Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Directives pour l’application des filtres de services

Restrictions pour les interfaces de services adaptatifs

Les restrictions suivantes s’appliquent aux interfaces de services adaptatives et aux filtres de services.

Interfaces de services adaptatives

Vous pouvez appliquer un filtre de service au trafic IPv4 ou IPv6 associé à un ensemble de services sur une interface de services adaptative uniquement. Les interfaces de services adaptatives sont uniquement adaptées aux matériels suivants:

  • PiCs de services adaptatifs (AS) sur M Series et T Series routeurs

  • MS (Multiservices) PICs sur M Series et T Series routeurs

  • MS DPC sur les routeurs MX Series et les commutateurs EX Series routeurs

  • MPC et MPC MS sur MX Series routeurs

Connexion système à un hôte distant à partir M Series routeurs

La journalisation des interfaces de services adaptatifs permet d’envoyer des messages à un serveur externe à l’aide du ou du port et n’est pas prise en charge fxp0em0 M Series routeurs externes. L’architecture ne prend pas en charge la journalisation du trafic système à partir d’une interface de gestion. Au lieu de cela, l’accès à un serveur externe est pris en charge sur moteur de transfert de paquets interface réseau.

Hiérarchie des instructions pour l’application de filtres de services

Vous pouvez activer le filtrage de paquets du trafic IPv4 ou IPv6 avant qu’un paquet ne soit accepté pour le traitement des services d’entrée ou de sortie. Pour ce faire, appliquez un filtre de service à l’entrée ou à la sortie de l’interface de services adaptatives en conjonction avec un ensemble de services d’interface.

Vous pouvez également activer le filtrage par paquets du trafic IPv4 ou IPv6 qui revient au moteur de transfert de paquets une fois le traitement des services d’entrée terminé. Pour ce faire, appliquez un filtre post-service à l’entrée de l’interface de services adaptative.

La configuration suivante affiche les niveaux hiérarchiques à partir des lesquels vous pouvez appliquer les filtres de services aux interfaces de services adaptatives:

Association des règles de service avec des interfaces de services adaptatives

Pour définir et grouper les règles de service à appliquer à une interface de services adaptative, vous définissez un service d’interface en incluant l’instruction au niveau de service-set service-set-name la [edit services] hiérarchie.

Pour appliquer un ensemble de services d’interface à l’entrée et au sortie d’une interface de services adaptatifs, vous pouvez inclure les niveaux hiérarchiques service-set service-set-name suivants:

  • [edit interfaces interface-name unit unit-number input]

  • [edit interfaces interface-name unit unit-number output]

Si vous appliquez un ensemble de services à une direction d’une interface de services adaptative mais n’appliquez pas un ensemble de services dans l’autre direction, une erreur se produit lorsque vous validation de la configuration.

Le PIC de services adaptatifs effectue différentes actions selon que le paquet est envoyé au PIC pour le service d’entrée ou pour le service de sortie. Par exemple, vous pouvez configurer un ensemble de services unique pour effectuer des traduction des adresses réseau (NAT) dans une direction et une destination NAT (dNAT) dans l’autre.

Filtrage du trafic avant d’accepter des paquets pour le traitement des services

Pour filtrer le trafic IPv4 ou IPv6 avant d’accepter les paquets pour le traitement des services d’entrée ou de sortie, inclure l’à l’une des service-set service-set-name service-filter service-filter-name interfaces suivantes:

  • [edit interfaces interface-name unit unit-number family (inet | inet6) service input]

  • [edit interfaces interface-name unit unit-number family (inet | inet6) service output]

Pour le service-set-name , spécifiez un ensemble de services configuré au niveau [edit services service-set] de la hiérarchie.

L’ensemble de services conserve les informations d’interface d’entrée même après l’application des services. Ainsi, des fonctions telles que le forwarding de classe filtre et l’utilisation de la classe de destination (DCU) qui dépendent des informations de l’interface d’entrée continuent de fonctionner.

Les exigences suivantes s’appliquent au filtrage du trafic entrant ou sortant avant d’accepter les paquets pour le traitement des services:

  • Vous configurez le même ensemble de services sur les côtés entrée et sortie de l’interface.

  • Si vous inclut l’instruction sans définition facultative, l’Junos OS part du principe que la condition de correspondance est vraie et sélectionne l’ensemble de services à traiter service-setservice-filter automatiquement.

  • Le filtre de service n’est appliqué que si un ensemble de services est configuré et sélectionné.

Vous pouvez inclure plusieurs définitions de services de chaque côté d’une interface. Les directives suivantes s’appliquent:

  • Si vous inclut plusieurs ensembles de services, le logiciel de routeur (ou de commutateur) les évalue selon l’ordre dans lequel ils apparaissent dans la configuration. Le système exécute le premier ensemble de services pour lequel il trouve une correspondance dans le filtre de service et ignore les définitions suivantes.

  • Six ensembles de services maximum peuvent être appliqués à une interface.

  • Lorsque vous appliquez plusieurs ensembles de services à une interface, vous devez également configurer et appliquer un filtre de service à l’interface.

Filtrage après-service du trafic de retour du service

En tant qu’option pour le filtrage du trafic de services d’entrée IPv4 ou IPv6, vous pouvez appliquer un filtre de service au trafic IPv4 ou IPv6 qui retourne à l’interface de services après l’exécution de l’ensemble de services. Pour appliquer un filtre de service de cette manière, inclure l’instruction au post-service-filter service-filter-name niveau [edit interfaces interface-name unit unit-number family (inet | inet6) service input] de la hiérarchie.