Exemple : Configuration et application de filtres de service
Cet exemple montre comment configurer et appliquer des filtres de service.
Conditions préalables
Cet exemple utilise l’interface xe-0/1/0.0 logique sur l’un des composants matériels suivants :
PIC Adaptive Services (AS) sur un routeur M Series ou T Series
PIC multiservices (MS) sur un routeur M Series ou T Series
DPC multiservices (MS) sur un routeur MX Series
Commutateur EX Series
Avant de commencer, assurez-vous d’avoir :
Installez le routeur (ou le commutateur) et les PICs ou DPC pris en charge, puis effectuez la configuration initiale du routeur (ou du commutateur) - effectué.
Configurez l’Ethernet de base dans la topologie et vérifiez que le trafic circule dans la topologie et que le trafic IPv4 transite par l’interface
xe-0/1/0.0logique .Configurez l’ensemble
vrf_svcsde services avec des règles d’entrée et de sortie de service et des paramètres par défaut pour les services sur une interface de service - effectué.
Pour obtenir des instructions sur la configuration des ensembles de services, reportez-vous à la section Configuration des ensembles de services à appliquer aux interfaces de services.
Présentation
Dans cet exemple, vous allez créer trois types de filtres de service pour le trafic IPv4 : un filtre de service d’entrée, un filtre d’entrée de post-service et un filtre de service de sortie. Différents filtres de service peuvent être appliqués au même ensemble de services. Voir aussi : Configuration des ensembles de services à appliquer aux interfaces de services
Topologie
Vous appliquez le filtre de service d’entrée et le filtre d’entrée de service de post-service au trafic d’entrée au niveau de l’interface logique , et vous appliquez le filtre de service de sortie au trafic de sortie de la même interface xe-0/1/0.0logique.
Filtrage du trafic IPv4 avant qu’il ne soit accepté pour le traitement des services d’entrée : à l’interface
xe-0/1/0.0logique , vous utilisez le filtrein_filter_presvcde service pour filtrer le trafic d’entrée IPv4 avant que le trafic ne puisse être accepté pour traitement par les services associés à l’ensemble devrf_svcsservices . Lein_filter_presvcfiltre de service compte les paquets envoyés à partir du port ICMP 179, dirige ces paquets vers les services d’entrée associés à l’ensemblevrf_svcsde services et ignore tous les autres paquets.Filtrage du trafic IPv4 une fois qu’il a terminé le traitement du service d’entrée : au niveau de l’interface logique , vous utilisez le filtre
in_filter_postsvcde service pour filtrer le trafic qui retourne à l’interfacexe-0/1/0.0de services après l’exécution de l’ensemblein_filter_presvcde services d’entrée. Lein_filter_postsvcfiltre de service compte les paquets envoyés à partir du port ICMP 179, puis les rejette.Filtrage du trafic IPv4 avant qu’il ne soit accepté pour le traitement du service de sortie : à l’interface
xe-0/1/0.0logique , vous utilisez le filtreout_filter_presvcde service pour filtrer le trafic de sortie IPv4 avant que le trafic ne puisse être accepté pour traitement par les services associés à l’ensemblevrf_svcsde services . Leout_filter_presvcfiltre de service compte les paquets destinés au port TCP 179, puis dirige les paquets vers les services de sortie associés à l’ensemblevrf_svcsde services.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configuration des trois filtres de service
- Application des trois filtres de service
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set firewall family inet service-filter in_filter_presvc term t1 from protocol tcp set firewall family inet service-filter in_filter_presvc term t1 from source-port bgp set firewall family inet service-filter in_filter_presvc term t1 then count svc_in_pkts set firewall family inet service-filter in_filter_presvc term t1 then service set firewall family inet service-filter in_filter_postsvc term t2 from protocol tcp set firewall family inet service-filter in_filter_postsvc term t2 from source-port bgp set firewall family inet service-filter in_filter_postsvc term t2 then count svc_in_pkts_rtn set firewall family inet service-filter in_filter_postsvc term t2 then skip set firewall family inet service-filter out_filter_presvc term t3 from protocol icmp set firewall family inet service-filter out_filter_presvc term t3 from destination-port bgp set firewall family inet service-filter out_filter_presvc term t3 then count svc_out_pkts set firewall family inet service-filter out_filter_presvc term t3 then service set interfaces xe-0/1/0 unit 0 family inet service input service-set vrf_svcs service-filter in_filter_presvc set interfaces xe-0/1/0 unit 0 family inet service input post-service-filter in_filter_postsvc set interfaces xe-0/1/0 unit 0 family inet service output service-set vrf_svcs service-filter out_filter_presvc
Configuration des trois filtres de service
Procédure étape par étape
Pour configurer les trois filtres de service :
Configurez le filtre de service d’entrée.
[edit] user@host# edit firewall family inet service-filter in_filter_presvc [edit firewall family inet service-filter in_filter_presvc] user@host# set term t1 from protocol tcp user@host# set term t1 from source-port bgp user@host# set term t1 then count svc_in_pkts user@host# set term t1 then service
Configurez le filtre d’entrée postservice.
[edit] user@host# edit firewall family inet service-filter in_filter_postsvc [edit firewall family inet service-filter in_filter_postsvc] user@host# set term t2 from protocol tcp user@host# set term t2 from source-port bgp user@host# set term t2 then count svc_in_pkts_rtn user@host# set term t2 then skip
Configurez le filtre de service de sortie.
[edit] user@host# edit firewall family inet service-filter out_filter_presvc [edit firewall family inet service-filter out_filter_presvc] user@host# set term t3 from protocol icmp user@host# set term t3 from destination-port bgp user@host# set term t3 then count svc_out_pkts user@host# set term t3 then service
Résultats
Confirmez la configuration des filtres de service d’entrée et de sortie et du filtre d’entrée post-service en entrant la commande de mode de show firewall configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show firewall
family inet {
service-filter in_filter_presvc {
term t1 {
from {
protocol tcp;
source-port bgp;
}
then {
count svc_in_pkts;
service;
}
}
}
service-filter in_filter_postsvc {
term t2 {
from {
protocol tcp;
source-port bgp;
}
then {
count svc_in_pkts_rtn;
skip;
}
}
}
service-filter out_filter_presvc {
term t3 {
from {
protocol icmp;
destination-port bgp;
}
then {
count svc_out_pkts;
service;
}
}
}
}
Application des trois filtres de service
Procédure étape par étape
Pour appliquer les trois filtres de service :
Accédez au protocole IPv4 sur l’interface
xe-0/1/0.0d’entrée.[edit] user@host# edit interfaces xe-0/1/0 unit 0 family inet
Appliquez le filtre de service d’entrée et le filtre d’entrée de service de post-service.
[edit interfaces xe-0/1/0 unit 0 family inet] user@host# set service input service-set vrf_svcs service-filter in_filter_presvc user@host# set service input post-service-filter in_filter_postsvc user@host# set service output service-set vrf_svcs service-filter out_filter_presvc
Résultats
Confirmez la configuration des interfaces en entrant la commande configuration show interfaces mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
[edit]
user@host# show interfaces
xe-0/1/0 {
unit 0 {
family inet {
service {
input {
service-set vrf_svcs service-filter in_filter_presvc;
post-service-filter in_filter_postsvc;
}
output {
service-set vrf_svcs service-filter out_filter_presvc;
}
}
}
}
}
Lorsque vous avez terminé de configurer l’appareil, validez votre configuration candidate.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification du filtrage du trafic entrant avant le service d’entrée
- Vérification du filtrage du trafic entrant après le traitement du service d’entrée
- Vérification du filtrage du trafic sortant avant le traitement du service de sortie
Vérification du filtrage du trafic entrant avant le service d’entrée
But
Vérifiez que les paquets entrants envoyés à partir du port TCP 179 sont envoyés pour traitement par les services d’entrée associés à l’ensemble vrf_svcsde services.
Action
Affiche le nombre de paquets envoyés pour traitement par les services d’entrée associés à l’ensemble vrf_svcsde services.
[edit] user@host> show firewall filter in_filter_presvc-vrf_svcs counter svc_in_pkts
Vérification du filtrage du trafic entrant après le traitement du service d’entrée
But
Vérifiez que les paquets entrants envoyés à partir du port TCP 179 sont renvoyés par les services d’entrée associés à l’ensemble vrf_svcsde services.
Action
Affiche le nombre de paquets renvoyés par le traitement par les services d’entrée associés à l’ensemble vrf_svcsde services.
[edit] user@host> show firewall filter in_filter_postsvc-vrf_svcs counter svc_in_pkts_rtn
Vérification du filtrage du trafic sortant avant le traitement du service de sortie
But
Vérifiez que les paquets sortants envoyés au port ICMP 179 sont envoyés pour traitement par les services de sortie associés à l’ensemble vrf_svcsde services.
Action
Affiche le nombre de paquets envoyés pour traitement par les services de sortie associés à l’ensemble vrf_svcsde services.
[edit] user@host> show firewall filter out_filter_presvc-vrf_svcs counter svc_out_pkts