Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración y aplicación de filtros de servicio

En este ejemplo se muestra cómo configurar y aplicar filtros de servicio.

Requisitos

En este ejemplo, se utiliza la interfaz xe-0/1/0.0 lógica en cualquiera de los siguientes componentes de hardware:

  • PIC de servicios adaptativos (AS) en un enrutador serie M o T

  • PIC multiservicio (MS) en un enrutador serie M o T

  • DPC multiservicio (MS) en un enrutador serie MX

  • Conmutador de la serie EX

Antes de comenzar, asegúrese de tener:

  • Instaló el enrutador (o conmutador) compatible y las PIC o DPC y realizó la configuración inicial del enrutador (o conmutador).

  • Se configuró Ethernet básico en la topología y se comprobó que el tráfico fluye en la topología y que el tráfico IPv4 fluye a través de la interfaz xe-0/1/0.0lógica.

  • Se configuró el conjunto vrf_svcs de servicios con reglas de entrada y salida de servicio y configuración predeterminada para servicios en una interfaz de servicio.

Para obtener instrucciones para configurar conjuntos de servicios, consulte Configuración de conjuntos de servicios para aplicarlos a interfaces de servicios.

Descripción general

En este ejemplo, se crean tres tipos de filtros de servicio para el tráfico IPv4: un filtro de servicio de entrada, un filtro de entrada posterior al servicio y un filtro de servicio de salida. Se pueden aplicar diferentes filtros de servicio al mismo conjunto de servicios. Ver también: Configuración de conjuntos de servicios que se aplicarán a las interfaces de servicios

Topología

Puede aplicar el filtro de servicio de entrada y el filtro de entrada posterior al servicio al tráfico de entrada en la interfaz xe-0/1/0.0lógica y aplicar el filtro de servicio de salida al tráfico de salida en la misma interfaz lógica.

  • Filtrado del tráfico IPv4 antes de que sea aceptado para el procesamiento del servicio de entrada: en la interfaz xe-0/1/0.0lógica, el filtro in_filter_presvc de servicio se utiliza para filtrar el tráfico de entrada IPv4 antes de que los servicios asociados al conjunto vrf_svcsde servicios puedan aceptar el procesamiento del tráfico. El in_filter_presvc filtro de servicio cuenta los paquetes enviados desde el puerto ICMP 179, dirige estos paquetes a los servicios de entrada asociados con el conjunto vrf_svcsde servicios y descarta todos los demás paquetes.

  • Filtrado del tráfico IPv4 después de que haya completado el procesamiento del servicio de entrada: en la interfaz xe-0/1/0.0lógica, el filtro in_filter_postsvc de servicio se utiliza para filtrar el tráfico que regresa a la interfaz de servicios después de ejecutar el conjunto in_filter_presvc de servicios de entrada. El in_filter_postsvc filtro de servicio cuenta los paquetes enviados desde el puerto ICMP 179 y, a continuación, los descarta.

  • Filtrado del tráfico IPv4 antes de que sea aceptado para el procesamiento del servicio de salida: en la interfaz xe-0/1/0.0lógica, utilice service-filter out_filter_presvc para filtrar el tráfico de salida IPv4 antes de que los servicios asociados al conjunto vrf_svcsde servicios puedan aceptar el tráfico para su procesamiento. El out_filter_presvc filtro de servicio cuenta los paquetes destinados al puerto TCP 179 y, a continuación, dirige los paquetes a los servicios de salida asociados con el conjunto vrf_svcsde servicios.

Configuración

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.

Para configurar este ejemplo, realice las siguientes tareas:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit] jerarquía.

Configuración de los tres filtros de servicio

Procedimiento paso a paso

Para configurar los tres filtros de servicio:

  1. Configure el filtro del servicio de entrada.

  2. Configure el filtro de entrada posterior al servicio.

  3. Configure el filtro del servicio de salida.

Resultados

Confirme la configuración de los filtros de servicio de entrada y salida y del filtro de entrada posterior al servicio introduciendo el comando de show firewall modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Aplicación de los tres filtros de servicio

Procedimiento paso a paso

Para aplicar los tres filtros de servicio:

  1. Acceda al protocolo IPv4 en la interfaz xe-0/1/0.0de entrada.

  2. Aplique el filtro de servicio de entrada y el filtro de entrada de servicio posterior.

Resultados

Confirme la configuración de las interfaces introduciendo el comando de show interfaces modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Cuando haya terminado de configurar el dispositivo, confirme la configuración candidata.

Verificación

Confirme que la configuración funcione correctamente.

Comprobación de que el tráfico entrante se filtra antes del servicio de entrada

Propósito

Compruebe que los paquetes entrantes enviados desde el puerto TCP 179 se envían para su procesamiento por los servicios de entrada asociados con el conjunto vrf_svcsde servicios.

Acción

Muestra el recuento de paquetes enviados para su procesamiento por los servicios de entrada asociados al conjunto vrf_svcsde servicios.

Comprobación de que el tráfico entrante se filtra después del procesamiento del servicio de entrada

Propósito

Compruebe que los paquetes entrantes enviados desde el puerto TCP 179 son devueltos desde el procesamiento por los servicios de entrada asociados con el conjunto vrf_svcsde servicios.

Acción

Muestra el recuento de paquetes devueltos del procesamiento por los servicios de entrada asociados al conjunto vrf_svcsde servicios.

Comprobación de que el tráfico saliente se filtra antes del procesamiento del servicio de salida

Propósito

Compruebe que los paquetes salientes enviados al puerto ICMP 179 se envían para su procesamiento por los servicios de salida asociados con el conjunto vrf_svcsde servicios.

Acción

Muestra el recuento de paquetes enviados para su procesamiento por los servicios de salida asociados al conjunto vrf_svcsde servicios.