Auf dieser Seite
Beispiel: Konfigurieren und Anwenden von Servicefiltern
In diesem Beispiel wird gezeigt, wie Sie Servicefilter konfigurieren und anwenden.
Anforderungen
In diesem Beispiel wird die logische Schnittstelle xe-0/1/0.0 auf einer der folgenden Hardwarekomponenten verwendet:
Adaptive Services (AS) PIC auf einem Router der M- oder T-Serie
Multiservices (MS) PIC auf einem Router der M- oder T-Serie
Multiservices (MS) DPC auf einem Router der MX-Serie
Switch der EX-Serie
Bevor Sie beginnen, stellen Sie sicher, dass Sie Folgendes haben:
Installieren Sie Ihren unterstützten Router (oder Switch) und PICs oder DPCs und führte die ursprüngliche Router- (oder Switch)-Konfiguration durch.
Grundlegendes Ethernet in der Topologie konfiguriert und überprüft, ob der Datenverkehr in der Topologie fließt und dass IPv4-Datenverkehr über die logische Schnittstelle
xe-0/1/0.0fließt.Konfigurieren Sie den Servicesatz
vrf_svcsmit Dienstein- und Ausgaberegeln und Standardeinstellungen für Services an einer Serviceschnittstelle.
Richtlinien für die Konfiguration von Servicesätze finden Sie unter Konfigurieren von Service-Sets für die Anwendung auf Serviceschnittstellen.
Überblick
In diesem Beispiel erstellen Sie drei Arten von Dienstfiltern für IPv4-Datenverkehr: einen Input-Service-Filter, einen Postservice-Input-Filter und einen Ausgabeservice-Filter. Auf denselben Servicesatz können verschiedene Servicefilter angewendet werden. Siehe auch: Konfigurieren von Service-Sets für die Anwendung auf Serviceschnittstellen
Topologie
Sie wenden den Input-Service- und Postservice-Input-Filter auf die Eingabe des Datenverkehrs an der logischen Schnittstelle xe-0/1/0.0an und wenden den Ausgabeservice-Filter auf den Ausgabedatenverkehr an derselben logischen Schnittstelle an.
Filtern von IPv4-Datenverkehr, bevor er für die Verarbeitung von Eingabediensten akzeptiert wird– An der logischen Schnittstelle
xe-0/1/0.0verwenden Sie den Servicefilterin_filter_presvc, um den IPv4-Eingabedatenverkehr zu filtern, bevor der Datenverkehr für die Verarbeitung durch Services akzeptiert werden kann, die mit dem Servicesatzvrf_svcsverknüpft sind. Derin_filter_presvcServicefilter zählt Pakete, die vom ICMP-Port 179 gesendet werden, leitet diese Pakete an die mit dem Servicesatzvrf_svcsverknüpften Eingabedienste weiter und verwirft alle anderen Pakete.Filtern von IPv4-Datenverkehr nach Abschluss der Eingabedienstverarbeitung: In der logischen Schnittstelle
xe-0/1/0.0verwenden Sie den Servicefilterin_filter_postsvc, um den Datenverkehr zu filtern, der nach der Ausführung des Eingabeservicesatzesin_filter_presvcan die Serviceschnittstelle zurückgesendet wird. Derin_filter_postsvcServicefilter zählt Pakete, die vom ICMP-Port 179 gesendet werden, und verwirft sie dann.Filtern von IPv4-Datenverkehr, bevor er für die Verarbeitung des Ausgabedienstes akzeptiert wird: In der logischen Schnittstelle
xe-0/1/0.0verwenden Sie den Servicefilterout_filter_presvc, um den IPv4-Ausgabedatenverkehr zu filtern, bevor der Datenverkehr für die Verarbeitung durch die mit dem Servicesatzvrf_svcsverknüpften Services akzeptiert werden kann. Derout_filter_presvcServicefilter zählt Pakete, die für TCP-Port 179 bestimmt sind, und leitet die Pakete dann an die Ausgabedienste weiter, die dem Servicesatzvrf_svcszugeordnet sind.
Konfiguration
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
Führen Sie zum Konfigurieren dieses Beispiels die folgenden Aufgaben aus:
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Alle Zeilenumbrüche und fügen die Befehle dann auf Hierarchieebene in die [edit] CLI ein.
set firewall family inet service-filter in_filter_presvc term t1 from protocol tcp set firewall family inet service-filter in_filter_presvc term t1 from source-port bgp set firewall family inet service-filter in_filter_presvc term t1 then count svc_in_pkts set firewall family inet service-filter in_filter_presvc term t1 then service set firewall family inet service-filter in_filter_postsvc term t2 from protocol tcp set firewall family inet service-filter in_filter_postsvc term t2 from source-port bgp set firewall family inet service-filter in_filter_postsvc term t2 then count svc_in_pkts_rtn set firewall family inet service-filter in_filter_postsvc term t2 then skip set firewall family inet service-filter out_filter_presvc term t3 from protocol icmp set firewall family inet service-filter out_filter_presvc term t3 from destination-port bgp set firewall family inet service-filter out_filter_presvc term t3 then count svc_out_pkts set firewall family inet service-filter out_filter_presvc term t3 then service set interfaces xe-0/1/0 unit 0 family inet service input service-set vrf_svcs service-filter in_filter_presvc set interfaces xe-0/1/0 unit 0 family inet service input post-service-filter in_filter_postsvc set interfaces xe-0/1/0 unit 0 family inet service output service-set vrf_svcs service-filter out_filter_presvc
Konfigurieren der drei Servicefilter
Schritt-für-Schritt-Verfahren
So konfigurieren Sie die drei Servicefilter:
Konfigurieren Sie den Eingabedienstfilter.
[edit] user@host# edit firewall family inet service-filter in_filter_presvc [edit firewall family inet service-filter in_filter_presvc] user@host# set term t1 from protocol tcp user@host# set term t1 from source-port bgp user@host# set term t1 then count svc_in_pkts user@host# set term t1 then service
Konfigurieren Sie den Postservice-Eingabefilter.
[edit] user@host# edit firewall family inet service-filter in_filter_postsvc [edit firewall family inet service-filter in_filter_postsvc] user@host# set term t2 from protocol tcp user@host# set term t2 from source-port bgp user@host# set term t2 then count svc_in_pkts_rtn user@host# set term t2 then skip
Konfigurieren Sie den Ausgabeservicefilter.
[edit] user@host# edit firewall family inet service-filter out_filter_presvc [edit firewall family inet service-filter out_filter_presvc] user@host# set term t3 from protocol icmp user@host# set term t3 from destination-port bgp user@host# set term t3 then count svc_out_pkts user@host# set term t3 then service
Ergebnisse
Bestätigen Sie die Konfiguration der Ein- und Ausgabeservicefilter und des Postservice-Eingabefilters durch Eingabe des show firewall Konfigurationsmodusbefehls. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in dieser Prozedur, um die Konfiguration zu korrigieren.
[edit]
user@host# show firewall
family inet {
service-filter in_filter_presvc {
term t1 {
from {
protocol tcp;
source-port bgp;
}
then {
count svc_in_pkts;
service;
}
}
}
service-filter in_filter_postsvc {
term t2 {
from {
protocol tcp;
source-port bgp;
}
then {
count svc_in_pkts_rtn;
skip;
}
}
}
service-filter out_filter_presvc {
term t3 {
from {
protocol icmp;
destination-port bgp;
}
then {
count svc_out_pkts;
service;
}
}
}
}
Anwendung der drei Servicefilter
Schritt-für-Schritt-Verfahren
So wenden Sie die drei Servicefilter an:
Greifen Sie über die Eingabeschnittstelle
xe-0/1/0.0auf das IPv4-Protokoll zu.[edit] user@host# edit interfaces xe-0/1/0 unit 0 family inet
Wenden Sie den Eingabeservice- und den Postservice-Eingabefilter an.
[edit interfaces xe-0/1/0 unit 0 family inet] user@host# set service input service-set vrf_svcs service-filter in_filter_presvc user@host# set service input post-service-filter in_filter_postsvc user@host# set service output service-set vrf_svcs service-filter out_filter_presvc
Ergebnisse
Bestätigen Sie die Konfiguration der Schnittstellen durch Eingabe des show interfaces Befehls "Konfigurationsmodus". Wenn die Befehlsausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
xe-0/1/0 {
unit 0 {
family inet {
service {
input {
service-set vrf_svcs service-filter in_filter_presvc;
post-service-filter in_filter_postsvc;
}
output {
service-set vrf_svcs service-filter out_filter_presvc;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Kandidatenkonfiguration.
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen, ob eingehender Datenverkehr vor dem Eingabeservice gefiltert wird
- Überprüfung, dass eingehender Datenverkehr nach der Verarbeitung des Eingabedienstes gefiltert wird
- Überprüfen, ob ausgehender Datenverkehr vor der Verarbeitung des Ausgabedienstes gefiltert wird
Überprüfen, ob eingehender Datenverkehr vor dem Eingabeservice gefiltert wird
Zweck
Stellen Sie sicher, dass eingehende Pakete, die vom TCP-Port 179 gesendet werden, zur Verarbeitung von den Eingabediensten gesendet werden, die dem Servicesatz vrf_svcszugeordnet sind.
Aktion
Zeigt die Anzahl der Pakete an, die zur Verarbeitung durch die Eingabedienste gesendet werden, die mit dem Servicesatz vrf_svcsverknüpft sind.
[edit] user@host> show firewall filter in_filter_presvc-vrf_svcs counter svc_in_pkts
Überprüfung, dass eingehender Datenverkehr nach der Verarbeitung des Eingabedienstes gefiltert wird
Zweck
Stellen Sie sicher, dass eingehende Pakete, die vom TCP-Port 179 gesendet werden, von den Eingabediensten , die dem Servicesatz vrf_svcszugeordnet sind, von der Verarbeitung zurückgegeben werden.
Aktion
Zeigt die Anzahl der Pakete an, die von der Verarbeitung zurückgegeben werden, indem die Eingabedienste , die mit dem Servicesatz verknüpft sind, zurückgegeben werden vrf_svcs.
[edit] user@host> show firewall filter in_filter_postsvc-vrf_svcs counter svc_in_pkts_rtn
Überprüfen, ob ausgehender Datenverkehr vor der Verarbeitung des Ausgabedienstes gefiltert wird
Zweck
Stellen Sie sicher, dass ausgehende Pakete, die an ICMP-Port 179 gesendet werden, zur Verarbeitung von den Ausgabeservices gesendet werden, die mit dem Servicesatz vrf_svcsverknüpft sind.
Aktion
Zeigt die Anzahl der Pakete an, die von den Ausgabediensten zur Verarbeitung gesendet werden, die mit dem Servicesatz vrf_svcsverknüpft sind.
[edit] user@host> show firewall filter out_filter_presvc-vrf_svcs counter svc_out_pkts