingabe- oder Ausgabedienst an den PIC gesendet wird. Sie können z. B. eine einzelne Dienstgruppe so konfigurieren, dass sie Network Address Translation (NAT) in die eine Richtung und Ziel-NAT (dNAT) in die andere Richtung ausführt.

Filtern des Datenverkehrs vor dem Akzeptieren von Paketen für die Serviceverarbeitung

Um IPv4- oder IPv6-Datenverkehr zu filtern, bevor Pakete für die Verarbeitung von Eingabe- oder Ausgabediensten akzeptiert werden, schließen Sie die service-set service-set-name service-filter service-filter-name an einer der folgenden Schnittstellen ein:

  • [edit interfaces interface-name unit unit-number family (inet | inet6) service input]

  • [edit interfaces interface-name unit unit-number family (inet | inet6) service output]

Geben Sie für die service-set-nameeinen auf der [edit services service-set] Hierarchieebene konfigurierten Servicesatz an.

Das Serviceset behält die Eingabeschnittstelleninformationen auch nach dem Anwenden von Services bei, sodass Funktionen wie Filterklassenweiterleitung und Zielklassenverwendung (Destination Class Usage, DCU), die von Eingabeschnittstelleninformationen abhängig sind, weiterhin funktionieren.

Die folgenden Anforderungen gelten für das Filtern von eingehendem oder ausgehendem Datenverkehr, bevor Pakete für die Dienstverarbeitung akzeptiert werden:

  • Sie konfigurieren denselben Dienstsatz auf der Eingabe- und Ausgabeseite der Schnittstelle.

  • Wenn Sie die service-set Anweisung ohne optionale service-filter Definition einschließen, geht das Junos-Betriebssystem davon aus, dass die Übereinstimmungsbedingung wahr ist, und wählt den für die Verarbeitung festgelegten Service automatisch aus.

  • Der Dienstfilter wird nur angewendet, wenn ein Dienstsatz konfiguriert und ausgewählt ist.

Sie können auf jeder Seite einer Schnittstelle mehr als eine Servicesatzdefinition einschließen. Es gelten die folgenden Richtlinien:

  • Wenn Sie mehrere Service-Sets einschließen, wertet die Router- (oder Switch-)Software diese in der Reihenfolge aus, in der sie in der Konfiguration angezeigt werden. Das System führt das erste Service-Set aus, für das es eine Übereinstimmung im Servicefilter findet, und ignoriert die nachfolgenden Definitionen.

  • Es können maximal sechs Service-Sets auf eine Schnittstelle angewendet werden.

  • Wenn Sie mehrere Servicesätze auf eine Schnittstelle anwenden, müssen Sie auch einen Servicefilter konfigurieren und auf die Schnittstelle anwenden.

Postservice-Filterung des wiederkehrenden Servicedatenverkehrs

Als Alternative zum Filtern von IPv4- oder IPv6-Eingabedienstdatenverkehr können Sie einen Dienstfilter auf IPv4- oder IPv6-Datenverkehr anwenden, der nach der Ausführung des Dienstsatzes zur Dienstschnittstelle zurückkehrt. Um einen Dienstfilter auf diese Weise anzuwenden, fügen Sie die post-service-filter service-filter-name Anweisung auf Hierarchieebene [edit interfaces interface-name unit unit-number family (inet | inet6) service input] ein.

Verwandte Themen