Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Konfigurieren und Anwenden von Dienstfiltern

In diesem Beispiel wird die Konfiguration und Anwendung von Dienstfiltern veranschaulicht.

Anforderungen

Verwenden Sie in diesem Beispiel die xe-0/1/0.0 logische Schnittstelle für eine der folgenden Hardwarekomponenten:

  • PIC für adaptive Dienste (AS) auf einem Router M Series bzw T-Serie Dienste

  • Multiservices-PIC auf einem Router M Series bzw T-Serie

  • Multiservices -Konfiguration (MS) DPC auf Routern der MX-Serie

  • Switch der EX-Serie

Bevor Sie damit beginnen, sollten Sie darauf achten, dass Sie:

  • Sie installierten Ihre unterstützten Router (oder Switches) und PICs oder DPCs und führten die erste Router-Konfiguration (oder Switch-Konfiguration) aus.

  • Konfiguration einer einfachen Ethernet-Topologie, um zu überprüfen, dass der Datenverkehr in der Topologie fließt und dass der IPv4-Datenverkehr durch die logische Schnittstelle xe-0/1/0.0 fließt.

  • Konfigurierte den Service-Set vrf_svcs mit Ein- und Ausgaberegeln und Standardeinstellungen für Services an einer Serviceschnittstelle.

Richtlinien zum Konfigurieren von Service-Sets finden Sie unter Configuring Service Sets to Be Applied to Services Interfaces (Konfiguration von Service-Sets für die Anwendung auf Serviceschnittstellen).

Überblick

In diesem Beispiel erstellen Sie drei Arten von Dienstfiltern für IPv4-Datenverkehr: Ein Eingangsservicefilter, ein Postservice-Eingangsfilter und ein Ausgabeservicefilter. Auf denselben Service-Set können unterschiedliche Dienstfilter angewendet werden. Siehe auch: Konfiguration von Service-Sets, die auf Dienstschnittstellen angewendet werden sollen

Topologie

Sie wenden den Eingangsservicefilter und den Postservice-Eingangsfilter auf den Datenverkehr an der logischen Schnittstelle an, und Sie wenden den Ausgabedienstfilter auf den Ausgabedatenverkehr an der gleichen xe-0/1/0.0 logischen Schnittstelle an.

  • Filtern von IPv4-Datenverkehr, bevor er zur Eingangsserviceverarbeitung akzeptiert wird: An der logischen Schnittstelle verwenden Sie den Dienstfilter, um xe-0/1/0.0 IPv4-Eingangsdatenverkehr zu filtern, bevor der Datenverkehr für die Verarbeitung von mit Service-Set verknüpften Services akzeptiert werden in_filter_presvcvrf_svcs kann. Der Dienstfilter zählt Pakete, die von in_filter_presvc ICMP-Port 179 gesendet werden, leitet diese Pakete an die mit dem Servicesatz verknüpften Eingangsdienste an und verwerfen vrf_svcs alle anderen Pakete.

  • Filterung von IPv4-Datenverkehr nach Abschluss der Eingangsserviceverarbeitung: An der logischen Schnittstelle verwenden Sie den Servicefilter, um Datenverkehr zu filtern, der nach Ausführung der Eingabe-Service-Gruppe an die Services-Schnittstelle xe-0/1/0.0in_filter_postsvc zurückkehren in_filter_presvc wird. Der in_filter_postsvc Dienstfilter zählt von ICMP-Port 179 gesendete Pakete und verwerfen diese.

  • Filtern von IPv4-Datenverkehr, bevor er zur Ausgabeserviceverarbeitung angenommen wird: An der logischen Schnittstelle verwenden Sie den xe-0/1/0.0 Servicefilter, um IPv4-Ausgangsdatenverkehr zu filtern, bevor der Datenverkehr von den mit dem Service-Set verknüpften Services zur Verarbeitung angenommen werden out_filter_presvcvrf_svcs kann. Der Dienstfilter zählt Pakete, die für den TCP-Port 179 bestimmt sind, und leitet die Pakete dann an die mit dem Service-Set out_filter_presvc verbundenen Ausgabedienste vrf_svcs weiter.

Konfiguration

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Informationen zur Navigation in CLI finden Sie Verwenden des CLI Editors im Konfigurationsmodus unter.

Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenbrüche, und fügen Sie die Befehle dann CLI [edit] Hierarchieebene ein.

Konfigurieren der drei Dienstfilter

Schritt-für-Schritt-Verfahren

So konfigurieren Sie die drei Servicefilter:

  1. Konfigurieren Sie den Eingangsservicefilter.

  2. Konfigurieren Sie den Postservice-Eingangsfilter.

  3. Konfigurieren Sie den Ausgabeservicefilter.

Ergebnisse

Bestätigen Sie die Konfiguration der Ein- und Ausgabedienstfilter sowie des Postservice-Eingangsfilters, indem Sie den show firewall Konfigurationsmodusbefehl eingeben. Wenn in der Befehlsausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.

Anwenden der drei Dienstfilter

Schritt-für-Schritt-Verfahren

So wenden Sie die drei Servicefilter an:

  1. Zugriff auf das IPv4-Protokoll auf der xe-0/1/0.0 Eingangsschnittstelle.

  2. Wenden Sie den Eingangsservice- und den Postservice-Eingangsfilter an.

Ergebnisse

Bestätigen Sie die Konfiguration der Schnittstellen, indem Sie den Befehl zum show interfaces Konfigurationsmodus eingeben. Wenn in der Befehlsausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts erledigt haben, commit Ihre Kandidatenkonfiguration.

Überprüfung

Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.

Sicherstellen, dass eingehender Datenverkehr vor der Eingabe des Dienstes gefiltert wird

Zweck

Stellen Sie sicher, dass eingehende Pakete, die von TCP-Port 179 gesendet werden, zur Verarbeitung durch die mit dem Servicesatz verknüpften Eingangsdienste gesendet vrf_svcs werden.

Aktion

Zeigen Sie die Anzahl der Pakete an, die zur Verarbeitung durch die mit dem Servicesatz verknüpften Eingabedienste gesendet vrf_svcs werden.

Überprüfung, ob eingehender Datenverkehr nach der Service-Eingangsverarbeitung gefiltert wird

Zweck

Stellen Sie sicher, dass eingehende Pakete, die von TCP-Port 179 gesendet werden, von der Verarbeitung durch die mit dem Servicesatz verknüpften Eingabedienste zurückgegeben vrf_svcs werden.

Aktion

Zeigen Sie die Anzahl der Pakete an, die von der Verarbeitung durch die mit dem Servicesatz verknüpften Eingabedienste zurückgegeben vrf_svcs werden.

Sicherstellen, dass ausgehender Datenverkehr vor der Ausgabedienstverarbeitung gefiltert wird

Zweck

Stellen Sie sicher, dass ausgehende Pakete, die an ICMP-Port 179 gesendet werden, zur Verarbeitung durch die mit dem Servicesatz verknüpften Ausgabedienste gesendet vrf_svcs werden.

Aktion

Zeigen Sie die Anzahl der Pakete an, die zur Verarbeitung durch die mit dem Service-Set verknüpften Ausgabedienste gesendet vrf_svcs werden.