Auf dieser Seite
Beispiel: Konfigurieren und Anwenden von Dienstfiltern
In diesem Beispiel wird gezeigt, wie Dienstfilter konfiguriert und angewendet werden.
Anforderungen
In diesem Beispiel wird die logische Schnittstelle xe-0/1/0.0 auf einer der folgenden Hardwarekomponenten verwendet:
Adaptive Services (AS) PIC auf einem Router der M- oder T-Serie
Multiservices (MS) PIC auf einem Router der M- oder T-Serie
Multiservices (MS) DPC auf einem Router der MX-Serie
Switch der EX-Serie
Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
Sie haben den unterstützten Router (oder Switch) und die PICs oder DPCs installiert und die erste Konfiguration des Routers (oder Switches) durchgeführt.
Grundlegendes Ethernet in der Topologie konfiguriert und überprüft, ob der Datenverkehr in der Topologie fließt und dass IPv4-Datenverkehr über die logische Schnittstelle
xe-0/1/0.0fließt.Der Servicesatz
vrf_svcswurde mit Service-Ein- und Ausgaberegeln und Standardeinstellungen für Services an einer Serviceschnittstelle konfiguriert.
Richtlinien zum Konfigurieren von Service-Sets finden Sie unter Konfigurieren von Service-Sets, die auf Service-Schnittstellen angewendet werden sollen.
Überblick
In diesem Beispiel erstellen Sie drei Arten von Dienstfiltern für IPv4-Datenverkehr: Ein Eingabedienstfilter, ein Postdienst-Eingabefilter und ein Ausgabedienstfilter. Es können verschiedene Service-Filter auf das gleiche Service-Set angewendet werden. Siehe auch: Konfigurieren von Service-Sets, die auf Service-Schnittstellen angewendet werden sollen
Topologie
Sie wenden den Eingabedienstfilter und den Postdienst-Eingabefilter auf den Eingabedatenverkehr an der logischen Schnittstelle an, und Sie wenden den Ausgabedienstfilter auf den Ausgabedatenverkehr an derselben logischen Schnittstelle xe-0/1/0.0an.
Filtern von IPv4-Datenverkehr, bevor er für die Verarbeitung des Eingabe-Service akzeptiert wird: An der logischen Schnittstelle
xe-0/1/0.0verwenden Sie den Dienstfilter, um den IPv4-Eingabedatenverkehrin_filter_presvczu filtern, bevor der Datenverkehr zur Verarbeitung durch Services akzeptiert werden kann, die dem Servicesatzvrf_svcszugeordnet sind. Derin_filter_presvcDienstfilter zählt Pakete, die von ICMP-Port 179 gesendet werden, leitet diese Pakete an die Eingabedienste weiter, die dem Dienstsatzvrf_svcszugeordnet sind, und verwirft alle anderen Pakete.Filtern des IPv4-Datenverkehrs nach Abschluss der Verarbeitung des Eingabedienstes: An der logischen Schnittstelle
xe-0/1/0.0verwenden Sie den Dienstfilterin_filter_postsvc, um den Datenverkehr zu filtern, der nach der Ausführung des Eingabeservicesatzes an die Dienstschnittstellein_filter_presvczurückgegeben wird. Derin_filter_postsvcDienstfilter zählt Pakete, die von ICMP-Port 179 gesendet werden, und verwirft sie dann.Filtern von IPv4-Datenverkehr, bevor er für die Verarbeitung des Ausgabedienstes akzeptiert wird: An der logischen Schnittstelle
xe-0/1/0.0verwenden Sie den Dienstfilterout_filter_presvc, um den IPv4-Ausgabedatenverkehr zu filtern, bevor der Datenverkehr zur Verarbeitung durch die Services akzeptiert werden kann, die dem Servicesatzvrf_svcszugeordnet sind. Derout_filter_presvcDienstfilter zählt Pakete, die für TCP-Port 179 bestimmt sind, und leitet die Pakete dann an die Ausgabedienste weiter, die dem Dienstsatzvrf_svcszugeordnet sind.
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene [edit] in die CLI ein.
set firewall family inet service-filter in_filter_presvc term t1 from protocol tcp set firewall family inet service-filter in_filter_presvc term t1 from source-port bgp set firewall family inet service-filter in_filter_presvc term t1 then count svc_in_pkts set firewall family inet service-filter in_filter_presvc term t1 then service set firewall family inet service-filter in_filter_postsvc term t2 from protocol tcp set firewall family inet service-filter in_filter_postsvc term t2 from source-port bgp set firewall family inet service-filter in_filter_postsvc term t2 then count svc_in_pkts_rtn set firewall family inet service-filter in_filter_postsvc term t2 then skip set firewall family inet service-filter out_filter_presvc term t3 from protocol icmp set firewall family inet service-filter out_filter_presvc term t3 from destination-port bgp set firewall family inet service-filter out_filter_presvc term t3 then count svc_out_pkts set firewall family inet service-filter out_filter_presvc term t3 then service set interfaces xe-0/1/0 unit 0 family inet service input service-set vrf_svcs service-filter in_filter_presvc set interfaces xe-0/1/0 unit 0 family inet service input post-service-filter in_filter_postsvc set interfaces xe-0/1/0 unit 0 family inet service output service-set vrf_svcs service-filter out_filter_presvc
Konfigurieren der drei Dienstfilter
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die drei Dienstfilter:
Konfigurieren Sie den Eingabedienstfilter.
[edit] user@host# edit firewall family inet service-filter in_filter_presvc [edit firewall family inet service-filter in_filter_presvc] user@host# set term t1 from protocol tcp user@host# set term t1 from source-port bgp user@host# set term t1 then count svc_in_pkts user@host# set term t1 then service
Konfigurieren Sie den Postservice-Eingabefilter.
[edit] user@host# edit firewall family inet service-filter in_filter_postsvc [edit firewall family inet service-filter in_filter_postsvc] user@host# set term t2 from protocol tcp user@host# set term t2 from source-port bgp user@host# set term t2 then count svc_in_pkts_rtn user@host# set term t2 then skip
Konfigurieren Sie den Ausgabedienstfilter.
[edit] user@host# edit firewall family inet service-filter out_filter_presvc [edit firewall family inet service-filter out_filter_presvc] user@host# set term t3 from protocol icmp user@host# set term t3 from destination-port bgp user@host# set term t3 then count svc_out_pkts user@host# set term t3 then service
Ergebnisse
Bestätigen Sie die Konfiguration der Filter für den Eingabe- und Ausgabedienst sowie des Eingabefilters für den Postdienst, indem Sie den show firewall Befehl Konfigurationsmodus eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit]
user@host# show firewall
family inet {
service-filter in_filter_presvc {
term t1 {
from {
protocol tcp;
source-port bgp;
}
then {
count svc_in_pkts;
service;
}
}
}
service-filter in_filter_postsvc {
term t2 {
from {
protocol tcp;
source-port bgp;
}
then {
count svc_in_pkts_rtn;
skip;
}
}
}
service-filter out_filter_presvc {
term t3 {
from {
protocol icmp;
destination-port bgp;
}
then {
count svc_out_pkts;
service;
}
}
}
}
Anwenden der drei Dienstfilter
Schritt-für-Schritt-Anleitung
So wenden Sie die drei Dienstfilter an:
Greifen Sie über die Eingabeschnittstelle
xe-0/1/0.0auf das IPv4-Protokoll zu.[edit] user@host# edit interfaces xe-0/1/0 unit 0 family inet
Wenden Sie den Eingabedienstfilter und den Postdienst-Eingabefilter an.
[edit interfaces xe-0/1/0 unit 0 family inet] user@host# set service input service-set vrf_svcs service-filter in_filter_presvc user@host# set service input post-service-filter in_filter_postsvc user@host# set service output service-set vrf_svcs service-filter out_filter_presvc
Ergebnisse
Bestätigen Sie die Konfiguration der Schnittstellen, indem Sie den show interfaces Befehl Konfigurationsmodus eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
xe-0/1/0 {
unit 0 {
family inet {
service {
input {
service-set vrf_svcs service-filter in_filter_presvc;
post-service-filter in_filter_postsvc;
}
output {
service-set vrf_svcs service-filter out_filter_presvc;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen, ob eingehender Datenverkehr vor dem Eingabedienst gefiltert wird
- Überprüfen, ob eingehender Datenverkehr nach der Verarbeitung des Eingabediensts gefiltert wird
- Überprüfen, ob der ausgehende Datenverkehr vor der Verarbeitung des Ausgabediensts gefiltert wird
Überprüfen, ob eingehender Datenverkehr vor dem Eingabedienst gefiltert wird
Zweck
Stellen Sie sicher, dass eingehende Pakete, die von TCP-Port 179 gesendet werden, zur Verarbeitung durch die Eingabedienste gesendet werden, die dem Dienstsatz vrf_svcszugeordnet sind.
Action!
Zeigt die Anzahl der Pakete an, die von den Eingabediensten zur Verarbeitung gesendet wurden, die dem Servicesatz vrf_svcszugeordnet sind.
[edit] user@host> show firewall filter in_filter_presvc-vrf_svcs counter svc_in_pkts
Überprüfen, ob eingehender Datenverkehr nach der Verarbeitung des Eingabediensts gefiltert wird
Zweck
Stellen Sie sicher, dass eingehende Pakete, die von TCP-Port 179 gesendet werden, von der Verarbeitung durch die Eingabedienste zurückgegeben werden, die dem Dienstsatz vrf_svcszugeordnet sind.
Action!
Zeigt die Anzahl der Pakete an, die von der Verarbeitung durch die Eingabedienste zurückgegeben werden, die der Servicegruppe vrf_svcszugeordnet sind.
[edit] user@host> show firewall filter in_filter_postsvc-vrf_svcs counter svc_in_pkts_rtn
Überprüfen, ob der ausgehende Datenverkehr vor der Verarbeitung des Ausgabediensts gefiltert wird
Zweck
Stellen Sie sicher, dass ausgehende Pakete, die an ICMP-Port 179 gesendet werden, zur Verarbeitung durch die Ausgabedienste gesendet werden, die dem Dienstsatz vrf_svcszugeordnet sind.
Action!
Zeigt die Anzahl der Pakete an, die von den Ausgabediensten , die dem Dienstsatz vrf_svcszugeordnet sind, zur Verarbeitung gesendet wurden.
[edit] user@host> show firewall filter out_filter_presvc-vrf_svcs counter svc_out_pkts