Pautas para aplicar filtros de servicio
Restricciones para interfaces de servicios adaptables
Las siguientes restricciones se aplican a las interfaces de servicios adaptables y los filtros de servicio.
- Interfaces de servicios adaptables
- Inicio de sesión del sistema en un host remoto desde enrutadores serie M
Interfaces de servicios adaptables
Puede aplicar un filtro de servicio al tráfico IPv4 o IPv6 asociado con un conjunto de servicios solo en una interfaz de servicios adaptable . Solo se admiten interfaces de servicios adaptables para el siguiente hardware:
PIC de servicios adaptables (AS) en enrutadores serie M y T
PIC multiservicios (MS) en enrutadores serie M y T
DPC MS en enrutadores serie MX y conmutadores serie EX
MPC y MIC de MS en enrutadores serie MX
Inicio de sesión del sistema en un host remoto desde enrutadores serie M
El registro de mensajes de interfaces de servicios adaptables a un servidor externo mediante el fxp0 puerto o em0 no se admite en enrutadores serie M. La arquitectura no admite el registro del sistema de tráfico de una interfaz de administración. En su lugar, se admite el acceso a un servidor externo en una interfaz del motor de reenvío de paquetes.
Jerarquía de instrucción para aplicar filtros de servicio
Puede habilitar el filtrado de paquetes del tráfico IPv4 o IPv6 antes de que se acepte un paquete para el procesamiento del servicio de entrada o salida. Para ello, aplique un filtro de servicio a la entrada o salida de la interfaz de servicios adaptable junto con un conjunto de servicios de interfaz.
También puede habilitar el filtrado de paquetes del tráfico IPv4 o IPv6 que regresa al motor de reenvío de paquetes después de completar el procesamiento del servicio de entrada. Para ello, aplique un filtro post service a la entrada de interfaz de servicios adaptable.
La siguiente configuración muestra los niveles de jerarquía en los que puede aplicar los filtros de servicio a interfaces de servicios adaptables:
[edit]
interfaces {
interface-name {
unit unit-number {
family (inet | inet6) {
service {
input {
service-set service-set-name service-filter service-filter-name;
post-service-filter service-filter-name;
}
output {
service-set service-set-name service-filter service-filter-name;
}
}
}
}
}
}
Asociar reglas de servicio con interfaces de servicios adaptables
Para definir y agrupar las reglas de servicio que se aplican a una interfaz de servicios adaptable, se define un servicio de interfaz establecido incluyendo la service-set service-set-name instrucción en el [edit services] nivel de jerarquía.
Para aplicar un conjunto de servicios de interfaz a la entrada y salida de una interfaz de servicios adaptables, incluya los service-set service-set-name siguientes niveles jerárquicos:
[edit interfaces interface-name unit unit-number input][edit interfaces interface-name unit unit-number output]
Si aplica un conjunto de servicios a una dirección de una interfaz de servicios adaptables pero no aplica un conjunto de servicio a la otra dirección, se produce un error al confirmar la configuración.
La PIC de servicios adaptables realiza diferentes acciones según si el paquete se envía a la PIC para el servicio de entrada o para el servicio de salida. Por ejemplo, puede configurar un único conjunto de servicios para realizar la traducción de direcciones de red (TDR) en una dirección y TDR de destino (dNAT) en la otra dirección.
Filtrado del tráfico antes de aceptar paquetes para el procesamiento de servicios
Para filtrar el tráfico IPv4 o IPv6 antes de aceptar paquetes para el procesamiento del servicio de entrada o salida, incluya la service-set service-set-name service-filter service-filter-name en una de las siguientes interfaces:
[edit interfaces interface-name unit unit-number family (inet | inet6) service input][edit interfaces interface-name unit unit-number family (inet | inet6) service output]
Para el service-set-name, especifique un conjunto de servicios configurado en el [edit services service-set] nivel de jerarquía.
El conjunto de servicios conserva la información de la interfaz de entrada incluso después de aplicar los servicios, de modo que funciones como el reenvío de clase de filtro y el uso de clase de destino (DCU) que dependen de la información de la interfaz de entrada siguen funcionando.
Los siguientes requisitos se aplican al filtrado del tráfico entrante o saliente antes de aceptar paquetes para el procesamiento de servicio:
Configure el mismo conjunto de servicios en los lados de entrada y salida de la interfaz.
Si incluye la
service-setinstrucción sin una definición opcionalservice-filter, Junos OS asume que la condición de coincidencia es true y selecciona el servicio establecido para su procesamiento automáticamente.El filtro de servicio solo se aplica si un conjunto de servicios está configurado y seleccionado.
Puede incluir más de una definición de conjunto de servicios en cada lado de una interfaz. Se aplican las siguientes pautas:
Si incluye varios conjuntos de servicios, el software del enrutador (o del conmutador) los evalúa en el orden en que aparecen en la configuración. El sistema ejecuta el primer conjunto de servicios para el que encuentra una coincidencia en el filtro de servicio e ignora las definiciones posteriores.
Se pueden aplicar un máximo de seis conjuntos de servicios a una interfaz.
Cuando aplica varios conjuntos de servicios a una interfaz, también debe configurar y aplicar un filtro de servicio a la interfaz.
Filtrado posterior al servicio del tráfico de servicio de devolución
Como opción para filtrar el tráfico de servicio de entrada IPv4 o IPv6, puede aplicar un filtro de servicio al tráfico IPv4 o IPv6 que regresa a la interfaz de servicios después de ejecutar el conjunto de servicios. Para aplicar un filtro de servicio de esta manera, incluya la post-service-filter service-filter-name instrucción en el [edit interfaces interface-name unit unit-number family (inet | inet6) service input] nivel de jerarquía.