EN ESTA PÁGINA
Ejemplo: Configuración y aplicación de filtros de servicio
En este ejemplo, se muestra cómo configurar y aplicar filtros de servicio.
Requisitos
En este ejemplo, se usa la interfaz xe-0/1/0.0 lógica en cualquiera de los siguientes componentes de hardware:
Pic de servicios adaptables (AS) en un enrutador serie M o T
PIC de múltiples servicios (MS) en un enrutador serie M o T
DPC de varios servicios (MS) en un enrutador serie MX
Conmutador de la serie EX
Antes de comenzar, asegúrese de que tiene lo siguiente:
Instaló el enrutador (o conmutador) y las PIC o DPC compatibles y llevó a cabo la configuración inicial del enrutador (o conmutador).
Configuró Ethernet básico en la topología y comprobó que el tráfico fluye en la topología y que el tráfico IPv4 fluye a través de la interfaz
xe-0/1/0.0lógica.Configuró el conjunto
vrf_svcsde servicios con reglas de entrada y salida de servicio y ajustes predeterminados para servicios en una interfaz de servicio.
Para obtener instrucciones para configurar conjuntos de servicios, consulte Configurar conjuntos de servicio para aplicar a interfaces de servicios.
Descripción general
En este ejemplo, se crean tres tipos de filtros de servicio para el tráfico IPv4: un filtro de servicio de entrada, un filtro de entrada de servicio posterior y un filtro de servicio de salida. Se pueden aplicar filtros de servicio diferentes al mismo conjunto de servicios. Consulte también: Configuración de conjuntos de servicios para que se apliquen a interfaces de servicios
Topología
Aplique el filtro de servicio de entrada y el filtro de entrada de postservicio al tráfico de entrada en la interfaz xe-0/1/0.0lógica, y aplique el filtro de servicio de salida al tráfico de salida en la misma interfaz lógica.
Filtrado del tráfico IPv4 antes de que se acepte para el procesamiento del servicio de entrada: en la interfaz
xe-0/1/0.0lógica, utilice el filtro dein_filter_presvcservicio para filtrar el tráfico de entrada IPv4 antes de que el tráfico pueda ser aceptado para su procesamiento por los servicios asociados con el conjuntovrf_svcsde servicios. Elin_filter_presvcfiltro de servicio cuenta los paquetes enviados desde el puerto ICMP 179, dirige estos paquetes a los servicios de entrada asociados con el conjuntovrf_svcsde servicios y descarta todos los demás paquetes.Filtrado del tráfico IPv4 después de completar el procesamiento del servicio de entrada: en la interfaz
xe-0/1/0.0lógica, se utiliza el filtroin_filter_postsvcde servicio para filtrar el tráfico que regresa a la interfaz de servicios después de ejecutar el conjuntoin_filter_presvcde servicios de entrada. Elin_filter_postsvcfiltro de servicio cuenta los paquetes enviados desde el puerto ICMP 179 y, luego, los descarta.Filtrado del tráfico IPv4 antes de que se acepte para el procesamiento del servicio de salida: en la interfaz
xe-0/1/0.0lógica, se utiliza el service-filterout_filter_presvcpara filtrar el tráfico de salida IPv4 antes de que los servicios asociados con el conjuntovrf_svcsde servicios puedan aceptarlo para su procesamiento. Elout_filter_presvcfiltro de servicio cuenta los paquetes destinados al puerto TCP 179 y, a continuación, los dirige a los servicios de salida asociados con el conjunto de serviciosvrf_svcs.
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configuración de los tres filtros de servicio
- Aplicación de los tres filtros de servicio
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set firewall family inet service-filter in_filter_presvc term t1 from protocol tcp set firewall family inet service-filter in_filter_presvc term t1 from source-port bgp set firewall family inet service-filter in_filter_presvc term t1 then count svc_in_pkts set firewall family inet service-filter in_filter_presvc term t1 then service set firewall family inet service-filter in_filter_postsvc term t2 from protocol tcp set firewall family inet service-filter in_filter_postsvc term t2 from source-port bgp set firewall family inet service-filter in_filter_postsvc term t2 then count svc_in_pkts_rtn set firewall family inet service-filter in_filter_postsvc term t2 then skip set firewall family inet service-filter out_filter_presvc term t3 from protocol icmp set firewall family inet service-filter out_filter_presvc term t3 from destination-port bgp set firewall family inet service-filter out_filter_presvc term t3 then count svc_out_pkts set firewall family inet service-filter out_filter_presvc term t3 then service set interfaces xe-0/1/0 unit 0 family inet service input service-set vrf_svcs service-filter in_filter_presvc set interfaces xe-0/1/0 unit 0 family inet service input post-service-filter in_filter_postsvc set interfaces xe-0/1/0 unit 0 family inet service output service-set vrf_svcs service-filter out_filter_presvc
Configuración de los tres filtros de servicio
Procedimiento paso a paso
Para configurar los tres filtros de servicio:
Configure el filtro de servicio de entrada.
[edit] user@host# edit firewall family inet service-filter in_filter_presvc [edit firewall family inet service-filter in_filter_presvc] user@host# set term t1 from protocol tcp user@host# set term t1 from source-port bgp user@host# set term t1 then count svc_in_pkts user@host# set term t1 then service
Configure el filtro de entrada posterior al servicio.
[edit] user@host# edit firewall family inet service-filter in_filter_postsvc [edit firewall family inet service-filter in_filter_postsvc] user@host# set term t2 from protocol tcp user@host# set term t2 from source-port bgp user@host# set term t2 then count svc_in_pkts_rtn user@host# set term t2 then skip
Configure el filtro de servicio de salida.
[edit] user@host# edit firewall family inet service-filter out_filter_presvc [edit firewall family inet service-filter out_filter_presvc] user@host# set term t3 from protocol icmp user@host# set term t3 from destination-port bgp user@host# set term t3 then count svc_out_pkts user@host# set term t3 then service
Resultados
Para confirmar la configuración de los filtros del servicio de entrada y salida, y del filtro de entrada de postservicio, ingrese el comando del modo de show firewall configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
family inet {
service-filter in_filter_presvc {
term t1 {
from {
protocol tcp;
source-port bgp;
}
then {
count svc_in_pkts;
service;
}
}
}
service-filter in_filter_postsvc {
term t2 {
from {
protocol tcp;
source-port bgp;
}
then {
count svc_in_pkts_rtn;
skip;
}
}
}
service-filter out_filter_presvc {
term t3 {
from {
protocol icmp;
destination-port bgp;
}
then {
count svc_out_pkts;
service;
}
}
}
}
Aplicación de los tres filtros de servicio
Procedimiento paso a paso
Para aplicar los tres filtros de servicio:
Acceda al protocolo IPv4 en la interfaz
xe-0/1/0.0de entrada .[edit] user@host# edit interfaces xe-0/1/0 unit 0 family inet
Aplique el filtro de servicio de entrada y el filtro de entrada posterior al servicio.
[edit interfaces xe-0/1/0 unit 0 family inet] user@host# set service input service-set vrf_svcs service-filter in_filter_presvc user@host# set service input post-service-filter in_filter_postsvc user@host# set service output service-set vrf_svcs service-filter out_filter_presvc
Resultados
Para confirmar la configuración de las interfaces, ingrese el comando del modo de show interfaces configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
[edit]
user@host# show interfaces
xe-0/1/0 {
unit 0 {
family inet {
service {
input {
service-set vrf_svcs service-filter in_filter_presvc;
post-service-filter in_filter_postsvc;
}
output {
service-set vrf_svcs service-filter out_filter_presvc;
}
}
}
}
}
Cuando termine de configurar el dispositivo, confirme la configuración del candidato.
Verificación
Confirme que la configuración funciona correctamente.
- Verificar que el tráfico entrante se filtra antes del servicio de entrada
- Verificar que el tráfico entrante se filtra después del procesamiento del servicio de entrada
- Verificar que el tráfico saliente se filtra antes de procesar el servicio de salida
Verificar que el tráfico entrante se filtra antes del servicio de entrada
Propósito
Compruebe que los servicios de entrada asociados con el conjunto vrf_svcsde servicios de servicio envían para su procesamiento los paquetes entrantes enviados desde el puerto TCP 179.
Acción
Muestra el recuento de paquetes enviados para su procesamiento por los servicios de entrada asociados con el conjunto de servicios vrf_svcs.
[edit] user@host> show firewall filter in_filter_presvc-vrf_svcs counter svc_in_pkts
Verificar que el tráfico entrante se filtra después del procesamiento del servicio de entrada
Propósito
Compruebe que los servicios de entrada asociados con el conjunto vrf_svcsde servicios de servicio devuelven los paquetes entrantes enviados desde el puerto TCP 179 del procesamiento.
Acción
Muestra el recuento de paquetes devueltos del procesamiento por los servicios de entrada asociados con el conjunto de servicios vrf_svcs.
[edit] user@host> show firewall filter in_filter_postsvc-vrf_svcs counter svc_in_pkts_rtn
Verificar que el tráfico saliente se filtra antes de procesar el servicio de salida
Propósito
Compruebe que los paquetes salientes enviados al puerto ICMP 179 se envían para su procesamiento por los servicios de salida asociados con el conjunto de servicios vrf_svcs.
Acción
Muestra el recuento de paquetes enviados para su procesamiento por los servicios de salida asociados con el conjunto de servicios vrf_svcs.
[edit] user@host> show firewall filter out_filter_presvc-vrf_svcs counter svc_out_pkts