Auf dieser Seite
Beispiel: Konfigurieren und Anwenden von Dienstfiltern
In diesem Beispiel wird gezeigt, wie Dienstfilter konfiguriert und angewendet werden.
Anforderungen
In diesem Beispiel wird die logische Schnittstelle auf einer der folgenden Hardwarekomponenten verwendet:xe-0/1/0.0
Adaptive Services (AS) PIC auf einem Router der M- oder T-Serie
Multiservices (MS) PIC auf einem Router der M- oder T-Serie
Multiservices (MS) DPC auf einem Router der MX-Serie
Switch der EX-Serie
Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
Sie haben den unterstützten Router (oder Switch) und die PICs oder DPCs installiert und die erste Konfiguration des Routers (oder Switches) durchgeführt.
Grundlegendes Ethernet in der Topologie konfiguriert und überprüft, ob der Datenverkehr in der Topologie fließt und dass IPv4-Datenverkehr über die logische Schnittstelle fließt.
xe-0/1/0.0Der Servicesatz wurde mit Service-Ein- und Ausgaberegeln und Standardeinstellungen für Services an einer Serviceschnittstelle konfiguriert.
vrf_svcs
Richtlinien zum Konfigurieren von Service-Sets finden Sie unter Konfigurieren von Service-Sets, die auf Service-Schnittstellen angewendet werden sollen.Configuring Service Sets to be Applied to Services Interfaces
Überblick
In diesem Beispiel erstellen Sie drei Arten von Dienstfiltern für IPv4-Datenverkehr: Ein Eingabedienstfilter, ein Postdienst-Eingabefilter und ein Ausgabedienstfilter. Es können verschiedene Service-Filter auf das gleiche Service-Set angewendet werden. Siehe auch: Konfigurieren von Service-Sets, die auf Service-Schnittstellen angewendet werden sollen
Topologie
Sie wenden den Eingabedienstfilter und den Postdienst-Eingabefilter auf den Eingabedatenverkehr an der logischen Schnittstelle an, und Sie wenden den Ausgabedienstfilter auf den Ausgabedatenverkehr an derselben logischen Schnittstelle an.xe-0/1/0.0
Filtern von IPv4-Datenverkehr, bevor er für die Verarbeitung des Eingabe-Service akzeptiert wird: An der logischen Schnittstelle verwenden Sie den Dienstfilter, um den IPv4-Eingabedatenverkehr zu filtern, bevor der Datenverkehr zur Verarbeitung durch Services akzeptiert werden kann, die dem Servicesatz zugeordnet sind.
xe-0/1/0.0in_filter_presvcvrf_svcsDer Dienstfilter zählt Pakete, die von ICMP-Port 179 gesendet werden, leitet diese Pakete an die Eingabedienste weiter, die dem Dienstsatz zugeordnet sind, und verwirft alle anderen Pakete.in_filter_presvcvrf_svcsFiltern des IPv4-Datenverkehrs nach Abschluss der Verarbeitung des Eingabedienstes: An der logischen Schnittstelle verwenden Sie den Dienstfilter , um den Datenverkehr zu filtern, der nach der Ausführung des Eingabeservicesatzes an die Dienstschnittstelle zurückgegeben wird.
xe-0/1/0.0in_filter_postsvcin_filter_presvcDer Dienstfilter zählt Pakete, die von ICMP-Port 179 gesendet werden, und verwirft sie dann.in_filter_postsvcFiltern von IPv4-Datenverkehr, bevor er für die Verarbeitung des Ausgabedienstes akzeptiert wird: An der logischen Schnittstelle verwenden Sie den Dienstfilter , um den IPv4-Ausgabedatenverkehr zu filtern, bevor der Datenverkehr zur Verarbeitung durch die Services akzeptiert werden kann, die dem Servicesatz zugeordnet sind.
xe-0/1/0.0out_filter_presvcvrf_svcsDer Dienstfilter zählt Pakete, die für TCP-Port 179 bestimmt sind, und leitet die Pakete dann an die Ausgabedienste weiter, die dem Dienstsatz zugeordnet sind.out_filter_presvcvrf_svcs
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set firewall family inet service-filter in_filter_presvc term t1 from protocol tcp set firewall family inet service-filter in_filter_presvc term t1 from source-port bgp set firewall family inet service-filter in_filter_presvc term t1 then count svc_in_pkts set firewall family inet service-filter in_filter_presvc term t1 then service set firewall family inet service-filter in_filter_postsvc term t2 from protocol tcp set firewall family inet service-filter in_filter_postsvc term t2 from source-port bgp set firewall family inet service-filter in_filter_postsvc term t2 then count svc_in_pkts_rtn set firewall family inet service-filter in_filter_postsvc term t2 then skip set firewall family inet service-filter out_filter_presvc term t3 from protocol icmp set firewall family inet service-filter out_filter_presvc term t3 from destination-port bgp set firewall family inet service-filter out_filter_presvc term t3 then count svc_out_pkts set firewall family inet service-filter out_filter_presvc term t3 then service set interfaces xe-0/1/0 unit 0 family inet service input service-set vrf_svcs service-filter in_filter_presvc set interfaces xe-0/1/0 unit 0 family inet service input post-service-filter in_filter_postsvc set interfaces xe-0/1/0 unit 0 family inet service output service-set vrf_svcs service-filter out_filter_presvc
Konfigurieren der drei Dienstfilter
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die drei Dienstfilter:
Konfigurieren Sie den Eingabedienstfilter.
[edit] user@host# edit firewall family inet service-filter in_filter_presvc [edit firewall family inet service-filter in_filter_presvc] user@host# set term t1 from protocol tcp user@host# set term t1 from source-port bgp user@host# set term t1 then count svc_in_pkts user@host# set term t1 then service
Konfigurieren Sie den Postservice-Eingabefilter.
[edit] user@host# edit firewall family inet service-filter in_filter_postsvc [edit firewall family inet service-filter in_filter_postsvc] user@host# set term t2 from protocol tcp user@host# set term t2 from source-port bgp user@host# set term t2 then count svc_in_pkts_rtn user@host# set term t2 then skip
Konfigurieren Sie den Ausgabedienstfilter.
[edit] user@host# edit firewall family inet service-filter out_filter_presvc [edit firewall family inet service-filter out_filter_presvc] user@host# set term t3 from protocol icmp user@host# set term t3 from destination-port bgp user@host# set term t3 then count svc_out_pkts user@host# set term t3 then service
Ergebnisse
Bestätigen Sie die Konfiguration der Filter für den Eingabe- und Ausgabedienst sowie des Eingabefilters für den Postdienst, indem Sie den Befehl Konfigurationsmodus eingeben.show firewall Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit]
user@host# show firewall
family inet {
service-filter in_filter_presvc {
term t1 {
from {
protocol tcp;
source-port bgp;
}
then {
count svc_in_pkts;
service;
}
}
}
service-filter in_filter_postsvc {
term t2 {
from {
protocol tcp;
source-port bgp;
}
then {
count svc_in_pkts_rtn;
skip;
}
}
}
service-filter out_filter_presvc {
term t3 {
from {
protocol icmp;
destination-port bgp;
}
then {
count svc_out_pkts;
service;
}
}
}
}
Anwenden der drei Dienstfilter
Schritt-für-Schritt-Anleitung
So wenden Sie die drei Dienstfilter an:
Greifen Sie über die Eingabeschnittstelle auf das IPv4-Protokoll zu.
xe-0/1/0.0[edit] user@host# edit interfaces xe-0/1/0 unit 0 family inet
Wenden Sie den Eingabedienstfilter und den Postdienst-Eingabefilter an.
[edit interfaces xe-0/1/0 unit 0 family inet] user@host# set service input service-set vrf_svcs service-filter in_filter_presvc user@host# set service input post-service-filter in_filter_postsvc user@host# set service output service-set vrf_svcs service-filter out_filter_presvc
Ergebnisse
Bestätigen Sie die Konfiguration der Schnittstellen, indem Sie den Befehl Konfigurationsmodus eingeben.show interfaces Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
xe-0/1/0 {
unit 0 {
family inet {
service {
input {
service-set vrf_svcs service-filter in_filter_presvc;
post-service-filter in_filter_postsvc;
}
output {
service-set vrf_svcs service-filter out_filter_presvc;
}
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen, ob eingehender Datenverkehr vor dem Eingabedienst gefiltert wird
- Überprüfen, ob eingehender Datenverkehr nach der Verarbeitung des Eingabediensts gefiltert wird
- Überprüfen, ob der ausgehende Datenverkehr vor der Verarbeitung des Ausgabediensts gefiltert wird
Überprüfen, ob eingehender Datenverkehr vor dem Eingabedienst gefiltert wird
Zweck
Stellen Sie sicher, dass eingehende Pakete, die von TCP-Port 179 gesendet werden, zur Verarbeitung durch die Eingabedienste gesendet werden, die dem Dienstsatz zugeordnet sind.vrf_svcs
Was
Zeigt die Anzahl der Pakete an, die von den Eingabediensten zur Verarbeitung gesendet wurden, die dem Servicesatz zugeordnet sind.vrf_svcs
[edit] user@host> show firewall filter in_filter_presvc-vrf_svcs counter svc_in_pkts
Überprüfen, ob eingehender Datenverkehr nach der Verarbeitung des Eingabediensts gefiltert wird
Zweck
Stellen Sie sicher, dass eingehende Pakete, die von TCP-Port 179 gesendet werden, von der Verarbeitung durch die Eingabedienste zurückgegeben werden, die dem Dienstsatz zugeordnet sind.vrf_svcs
Was
Zeigt die Anzahl der Pakete an, die von der Verarbeitung durch die Eingabedienste zurückgegeben werden, die der Servicegruppe zugeordnet sind.vrf_svcs
[edit] user@host> show firewall filter in_filter_postsvc-vrf_svcs counter svc_in_pkts_rtn
Überprüfen, ob der ausgehende Datenverkehr vor der Verarbeitung des Ausgabediensts gefiltert wird
Zweck
Stellen Sie sicher, dass ausgehende Pakete, die an ICMP-Port 179 gesendet werden, zur Verarbeitung durch die Ausgabedienste gesendet werden, die dem Dienstsatz zugeordnet sind.vrf_svcs
Was
Zeigt die Anzahl der Pakete an, die von den Ausgabediensten , die dem Dienstsatz zugeordnet sind, zur Verarbeitung gesendet wurden.vrf_svcs
[edit] user@host> show firewall filter out_filter_presvc-vrf_svcs counter svc_out_pkts