EN ESTA PÁGINA
Ejemplo: Configuración y aplicación de filtros de servicio
En este ejemplo se muestra cómo configurar y aplicar filtros de servicio.
Requisitos
En este ejemplo, se utiliza la interfaz lógica en cualquiera de los siguientes componentes de hardware:xe-0/1/0.0
PIC de servicios adaptativos (AS) en un enrutador serie M o T
PIC multiservicio (MS) en un enrutador serie M o T
DPC multiservicio (MS) en un enrutador serie MX
Conmutador de la serie EX
Antes de comenzar, asegúrese de tener:
Instaló el enrutador (o conmutador) compatible y las PIC o DPC y realizó la configuración inicial del enrutador (o conmutador).
Se configuró Ethernet básico en la topología y se comprobó que el tráfico fluye en la topología y que el tráfico IPv4 fluye a través de la interfaz lógica.
xe-0/1/0.0
Se configuró el conjunto de servicios con reglas de entrada y salida de servicio y configuración predeterminada para servicios en una interfaz de servicio.
vrf_svcs
Para obtener instrucciones para configurar conjuntos de servicios, consulte Configuración de conjuntos de servicios para aplicarlos a interfaces de servicios.Configuring Service Sets to be Applied to Services Interfaces
Descripción general
En este ejemplo, se crean tres tipos de filtros de servicio para el tráfico IPv4: un filtro de servicio de entrada, un filtro de entrada posterior al servicio y un filtro de servicio de salida. Se pueden aplicar diferentes filtros de servicio al mismo conjunto de servicios. Ver también: Configuración de conjuntos de servicios que se aplicarán a las interfaces de servicios
Topología
Puede aplicar el filtro de servicio de entrada y el filtro de entrada posterior al servicio al tráfico de entrada en la interfaz lógica y aplicar el filtro de servicio de salida al tráfico de salida en la misma interfaz lógica.xe-0/1/0.0
Filtrado del tráfico IPv4 antes de que sea aceptado para el procesamiento del servicio de entrada: en la interfaz lógica, el filtro de servicio se utiliza para filtrar el tráfico de entrada IPv4 antes de que los servicios asociados al conjunto de servicios puedan aceptar el procesamiento del tráfico.
xe-0/1/0.0
in_filter_presvc
vrf_svcs
El filtro de servicio cuenta los paquetes enviados desde el puerto ICMP 179, dirige estos paquetes a los servicios de entrada asociados con el conjunto de servicios y descarta todos los demás paquetes.in_filter_presvc
vrf_svcs
Filtrado del tráfico IPv4 después de que haya completado el procesamiento del servicio de entrada: en la interfaz lógica, el filtro de servicio se utiliza para filtrar el tráfico que regresa a la interfaz de servicios después de ejecutar el conjunto de servicios de entrada.
xe-0/1/0.0
in_filter_postsvc
in_filter_presvc
El filtro de servicio cuenta los paquetes enviados desde el puerto ICMP 179 y, a continuación, los descarta.in_filter_postsvc
Filtrado del tráfico IPv4 antes de que sea aceptado para el procesamiento del servicio de salida: en la interfaz lógica, utilice service-filter para filtrar el tráfico de salida IPv4 antes de que los servicios asociados al conjunto de servicios puedan aceptar el tráfico para su procesamiento.
xe-0/1/0.0
out_filter_presvc
vrf_svcs
El filtro de servicio cuenta los paquetes destinados al puerto TCP 179 y, a continuación, dirige los paquetes a los servicios de salida asociados con el conjunto de servicios.out_filter_presvc
vrf_svcs
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte .Usar el editor de CLI en el modo de configuración
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configuración de los tres filtros de servicio
- Aplicación de los tres filtros de servicio
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de jerarquía.[edit]
set firewall family inet service-filter in_filter_presvc term t1 from protocol tcp set firewall family inet service-filter in_filter_presvc term t1 from source-port bgp set firewall family inet service-filter in_filter_presvc term t1 then count svc_in_pkts set firewall family inet service-filter in_filter_presvc term t1 then service set firewall family inet service-filter in_filter_postsvc term t2 from protocol tcp set firewall family inet service-filter in_filter_postsvc term t2 from source-port bgp set firewall family inet service-filter in_filter_postsvc term t2 then count svc_in_pkts_rtn set firewall family inet service-filter in_filter_postsvc term t2 then skip set firewall family inet service-filter out_filter_presvc term t3 from protocol icmp set firewall family inet service-filter out_filter_presvc term t3 from destination-port bgp set firewall family inet service-filter out_filter_presvc term t3 then count svc_out_pkts set firewall family inet service-filter out_filter_presvc term t3 then service set interfaces xe-0/1/0 unit 0 family inet service input service-set vrf_svcs service-filter in_filter_presvc set interfaces xe-0/1/0 unit 0 family inet service input post-service-filter in_filter_postsvc set interfaces xe-0/1/0 unit 0 family inet service output service-set vrf_svcs service-filter out_filter_presvc
Configuración de los tres filtros de servicio
Procedimiento paso a paso
Para configurar los tres filtros de servicio:
Configure el filtro del servicio de entrada.
[edit] user@host# edit firewall family inet service-filter in_filter_presvc [edit firewall family inet service-filter in_filter_presvc] user@host# set term t1 from protocol tcp user@host# set term t1 from source-port bgp user@host# set term t1 then count svc_in_pkts user@host# set term t1 then service
Configure el filtro de entrada posterior al servicio.
[edit] user@host# edit firewall family inet service-filter in_filter_postsvc [edit firewall family inet service-filter in_filter_postsvc] user@host# set term t2 from protocol tcp user@host# set term t2 from source-port bgp user@host# set term t2 then count svc_in_pkts_rtn user@host# set term t2 then skip
Configure el filtro del servicio de salida.
[edit] user@host# edit firewall family inet service-filter out_filter_presvc [edit firewall family inet service-filter out_filter_presvc] user@host# set term t3 from protocol icmp user@host# set term t3 from destination-port bgp user@host# set term t3 then count svc_out_pkts user@host# set term t3 then service
Resultados
Confirme la configuración de los filtros de servicio de entrada y salida y del filtro de entrada posterior al servicio introduciendo el comando de modo de configuración.show firewall
Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit] user@host# show firewall family inet { service-filter in_filter_presvc { term t1 { from { protocol tcp; source-port bgp; } then { count svc_in_pkts; service; } } } service-filter in_filter_postsvc { term t2 { from { protocol tcp; source-port bgp; } then { count svc_in_pkts_rtn; skip; } } } service-filter out_filter_presvc { term t3 { from { protocol icmp; destination-port bgp; } then { count svc_out_pkts; service; } } } }
Aplicación de los tres filtros de servicio
Procedimiento paso a paso
Para aplicar los tres filtros de servicio:
Acceda al protocolo IPv4 en la interfaz de entrada.
xe-0/1/0.0
[edit] user@host# edit interfaces xe-0/1/0 unit 0 family inet
Aplique el filtro de servicio de entrada y el filtro de entrada de servicio posterior.
[edit interfaces xe-0/1/0 unit 0 family inet] user@host# set service input service-set vrf_svcs service-filter in_filter_presvc user@host# set service input post-service-filter in_filter_postsvc user@host# set service output service-set vrf_svcs service-filter out_filter_presvc
Resultados
Confirme la configuración de las interfaces introduciendo el comando de modo de configuración.show interfaces
Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
[edit] user@host# show interfaces xe-0/1/0 { unit 0 { family inet { service { input { service-set vrf_svcs service-filter in_filter_presvc; post-service-filter in_filter_postsvc; } output { service-set vrf_svcs service-filter out_filter_presvc; } } } } }
Cuando haya terminado de configurar el dispositivo, confirme la configuración candidata.
Verificación
Confirme que la configuración funcione correctamente.
- Comprobación de que el tráfico entrante se filtra antes del servicio de entrada
- Comprobación de que el tráfico entrante se filtra después del procesamiento del servicio de entrada
- Comprobación de que el tráfico saliente se filtra antes del procesamiento del servicio de salida
Comprobación de que el tráfico entrante se filtra antes del servicio de entrada
Propósito
Compruebe que los paquetes entrantes enviados desde el puerto TCP 179 se envían para su procesamiento por los servicios de entrada asociados con el conjunto de servicios.vrf_svcs
Acción
Muestra el recuento de paquetes enviados para su procesamiento por los servicios de entrada asociados al conjunto de servicios.vrf_svcs
[edit] user@host> show firewall filter in_filter_presvc-vrf_svcs counter svc_in_pkts
Comprobación de que el tráfico entrante se filtra después del procesamiento del servicio de entrada
Propósito
Compruebe que los paquetes entrantes enviados desde el puerto TCP 179 son devueltos desde el procesamiento por los servicios de entrada asociados con el conjunto de servicios.vrf_svcs
Acción
Muestra el recuento de paquetes devueltos del procesamiento por los servicios de entrada asociados al conjunto de servicios.vrf_svcs
[edit] user@host> show firewall filter in_filter_postsvc-vrf_svcs counter svc_in_pkts_rtn
Comprobación de que el tráfico saliente se filtra antes del procesamiento del servicio de salida
Propósito
Compruebe que los paquetes salientes enviados al puerto ICMP 179 se envían para su procesamiento por los servicios de salida asociados con el conjunto de servicios.vrf_svcs
Acción
Muestra el recuento de paquetes enviados para su procesamiento por los servicios de salida asociados al conjunto de servicios.vrf_svcs
[edit] user@host> show firewall filter out_filter_presvc-vrf_svcs counter svc_out_pkts