Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración y aplicación de filtros de servicio

En este ejemplo, se muestra cómo configurar y aplicar filtros de servicio.

Requisitos

En este ejemplo, se usa la interfaz xe-0/1/0.0 lógica en cualquiera de los siguientes componentes de hardware:

  • Pic de servicios adaptables (AS) en un enrutador serie M o T

  • PIC de múltiples servicios (MS) en un enrutador serie M o T

  • DPC de varios servicios (MS) en un enrutador serie MX

  • Conmutador de la serie EX

Antes de comenzar, asegúrese de que tiene lo siguiente:

  • Instaló el enrutador (o conmutador) y las PIC o DPC compatibles y llevó a cabo la configuración inicial del enrutador (o conmutador).

  • Configuró Ethernet básico en la topología y comprobó que el tráfico fluye en la topología y que el tráfico IPv4 fluye a través de la interfaz xe-0/1/0.0lógica.

  • Configuró el conjunto vrf_svcs de servicios con reglas de entrada y salida de servicio y ajustes predeterminados para servicios en una interfaz de servicio.

Para obtener instrucciones para configurar conjuntos de servicios, consulte Configurar conjuntos de servicio para aplicar a interfaces de servicios.

Descripción general

En este ejemplo, se crean tres tipos de filtros de servicio para el tráfico IPv4: un filtro de servicio de entrada, un filtro de entrada de servicio posterior y un filtro de servicio de salida. Se pueden aplicar filtros de servicio diferentes al mismo conjunto de servicios. Consulte también: Configuración de conjuntos de servicios para que se apliquen a interfaces de servicios

Topología

Aplique el filtro de servicio de entrada y el filtro de entrada de postservicio al tráfico de entrada en la interfaz xe-0/1/0.0lógica, y aplique el filtro de servicio de salida al tráfico de salida en la misma interfaz lógica.

  • Filtrado del tráfico IPv4 antes de que se acepte para el procesamiento del servicio de entrada: en la interfaz xe-0/1/0.0lógica, utilice el filtro de in_filter_presvc servicio para filtrar el tráfico de entrada IPv4 antes de que el tráfico pueda ser aceptado para su procesamiento por los servicios asociados con el conjunto vrf_svcsde servicios. El in_filter_presvc filtro de servicio cuenta los paquetes enviados desde el puerto ICMP 179, dirige estos paquetes a los servicios de entrada asociados con el conjunto vrf_svcsde servicios y descarta todos los demás paquetes.

  • Filtrado del tráfico IPv4 después de completar el procesamiento del servicio de entrada: en la interfaz xe-0/1/0.0lógica, se utiliza el filtro in_filter_postsvc de servicio para filtrar el tráfico que regresa a la interfaz de servicios después de ejecutar el conjunto in_filter_presvc de servicios de entrada. El in_filter_postsvc filtro de servicio cuenta los paquetes enviados desde el puerto ICMP 179 y, luego, los descarta.

  • Filtrado del tráfico IPv4 antes de que se acepte para el procesamiento del servicio de salida: en la interfaz xe-0/1/0.0lógica, se utiliza el service-filter out_filter_presvc para filtrar el tráfico de salida IPv4 antes de que los servicios asociados con el conjunto vrf_svcsde servicios puedan aceptarlo para su procesamiento. El out_filter_presvc filtro de servicio cuenta los paquetes destinados al puerto TCP 179 y, a continuación, los dirige a los servicios de salida asociados con el conjunto de servicios vrf_svcs.

Configuración

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.

Para configurar este ejemplo, realice las siguientes tareas:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Configuración de los tres filtros de servicio

Procedimiento paso a paso

Para configurar los tres filtros de servicio:

  1. Configure el filtro de servicio de entrada.

  2. Configure el filtro de entrada posterior al servicio.

  3. Configure el filtro de servicio de salida.

Resultados

Para confirmar la configuración de los filtros del servicio de entrada y salida, y del filtro de entrada de postservicio, ingrese el comando del modo de show firewall configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.

Aplicación de los tres filtros de servicio

Procedimiento paso a paso

Para aplicar los tres filtros de servicio:

  1. Acceda al protocolo IPv4 en la interfaz xe-0/1/0.0de entrada .

  2. Aplique el filtro de servicio de entrada y el filtro de entrada posterior al servicio.

Resultados

Para confirmar la configuración de las interfaces, ingrese el comando del modo de show interfaces configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, confirme la configuración del candidato.

Verificación

Confirme que la configuración funciona correctamente.

Verificar que el tráfico entrante se filtra antes del servicio de entrada

Propósito

Compruebe que los servicios de entrada asociados con el conjunto vrf_svcsde servicios de servicio envían para su procesamiento los paquetes entrantes enviados desde el puerto TCP 179.

Acción

Muestra el recuento de paquetes enviados para su procesamiento por los servicios de entrada asociados con el conjunto de servicios vrf_svcs.

Verificar que el tráfico entrante se filtra después del procesamiento del servicio de entrada

Propósito

Compruebe que los servicios de entrada asociados con el conjunto vrf_svcsde servicios de servicio devuelven los paquetes entrantes enviados desde el puerto TCP 179 del procesamiento.

Acción

Muestra el recuento de paquetes devueltos del procesamiento por los servicios de entrada asociados con el conjunto de servicios vrf_svcs.

Verificar que el tráfico saliente se filtra antes de procesar el servicio de salida

Propósito

Compruebe que los paquetes salientes enviados al puerto ICMP 179 se envían para su procesamiento por los servicios de salida asociados con el conjunto de servicios vrf_svcs.

Acción

Muestra el recuento de paquetes enviados para su procesamiento por los servicios de salida asociados con el conjunto de servicios vrf_svcs.