서비스 필터 적용 지침
적응형 서비스 인터페이스에 대한 제한 사항
적응형 서비스 인터페이스 및 서비스 필터에는 다음과 같은 제한 사항이 적용됩니다.
적응형 서비스 인터페이스
적응형 서비스 인터페이스에서만 설정된 서비스와 연결된 IPv4 또는 IPv6 트래픽에 서비스 필터를 적용할 수 있습니다 . 적응형 서비스 인터페이스는 다음 하드웨어에서만 지원됩니다.
M 시리즈 및 T 시리즈 라우터의 Adaptive Services(AS) PIC
M 시리즈 및 T 시리즈 라우터의 멀티서비스(MS) PIC
MX 시리즈 라우터 및 EX 시리즈 스위치의 MS DPC
MX 시리즈 라우터의 MS MPC AND MIC
M 시리즈 라우터에서 원격 호스트로 시스템 로깅
또는 포트를 통해 외부 서버에 대한 적응형 서비스 인터페이스 메시지를 로깅하는 것은 M 시리즈 라우터에서 지원되지 않습니다.fxp0em0 이 아키텍처는 관리 인터페이스에서 나가는 시스템 로깅 트래픽을 지원하지 않습니다. 대신 패킷 전달 엔진 인터페이스에서 외부 서버에 대한 액세스가 지원됩니다.
서비스 필터 적용을 위한 문 계층
패킷이 입력 또는 출력 서비스 처리를 위해 수락되기 전에 IPv4 또는 IPv6 트래픽의 패킷 필터링을 활성화할 수 있습니다. 이를 위해서는 인터페이스 서비스 세트와 함께 적응형 서비스 인터페이스 입력 또는 출력에 서비스 필터를 적용합니다.
입력 서비스 처리가 완료된 후 패킷 전달 엔진으로 되돌아오는 IPv4 또는 IPv6 트래픽의 패킷 필터링을 활성화할 수도 있습니다. 이를 위해서는 어댑티브 서비스 인터페이스 입력에 사후 서비스 필터를 적용해야 합니다.
다음 구성은 서비스 필터를 적응형 서비스 인터페이스에 적용할 수 있는 계층 수준을 보여줍니다.
[edit]
interfaces {
interface-name {
unit unit-number {
family (inet | inet6) {
service {
input {
service-set service-set-name service-filter service-filter-name;
post-service-filter service-filter-name;
}
output {
service-set service-set-name service-filter service-filter-name;
}
}
}
}
}
}
서비스 규칙을 적응형 서비스 인터페이스와 연결
적응형 서비스 인터페이스에 적용될 서비스 규칙을 정의하고 그룹화하려면 계층 수준에서 문을 포함하여 인터페이스 서비스 세트를 정의합니다.service-set service-set-name[edit services]
적응형 서비스 인터페이스의 입력 및 출력에 인터페이스 서비스 세트를 적용하려면 다음 계층 수준에서 을 (를) 포함합니다.service-set service-set-name
[edit interfaces interface-name unit unit-number input][edit interfaces interface-name unit unit-number output]
서비스 세트를 적응형 서비스 인터페이스의 한 방향에 적용하지만 서비스 세트를 다른 방향에 적용하지 않으면 구성을 커밋할 때 오류가 발생합니다.
적응형 서비스 PIC는 패킷이 입력 서비스 또는 출력 서비스를 위해 PIC로 전송되는지 여부에 따라 다른 작업을 수행합니다. 예를 들어 한 방향으로는 NAT(네트워크 주소 변환)를 수행하고 다른 방향으로는 dNAT(대상 NAT)를 수행하도록 단일 서비스 세트를 구성할 수 있습니다.
서비스 처리를 위해 패킷을 수락하기 전에 트래픽 필터링
입력 또는 출력 서비스 처리를 위해 패킷을 수락하기 전에 IPv4 또는 IPv6 트래픽을 필터링하려면 다음 인터페이스 중 하나에 을 (를) 포함합니다.service-set service-set-name service-filter service-filter-name
[edit interfaces interface-name unit unit-number family (inet | inet6) service input][edit interfaces interface-name unit unit-number family (inet | inet6) service output]
의 경우, 계층 수준에서 구성된 서비스 세트를 지정합니다.service-set-name[edit services service-set]
서비스 세트는 서비스가 적용된 후에도 입력 인터페이스 정보를 유지하므로 입력 인터페이스 정보에 의존하는 필터 클래스 포워딩 및 DCU(대상 클래스 사용)와 같은 기능이 계속 작동합니다.
서비스 처리를 위해 패킷을 수락하기 전에 인바운드 또는 아웃바운드 트래픽을 필터링하는 데 다음 요구 사항이 적용됩니다.
인터페이스의 입력 및 출력 측에 동일한 서비스 세트를 구성합니다.
선택적 정의 없이 명령문을 포함하는 경우, Junos OS는 일치 조건이 true라고 가정하고 자동으로 처리할 서비스 세트를 선택합니다.
service-setservice-filter서비스 필터는 서비스 세트가 구성되고 선택된 경우에만 적용됩니다.
인터페이스의 각 측면에 둘 이상의 서비스 세트 정의를 포함할 수 있습니다. 다음 지침이 적용됩니다.
여러 서비스 세트를 포함하는 경우 라우터(또는 스위치) 소프트웨어는 구성에 나타나는 순서대로 평가합니다. 시스템은 서비스 필터에서 일치하는 항목을 찾은 첫 번째 서비스 집합을 실행하고 후속 정의를 무시합니다.
인터페이스에 최대 6개의 서비스 세트를 적용할 수 있습니다.
인터페이스에 여러 서비스 세트를 적용할 때 서비스 필터도 구성하고 인터페이스에 적용해야 합니다.
반환된 서비스 트래픽의 사후 서비스 필터링
IPv4 또는 IPv6 입력 서비스 트래픽 필터링 옵션으로, 서비스 세트가 실행된 후 서비스 인터페이스로 돌아오는 IPv4 또는 IPv6 트래픽에 서비스 필터를 적용할 수 있습니다. 이러한 방식으로 서비스 필터를 적용하려면 계층 수준에서 문을 포함합니다.post-service-filter service-filter-name[edit interfaces interface-name unit unit-number family (inet | inet6) service input]