Diretrizes para a aplicação de filtros de serviço
Restrições para interfaces de serviços adaptativos
As seguintes restrições se aplicam a interfaces de serviços adaptativas e filtros de serviço.
Interfaces de serviços adaptativos
Você pode aplicar um filtro de serviço ao tráfego IPv4 ou IPv6 associado a um conjunto de serviços apenas em uma interface de serviços adaptativa . As interfaces de serviços adaptativos são suportadas apenas para o seguinte hardware:
PICs de serviços adaptativos (AS) em roteadores série M e Série T
PICs multisserviços (MS) em roteadores série M e Série T
DPCs MS em roteadores da Série MX e switches da Série EX
MS MPCs e MICs em roteadores da Série MX
Registro do sistema em um host remoto de roteadores da Série M
O registro de mensagens de interfaces de serviços adaptativos em um servidor externo por meio da ou porta não é suportado em roteadores da Série M.fxp0em0 A arquitetura não suporta o registro de tráfego de uma interface de gerenciamento. Em vez disso, o acesso a um servidor externo é suportado em uma interface packet forwarding Engine.
Hierarquia de declarações para a aplicação de filtros de serviço
Você pode habilitar a filtragem de pacotes do tráfego IPv4 ou IPv6 antes que um pacote seja aceito para processamento de serviços de entrada ou saída. Para isso, aplique um filtro de serviço na entrada ou saída da interface de serviços adaptativos em conjunto com um conjunto de serviços de interface.
Você também pode habilitar a filtragem de pacotes de tráfego IPv4 ou IPv6 que está retornando ao Mecanismo de encaminhamento de pacotes após o processamento de serviços de entrada concluído. Para fazer isso, aplique um filtro pós-serviço na entrada de interface de serviços adaptativos.
A configuração a seguir mostra os níveis de hierarquia nos quais você pode aplicar os filtros de serviço para interfaces de serviços adaptativas:
[edit]
interfaces {
interface-name {
unit unit-number {
family (inet | inet6) {
service {
input {
service-set service-set-name service-filter service-filter-name;
post-service-filter service-filter-name;
}
output {
service-set service-set-name service-filter service-filter-name;
}
}
}
}
}
}
Associação de regras de serviço com interfaces de serviços adaptativas
Para definir e agrupar as regras de serviço a uma interface de serviços adaptativa, você define um conjunto de serviços de interface incluindo a declaração no nível hierárquica.service-set service-set-name[edit services]
Para aplicar um conjunto de serviços de interface à entrada e saída de uma interface de serviços adaptativa, você inclui os seguintes níveis de hierarquia:service-set service-set-name
[edit interfaces interface-name unit unit-number input][edit interfaces interface-name unit unit-number output]
Se você aplicar um conjunto de serviços a uma direção de uma interface de serviços adaptativa, mas não aplicar um conjunto de serviços para outra direção, um erro ocorre quando você confirma a configuração.
Os serviços adaptativos PIC executa diferentes ações dependendo se o pacote é enviado ao PIC para serviço de entrada ou para serviço de saída. Por exemplo, você pode configurar um único conjunto de serviços para realizar a tradução de endereços de rede (NAT) em uma direção e NAT de destino (dNAT) na outra direção.
Filtragem de tráfego antes de aceitar pacotes para processamento de serviços
Para filtrar o tráfego IPv4 ou IPv6 antes de aceitar pacotes para processamento de serviços de entrada ou saída, inclua em uma das seguintes interfaces:service-set service-set-name service-filter service-filter-name
[edit interfaces interface-name unit unit-number family (inet | inet6) service input][edit interfaces interface-name unit unit-number family (inet | inet6) service output]
Para o , especifique um conjunto de serviços configurado no nível de hierarquia.service-set-name[edit services service-set]
O conjunto de serviços retém as informações da interface de entrada mesmo após a aplicação dos serviços, de modo que funções como encaminhamento de classe de filtro e uso de classe de destino (DCU) que dependem das informações da interface de entrada continuam funcionando.
Os seguintes requisitos aplicam-se à filtragem do tráfego de entrada ou saída antes de aceitar pacotes para processamento de serviços:
Você configura o mesmo conjunto de serviços nos lados de entrada e saída da interface.
Se você incluir a declaração sem uma definição opcional , o Junos OS assume que a condição da correspondência é verdadeira e seleciona o conjunto de serviços para processamento automaticamente.
service-setservice-filterO filtro de serviço só é aplicado se um conjunto de serviços estiver configurado e selecionado.
Você pode incluir mais de uma definição de conjunto de serviços em cada lado de uma interface. As seguintes diretrizes aplicam-se:
Se você incluir vários conjuntos de serviços, o software do roteador (ou switch) os avalia na ordem em que eles aparecem na configuração. O sistema executa o primeiro conjunto de serviços para o qual encontra uma correspondência no filtro de serviço e ignora as definições subsequentes.
No máximo seis conjuntos de serviços podem ser aplicados a uma interface.
Quando você aplica vários conjuntos de serviços em uma interface, você também deve configurar e aplicar um filtro de serviço na interface.
Filtragem de pós-serviço do tráfego de serviços de retorno
Como opção de filtragem do tráfego de serviços de entrada IPv4 ou IPv6, você pode aplicar um filtro de serviço ao tráfego IPv4 ou IPv6 que está retornando à interface de serviços após a execução do conjunto de serviços. Para aplicar um filtro de serviço dessa maneira, inclua a declaração no nível de hierarquia.post-service-filter service-filter-name[edit interfaces interface-name unit unit-number family (inet | inet6) service input]