Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Instructions pour l’application des filtres de service

Restrictions pour les interfaces de services adaptatifs

Les restrictions suivantes s’appliquent aux interfaces de services adaptatifs et aux filtres de service.

Interfaces de services adaptatifs

Vous pouvez appliquer un filtre de service au trafic IPv4 ou IPv6 associé à un ensemble de services au niveau d’une interface de services adaptatifs uniquement. Les interfaces de services adaptatifs sont prises en charge uniquement pour le matériel suivant :

  • Services adaptatifs (AS) PICs sur les routeurs M Series et T Series

  • PIC multiservices (MS) sur les routeurs M Series et T Series

  • DPC MS sur les routeurs MX Series et les commutateurs EX Series

  • MS MPC et MIC sur les routeurs MX Series

Journalisation système sur un hôte distant à partir de routeurs M Series

La journalisation des messages des interfaces de services adaptatifs sur un serveur externe au moyen du port ou em0 n’est fxp0 pas prise en charge sur les routeurs M Series. L’architecture ne prend pas en charge la journalisation système du trafic à partir d’une interface de gestion. Au lieu de cela, l’accès à un serveur externe est pris en charge sur une interface du moteur de transfert de paquets.

Hiérarchie d’instructions pour l’application de filtres de service

Vous pouvez activer le filtrage des paquets de trafic IPv4 ou IPv6 avant qu’un paquet ne soit accepté pour le traitement des services d’entrée ou de sortie. Pour ce faire, appliquez un filtre de service à l’entrée ou à la sortie de l’interface de services adaptatifs conjointement avec un jeu de services d’interface.

Vous pouvez également activer le filtrage de paquets du trafic IPv4 ou IPv6 qui retourne au moteur de transfert de paquets une fois le traitement du service d’entrée terminé. Pour ce faire, appliquez un filtre post-service à l’entrée de l’interface de services adaptatifs.

La configuration suivante indique les niveaux hiérarchiques auxquels vous pouvez appliquer les filtres de service aux interfaces de services adaptatifs :

Association de règles de service à des interfaces de services adaptatifs

Pour définir et regrouper les règles de service à appliquer à une interface de services adaptatifs, vous définissez un ensemble de services d’interface en incluant l’instruction service-set service-set-name au niveau de la [edit services] hiérarchie.

Pour appliquer un ensemble de services d’interface à l’entrée et à la sortie d’une interface de services adaptatifs, vous devez inclure les service-set service-set-name aux niveaux hiérarchiques suivants :

  • [edit interfaces interface-name unit unit-number input]

  • [edit interfaces interface-name unit unit-number output]

Si vous appliquez un ensemble de services dans une direction d’une interface de services adaptatifs, mais que vous n’appliquez pas un ensemble de services dans l’autre direction, une erreur se produit lorsque vous validez la configuration.

Le PIC des services adaptatifs effectue des actions différentes selon que le paquet est envoyé au PIC pour le service d’entrée ou pour le service de sortie. Par exemple, vous pouvez configurer un ensemble de services unique pour effectuer la traduction d’adresses réseau (NAT) dans un sens et le NAT de destination (dNAT) dans l’autre sens.

Filtrage du trafic avant d’accepter des paquets pour le traitement de services

Pour filtrer le trafic IPv4 ou IPv6 avant d’accepter des paquets pour le traitement des services d’entrée ou de sortie, incluez le service-set service-set-name service-filter service-filter-name bouton à l’une des interfaces suivantes :

  • [edit interfaces interface-name unit unit-number family (inet | inet6) service input]

  • [edit interfaces interface-name unit unit-number family (inet | inet6) service output]

Pour le service-set-name, spécifiez un ensemble de services configuré au niveau de la [edit services service-set] hiérarchie.

L’ensemble de services conserve les informations d’interface d’entrée même après l’application des services, de sorte que les fonctions telles que le transfert de classe de filtre et l’utilisation de la classe de destination (DCU) qui dépendent des informations d’interface d’entrée continuent de fonctionner.

Les exigences suivantes s’appliquent au filtrage du trafic entrant ou sortant avant d’accepter des paquets pour le traitement des services :

  • Vous configurez le même ensemble de services sur les côtés entrée et sortie de l’interface.

  • Si vous incluez l’instruction service-set sans définition facultative service-filter , Junos OS suppose que la condition de correspondance est true et sélectionne automatiquement le jeu de services à traiter.

  • Le filtre de service n’est appliqué que si un ensemble de services est configuré et sélectionné.

Vous pouvez inclure plusieurs définitions d’ensemble de services de chaque côté d’une interface. Les directives suivantes s’appliquent :

  • Si vous incluez plusieurs ensembles de services, le logiciel du routeur (ou du commutateur) les évalue dans l’ordre dans lequel ils apparaissent dans la configuration. Le système exécute le premier jeu de services pour lequel il trouve une correspondance dans le filtre de service et ignore les définitions suivantes.

  • Un maximum de six ensembles de services peuvent être appliqués à une interface.

  • Lorsque vous appliquez plusieurs ensembles de services à une interface, vous devez également configurer et appliquer un filtre de service à l’interface.

Filtrage post-service du trafic de service de retour

En option pour filtrer le trafic de service d’entrée IPv4 ou IPv6, vous pouvez appliquer un filtre de service au trafic IPv4 ou IPv6 qui retourne à l’interface de services après l’exécution de l’ensemble de services. Pour appliquer un filtre de service de cette manière, incluez l’instruction post-service-filter service-filter-name au niveau de la [edit interfaces interface-name unit unit-number family (inet | inet6) service input] hiérarchie.

Rubriques connexes