Filtros de servicio
Filtros de servicio de la serie ACX
Al aplicar un conjunto de servicios al tráfico en una interfaz de servicios en línea, puede utilizar opcionalmente filtros de servicio para refinar el destino del conjunto de servicios y también para procesar el tráfico. Los filtros de servicio permiten manipular el tráfico mediante el filtrado de paquetes a un conjunto definido de servicios en una interfaz de servicios en línea antes de que el tráfico se entregue a su destino. En los enrutadores de la serie ACX, puede aplicar un filtro de servicio al tráfico antes de que se acepten los paquetes para el procesamiento del servicio de entrada.
En los enrutadores de la serie ACX, los filtros se implementan utilizando espacio service-set de memoria direccionable de contenido ternario (TCAM). El espacio TCAM asignado se comparte mediante el filtro de familia de puentes. El filtro NNI-Address-Overload-Reverse comparte el mismo espacio (para cada conjunto de servicios configurado con sobrecarga de direcciones, los filtros internos se configuran para la dirección IP sobrecargada dada y el rango de puertos para redirigir el tráfico NAT inverso (público a privado) coincidente al servicio). Desde una perspectiva de escala, las 124 entradas TCAM de hardware asignadas son compartidas por estas características y la asignación de entradas TCAM funciona en un modo de orden de llegada.
Ver también
Directrices para aplicar filtros de servicio
En este tema se trata la siguiente información:
- Restricciones para interfaces de servicios en línea
- Jerarquía de instrucciones para aplicar filtros de servicio
- Asociación de reglas de servicio con interfaces de servicios en línea
- Filtrar el tráfico antes de aceptar paquetes para el procesamiento del servicio
Restricciones para interfaces de servicios en línea
Puede aplicar un filtro de servicio al tráfico IPv4 asociado con un conjunto de servicios solo en una interfaz de servicios en línea .
Los enrutadores de la serie ACX no admiten filtros posteriores al servicio.
Jerarquía de instrucciones para aplicar filtros de servicio
Puede habilitar el filtrado de paquetes del tráfico IPv4 antes de que se acepte un paquete para el procesamiento del servicio de entrada. Para ello, aplique un filtro de servicio a la entrada de interfaz de servicios en línea junto con un conjunto de servicios de interfaz.
La siguiente configuración muestra los niveles de jerarquía en los que puede aplicar los filtros de servicio a las interfaces de servicios en línea:
[edit]
interfaces {
interface-name {
unit unit-number {
family (inet | inet6) {
service {
input {
service-set service-set-name service-filter service-filter-name;
}
output {
[ service-set service-set-name <service-filter filter-name> ];
}
}
}
}
}
}
Asociación de reglas de servicio con interfaces de servicios en línea
Para definir y agrupar las reglas de servicio que se aplicarán a una interfaz de servicios en línea, defina un conjunto de servicios de interfaz incluyendo la service-set service-set-name instrucción en el nivel de [edit services] jerarquía.
Para aplicar un conjunto de servicios de interfaz a la entrada de una interfaz de servicios en línea, incluya el conjunto service-set-namede servicios en los siguientes niveles de jerarquía:
[edit interfaces interface-name unit unit-number input]
Filtrar el tráfico antes de aceptar paquetes para el procesamiento del servicio
Para filtrar el tráfico IPv4 antes de aceptar paquetes para el procesamiento del servicio de entrada, incluya service-set service-set-name service-filter service-filter-name en el siguiente nivel de jerarquía:
[edit interfaces interface-name unit unit-number family inet service input]
Para el , especifique un conjunto de service-set-nameservicios configurado en el nivel de [edit services service-set] jerarquía.
El conjunto de servicios conserva la información de la interfaz de entrada incluso después de aplicar los servicios, de modo que funciones como el reenvío de clase de filtro que dependen de la información de la interfaz de entrada siguen funcionando.
Los siguientes requisitos se aplican al filtrado del tráfico entrante o saliente antes de aceptar paquetes para el procesamiento del servicio:
El mismo conjunto de servicios se configura en los lados de entrada y salida de la interfaz.
Si incluye la
service-setinstrucción sin una definición opcional de filtro de servicio , Junos OS asume que la condición de coincidencia es true y selecciona el conjunto de servicios para su procesamiento automáticamente.El filtro de servicio sólo se aplica si se configura y selecciona un conjunto de servicios.
Ver también
Condiciones de coincidencia del filtro de servicio para el tráfico IPv4
En la serie ACX, los filtros de servicio solo admiten un subconjunto de las condiciones de coincidencia de filtro de firewall sin estado para el tráfico IPv4. En la tabla 1 se describen las condiciones de coincidencia del filtro de servicio.
Condición de coincidencia |
Descripción |
Familias de protocolos |
|---|---|---|
dirección-destino address |
Haga coincidir el campo Dirección IP de destino. |
Familia INET |
puerto de destino number |
Haga coincidir el campo Puerto de destino UDP o TCP. No puede especificar las condiciones de coincidencia puerto y puerto de destino en el mismo término. Si configura esta condición de coincidencia para el tráfico IPv4, se recomienda configurar también la instrucción protocol udp o protocol tcp match en el mismo término para especificar qué protocolo se está utilizando en el puerto. |
Familia INET |
Opciones IP values |
Haga coincidir el campo de opción IP de 8 bits, si está presente, con el valor especificado o la lista de valores. |
Familia INET |
protocolo number |
Haga coincidir el campo Tipo de protocolo IP. |
Familia INET |
dirección addressde origen |
Haga coincidir la dirección IP de origen. |
Familia INET |
puerto de origen number |
Haga coincidir el campo Puerto de origen UDP o TCP. Si configura esta condición de coincidencia para el tráfico IPv4, se recomienda configurar también la instrucción protocol udp o protocol tcp match en el mismo término para especificar qué protocolo se está utilizando en el puerto. |
Familia INET |
Indicadores TCP value |
Haga coincidir uno o más de los 6 bits de orden bajo en el campo Indicadores TCP de 8 bits del encabezado TCP. Si configura esta condición de coincidencia para el tráfico IPv4, se recomienda configurar también la instrucción protocol tcp match en el mismo término para especificar que se está utilizando el protocolo TCP en el puerto. |
Familia INET |
Ver también
Acciones de filtro de servicio
La serie ACX admite diferentes conjuntos de acciones de terminación y no terminación que puede configurar en un término de filtro de servicio.
Los filtros de servicio no admiten la acción del siguiente término .
En la tabla 2 se describen las acciones de terminación que se pueden configurar en un término de filtro de servicio.
Acción de terminación |
Descripción |
Familias de protocolos |
|---|---|---|
servicio |
Dirija el paquete al procesamiento del servicio. |
inet |
En la tabla 3 se describen las acciones de no terminación que se pueden configurar en un término de filtro de servicio.
Acción de no terminación |
Descripción |
Familias de protocolos |
|---|---|---|
|
Acepte el paquete. |
inet |
contar counter-name |
Cuente el paquete en el contador con nombre. |
inet |
registro |
Registre la información del encabezado del paquete en un búfer dentro del motor de reenvío de paquetes. Puede acceder a esta información emitiendo el |
inet |
espejo de puerto |
Espejo de puerto del paquete según la familia especificada. |
inet |