Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Konfigurieren und Anwenden von Dienstfiltern

In diesem Beispiel wird gezeigt, wie Dienstfilter konfiguriert und angewendet werden.

Anforderungen

In diesem Beispiel wird die logische Schnittstelle xe-0/1/0.0 auf einer der folgenden Hardwarekomponenten verwendet:

  • Adaptive Services (AS) PIC auf einem Router der M- oder T-Serie

  • Multiservices (MS) PIC auf einem Router der M- oder T-Serie

  • Multiservices (MS) DPC auf einem Router der MX-Serie

  • Switch der EX-Serie

Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:

  • Sie haben den unterstützten Router (oder Switch) und die PICs oder DPCs installiert und die erste Konfiguration des Routers (oder Switches) durchgeführt.

  • Grundlegendes Ethernet in der Topologie konfiguriert und überprüft, ob der Datenverkehr in der Topologie fließt und dass IPv4-Datenverkehr über die logische Schnittstelle xe-0/1/0.0fließt.

  • Der Servicesatz vrf_svcs wurde mit Service-Ein- und Ausgaberegeln und Standardeinstellungen für Services an einer Serviceschnittstelle konfiguriert.

Richtlinien zum Konfigurieren von Service-Sets finden Sie unter Konfigurieren von Service-Sets, die auf Service-Schnittstellen angewendet werden sollen.

Überblick

In diesem Beispiel erstellen Sie drei Arten von Dienstfiltern für IPv4-Datenverkehr: Ein Eingabedienstfilter, ein Postdienst-Eingabefilter und ein Ausgabedienstfilter. Es können verschiedene Service-Filter auf das gleiche Service-Set angewendet werden. Siehe auch: Konfigurieren von Service-Sets, die auf Service-Schnittstellen angewendet werden sollen

Topologie

Sie wenden den Eingabedienstfilter und den Postdienst-Eingabefilter auf den Eingabedatenverkehr an der logischen Schnittstelle an, und Sie wenden den Ausgabedienstfilter auf den Ausgabedatenverkehr an derselben logischen Schnittstelle xe-0/1/0.0an.

  • Filtern von IPv4-Datenverkehr, bevor er für die Verarbeitung des Eingabe-Service akzeptiert wird: An der logischen Schnittstelle xe-0/1/0.0verwenden Sie den Dienstfilter, um den IPv4-Eingabedatenverkehr in_filter_presvc zu filtern, bevor der Datenverkehr zur Verarbeitung durch Services akzeptiert werden kann, die dem Servicesatz vrf_svcszugeordnet sind. Der in_filter_presvc Dienstfilter zählt Pakete, die von ICMP-Port 179 gesendet werden, leitet diese Pakete an die Eingabedienste weiter, die dem Dienstsatz vrf_svcszugeordnet sind, und verwirft alle anderen Pakete.

  • Filtern des IPv4-Datenverkehrs nach Abschluss der Verarbeitung des Eingabedienstes: An der logischen Schnittstelle xe-0/1/0.0verwenden Sie den Dienstfilter in_filter_postsvc , um den Datenverkehr zu filtern, der nach der Ausführung des Eingabeservicesatzes an die Dienstschnittstelle in_filter_presvc zurückgegeben wird. Der in_filter_postsvc Dienstfilter zählt Pakete, die von ICMP-Port 179 gesendet werden, und verwirft sie dann.

  • Filtern von IPv4-Datenverkehr, bevor er für die Verarbeitung des Ausgabedienstes akzeptiert wird: An der logischen Schnittstelle xe-0/1/0.0verwenden Sie den Dienstfilter out_filter_presvc , um den IPv4-Ausgabedatenverkehr zu filtern, bevor der Datenverkehr zur Verarbeitung durch die Services akzeptiert werden kann, die dem Servicesatz vrf_svcszugeordnet sind. Der out_filter_presvc Dienstfilter zählt Pakete, die für TCP-Port 179 bestimmt sind, und leitet die Pakete dann an die Ausgabedienste weiter, die dem Dienstsatz vrf_svcszugeordnet sind.

Konfiguration

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene [edit] in die CLI ein.

Konfigurieren der drei Dienstfilter

Schritt-für-Schritt-Anleitung

So konfigurieren Sie die drei Dienstfilter:

  1. Konfigurieren Sie den Eingabedienstfilter.

  2. Konfigurieren Sie den Postservice-Eingabefilter.

  3. Konfigurieren Sie den Ausgabedienstfilter.

Ergebnisse

Bestätigen Sie die Konfiguration der Filter für den Eingabe- und Ausgabedienst sowie des Eingabefilters für den Postdienst, indem Sie den show firewall Befehl Konfigurationsmodus eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.

Anwenden der drei Dienstfilter

Schritt-für-Schritt-Anleitung

So wenden Sie die drei Dienstfilter an:

  1. Greifen Sie über die Eingabeschnittstelle xe-0/1/0.0auf das IPv4-Protokoll zu.

  2. Wenden Sie den Eingabedienstfilter und den Postdienst-Eingabefilter an.

Ergebnisse

Bestätigen Sie die Konfiguration der Schnittstellen, indem Sie den show interfaces Befehl Konfigurationsmodus eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen, ob eingehender Datenverkehr vor dem Eingabedienst gefiltert wird

Zweck

Stellen Sie sicher, dass eingehende Pakete, die von TCP-Port 179 gesendet werden, zur Verarbeitung durch die Eingabedienste gesendet werden, die dem Dienstsatz vrf_svcszugeordnet sind.

Action!

Zeigt die Anzahl der Pakete an, die von den Eingabediensten zur Verarbeitung gesendet wurden, die dem Servicesatz vrf_svcszugeordnet sind.

Überprüfen, ob eingehender Datenverkehr nach der Verarbeitung des Eingabediensts gefiltert wird

Zweck

Stellen Sie sicher, dass eingehende Pakete, die von TCP-Port 179 gesendet werden, von der Verarbeitung durch die Eingabedienste zurückgegeben werden, die dem Dienstsatz vrf_svcszugeordnet sind.

Action!

Zeigt die Anzahl der Pakete an, die von der Verarbeitung durch die Eingabedienste zurückgegeben werden, die der Servicegruppe vrf_svcszugeordnet sind.

Überprüfen, ob der ausgehende Datenverkehr vor der Verarbeitung des Ausgabediensts gefiltert wird

Zweck

Stellen Sie sicher, dass ausgehende Pakete, die an ICMP-Port 179 gesendet werden, zur Verarbeitung durch die Ausgabedienste gesendet werden, die dem Dienstsatz vrf_svcszugeordnet sind.

Action!

Zeigt die Anzahl der Pakete an, die von den Ausgabediensten , die dem Dienstsatz vrf_svcszugeordnet sind, zur Verarbeitung gesendet wurden.