Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Konfigurieren und Anwenden von Servicefiltern

In diesem Beispiel wird gezeigt, wie Sie Servicefilter konfigurieren und anwenden.

Anforderungen

In diesem Beispiel wird die logische Schnittstelle xe-0/1/0.0 auf einer der folgenden Hardwarekomponenten verwendet:

  • Adaptive Services (AS) PIC auf einem Router der M- oder T-Serie

  • Multiservices (MS) PIC auf einem Router der M- oder T-Serie

  • Multiservices (MS) DPC auf einem Router der MX-Serie

  • Switch der EX-Serie

Bevor Sie beginnen, stellen Sie sicher, dass Sie Folgendes haben:

  • Installieren Sie Ihren unterstützten Router (oder Switch) und PICs oder DPCs und führte die ursprüngliche Router- (oder Switch)-Konfiguration durch.

  • Grundlegendes Ethernet in der Topologie konfiguriert und überprüft, ob der Datenverkehr in der Topologie fließt und dass IPv4-Datenverkehr über die logische Schnittstelle xe-0/1/0.0fließt.

  • Konfigurieren Sie den Servicesatz vrf_svcs mit Dienstein- und Ausgaberegeln und Standardeinstellungen für Services an einer Serviceschnittstelle.

Richtlinien für die Konfiguration von Servicesätze finden Sie unter Konfigurieren von Service-Sets für die Anwendung auf Serviceschnittstellen.

Überblick

In diesem Beispiel erstellen Sie drei Arten von Dienstfiltern für IPv4-Datenverkehr: einen Input-Service-Filter, einen Postservice-Input-Filter und einen Ausgabeservice-Filter. Auf denselben Servicesatz können verschiedene Servicefilter angewendet werden. Siehe auch: Konfigurieren von Service-Sets für die Anwendung auf Serviceschnittstellen

Topologie

Sie wenden den Input-Service- und Postservice-Input-Filter auf die Eingabe des Datenverkehrs an der logischen Schnittstelle xe-0/1/0.0an und wenden den Ausgabeservice-Filter auf den Ausgabedatenverkehr an derselben logischen Schnittstelle an.

  • Filtern von IPv4-Datenverkehr, bevor er für die Verarbeitung von Eingabediensten akzeptiert wird– An der logischen Schnittstelle xe-0/1/0.0verwenden Sie den Servicefilter in_filter_presvc , um den IPv4-Eingabedatenverkehr zu filtern, bevor der Datenverkehr für die Verarbeitung durch Services akzeptiert werden kann, die mit dem Servicesatz vrf_svcsverknüpft sind. Der in_filter_presvc Servicefilter zählt Pakete, die vom ICMP-Port 179 gesendet werden, leitet diese Pakete an die mit dem Servicesatz vrf_svcsverknüpften Eingabedienste weiter und verwirft alle anderen Pakete.

  • Filtern von IPv4-Datenverkehr nach Abschluss der Eingabedienstverarbeitung: In der logischen Schnittstelle xe-0/1/0.0verwenden Sie den Servicefilter in_filter_postsvc , um den Datenverkehr zu filtern, der nach der Ausführung des Eingabeservicesatzes in_filter_presvc an die Serviceschnittstelle zurückgesendet wird. Der in_filter_postsvc Servicefilter zählt Pakete, die vom ICMP-Port 179 gesendet werden, und verwirft sie dann.

  • Filtern von IPv4-Datenverkehr, bevor er für die Verarbeitung des Ausgabedienstes akzeptiert wird: In der logischen Schnittstelle xe-0/1/0.0verwenden Sie den Servicefilter out_filter_presvc , um den IPv4-Ausgabedatenverkehr zu filtern, bevor der Datenverkehr für die Verarbeitung durch die mit dem Servicesatz vrf_svcsverknüpften Services akzeptiert werden kann. Der out_filter_presvc Servicefilter zählt Pakete, die für TCP-Port 179 bestimmt sind, und leitet die Pakete dann an die Ausgabedienste weiter, die dem Servicesatz vrf_svcszugeordnet sind.

Konfiguration

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

Führen Sie zum Konfigurieren dieses Beispiels die folgenden Aufgaben aus:

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Alle Zeilenumbrüche und fügen die Befehle dann auf Hierarchieebene in die [edit] CLI ein.

Konfigurieren der drei Servicefilter

Schritt-für-Schritt-Verfahren

So konfigurieren Sie die drei Servicefilter:

  1. Konfigurieren Sie den Eingabedienstfilter.

  2. Konfigurieren Sie den Postservice-Eingabefilter.

  3. Konfigurieren Sie den Ausgabeservicefilter.

Ergebnisse

Bestätigen Sie die Konfiguration der Ein- und Ausgabeservicefilter und des Postservice-Eingabefilters durch Eingabe des show firewall Konfigurationsmodusbefehls. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in dieser Prozedur, um die Konfiguration zu korrigieren.

Anwendung der drei Servicefilter

Schritt-für-Schritt-Verfahren

So wenden Sie die drei Servicefilter an:

  1. Greifen Sie über die Eingabeschnittstelle xe-0/1/0.0auf das IPv4-Protokoll zu.

  2. Wenden Sie den Eingabeservice- und den Postservice-Eingabefilter an.

Ergebnisse

Bestätigen Sie die Konfiguration der Schnittstellen durch Eingabe des show interfaces Befehls "Konfigurationsmodus". Wenn die Befehlsausgabe die beabsichtigte Konfiguration nicht anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Kandidatenkonfiguration.

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen, ob eingehender Datenverkehr vor dem Eingabeservice gefiltert wird

Zweck

Stellen Sie sicher, dass eingehende Pakete, die vom TCP-Port 179 gesendet werden, zur Verarbeitung von den Eingabediensten gesendet werden, die dem Servicesatz vrf_svcszugeordnet sind.

Aktion

Zeigt die Anzahl der Pakete an, die zur Verarbeitung durch die Eingabedienste gesendet werden, die mit dem Servicesatz vrf_svcsverknüpft sind.

Überprüfung, dass eingehender Datenverkehr nach der Verarbeitung des Eingabedienstes gefiltert wird

Zweck

Stellen Sie sicher, dass eingehende Pakete, die vom TCP-Port 179 gesendet werden, von den Eingabediensten , die dem Servicesatz vrf_svcszugeordnet sind, von der Verarbeitung zurückgegeben werden.

Aktion

Zeigt die Anzahl der Pakete an, die von der Verarbeitung zurückgegeben werden, indem die Eingabedienste , die mit dem Servicesatz verknüpft sind, zurückgegeben werden vrf_svcs.

Überprüfen, ob ausgehender Datenverkehr vor der Verarbeitung des Ausgabedienstes gefiltert wird

Zweck

Stellen Sie sicher, dass ausgehende Pakete, die an ICMP-Port 179 gesendet werden, zur Verarbeitung von den Ausgabeservices gesendet werden, die mit dem Servicesatz vrf_svcsverknüpft sind.

Aktion

Zeigt die Anzahl der Pakete an, die von den Ausgabediensten zur Verarbeitung gesendet werden, die mit dem Servicesatz vrf_svcsverknüpft sind.