Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Conjuntos de servicios

Descripción de los conjuntos de servicios

Junos OS permite crear conjuntos de servicios que definen una colección de servicios que deben realizar una interfaz de servicios adaptativos (AS) o tarjetas de línea de multiservicios (MS-CPC, MS-MIC y MS-MPC). Puede configurar el conjunto de servicios como un conjunto de servicios de estilo de interfaz o como un conjunto de servicios de estilo de salto siguiente.

Un conjunto de servicios de interfaz se utiliza como modificador de acción en toda una interfaz. Puede utilizar un conjunto de servicios de estilo de interfaz cuando desee aplicar servicios a paquetes que pasan por una interfaz.

Un conjunto de servicios de salto siguiente es un método basado en rutas para aplicar un servicio determinado. Solo los paquetes destinados a un próximo salto específico reciben servicio mediante la creación de rutas estáticas explícitas. Esta configuración es útil cuando se deben aplicar servicios a toda una tabla de enrutamiento y reenvío (VRF) de red privada virtual (VPN), o cuando las decisiones de enrutamiento determinan que se deben realizar servicios. Cuando se configura un servicio de salto siguiente, la interfaz de servicio se considera un módulo de dos patas con una pata configurada para ser la interfaz interna (dentro de la red) y la otra configurada como la interfaz externa (fuera de la red).

Para evitar la caída de paquetes durante una operación de desactivación o eliminación de conjunto de servicios, primero desactive las interfaces correspondientes al conjunto de servicios, espere un momento y, luego, desactive o elimine el conjunto de servicios. Sin embargo, si el flujo de tráfico es muy alto, esta solución alternativa no ayuda.

Para configurar conjuntos de servicios, incluya las siguientes instrucciones en el nivel de [edit services] jerarquía:

Ver también

Configuración de conjuntos de servicios para aplicarlos a interfaces de servicios

Configure una interfaz de servicios para especificar la interfaz de servicios adaptables en la que se va a realizar el servicio. Las interfaces de servicios se utilizan con cualquiera de los tipos de conjuntos de servicios descritos en las secciones siguientes.

Configuración de conjuntos de servicios de interfaz

Un conjunto de servicios de interfaz se utiliza como modificador de acción en toda una interfaz. Para configurar la interfaz de servicios, incluya la interface-service instrucción en el nivel de [edit services service-set service-set-name] jerarquía:

Solo se necesita el nombre del dispositivo, ya que el software del enrutador administra automáticamente los números de unidad lógica. La interfaz de servicios debe ser una interfaz de servicios adaptable para la que haya configurado unit 0 family inet en el nivel de [edit interfaces interface-name jerarquía.

Cuando haya definido y agrupado las reglas de servicio mediante la configuración de la definición de conjunto de servicios, puede aplicar servicios a una o más interfaces instaladas en el enrutador. Cuando se aplica el conjunto de servicios a una interfaz, automáticamente se asegura de que los paquetes se dirijan a la PIC.

Para asociar un conjunto de servicios definido con una interfaz, incluya una service-set instrucción con la input instrucción or output en el nivel de [edit interfaces interface-name unit logical-unit-number family inet service] jerarquía:

Si un paquete entra en la interfaz, la dirección de coincidencia es input. Si un paquete abandona la interfaz, la dirección de coincidencia es output. El conjunto de servicios conserva la información de la interfaz de entrada incluso después de aplicar los servicios, de modo que las funciones como el reenvío de clase de filtro y el uso de clase de destino (DCU) que dependen de la información de la interfaz de entrada siguen funcionando.

Configure el mismo conjunto de servicios en los lados de entrada y salida de la interfaz. Opcionalmente, puede incluir filtros asociados con cada conjunto de servicios para refinar el destino y procesar adicionalmente el tráfico. Si incluye la service-set instrucción sin una service-filter definición, el software del enrutador asume que la condición de coincidencia es verdadera y selecciona el conjunto de servicios para su procesamiento automáticamente.

Nota:

Si configura conjuntos de servicios con filtros, estos deben configurarse en los lados de entrada y salida de la interfaz.

Puede incluir más de una definición de conjunto de servicios en cada lado de la interfaz. Si incluye varios conjuntos de servicios, el software del enrutador los evalúa en el orden en que aparecen en la configuración. El sistema ejecuta el primer conjunto de servicios para el que encuentra una coincidencia en el filtro de servicio e ignora las definiciones posteriores. Se puede aplicar un máximo de seis conjuntos de servicios a una interfaz. Cuando se aplican varios conjuntos de servicios a una interfaz, también debe configurar y aplicar un filtro de servicio a la interfaz.

Una instrucción adicional le permite especificar un filtro para procesar el tráfico después de ejecutar el conjunto de servicios de entrada. Para configurar este tipo de filtro, incluya la post-service-filter instrucción en el [edit interfaces interface-name unit logical-unit-number family inet service input] nivel de jerarquía:

La post-service-filter instrucción no se admite cuando la interfaz de servicio se encuentra en una MS-MIC o MS-MPC.

Para obtener un ejemplo, consulte Ejemplo: Configuración de conjuntos de servicios.

Nota:

Con conjuntos de servicios de estilo de interfaz configurados con paquetes extension-provide de Junos OS, el tráfico no recibe servicio cuando la interfaz de entrada forma parte de una instancia de VRF y la interfaz de servicio no forma parte de la misma instancia de VRF.
Nota:

Cuando la PIC multiservicios configurada para un conjunto de servicios se desconecta administrativamente o sufre un error, todo el tráfico que entra en la interfaz configurada con un conjunto de servicios DPI se interrumpirá sin notificación. Para evitar esta pérdida de tráfico, incluya la bypass-traffic-on-pic-failure instrucción en el nivel de [edit services service-set service-set-name service-set-options] jerarquía. Cuando se configura esta instrucción, los paquetes afectados se reenvían en caso de que se produzca un error o una interrupción de la PIC de Multiservicios, como si los servicios de estilo de interfaz no estuvieran configurados. Este problema solo se aplica a las configuraciones de Junos Application Aware (anteriormente conocido como Dynamic Application Awareness) que usan conjuntos de servicios DPI. Esta característica de reenvío solo funcionaba inicialmente con el motor de reenvío de paquetes (PFE). A partir de Junos OS versión 11.3, la función de reenvío de paquetes se extiende a los paquetes generados por el motor de enrutamiento para conjuntos de servicios de omisión también.

Configuración de conjuntos de servicios de salto siguiente

Un conjunto de servicios de salto siguiente es un método basado en rutas para aplicar un servicio determinado. Solo los paquetes destinados a un próximo salto específico reciben servicio mediante la creación de rutas estáticas explícitas. Esta configuración es útil cuando se deben aplicar servicios a toda una tabla de enrutamiento y reenvío (VRF) de red privada virtual (VPN), o cuando las decisiones de enrutamiento determinan que se deben realizar servicios.

Cuando se configura un servicio de salto siguiente, el PIC de AS o multiservicios se considera un módulo de dos patas con una pata configurada para ser la interfaz interna (dentro de la red) y la otra configurada como la interfaz externa (fuera de la red).

Nota:

Solo puede crear índices IFL superiores a 8000 si el conjunto de servicios de interfaz no está configurado.

Para configurar el dominio, incluya la service-domain instrucción en el nivel de [edit interfaces interface-name unit logical-unit-number] jerarquía:

La service-domain configuración debe coincidir con la configuración de las interfaces internas y externas del servicio de salto siguiente. Para configurar las interfaces internas y externas, incluya la next-hop-service instrucción en el nivel de [edit services service-set service-set-name] jerarquía. Las interfaces que especifique deben ser interfaces lógicas en la misma PIC de AS. No puede configurar unit 0 para este propósito y la interfaz lógica que elija no la debe utilizar otro conjunto de servicios.

El tráfico en el que se aplica el servicio se fuerza a la interfaz interna mediante una ruta estática. Por ejemplo:

Una vez aplicado el servicio, el tráfico sale por la interfaz externa. A continuación, se realiza una búsqueda en el motor de reenvío de paquetes (PFE) para enviar el paquete fuera del AS o de la PIC de multiservicios.

El tráfico inverso entra en la interfaz externa, recibe servicio y se envía a la interfaz interna. La interfaz interna reenvía el tráfico fuera del AS o de la PIC de multiservicios.

Determinación de la dirección del tráfico

Cuando se configuran conjuntos de servicios de salto siguiente, la PIC del AS funciona como una interfaz de dos partes, en la cual una parte es la interfaz interna y la otra es la interfaz externa . Se lleva a cabo la siguiente secuencia de acciones:

  1. Para asociar las dos partes a interfaces lógicas, configure dos interfaces lógicas con la service-domain instrucción, una con el inside valor y otra con el outside valor, para marcarlas como una interfaz de servicio interna o externa.

  2. El enrutador reenvía el tráfico que se va a atender a la interfaz interna mediante la tabla de búsqueda de salto siguiente.

  3. Después de aplicar el servicio, el tráfico sale de la interfaz externa. A continuación, se realiza una búsqueda de ruta en los paquetes que se enviarán fuera del enrutador.

  4. Cuando el tráfico inverso regresa a la interfaz externa, se deshace el servicio aplicado; por ejemplo, se descifra el tráfico IPsec o se desenmascaran las direcciones TDR. Luego, los paquetes atendidos emergen en la interfaz interna, el enrutador realiza una búsqueda de ruta y el tráfico sale del enrutador.

La dirección de coincidencia de una regla de servicio, ya sea de entrada, de salida o de entrada/salida, se aplica con respecto al flujo de tráfico a través de la PIC del AS, no a través de una interfaz interna o externa específica.

Cuando se envía un paquete a una PIC de AS, la información de dirección del paquete se lleva consigo. Esto es cierto tanto para el estilo de interfaz como para los conjuntos de servicios de estilo de salto siguiente.

Conjuntos de servicios de estilo de interfaz

La dirección del paquete viene determinada por si un paquete entra o sale de cualquier interfaz del motor de reenvío de paquetes (con respecto al plano de reenvío) en la que se aplique la interface-service instrucción. Esto es similar a la dirección de entrada y salida de los filtros de firewall sin estado.

La dirección de coincidencia también puede depender de la topología de red. Por ejemplo, puede enrutar todo el tráfico externo a través de una interfaz que se utiliza para proteger las otras interfaces en el enrutador y configurar varios servicios en esta interfaz específicamente. Alternativamente, puede usar una interfaz para el tráfico prioritario y configurar servicios especiales en ella, pero no preocuparse por proteger el tráfico en las otras interfaces.

Conjuntos de servicio estilo próximo salto

La dirección del paquete viene determinada por la interfaz de PIC del AS que se usa para enrutar los paquetes a la PIC del AS. Si usa la instrucción para enrutar el inside-interface tráfico, la dirección del paquete es input. Si usa la outside-interface instrucción para dirigir paquetes a la PIC de AS, la dirección del paquete es output.

La interfaz a la que aplica los conjuntos de servicios afecta a la dirección de coincidencia. Por ejemplo, aplique la siguiente configuración:

Si configura match-direction input, debe incluir las instrucciones siguientes:

Si configura match-direction output, debe incluir las instrucciones siguientes:

La diferencia esencial entre las dos configuraciones es el cambio en la dirección de la coincidencia y el siguiente salto de las rutas estáticas, que apunta a la interfaz interna o externa de la PIC del AS.

Ver también

Configuración de limitaciones de conjuntos de servicio

Puede establecer las siguientes limitaciones en la capacidad del conjunto de servicios:

  • Puede limitar el número máximo de flujos permitidos por conjunto de servicios. Para configurar el valor máximo, incluya la max-flows instrucción en el nivel de [edit services service-set service-set-name] jerarquía:

    La max-flows instrucción permite asignar un único valor límite de flujo. Solo para los conjuntos de servicio IDS, puede especificar varios tipos de límites de flujo con un grado de control más fino. Para obtener más información, consulte la descripción de la session-limit instrucción en Configurar conjuntos de reglas de IDS en un MS-CPC.

    Nota:

    Cuando se configura una interfaz de multiservicios agregada (AMS) como interfaz de servicio para un conjunto de servicios, el max-flow valor configurado para el conjunto de servicios se aplica a cada una de las interfaces miembro de la interfaz AMS. Es decir, si configuró 1000 como valor max-flow para un conjunto de servicios que usa una interfaz AMS con cuatro interfaces miembro activas, cada una de las interfaces miembro puede manejar 1000 flujos cada una, lo que da como resultado un valor efectivo max-flow de 4000.

  • Puede limitar el tamaño máximo de segmento (MSS) permitido por el Protocolo de control de transmisión (TCP). Para configurar el valor máximo, incluya la tcp-mss instrucción en el nivel de [edit services service-set service-set-name] jerarquía:

    El protocolo TCP negocia un valor MSS durante el establecimiento de la conexión de la sesión entre dos pares. El valor del MSS negociado se basa principalmente en la UMT de las interfaces a las que están conectados directamente los pares que se comunican. Sin embargo, en la red, debido a la variación en la UMT del vínculo en la ruta tomada por los paquetes TCP, algunos paquetes que todavía están dentro del valor del MSS pueden fragmentarse cuando el tamaño del paquete en cuestión excede la UMT del vínculo.

    Si el enrutador recibe un paquete TCP con el bit SYN y la opción MSS establecida y la opción MSS especificada en el paquete es mayor que el valor MSS especificado por la tcp-mss instrucción, el enrutador sustituye el valor MSS del paquete por el valor inferior especificado por la tcp-mss instrucción. El rango para el tcp-mss mss-value parámetro es de a través 65535de 536 .

    Para ver las estadísticas de los paquetes SYN recibidos y de los paquetes SYN cuyo valor MSS se modifica, emita el comando del show services service-sets statistics tcp-mss modo operativo. Para obtener más información acerca de este tema, consulte la Biblioteca de administración de Junos OS.

  • A partir de Junos OS versión 17.1R1, puede limitar la velocidad de configuración de la sesión por conjunto de servicios para una MS-MPC. Para configurar la velocidad máxima de configuración permitida, incluya la max-session-setup-rate instrucción en el nivel de [edit services service-set service-set-name] jerarquía:

    La velocidad máxima de configuración de sesión es el número máximo de configuraciones de sesión permitidas por segundo. Una vez alcanzada esta velocidad, se descarta cualquier intento adicional de configuración de sesión.

    El rango para el max-session-setup-rate number es de 1 a 429,496,729. También puede expresar la velocidad de instalación como miles de sesiones mediante numberk. A partir de la versión 18.4R1 de Junos OS, 1k=1000 para el max-session-setup-rateformato . Antes de Junos OS versión 18.4R1, 1k=1024. Si no incluye la max-session-setup-rate instrucción, la velocidad de configuración de la sesión no está limitada.

Ver también

Ejemplo: configuración de conjuntos de servicios

Aplique dos conjuntos my-input-service-set de servicios y my-output-service-set, en toda la interfaz. Todo el tráfico se ha my-input-service-set aplicado a ella. Después de aplicar el conjunto de servicios, se realiza un filtrado adicional mediante my_post_service_input_filter.

Configuración de conjuntos de interfaces de servicio

Para configurar un conjunto de interfaces de servicio, incluya las siguientes instrucciones en el nivel de [edit services service-interface-pools] jerarquía:

Habilitación de PIC de servicios para aceptar tráfico de multidifusión

Para permitir que el tráfico de multidifusión se envíe a los servicios adaptables o a la PIC multiservicios, incluya la allow-multicast instrucción en el nivel de [edit services service-set service-set-name] jerarquía. Si no se incluye esta instrucción, el tráfico de multidifusión se descarta de forma predeterminada. Esta instrucción sólo se aplica al tráfico de multidifusión que utiliza un conjunto de servicios de salto siguiente; No se admite la configuración del conjunto de servicios de interfaz. Solo se crean flujos unidireccionales para los paquetes de multidifusión.

Ver también

Aplicación de filtros y servicios a interfaces

Cuando haya definido y agrupado las reglas de servicio mediante la configuración de la definición de conjunto de servicios, puede aplicar servicios a una o más interfaces en el enrutador. Para asociar un conjunto de servicios definido con una interfaz, incluya la service-set instrucción con la input instrucción or output en el nivel de [edit interfaces interface-name unit logical-unit-number family inet service] jerarquía:

Nota:

Cuando se habilitan servicios en una interfaz, no se admite el reenvío de ruta inversa. No puede configurar servicios en la interfaz de administración (fxp0) ni en la interfaz de circuito cerrado (lo0).

Puede configurar diferentes conjuntos de servicios en los lados de entrada y salida de la interfaz. Sin embargo, para los conjuntos de servicios con reglas de servicio bidireccionales, debe incluir la misma definición de conjunto de servicios en ambas input instrucciones y output . Cualquier conjunto de servicios que incluya en la service instrucción debe configurarse con la interface-service instrucción en el nivel de [edit services service-set service-set-name] jerarquía; para obtener más información, consulte Configurar conjuntos de servicios para aplicarlos a interfaces de servicios.

Nota:

Si configura una interfaz con un filtro de firewall de entrada que incluya una acción de rechazo y con un conjunto de servicios que incluya reglas de firewall con estado, el enrutador ejecutará el filtro de firewall de entrada antes de que se ejecuten las reglas de firewall con estado en el paquete. Como resultado, cuando el motor de reenvío de paquetes envía un mensaje de error del Protocolo de mensajes de control de Internet (ICMP) a través de la interfaz, las reglas de firewall con estado pueden dejar caer el paquete porque no se vio en la dirección de entrada.

Las posibles soluciones alternativas son incluir un filtro de tabla de reenvío para realizar la acción de rechazo, ya que este tipo de filtro se ejecuta después del firewall con estado en la dirección de entrada, o incluir un filtro de servicio de salida para evitar que los paquetes ICMP generados localmente vayan al servicio de firewall con estado.

Configuración de filtros de servicio

Opcionalmente, puede incluir filtros asociados con cada conjunto de servicios para refinar el destino y procesar adicionalmente el tráfico. Si incluye la service-set instrucción sin una service-filter definición, el software del enrutador asume que la condición de coincidencia es verdadera y selecciona el conjunto de servicios para su procesamiento automáticamente.

Para configurar filtros de servicio, incluya la firewall instrucción en el nivel de [edit] jerarquía:

Nota:

Debe especificar inet como familia de direcciones para configurar un filtro de servicio.

Los filtros de servicio se configuran de manera similar a los filtros de firewall. Los filtros de servicio tienen las mismas condiciones de coincidencia que los filtros de firewall, pero las siguientes acciones específicas:

  • count: agregue el paquete a un contador total.

  • log: registre el paquete.

  • port-mirror: refleje el paquete en puerto.

  • sample: muestree el paquete.

  • service: reenvíe el paquete para su procesamiento de servicio.

  • skip: omita el paquete del procesamiento del servicio.

Para obtener más información acerca de cómo configurar filtros de firewall, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y reguladores de tráfico.

También puede incluir más de una definición de conjunto de servicios en cada lado de la interfaz. Si incluye varios conjuntos de servicios, el software del enrutador los evalúa en el orden especificado en la configuración. Ejecuta el primer conjunto de servicios para el que encuentra una coincidencia en el filtro de servicio e ignora las definiciones posteriores.

Una instrucción adicional le permite especificar un filtro para procesar el tráfico después de ejecutar el conjunto de servicios de entrada. Para configurar este tipo de filtro, incluya la post-service-filter instrucción en el [edit interfaces interface-name unit logical-unit-number family inet service input] nivel de jerarquía:

Nota:

El software realiza el filtrado posterior al servicio solo cuando ha seleccionado y ejecutado un conjunto de servicios. Si el tráfico no cumple los criterios de coincidencia para ninguno de los conjuntos de servicios configurados, se ignora el filtro postservicio. La post-service-filter instrucción no se admite cuando la interfaz de servicio se encuentra en una MS-MIC o MS-MPC.

Para obtener un ejemplo de cómo aplicar un conjunto de servicios a una interfaz, consulte Ejemplos: configurar interfaces de servicios.

Para obtener más información sobre cómo aplicar filtros a interfaces, consulte la biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento. Para obtener información general sobre los filtros, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y agentes de policía de tráfico.

Nota:

Después de aplicar el procesamiento de TDR a los paquetes, no están sujetos a filtros de servicio de salida. Los filtros de servicio solo afectan al tráfico no traducido.

Ejemplos: Configuración de interfaces de servicios

Aplique el conjunto de servicios en toda la my-service-set interfaz. Todo el tráfico que es aceptado por my_input_filter se ha my-input-service-set aplicado a él. Después de aplicar el conjunto de servicios, se realiza un filtrado adicional mediante el my_post_service_input_filter filtro.

Configure dos interfaces rsp0 de redundancia y rsp1servicios asociados.

Ver también

Configuración de la dirección y el dominio para las interfaces de servicios

En el AS o en la PIC de multiservicios, se configura una dirección de origen para los mensajes de registro del sistema incluyendo la address instrucción en el nivel de [edit interfaces interface-name unit logical-unit-number family inet] jerarquía:

Asigne una dirección IP a la interfaz mediante la configuración del address valor. El AS o la PIC de multiservicios generalmente solo admiten direcciones IP versión 4 (IPv4) configuradas mediante la family inet instrucción, pero los servicios IPsec también admiten direcciones IP versión 6 (IPv6), configuradas mediante la family inet6 instrucción.

Nota:

Si configura la misma dirección en varias interfaces en la misma instancia de enrutamiento, Junos OS solo utiliza la primera configuración, las configuraciones de dirección restantes se ignoran y pueden dejar interfaces sin una dirección. Las interfaces que no tienen una dirección asignada no se pueden utilizar como interfaz donante para una interfaz Ethernet no numerada.

Por ejemplo, en la siguiente configuración, se ignora la configuración de dirección de la interfaz xe-0/0/1.0:

Para obtener información sobre otras propiedades de direccionamiento que puede configurar y que no son específicas de las interfaces de servicio, consulte la biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento.

La service-domain instrucción especifica si la interfaz se utiliza dentro de la red o para comunicarse con dispositivos remotos. El software utiliza esta configuración para determinar qué reglas de firewall con estado predeterminadas se deben aplicar y para determinar la dirección predeterminada de las reglas de servicio. Para configurar el dominio, incluya la service-domain instrucción en el nivel de [edit interfaces interface-name unit logical-unit-number] jerarquía:

Si está configurando la interfaz en una definición de conjunto de servicios de salto siguiente, la service-domain configuración debe coincidir con la configuración de las inside-service-interface instrucciones y outside-service-interface ; para obtener más información, consulte Configurar conjuntos de servicios que se aplicarán a interfaces de servicios.

Ver también

Configurar el registro del sistema para conjuntos de servicios

Especifique las propiedades que controlan cómo se generan los mensajes de registro del sistema para el conjunto de servicios. Estos valores invalidan los valores configurados en el [edit interfaces interface-name services-options] nivel de jerarquía.

Para configurar los valores de registro del sistema específicos del conjunto de servicios, incluya la syslog instrucción en el nivel de [edit services service-set service-set-name] jerarquía:

Configure la host instrucción con un nombre de host o una dirección IP que especifique el servidor de destino de registro del sistema. El nombre local de host dirige los mensajes de registro del sistema al motor de enrutamiento. En el caso de los servidores de registro del sistema externo, el nombre de host debe ser accesible desde la misma instancia de enrutamiento a la que se entrega el paquete de datos inicial (ese establecimiento de sesión desencadenado). Solo puede especificar un nombre de host de registro del sistema. El source-address parámetro se admite en las interfaces ms, rms y mams.

A partir de Junos OS versión 17.4R1, puede configurar hasta un máximo de cuatro servidores de registros del sistema (combinación de hosts de registro del sistema local y recopiladores de registros del sistema remoto) para cada conjunto de servicios en [edit services service-set service-set-name] el nivel de jerarquía.

Nota:

Junos OS no admite la exportación de mensajes de registro del sistema a un servidor de registro del sistema externo mediante la interfaz fxp.0; Esto se debe a que la alta velocidad de transmisión de los mensajes de registro del sistema y el ancho de banda limitado de la interfaz FXP.0 pueden causar varios problemas. El servidor de registro del sistema externo debe ser accesible a través de una interfaz enrutable.

En la tabla 1 se enumeran los niveles de gravedad que se pueden especificar en las instrucciones de configuración en el [edit services service-set service-set-name syslog host hostname] nivel jerárquico. Los niveles desde emergency el principio info están en orden de mayor gravedad (mayor efecto sobre el funcionamiento) hasta el más bajo.

Tabla 1: Niveles de gravedad de los mensajes de registro del sistema

Nivel de gravedad

Descripción

any

Incluye todos los niveles de gravedad

emergency

Pánico del sistema u otra condición que hace que el enrutador deje de funcionar

alert

Condiciones que requieren una corrección inmediata, como una base de datos del sistema dañada

critical

Condiciones críticas, como errores en el disco duro

error

Condiciones de error que generalmente tienen consecuencias menos graves que los errores en los niveles de emergencia, alerta y crítico

warning

Condiciones que justifican el monitoreo

notice

Condiciones que no son errores pero que pueden justificar un manejo especial

info

Eventos o condiciones de interés sin error

Recomendamos establecer el nivel de gravedad de registro del sistema durante error el funcionamiento normal. Para supervisar el uso de recursos de PIC, establezca el nivel en warning. Para recopilar información acerca de un ataque de intrusión cuando se detecta un error del sistema de detección de intrusiones, establezca el nivel en notice para un conjunto de servicios específico. Para depurar una configuración o registrar la funcionalidad TDR, establezca el nivel en info.

Para obtener más información acerca de los mensajes de registro del sistema, consulte el Explorador de registros del sistema.

Para seleccionar la clase de mensajes que se van a registrar en el host de registro del sistema especificado, incluya la class instrucción en el nivel de [edit services service-set service-set-name syslog host hostname] jerarquía:

Para utilizar un código de instalación determinado para todos los registros en el host de registro del sistema especificado, incluya la facility-override instrucción en el nivel de [edit services service-set service-set-name syslog host hostname] jerarquía:

Las instalaciones admitidas son: authorization, daemon, ftp, userkernel, , y local0 a través de local7.

Para especificar un prefijo de texto para todos los registros en este host de registro del sistema, incluya la log-prefix instrucción en el nivel de [edit services service-set service-set-name syslog host hostname] jerarquía:

Ver también

Configuración de reglas de servicio

Especifique la colección de reglas y conjuntos de reglas que constituyen el conjunto de servicios. El enrutador realiza los conjuntos de reglas en el orden en que aparecen en la configuración. Solo puede incluir un conjunto de reglas para cada tipo de servicio. Puede configurar los nombres de regla y el contenido para cada tipo de servicio en el nivel jerárquico de [edit services name] cada tipo:

Para configurar las reglas y los conjuntos de reglas que constituyen un conjunto de servicios, incluya las siguientes instrucciones en el nivel de [edit services service-set service-set-name] jerarquía:

Para cada tipo de servicio, puede incluir una o más reglas individuales o un conjunto de reglas.

Si configura un conjunto de servicios con reglas IPsec, no debe contener reglas para ningún otro servicio. Sin embargo, puede configurar otro conjunto de servicios que contenga reglas para los otros servicios y aplicar ambos conjuntos de servicios a la misma interfaz.

Nota:

También puede incluir la funcionalidad de Junos Application Aware (anteriormente conocida como Dynamic Application Awareness) dentro de los conjuntos de servicios. Para ello, debe incluir una idp-profile instrucción en el nivel de jerarquía, junto con reglas de [edit services service-set] identificación de aplicaciones (APPID) y, según corresponda, reglas de lista de acceso con reconocimiento de aplicaciones (AACL) y un policy-decision-statistics-profilearchivo . Solo se puede aplicar un conjunto de servicios a una sola interfaz cuando se utiliza la funcionalidad de Junos Application Aware. Para obtener más información, consulte Configurar reglas de IDS en una MS-CPC, Descripción general de APPID y Guía del usuario de interfaces de servicios de reconocimiento de aplicaciones para dispositivos de enrutamiento.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.

Lanzamiento
Descripción
18.4R1
A partir de la versión 18.4R1 de Junos OS, 1k=1000 para el max-session-setup-ratearchivo .
17.1R1
A partir de Junos OS versión 17.1R1, puede limitar la velocidad de configuración de la sesión por conjunto de servicios para una MS-MPC.