Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Pautas para aplicar filtros de servicio

Restricciones para interfaces de servicios adaptables

Las siguientes restricciones se aplican a las interfaces de servicios adaptables y a los filtros de servicio.

Interfaces de servicios adaptables

Puede aplicar un filtro de servicio al tráfico IPv4 o IPv6 asociado a un conjunto de servicios solo en una interfaz de servicios adaptable . Solo se admiten interfaces de servicios adaptables para el siguiente hardware:

  • PIC de servicios adaptables (AS) en enrutadores serie M y T

  • PIC multiservicios (MS) en enrutadores serie M y T

  • DPC MS en enrutadores serie MX y conmutadores serie EX

  • MS MPC y MIC en enrutadores serie MX

Inicio de sesión del sistema en un host remoto desde enrutadores de la serie M

El registro de mensajes de interfaces de servicios adaptables a un servidor externo mediante el fxp0 puerto o em0 no se admite en enrutadores serie M. La arquitectura no admite el registro del tráfico del sistema de una interfaz de administración. En su lugar, el acceso a un servidor externo se admite en una interfaz de motor de reenvío de paquetes.

Jerarquía de instrucciones para aplicar filtros de servicio

Puede habilitar el filtrado de paquetes del tráfico IPv4 o IPv6 antes de que se acepte un paquete para el procesamiento del servicio de entrada o salida. Para ello, aplique un filtro de servicio a la entrada o salida de interfaz de servicios adaptables junto con un conjunto de servicios de interfaz.

También puede habilitar el filtrado de paquetes del tráfico IPv4 o IPv6 que regresa al motor de reenvío de paquetes una vez completado el procesamiento del servicio de entrada. Para ello, aplique un filtro posterior al servicio a la entrada de interfaz de servicios adaptables.

La siguiente configuración muestra los niveles de jerarquía en los que puede aplicar los filtros de servicio a interfaces de servicios adaptables:

Asociación de reglas de servicio con interfaces de servicios adaptables

Para definir y agrupar las reglas de servicio que se aplican a una interfaz de servicios adaptable, defina un conjunto de servicios de interfaz incluyendo la service-set service-set-name instrucción en el [edit services] nivel de jerarquía.

Para aplicar un conjunto de servicios de interfaz a la entrada y salida de una interfaz de servicios adaptables, se incluye en los service-set service-set-name siguientes niveles jerárquicos:

  • [edit interfaces interface-name unit unit-number input]

  • [edit interfaces interface-name unit unit-number output]

Si aplica un conjunto de servicios a una dirección de una interfaz de servicios adaptable, pero no aplica un conjunto de servicios a la otra dirección, se produce un error cuando se confirma la configuración.

La PIC de servicios adaptables realiza diferentes acciones según si el paquete se envía a la PIC para el servicio de entrada o para el servicio de salida. Por ejemplo, puede configurar un único conjunto de servicios para realizar la traducción de direcciones de red (TDR) en una dirección y tDR de destino (dNAT) en la otra dirección.

Filtrado del tráfico antes de aceptar paquetes para el procesamiento del servicio

Para filtrar el tráfico IPv4 o IPv6 antes de aceptar paquetes para el procesamiento del servicio de entrada o salida, incluya el service-set service-set-name service-filter service-filter-name en una de las siguientes interfaces:

  • [edit interfaces interface-name unit unit-number family (inet | inet6) service input]

  • [edit interfaces interface-name unit unit-number family (inet | inet6) service output]

Para el service-set-name, especifique un conjunto de servicios configurado en el [edit services service-set] nivel de jerarquía.

El conjunto de servicios conserva la información de la interfaz de entrada incluso después de aplicar los servicios, de modo que las funciones como el reenvío de clase de filtro y el uso de clases de destino (DCU) que dependen de la información de la interfaz de entrada sigan funcionando.

Los siguientes requisitos se aplican al filtrado del tráfico entrante o saliente antes de aceptar paquetes para el procesamiento del servicio:

  • Configure el mismo conjunto de servicios en los lados de entrada y salida de la interfaz.

  • Si incluye la service-set instrucción sin una definición opcional service-filter , Junos OS asume que la condición de coincidencia es true y selecciona el conjunto de servicios para su procesamiento automáticamente.

  • El filtro de servicio solo se aplica si un conjunto de servicios está configurado y seleccionado.

Puede incluir más de una definición de conjunto de servicios en cada lado de una interfaz. Se aplican las siguientes pautas:

  • Si incluye varios conjuntos de servicios, el software del enrutador (o conmutador) los evalúa en el orden en que aparecen en la configuración. El sistema ejecuta el primer conjunto de servicios para el que encuentra una coincidencia en el filtro de servicio e ignora las definiciones posteriores.

  • Se puede aplicar un máximo de seis conjuntos de servicios a una interfaz.

  • Cuando se aplican varios conjuntos de servicios a una interfaz, también debe configurar y aplicar un filtro de servicio a la interfaz.

Filtrado de postservicio de retorno del tráfico de servicio

Como opción para filtrar el tráfico de servicio de entrada IPv4 o IPv6, puede aplicar un filtro de servicio al tráfico IPv4 o IPv6 que vuelve a la interfaz de servicios después de ejecutar el conjunto de servicios. Para aplicar un filtro de servicio de esta manera, incluya la post-service-filter service-filter-name instrucción en el [edit interfaces interface-name unit unit-number family (inet | inet6) service input] nivel de jerarquía.