Directrices para aplicar filtros de servicio
Restricciones para interfaces de servicios adaptables
Las siguientes restricciones se aplican a las interfaces de servicios adaptables y a los filtros de servicio.
- Interfaces de servicios adaptables
- Registro del sistema en un host remoto desde enrutadores de la serie M
Interfaces de servicios adaptables
Puede aplicar un filtro de servicio al tráfico IPv4 o IPv6 asociado con un conjunto de servicios solo en una interfaz de servicios adaptables . Las interfaces de servicios adaptables solo son compatibles con el siguiente hardware:
PIC de servicios adaptativos (AS) en enrutadores serie M y T
PIC multiservicios (MS) en enrutadores serie M y T
MS DPC en enrutadores serie MX y conmutadores serie EX
MPC y MIC de MS en enrutadores serie MX
Registro del sistema en un host remoto desde enrutadores de la serie M
El registro de mensajes de interfaces de servicios adaptables en un servidor externo mediante el puerto o no se admite en los enrutadores de la serie M.fxp0em0 La arquitectura no admite el tráfico de cierre de sesión del sistema desde una interfaz de administración. En su lugar, el acceso a un servidor externo se admite en una interfaz de motor de reenvío de paquetes.
Jerarquía de instrucciones para aplicar filtros de servicio
Puede habilitar el filtrado de paquetes del tráfico IPv4 o IPv6 antes de que se acepte un paquete para el procesamiento del servicio de entrada o salida. Para ello, aplique un filtro de servicio a la entrada o salida de la interfaz de servicios adaptables junto con un conjunto de servicios de interfaz.
También puede habilitar el filtrado de paquetes del tráfico IPv4 o IPv6 que regresa al motor de reenvío de paquetes una vez completado el procesamiento del servicio de entrada. Para ello, aplique un filtro posterior al servicio a la entrada de la interfaz de servicios adaptables.
La siguiente configuración muestra los niveles de jerarquía en los que puede aplicar los filtros de servicio a las interfaces de servicios adaptables:
[edit]
interfaces {
interface-name {
unit unit-number {
family (inet | inet6) {
service {
input {
service-set service-set-name service-filter service-filter-name;
post-service-filter service-filter-name;
}
output {
service-set service-set-name service-filter service-filter-name;
}
}
}
}
}
}
Asociación de reglas de servicio con interfaces de servicios adaptables
Para definir y agrupar las reglas de servicio que se aplicarán a una interfaz de servicios adaptables, defina un conjunto de servicios de interfaz incluyendo la instrucción en el nivel de jerarquía.service-set service-set-name[edit services]
Para aplicar un conjunto de servicios de interfaz a la entrada y salida de una interfaz de servicios adaptables, incluya los en los siguientes niveles de jerarquía:service-set service-set-name
[edit interfaces interface-name unit unit-number input][edit interfaces interface-name unit unit-number output]
Si aplica un conjunto de servicios a una dirección de una interfaz de servicios adaptables pero no aplica un conjunto de servicios a la otra dirección, se produce un error al confirmar la configuración.
La PIC de servicios adaptativos realiza diferentes acciones dependiendo de si el paquete se envía a la PIC para el servicio de entrada o para el servicio de salida. Por ejemplo, puede configurar un único conjunto de servicios para realizar la traducción de direcciones de red (NAT) en una dirección y la NAT de destino (dNAT) en la otra.
Filtrar el tráfico antes de aceptar paquetes para el procesamiento del servicio
Para filtrar el tráfico IPv4 o IPv6 antes de aceptar paquetes para el procesamiento del servicio de entrada o salida, incluya el at en una de las siguientes interfaces:service-set service-set-name service-filter service-filter-name
[edit interfaces interface-name unit unit-number family (inet | inet6) service input][edit interfaces interface-name unit unit-number family (inet | inet6) service output]
Para el , especifique un conjunto de servicios configurado en el nivel de jerarquía.service-set-name[edit services service-set]
El conjunto de servicios conserva la información de la interfaz de entrada incluso después de aplicar los servicios, de modo que funciones como el reenvío de clase de filtro y el uso de clase de destino (DCU) que dependen de la información de la interfaz de entrada siguen funcionando.
Los siguientes requisitos se aplican al filtrado del tráfico entrante o saliente antes de aceptar paquetes para el procesamiento del servicio:
El mismo conjunto de servicios se configura en los lados de entrada y salida de la interfaz.
Si incluye la instrucción sin una definición opcional, Junos OS asume que la condición de coincidencia es true y selecciona el conjunto de servicios para su procesamiento automáticamente.
service-setservice-filterEl filtro de servicio sólo se aplica si se configura y selecciona un conjunto de servicios.
Puede incluir más de una definición de conjunto de servicios a cada lado de una interfaz. Se aplican las siguientes directrices:
Si incluye varios conjuntos de servicios, el software del enrutador (o conmutador) los evalúa en el orden en que aparecen en la configuración. El sistema ejecuta el primer conjunto de servicios para el que encuentra una coincidencia en el filtro de servicio e ignora las definiciones posteriores.
Se puede aplicar un máximo de seis conjuntos de servicios a una interfaz.
Cuando se aplican varios conjuntos de servicios a una interfaz, también se debe configurar y aplicar un filtro de servicio a la interfaz.
Filtrado posterior al servicio del tráfico de servicio que devuelve
Como opción para filtrar el tráfico del servicio de entrada IPv4 o IPv6, puede aplicar un filtro de servicio al tráfico IPv4 o IPv6 que regresa a la interfaz de servicios después de ejecutar el conjunto de servicios. Para aplicar un filtro de servicio de esta manera, incluya la instrucción en el nivel de jerarquía.post-service-filter service-filter-name[edit interfaces interface-name unit unit-number family (inet | inet6) service input]