Filtros de servicio
Filtros de servicio en la serie ACX
Cuando aplique un conjunto de servicios al tráfico en una interfaz de servicios en línea, puede utilizar filtros de servicio opcionalmente para refinar el destino del conjunto de servicios y también para procesar el tráfico. Los filtros de servicio permiten manipular el tráfico mediante la filtración de paquetes a un conjunto definido de servicios en una interfaz de servicios en línea antes de que el tráfico llegue a su destino. En enrutadores de la serie ACX, puede aplicar un filtro de servicio al tráfico antes de que se acepten los paquetes para el procesamiento del servicio de entrada.
En los enrutadores de la serie ACX, los filtros se implementan mediante el service-set espacio de memoria ternaria direccionable de contenido (TCAM). El filtro de familia de puentes comparte el espacio TCAM asignado. El mismo espacio es compartido por el filtro NNI-Address-Overload-Reverse (para cada conjunto de servicios configurado con sobrecarga de direcciones, los filtros internos se configuran para la dirección IP sobrecargada dada y el rango de puertos para redirigir el tráfico de NAT inversa (público a privado) coincidente al servicio). Desde una perspectiva de escalamiento, estas características comparten las 124 entradas TCAM de hardware asignadas y la asignación de entradas TCAM funciona por orden de llegada.
Ver también
Directrices para la aplicación de filtros de servicio
En este tema, se trata la siguiente información:
- Restricciones para interfaces de servicios en línea
- Jerarquía de instrucciones para aplicar filtros de servicio
- Asociación de reglas de servicio con interfaces de servicios en línea
- Filtrar el tráfico antes de aceptar paquetes para el procesamiento del servicio
Restricciones para interfaces de servicios en línea
Puede aplicar un filtro de servicio al tráfico IPv4 asociado con un conjunto de servicios solo en una interfaz de servicios en línea .
Los enrutadores de la serie ACX no admiten filtros posteriores al servicio.
Jerarquía de instrucciones para aplicar filtros de servicio
Puede habilitar el filtrado de paquetes del tráfico IPv4 antes de que se acepte un paquete para el procesamiento del servicio de entrada. Para ello, aplique un filtro de servicio a la entrada de interfaz de servicios en línea junto con un conjunto de servicios de interfaz.
En la siguiente configuración, se muestran los niveles de jerarquía en los que puede aplicar los filtros de servicio a las interfaces de servicios en línea:
[edit]
interfaces {
interface-name {
unit unit-number {
family (inet | inet6) {
service {
input {
service-set service-set-name service-filter service-filter-name;
}
output {
[ service-set service-set-name <service-filter filter-name> ];
}
}
}
}
}
}
Asociación de reglas de servicio con interfaces de servicios en línea
Para definir y agrupar las reglas de servicio que se aplicarán a una interfaz de servicios en línea, defina un conjunto de servicios de interfaz incluyendo la service-set service-set-name instrucción en el nivel de [edit services] jerarquía.
Para aplicar un conjunto de servicios de interfaz a la entrada de una interfaz de servicios en línea, incluya el conjunto service-set-namede servicios en los siguientes niveles de jerarquía:
[edit interfaces interface-name unit unit-number input]
Filtrar el tráfico antes de aceptar paquetes para el procesamiento del servicio
Para filtrar el tráfico IPv4 antes de aceptar paquetes para el procesamiento del servicio de entrada, incluya el service-set service-set-name service-filter service-filter-name en el siguiente nivel de jerarquía:
[edit interfaces interface-name unit unit-number family inet service input]
Para , service-set-nameespecifique un conjunto de servicios configurado en el [edit services service-set] nivel de jerarquía.
El conjunto de servicios conserva la información de la interfaz de entrada incluso después de aplicar los servicios, de modo que las funciones como el reenvío de clase de filtro que dependen de la información de la interfaz de entrada siguen funcionando.
Los siguientes requisitos se aplican al filtrado del tráfico entrante o saliente antes de aceptar paquetes para el procesamiento del servicio:
Configure el mismo conjunto de servicios en los lados de entrada y salida de la interfaz.
Si incluye la
service-setinstrucción sin una definición de filtro de servicio opcional, Junos OS asume que la condición de coincidencia es verdadera y selecciona el conjunto de servicios para su procesamiento automáticamente.El filtro de servicio solo se aplica si se configura y selecciona un conjunto de servicios.
Ver también
Condiciones de coincidencia de filtro de servicio para tráfico IPv4
En la serie ACX, los filtros de servicio solo admiten un subconjunto de las condiciones de coincidencia de filtro de firewall sin estado para el tráfico IPv4. En la Tabla 1 se describen las condiciones de coincidencia del filtro de servicio.
Condición de coincidencia |
Descripción |
Familias de protocolos |
|---|---|---|
dirección de destino address |
Hacer coincidir el campo de dirección de destino IP. |
INET FAMILIAR |
puerto de destino number |
Hacer coincidir el campo Puerto de destino UDP o TCP. No puede especificar las condiciones de coincidencia de puerto y puerto de destino en el mismo término. Si configura esta condición de coincidencia para el tráfico IPv4, se recomienda configurar también la instrucción de coincidencia de protocolo udp o protocolo tcp en el mismo término para especificar qué protocolo se está utilizando en el puerto. |
INET FAMILIAR |
Opciones de IP values |
Hacer coincidir el campo de opción IP de 8 bits, si está presente, con el valor o la lista de valores especificados. |
INET FAMILIAR |
protocolo number |
Hacer coincidir el campo Tipo de protocolo IP. |
INET FAMILIAR |
dirección addressde origen |
Hacer coincidir la dirección IP de origen. |
INET FAMILIAR |
puerto de origen number |
Hacer coincidir el campo Puerto de origen UDP o TCP. Si configura esta condición de coincidencia para el tráfico IPv4, se recomienda configurar también la instrucción de coincidencia de protocolo udp o protocolo tcp en el mismo término para especificar qué protocolo se está utilizando en el puerto. |
INET FAMILIAR |
Indicadores TCP value |
Haga coincidir uno o más de los 6 bits de orden inferior en el campo Indicadores TCP de 8 bits en el encabezado TCP. Si configura esta condición de coincidencia para el tráfico IPv4, se recomienda configurar también la instrucción de coincidencia del protocolo tcp en el mismo término para especificar que el protocolo TCP se está utilizando en el puerto. |
INET FAMILIAR |
Ver también
Acciones de filtro de servicio
La serie ACX admite diferentes conjuntos de acciones de terminación y no terminación que se pueden configurar en un término de filtro de servicio.
Los filtros de servicio no admiten la acción del siguiente término .
En la tabla 2 se describen las acciones de terminación que puede configurar en un término de filtro de servicio.
Acción de terminación |
Descripción |
Familias de protocolos |
|---|---|---|
servicio |
Dirija el paquete al servicio de procesamiento. |
inet |
En la tabla 3 se describen las acciones de no terminación que puede configurar en un término de filtro de servicio.
Acción de no terminación |
Descripción |
Familias de protocolos |
|---|---|---|
|
Acepte el paquete. |
inet |
Recuento counter-name |
Cuente el paquete en el contador con nombre. |
inet |
registro |
Registre la información del encabezado del paquete en un búfer en el motor de reenvío de paquetes. Puede acceder a esta información emitiendo el |
inet |
espejo de puerto |
Duplicar el paquete según la familia especificada. |
inet |