EN ESTA PÁGINA
Conjuntos de servicios
Descripción de los conjuntos de servicios
Junos OS permite crear conjuntos de servicios que definen una colección de servicios que deben realizar una interfaz de servicios adaptables (AS) o tarjetas de línea multiservicios (MS-DPC, MS-MIC y MS-MPC). Puede configurar el conjunto de servicios como un conjunto de servicios de estilo de interfaz o como un conjunto de servicios de estilo de salto siguiente.
Un conjunto de servicios de interfaz se utiliza como modificador de acción en toda una interfaz. Puede utilizar un conjunto de servicios de estilo interfaz cuando desee aplicar servicios a paquetes que pasan por una interfaz.
Un conjunto de servicios del salto siguiente es un método basado en rutas para aplicar un servicio determinado. Solo los paquetes destinados a un próximo salto específico reciben servicio mediante la creación de rutas estáticas explícitas. Esta configuración es útil cuando los servicios deben aplicarse a una tabla de enrutamiento y reenvío (VRF) de red privada virtual (VPN) completa o cuando las decisiones de enrutamiento determinan que los servicios deben realizarse. Cuando se configura un servicio de salto siguiente, la interfaz de servicio se considera un módulo de dos patas con una pata configurada para ser la interfaz interna (dentro de la red) y la otra configurada como la interfaz externa (fuera de la red).
Para evitar la caída de paquetes durante una operación de desactivación de conjunto de servicios o eliminación de conjunto de servicios, primero baje las interfaces correspondientes al conjunto de servicios, espere un momento y, luego, desactive o elimine el conjunto de servicios. Sin embargo, si el flujo de tráfico es muy alto, esta solución no ayuda.
Para configurar conjuntos de servicios, incluya las siguientes instrucciones en el nivel de [edit services] jerarquía:
[edit services] service-set service-set-name { (ids-rules rule-names | ids-rule-sets rule-set-name); (ipsec-vpn-rules rule-names | ipsec-vpn-rule-sets rule-set-name); max-session-setup-rate max-setup-rate; (nat-rules rule-names | nat-rule-sets rule-set-name); (pgcp-rules rule-names | pgcp-rule-sets rule-set-name); (ptsp-rules rule-names | ptsp-rule-sets rule-set-name); (stateful-firewall-rules rule-names | stateful-firewall-rule-sets rule-set-name); allow-multicast; extension-service service-name { provider-specific rules; } interface-service { service-interface interface-name; } ipsec-vpn-options { anti-replay-window-size bits; clear-dont-fragment-bit; ike-access-profile profile-name; local-gateway address; no-anti-replay; passive-mode-tunneling; trusted-ca [ ca-profile-names ]; tunnel-mtu bytes; } max-flows number; next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; service-interface-pool name; } syslog { host hostname { services severity-level; facility-override facility-name; log-prefix prefix-value; } } } adaptive-services-pics { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } } logging { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } }
Ver también
Configuración de conjuntos de servicios que se aplicarán a las interfaces de servicios
Configure una interfaz de servicios para especificar la interfaz de servicios adaptables en la que se va a realizar el servicio. Las interfaces de servicios se utilizan con cualquiera de los tipos de conjuntos de servicios descritos en las secciones siguientes.
- Configuración de conjuntos de servicios de interfaz
- Configuración de conjuntos de servicios del próximo salto
- Determinación de la dirección del tráfico
Configuración de conjuntos de servicios de interfaz
Un conjunto de servicios de interfaz se utiliza como modificador de acción en toda una interfaz. Para configurar la interfaz de servicios, incluya la interface-service instrucción en el nivel de [edit services service-set service-set-name] jerarquía:
[edit services service-set service-set-name] interface-service { service-interface interface-name; }
Solo se necesita el nombre del dispositivo, ya que el software del enrutador administra los números de unidad lógica automáticamente. La interfaz de servicios debe ser una interfaz de servicios adaptable para la que haya configurado unit 0 family inet en el nivel de [edit interfaces interface-name jerarquía.
Cuando haya definido y agrupado las reglas de servicio configurando la definición de conjunto de servicios, puede aplicar servicios a una o más interfaces instaladas en el enrutador. Cuando se aplica el conjunto de servicios a una interfaz, se garantiza automáticamente que los paquetes se dirijan a la PIC.
Para asociar un conjunto de servicios definido a una interfaz, incluya una service-set instrucción con la input instrucción o output en el nivel jerárquico [edit interfaces interface-name unit logical-unit-number family inet service] :
[edit interfaces interface-name unit logical-unit-number family inet service]
input {
service-set service-set-name <service-filter filter-name>;
post-service-filter filter-name;
}
output {
service-set service-set-name <service-filter filter-name>;
}
Si un paquete entra en la interfaz, la dirección de coincidencia es input. Si un paquete sale de la interfaz, la dirección de coincidencia es output. El conjunto de servicios conserva la información de la interfaz de entrada incluso después de aplicar los servicios, de modo que funciones como el reenvío de clase de filtro y el uso de clase de destino (DCU) que dependen de la información de la interfaz de entrada siguen funcionando.
El mismo conjunto de servicios se configura en los lados de entrada y salida de la interfaz. Opcionalmente, puede incluir filtros asociados con cada conjunto de servicios para refinar el destino y, además, procesar el tráfico. Si incluye la instrucción sin una service-filter definición, el software del enrutador asume que la service-set condición de coincidencia es verdadera y selecciona el conjunto de servicios para su procesamiento automáticamente.
Si configura conjuntos de servicios con filtros, deben configurarse en los lados de entrada y salida de la interfaz.
Puede incluir más de una definición de conjunto de servicios a cada lado de la interfaz. Si incluye varios conjuntos de servicios, el software del enrutador los evalúa en el orden en que aparecen en la configuración. El sistema ejecuta el primer conjunto de servicios para el que encuentra una coincidencia en el filtro de servicio e ignora las definiciones posteriores. Se puede aplicar un máximo de seis conjuntos de servicios a una interfaz. Cuando se aplican varios conjuntos de servicios a una interfaz, también se debe configurar y aplicar un filtro de servicio a la interfaz.
Una instrucción adicional permite especificar un filtro para procesar el tráfico después de ejecutar el conjunto de servicios de entrada. Para configurar este tipo de filtro, incluya la post-service-filter instrucción en el [edit interfaces interface-name unit logical-unit-number family inet service input] nivel de jerarquía:
post-service-filter filter-name;
La post-service-filter instrucción no se admite cuando la interfaz de servicio está en un MS-MIC o MS-MPC.
Para obtener un ejemplo, consulte Ejemplo: Configuración de conjuntos de servicios.
Con los conjuntos de servicios de estilo interfaz configurados con paquetes de extensión de Junos OS, el tráfico no recibe servicio cuando la interfaz de entrada forma parte de una instancia de VRF y la interfaz de servicio no forma parte de la misma instancia de VRF.
Cuando la PIC de multiservicios configurada para un conjunto de servicios se desconecta administrativamente o sufre un error, todo el tráfico que entra en la interfaz configurada con un conjunto de servicios IDP se descarta sin notificación. Para evitar esta pérdida de tráfico, incluya la bypass-traffic-on-pic-failure instrucción en el nivel de [edit services service-set service-set-name service-set-options] jerarquía. Cuando se configura esta instrucción, los paquetes afectados se reenvían en caso de que se produzca un error o un desenclave de PIC multiservicios, como si no se hubieran configurado servicios de estilo de interfaz. Este problema solo se aplica a las configuraciones de Junos Application Aware (anteriormente conocidas como reconocimiento dinámico de aplicaciones) que utilizan conjuntos de servicios IDP. Esta característica de reenvío solo funcionaba inicialmente con el motor de reenvío de paquetes (PFE). A partir de Junos OS versión 11.3, la función de reenvío de paquetes se extiende también a los paquetes generados por el motor de enrutamiento para conjuntos de servicios de derivación.
Configuración de conjuntos de servicios del próximo salto
Un conjunto de servicios del salto siguiente es un método basado en rutas para aplicar un servicio determinado. Solo los paquetes destinados a un próximo salto específico reciben servicio mediante la creación de rutas estáticas explícitas. Esta configuración es útil cuando los servicios deben aplicarse a una tabla de enrutamiento y reenvío (VRF) de red privada virtual (VPN) completa o cuando las decisiones de enrutamiento determinan que los servicios deben realizarse.
Cuando se configura un servicio de salto siguiente, el PIC de AS o multiservicio se considera un módulo de dos patas con una pata configurada para ser la interfaz interna (dentro de la red) y la otra configurada como la interfaz externa (fuera de la red).
Puede crear índices IFL mayores que 8000 sólo si el conjunto de servicios de interfaz no está configurado.
Para configurar el dominio, incluya la service-domain instrucción en el nivel de [edit interfaces interface-name unit logical-unit-number] jerarquía:
service-domain (inside | outside);
La service-domain configuración debe coincidir con la configuración de las interfaces internas y externas del servicio del próximo salto. Para configurar las interfaces internas y externas, incluya la next-hop-service instrucción en el nivel de [edit services service-set service-set-name] jerarquía. Las interfaces que especifique deben ser interfaces lógicas en la misma PIC de AS. No puede configurarlo unit 0 para este propósito y la interfaz lógica que elija no debe ser utilizada por otro conjunto de servicios.
next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; }
El tráfico en el que se aplica el servicio se fuerza a la interfaz interna mediante una ruta estática. Por ejemplo:
routing-options {
static {
route 10.1.2.3 next-hop sp-1/1/0.1;
}
}
Después de aplicar el servicio, el tráfico sale a través de la interfaz externa. A continuación, se realiza una búsqueda en el motor de reenvío de paquetes (PFE) para enviar el paquete fuera del AS o de la PIC multiservicio.
El tráfico inverso entra en la interfaz externa, se le da servicio y se envía a la interfaz interna. La interfaz interna reenvía el tráfico fuera del AS o de la PIC multiservicio.
Determinación de la dirección del tráfico
Cuando se configuran conjuntos de servicios del próximo salto, la PIC del AS funciona como una interfaz de dos partes, en la que una parte es la interfaz interna y la otra parte es la interfaz externa . Tiene lugar la siguiente secuencia de acciones:
Para asociar las dos partes con interfaces lógicas, configure dos interfaces lógicas con la
service-domaininstrucción, una con el valor y otra con eloutsideinsidevalor, para marcarlas como una interfaz de servicio interna o externa.El enrutador reenvía el tráfico que se va a atender a la interfaz interna, utilizando la tabla de búsqueda del salto siguiente.
Después de aplicar el servicio, el tráfico sale de la interfaz externa. A continuación, se realiza una búsqueda de ruta en los paquetes que se enviarán fuera del enrutador.
Cuando el tráfico inverso vuelve a la interfaz externa, el servicio aplicado se deshace; por ejemplo, el tráfico IPsec se descifra o las direcciones NAT se desenmascaran. Luego, los paquetes con servicio emergen en la interfaz interna, el enrutador realiza una búsqueda de ruta y el tráfico sale del enrutador.
La dirección de coincidencia de una regla de servicio, ya sea entrada, salida o entrada/salida, se aplica con respecto al flujo de tráfico a través de la PIC AS, no a través de una interfaz específica interna o externa.
Cuando se envía un paquete a una PIC AS, la información de dirección del paquete se lleva junto con él. Esto es cierto tanto para el estilo de interfaz como para los conjuntos de servicios de estilo del próximo salto.
Conjuntos de servicios de estilo de interfaz
La dirección del paquete viene determinada por si un paquete entra o sale de cualquier interfaz del motor de reenvío de paquetes (con respecto al plano de reenvío) en la que se aplica la interface-service instrucción. Esto es similar a la dirección de entrada y salida para los filtros de firewall sin estado.
La dirección de coincidencia también puede depender de la topología de red. Por ejemplo, puede enrutar todo el tráfico externo a través de una interfaz que se utiliza para proteger las otras interfaces del enrutador y configurar varios servicios en esta interfaz específicamente. Alternativamente, puede usar una interfaz para el tráfico prioritario y configurar servicios especiales en ella, pero no preocuparse por proteger el tráfico en las otras interfaces.
Conjuntos de servicios de estilo de salto siguiente
La dirección del paquete viene determinada por la interfaz PIC del AS que se usa para enrutar los paquetes a la PIC del AS. Si utiliza la instrucción para enrutar el inside-interface tráfico, la dirección del paquete es input. Si utiliza la instrucción para dirigir paquetes a la outside-interface PIC AS, la dirección del paquete es output.
La interfaz a la que se aplican los conjuntos de servicios afecta a la dirección de coincidencia. Por ejemplo, aplique la siguiente configuración:
sp-1/1/0 unit 1 service-domain inside; sp-1/1/0 unit 2 service-domain outside;
Si configura match-direction input, incluirá las instrucciones siguientes:
[edit] services service-set test1 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test1 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction input; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.1;
Si configura match-direction output, incluirá las instrucciones siguientes:
[edit] services service-set test2 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test2 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction output; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.2;
La diferencia esencial entre las dos configuraciones es el cambio en la dirección del partido y el siguiente salto de las rutas estáticas, que apunta a la interfaz interior o exterior del AS PIC.
Ver también
Configuración de las limitaciones del conjunto de servicios
Puede establecer las siguientes limitaciones en la capacidad del conjunto de servicios:
Puede limitar el número máximo de flujos permitidos por conjunto de servicios. Para configurar el valor máximo, incluya la
max-flowsinstrucción en el nivel de[edit services service-set service-set-name]jerarquía:[edit services service-set service-set-name] max-flows number;
La
max-flowsinstrucción permite asignar un único valor límite de flujo. Solo para conjuntos de servicios IDS, puede especificar varios tipos de límites de flujo con un mayor grado de control. Para obtener más información, consulte la descripción de lasession-limitinstrucción en Configuración de conjuntos de reglas IDS en un MS-DPC.Nota:Cuando se configura una interfaz de multiservicios agregados (AMS) como interfaz de servicio para un conjunto de servicios, el valor configurado para el
max-flowconjunto de servicios se aplica a cada una de las interfaces miembro de la interfaz AMS. Es decir, si ha configurado 1000 como el valor de un conjunto de servicios que utiliza una interfaz AMS con cuatro interfaces miembro activas, cada una de las interfaces miembro puede controlar 1000 flujos cada una, lo que da como resultado un valor efectivomax-flowdemax-flow4000.Puede limitar el tamaño máximo de segmento (MSS) permitido por el Protocolo de control de transmisión (TCP). Para configurar el valor máximo, incluya la
tcp-mssinstrucción en el nivel de[edit services service-set service-set-name]jerarquía:[edit services service-set service-set-name] tcp-mss number;
El protocolo TCP negocia un valor MSS durante el establecimiento de la conexión de sesión entre dos pares. El valor de MSS negociado se basa principalmente en la MTU de las interfaces a las que están conectados directamente los pares que se comunican. Sin embargo, en la red, debido a la variación en la MTU del vínculo en la ruta tomada por los paquetes TCP, algunos paquetes que todavía están dentro del valor MSS pueden fragmentarse cuando el tamaño del paquete en cuestión excede la MTU del enlace.
Si el enrutador recibe un paquete TCP con el bit SYN y la opción MSS establecida y la opción MSS especificada en el paquete es mayor que el valor MSS especificado por la instrucción, el enrutador reemplaza el valor MSS en el paquete con el valor inferior especificado por la
tcp-msstcp-mssinstrucción. El intervalo deltcp-mss mss-valueparámetro es de 536 a .65535Para ver estadísticas de paquetes SYN recibidos y paquetes SYN cuyo valor MSS se modifica, emita el comando de
show services service-sets statistics tcp-mssmodo operativo. Para obtener más información sobre este tema, consulte la Biblioteca de administración de Junos OS.A partir de Junos OS versión 17.1R1, puede limitar la velocidad de configuración de la sesión por conjunto de servicios para un MS-MPC. Para configurar la velocidad máxima de instalación permitida, incluya la
max-session-setup-rateinstrucción en el nivel de[edit services service-set service-set-name]jerarquía:[edit services service-set service-set-name] max-session-setup-rate (number | numberk);
La velocidad máxima de configuración de sesión es el número máximo de configuraciones de sesión permitidas por segundo. Una vez alcanzada esta tasa, se descarta cualquier intento de configuración de sesión adicional.
El rango para el
max-session-setup-ratenumber es de 1 a 429,496,729. También puede expresar la velocidad de configuración como miles de sesiones mediante numberk. A partir de Junos OS versión 18.4R1, 1k=1000 para elmax-session-setup-ratearchivo . Antes de Junos OS versión 18.4R1, 1k=1024. Si no incluye la instrucción, la velocidad de configuración de lamax-session-setup-ratesesión no está limitada.
Ver también
Ejemplo: configuración de conjuntos de servicios
Aplique dos conjuntos de my-input-service-set servicios y my-output-service-set, en toda la interfaz. Todo el tráfico se le ha my-input-service-set aplicado. Una vez aplicado el conjunto de servicios, se realiza un filtrado adicional mediante my_post_service_input_filter.
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
Configuración de grupos de interfaces de servicio
Permitir que las PIC de servicios acepten tráfico de multidifusión
Para permitir que el tráfico de multidifusión se envíe a la PIC de servicios adaptables o multiservicios, incluya la allow-multicast instrucción en el nivel de [edit services service-set service-set-name] jerarquía. Si no se incluye esta instrucción, el tráfico de multidifusión se elimina de forma predeterminada. Esta instrucción sólo se aplica al tráfico de multidifusión que utiliza un conjunto de servicios del salto siguiente; No se admite la configuración del conjunto de servicios de interfaz. Sólo se crean flujos unidireccionales para paquetes de multidifusión.
Ver también
Aplicación de filtros y servicios a interfaces
Cuando haya definido y agrupado las reglas de servicio configurando la definición de conjunto de servicios, puede aplicar servicios a una o más interfaces en el enrutador. Para asociar un conjunto de servicios definido a una interfaz, incluya la instrucción con la service-set input instrucción o output en el nivel jerárquico [edit interfaces interface-name unit logical-unit-number family inet service] :
[edit interfaces interface-name unit logical-unit-number family inet service] input { service-set service-set-name <service-filter filter-name>; post-service-filter filter-name; } output { service-set service-set-name <service-filter filter-name>; }
Cuando se habilitan servicios en una interfaz, no se admite el reenvío de ruta inversa. No puede configurar servicios en la interfaz de administración () ni en la interfaz de circuito cerrado (fxp0lo0).
Puede configurar diferentes conjuntos de servicios en los lados de entrada y salida de la interfaz. Sin embargo, para los conjuntos de servicios con reglas de servicio bidireccionales, debe incluir la misma definición de conjunto de servicios en las input instrucciones youtput. Cualquier conjunto de servicios que incluya en la instrucción debe configurarse con la interface-service instrucción en el nivel jerárquico[edit services service-set service-set-name]; para obtener más información, vea Configurar conjuntos deservice servicios para aplicarlos a interfaces de servicios.
Si configura una interfaz con un filtro de firewall de entrada que incluye una acción de rechazo y con un conjunto de servicios que incluye reglas de firewall con estado, el enrutador ejecuta el filtro de firewall de entrada antes de que se ejecuten las reglas de firewall con estado en el paquete. Como resultado, cuando el motor de reenvío de paquetes envía un mensaje de error del Protocolo de mensajes de control de Internet (ICMP) a través de la interfaz, las reglas de firewall con estado podrían descartar el paquete porque no se vio en la dirección de entrada.
Las posibles soluciones son incluir un filtro de tabla de reenvío para realizar la acción de rechazo, ya que este tipo de filtro se ejecuta después del firewall de estado en la dirección de entrada, o incluir un filtro de servicio de salida para evitar que los paquetes ICMP generados localmente vayan al servicio de firewall con estado.
Configuración de filtros de servicio
Opcionalmente, puede incluir filtros asociados con cada conjunto de servicios para refinar el destino y, además, procesar el tráfico. Si incluye la instrucción sin una service-filter definición, el software del enrutador asume que la service-set condición de coincidencia es verdadera y selecciona el conjunto de servicios para su procesamiento automáticamente.
Para configurar filtros de servicio, incluya la instrucción en el nivel de firewall [edit] jerarquía:
firewall {
family inet {
service-filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
Debe especificar inet como familia de direcciones para configurar un filtro de servicio.
Los filtros de servicio se configuran de manera similar a los filtros de firewall. Los filtros de servicio tienen las mismas condiciones de coincidencia que los filtros de firewall, pero las siguientes acciones específicas:
count: agregue el paquete a un total de contador.log: registre el paquete.port-mirror: espejo del puerto del paquete.sample—Muestree el paquete.service: reenvíe el paquete para el procesamiento del servicio.skip: omitir el paquete del procesamiento del servicio.
Para obtener más información acerca de cómo configurar filtros de firewall, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y aplicadores de políticas de tráfico.
También puede incluir más de una definición de conjunto de servicios a cada lado de la interfaz. Si incluye varios conjuntos de servicios, el software del enrutador los evalúa en el orden especificado en la configuración. Ejecuta el primer conjunto de servicios para el que encuentra una coincidencia en el filtro de servicio e ignora las definiciones posteriores.
Una instrucción adicional permite especificar un filtro para procesar el tráfico después de ejecutar el conjunto de servicios de entrada. Para configurar este tipo de filtro, incluya la post-service-filter instrucción en el [edit interfaces interface-name unit logical-unit-number family inet service input] nivel de jerarquía:
post-service-filter filter-name;
El software realiza el filtrado posterior al servicio solo cuando ha seleccionado y ejecutado un conjunto de servicios. Si el tráfico no cumple los criterios de coincidencia para alguno de los conjuntos de servicios configurados, se omite el filtro posterior al servicio. La post-service-filter instrucción no se admite cuando la interfaz de servicio está en un MS-MIC o MS-MPC.
Para obtener un ejemplo de cómo aplicar un conjunto de servicios a una interfaz, consulte Ejemplos: configuración de interfaces de servicios.
Para obtener más información sobre cómo aplicar filtros a interfaces, consulte la Biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento. Para obtener información general sobre los filtros, consulte la Guía del usuario de directivas de enrutamiento, filtros de firewall y políticas de tráfico.
Después de aplicar el procesamiento NAT a los paquetes, no están sujetos a filtros de servicio de salida. Los filtros de servicio solo afectan al tráfico no traducido.
Ejemplos: configuración de interfaces de servicios
Aplique el conjunto de servicios en toda la my-service-set interfaz. Todo el tráfico que es aceptado por my_input_filter se le ha my-input-service-set aplicado. Después de aplicar el conjunto de servicios, se realiza un filtrado adicional mediante el my_post_service_input_filter filtro.
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
filter {
input my_input_filter;
output my_output_filter;
}
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
Configure dos interfaces rsp0 de redundancia y rsp1, y los servicios asociados.
[edit interfaces]
rsp0 {
redundancy-options {
primary sp-0/0/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 30 {
family inet;
service-domain inside;
}
unit 31 {
family inet;
service-domain outside;
}
}
rsp1 {
redundancy-options {
primary sp-0/1/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 20 {
family inet;
service-domain inside;
}
unit 21 {
family inet;
service-domain outside;
}
}
[edit services]
service-set null-sfw-with-nat {
stateful-firewall-rules allow-all;
nat-rules rule1;
next-hop-service {
inside-service-interface rsp0.30;
outside-service-interface rsp0.31;
}
}
[edit routing-instances]
vpna {
interface rsp0.0;
}
Ver también
Configuración de la dirección y el dominio para las interfaces de servicios
En el PIC de AS o multiservicios, configure una dirección de origen para los mensajes de registro del sistema incluyendo la address instrucción en el nivel de [edit interfaces interface-name unit logical-unit-number family inet] jerarquía:
address address { ... }
Asigne una dirección IP a la interfaz configurando el address valor. Por lo general, el PIC de AS o multiservicios solo admite direcciones IP versión 4 (IPv4) configuradas mediante la instrucción, pero los servicios IPsec también admiten direcciones IP versión 6 (IPv6), configuradas mediante la family inet family inet6 instrucción.
Si configura la misma dirección en varias interfaces en la misma instancia de enrutamiento, Junos OS solo utilizará la primera configuración, las configuraciones de direcciones restantes se ignorarán y pueden dejar a las interfaces sin dirección. Las interfaces que no tienen una dirección asignada no se pueden utilizar como interfaz donante para una interfaz Ethernet no numerada.
Por ejemplo, en la siguiente configuración se omite la configuración de direcciones de la interfaz xe-0/0/1.0:
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
xe-0/0/1 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
Para obtener más información sobre cómo configurar la misma dirección en varias interfaces, consulte Configuración de la dirección de interfaz.
Para obtener información sobre otras propiedades de direccionamiento que puede configurar que no son específicas de las interfaces de servicio, consulte la Biblioteca de interfaces de red de Junos OS para dispositivos de enrutamiento.
La service-domain instrucción especifica si la interfaz se utiliza dentro de la red o para comunicarse con dispositivos remotos. El software utiliza esta configuración para determinar qué reglas predeterminadas de firewall con estado aplicar y para determinar la dirección predeterminada de las reglas de servicio. Para configurar el dominio, incluya la service-domain instrucción en el nivel de [edit interfaces interface-name unit logical-unit-number] jerarquía:
service-domain (inside | outside);
Si está configurando la interfaz en una definición de conjunto de servicios del salto siguiente, la configuración debe coincidir con la service-domain configuración de las instrucciones youtside-service-interface; para obtener más información, consulte Configuración de conjuntos de servicios para aplicarlos a interfaces deinside-service-interface servicios.
Ver también
Configuración del registro del sistema para conjuntos de servicios
Especifique propiedades que controlan cómo se generan los mensajes de registro del sistema para el conjunto de servicios. Estos valores reemplazan los valores configurados en el nivel de [edit interfaces interface-name services-options] jerarquía.
Para configurar valores de registro del sistema específicos del conjunto de servicios, incluya la syslog instrucción en el nivel de [edit services service-set service-set-name] jerarquía:
syslog { host hostname { class class-name facility-override facility-name; log-prefix prefix-value; port port-number services severity-level; source-address source-address } }
Configure la host instrucción con un nombre de host o una dirección IP que especifique el servidor de destino del registro del sistema. El nombre local de host dirige los mensajes de registro del sistema al motor de enrutamiento. Para los servidores de registro del sistema externos, el nombre de host debe ser accesible desde la misma instancia de enrutamiento a la que se entrega el paquete de datos inicial (que desencadenó el establecimiento de la sesión). Solo puede especificar un nombre de host de registro del sistema. El source-address parámetro se admite en las interfaces ms, rms y mams.
A partir de Junos OS versión 17.4R1, puede configurar hasta un máximo de cuatro servidores de registro del sistema (combinación de hosts de registro del sistema local y recopiladores de registros del sistema remotos) para cada conjunto de servicios en [edit services service-set service-set-name] el nivel de jerarquía.
Junos OS no admite la exportación de mensajes de registro del sistema a un servidor de registro del sistema externo a través de la interfaz fxp.0; Esto se debe a que la alta velocidad de transmisión de mensajes de registro del sistema y el ancho de banda limitado de la interfaz FXP.0 pueden causar varios problemas. El servidor de registro del sistema externo debe ser accesible a través de una interfaz enrutable.
En la tabla 1 se enumeran los niveles de gravedad que puede especificar en las instrucciones de configuración en el nivel jerárquico[edit services service-set service-set-name syslog host hostname]. Los niveles a través info están en orden de mayor gravedad (mayor efecto sobre el funcionamiento) a emergency más bajo.
Nivel de gravedad |
Descripción |
|---|---|
|
Incluye todos los niveles de gravedad |
|
Fallo del sistema u otra condición que hace que el enrutador deje de funcionar |
|
Condiciones que requieren corrección inmediata, como una base de datos del sistema dañada |
|
Condiciones críticas, como errores del disco duro |
|
Condiciones de error que generalmente tienen consecuencias menos graves que los errores en los niveles de emergencia, alerta y críticos |
|
Condiciones que justifican el monitoreo |
|
Condiciones que no son errores, pero que pueden justificar un tratamiento especial |
|
Eventos o condiciones de no error de interés |
Se recomienda establecer el nivel de gravedad del registro del sistema en error durante el funcionamiento normal. Para supervisar el uso de recursos PIC, establezca el nivel en warning. Para recopilar información acerca de un ataque de intrusión cuando se detecta un error del sistema de detección de intrusiones, establezca el nivel en notice para un conjunto de servicios específico. Para depurar una configuración o registrar la funcionalidad de NAT, establezca el nivel en info.
Para obtener más información acerca de los mensajes de registro del sistema, consulte el Explorador de registros del sistema.
Para seleccionar la clase de mensajes que se registrarán en el host de registro del sistema especificado, incluya la class instrucción en el [edit services service-set service-set-name syslog host hostname] nivel de jerarquía:
class class-name;
Para utilizar un código de instalación determinado para todos los registros en el host de registro del sistema especificado, incluya la facility-override instrucción en el nivel de [edit services service-set service-set-name syslog host hostname] jerarquía:
facility-override facility-name;
Las instalaciones admitidas son: authorization, , , userftpkernel, , daemony local0 a través de local7.
Para especificar un prefijo de texto para todos los registros en este host de registro del sistema, incluya la log-prefix instrucción en el nivel de [edit services service-set service-set-name syslog host hostname] jerarquía:
log-prefix prefix-value;
Ver también
Configuración de reglas de servicio
Especifique la colección de reglas y conjuntos de reglas que constituyen el conjunto de servicios. El enrutador realiza conjuntos de reglas en el orden en que aparecen en la configuración. Solo puede incluir un conjunto de reglas para cada tipo de servicio. Puede configurar los nombres de regla y el contenido para cada tipo de servicio en el nivel de [edit services name] jerarquía para cada tipo:
Las reglas del servicio de detección de intrusiones (IDS) se configuran en el nivel jerárquico; para obtener más información, consulte Configurar reglas IDS en un MS-DPC para tarjetas MS-DPC y Configurar la
[edit services ids]protección contra ataques de red en una MS-MPC para tarjetas MS-MPC.Las reglas de seguridad IP (IPsec) se configuran en el nivel jerárquico
[edit services ipsec-vpn]; para obtener más información, consulte Descripción de Junos VPN Site Secure.Las reglas de traducción de direcciones de red (NAT) se configuran en el nivel jerárquico; para obtener más información, consulte Descripción general del direccionamiento de red con reconocimiento de
[edit services nat]direcciones de Junos.Puede configurar suscriptores activados por paquetes y reglas de control de políticas (PTSP) en el nivel jerárquico; para obtener más información, consulte Configuración de reglas de
[edit services ptsp]servicio PTSP.Las reglas de softwire se configuran para DS-Lite o 6rd softwires en el nivel jerárquico
[edit services softwire]; para obtener más información, consulte Configuración de reglas de softwire.Las reglas de firewall con estado se configuran en el nivel jerárquico; para obtener más información, consulte Configuración de reglas de
[edit services stateful-firewall]firewall con estado.
Para configurar las reglas y los conjuntos de reglas que constituyen un conjunto de servicios, incluya las siguientes instrucciones en el nivel de [edit services service-set service-set-name] jerarquía:
([ ids-rules rule-names ] |ids-rule-sets rule-set-name); ([ ipsec-vpn-rules rule-names ] | ipsec-vpn-rule-sets rule-set-name); ([ nat-rules rule-names ] | nat-rule-sets rule-set-name); ([ pgcp-rules rule-names] | pgcp-rule-sets rule-set-name); ([softwire-rules rule-names] | softwire-rule-sets rule-set-name); ([ stateful-firewall-rules rule-names ] | stateful-firewall-rule-sets rule-set-name);
Para cada tipo de servicio, puede incluir una o más reglas individuales o un conjunto de reglas.
Si configura un conjunto de servicios con reglas IPsec, no debe contener reglas para ningún otro servicio. Sin embargo, puede configurar otro conjunto de servicios que contenga reglas para los demás servicios y aplicar ambos conjuntos de servicios a la misma interfaz.
También puede incluir la funcionalidad de Junos Application Aware (anteriormente conocido como Dynamic Application Awareness) dentro de los conjuntos de servicios. Para ello, debe incluir una idp-profile instrucción en el nivel de jerarquía, junto con reglas de identificación de aplicaciones (APPID) y, según corresponda, reglas de lista de [edit services service-set] acceso con reconocimiento de aplicaciones (AACL) y un policy-decision-statistics-profilearchivo . Solo se puede aplicar un conjunto de servicios a una sola interfaz cuando se utiliza la funcionalidad de Junos Application Aware. Para obtener más información, consulte Configuración de reglas IDS en una MS-DPC, APPID Overview, y Application Aware Services Interfaces Guía del usuario para dispositivos de enrutamiento.
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.
max-session-setup-ratearchivo .