- play_arrow Compreensão e configuração das políticas de roteamento do Junos
- play_arrow Visão geral
- Visão geral da estrutura de políticas
- Comparação entre políticas de roteamento e filtros de firewall
- Visão geral da priorização de prefixo
- Priorização de prefixo da FIB
- Contabilidade do atributo de sobrecarga do policial no nível de interface
- Configuração da contabilidade da sobrecarga do policiamento em estatísticas de interface
- Entendendo as políticas de roteamento
- Suporte de protocolo para políticas de importação e exportação
- Exemplo: Aplicação de políticas de roteamento em diferentes níveis da hierarquia BGP
- Políticas de roteamento padrão
- Exemplo: Configuração de uma política de rota padrão condicional
- play_arrow Avaliação de políticas de roteamento usando condições, ações, termos e expressões de correspondência
- Como uma política de roteamento é avaliada
- Categorias de condições de correspondência da política de roteamento
- Condições de correspondência da política de roteamento
- Condições de correspondência do filtro de rota
- Ações em termos de política de roteamento
- Resumo das ações de políticas de roteamento
- Exemplo: Configuração de uma política de roteamento para anunciar a melhor rota externa para pares internos
- Exemplo: Configuração do BGP para anunciar rotas inativas
- Exemplo: Usando a política de roteamento para definir um valor de preferência para rotas BGP
- Exemplo: Habilitação de anúncios de rotas BGP
- Exemplo: Rejeitar rotas inválidas conhecidas
- Exemplo: Usando a política de roteamento em uma rede ISP
- Entendendo expressões de políticas
- Entendendo a política de seleção de backup para o protocolo OSPF
- Configuração da política de seleção de backup para o protocolo OSPF
- Configuração da política de seleção de backup para o protocolo IS-IS
- Exemplo: Configuração da política de seleção de backup para o protocolo OSPF ou OSPF3
- play_arrow Avaliação de casos complexos usando cadeias de políticas e subrotinas
- Entenda como uma cadeia de políticas de roteamento é avaliada
- Exemplo: Configuração de cadeias de políticas e filtros de rota
- Exemplo: Usando cadeias de filtro de firewall
- Entendendo as subrotinas de políticas em condições de correspondência de políticas de roteamento
- Como uma subrotina de política de roteamento é avaliada
- Exemplo: Configuração de uma subrotina de políticas
- play_arrow Configuração de filtros de rota e listas de prefixo como condições de correspondência
- Entender os filtros de rota para uso em condições de correspondência da política de roteamento
- Entenda as listas de filtro de rota e filtro de endereço de origem para uso em condições de correspondência da política de roteamento
- Entendendo o balanceamento de carga usando apenas IP de origem ou destino
- Configuração de balanceamento de carga usando apenas IP de origem ou destino
- Visão geral do walkup for Route Filters
- Configuração do walkup para filtros de rota para melhorar a eficiência operacional
- Exemplo: Configuração de listas de filtro de rota
- Exemplo: Configuração do walkup para filtros de rota globalmente para melhorar a eficiência operacional
- Exemplo: Configuração do walkup para filtros de rota localmente para melhorar a eficiência operacional
- Exemplo: Configuração de uma política de filtro de rota para especificar prioridade para prefixos aprendidos através do OSPF
- Exemplo: Configuração do MED usando filtros de rota
- Exemplo: Configuração das qualificações da família de protocolo VPN de Camada 3 para filtros de rota
- Entendendo listas de prefixo para uso em condições de correspondência de políticas de roteamento
- Exemplo: Configuração de listas de prefixo de políticas de roteamento
- Exemplo: Configurando a prioridade para prefixos de rota na infraestrutura de RPD
- Configuração da prioridade para prefixos de rota em infraestrutura de RPD
- play_arrow Configuração de caminhos AS como condições de correspondência
- Entender como caminho expressões regulares para uso como condições de correspondência da política de roteamento
- Exemplo: Usando expressões regulares do caminho AS
- Entendendo a preparação dos números de AS para caminhos DE BGP
- Exemplo: Configuração de uma política de roteamento para preparação de caminhos AS
- Entendendo a inclusão de números AS nos caminhos DO BGP
- Exemplo: Publicidade Múltiplos caminhos no BGP
- Melhore o desempenho da busca por caminhos AS na política BGP
- play_arrow Configuração de comunidades como condições de correspondência
- Entender as comunidades BGP, comunidades estendidas e grandes comunidades como condições de correspondência da política de roteamento
- Entender como definir comunidades BGP e comunidades estendidas
- Como as comunidades BGP e comunidades estendidas são avaliadas em condições de correspondência de políticas de roteamento
- Exemplo: Configuração de comunidades em uma política de roteamento
- Exemplo: Configuração de comunidades estendidas em uma política de roteamento
- Exemplo: Configuração de grandes comunidades BGP
- Exemplo: Configuração de uma política de roteamento com base no número de comunidades BGP
- Exemplo: Configuração de uma política de roteamento que remove comunidades BGP
- play_arrow Aumentando a estabilidade da rede com ações de flapping de rota BGP
- play_arrow Rastreamento do uso de tráfego com ações de uso de classe de origem e de classe de destino
- Entendendo as opções de uso de classe de origem e de classe de destino
- Visão geral da classe de origem
- Diretrizes para configuração do SCU
- Requisitos do sistema para SCU
- Termos e siglas para SCU
- Roteiro de configuração do SCU
- Roteiro de configuração de SCU com VPNs de camada 3
- Configuração de filtros de rota e aulas de origem em uma política de roteamento
- Aplicar a política à tabela de encaminhamento
- Habilitando a contabilidade em interfaces de entrada e saída
- Configuração de SCU de entrada na interface vt do roteador PE de saída
- Mapeamento da interface vt habilitada para SCU para a instância VRF
- Configuração de SCU na interface de saída
- Associação de um perfil de contabilidade com aulas de SCU
- Verificando seu perfil de contabilidade na SCU
- Configuração do SCU
- Configuração de SCU com VPNs de camada 3
- Exemplo: Prefixos de origem e destino de agrupamento em uma classe de encaminhamento
- play_arrow Evitando ameaças de roteamento de tráfego com políticas condicionais de roteamento
- Política de anúncio e importação condicionais (Tabela de roteamento) com determinadas condições de correspondência
- Anúncio condicional que permite a instalação condicional de casos de uso de prefixos
- Exemplo: Configuração de uma política de roteamento para anúncio condicional que permite a instalação condicional de prefixos em uma tabela de roteamento
- play_arrow Proteção contra ataques do DoS encaminhando o tráfego para a interface de descarte
- play_arrow Melhorando os tempos de compromisso com políticas de roteamento dinâmico
- play_arrow Teste antes de aplicar políticas de roteamento
-
- play_arrow Configuração de policiais de trânsito
- play_arrow Entendendo os policiais de trânsito
- Visão geral da implementação do policiador
- Visão geral do ARP Policer
- Exemplo: Configurando o ARP Policer
- Entendendo os benefícios dos policiais e algoritmos de balde de símbolo
- Determinando o tamanho adequado da explosão para policiais de trânsito
- Controle do acesso à rede usando a visão geral do policiamento de tráfego
- Tipos de policiais de trânsito
- Operações de filtro de ordem de policiamento e firewall
- Entendendo o comprimento do quadro para policiamento de pacotes
- Padrões de suporte para policiamento
- Visão geral da configuração do policial hierárquico
- Entendendo policiais hierárquicos aprimorados
- Visão geral do policial baseado em packets por segundo (pps)
- Diretrizes para a aplicação de policiais de trânsito
- Suporte para interfaces de ethernet agregadas
- Exemplo: Configurando um policiador de interface física para agregar tráfego em uma interface física
- Diferenças de firewall e policiamento entre roteadores de transporte de pacotes da Série PTX e roteadores matrix da Série T
- Visão geral dos policiais hierárquicos dos roteadores da Série ACX
- Diretrizes para configurar policiais hierárquicos em roteadores da Série ACX
- Modos hierárquicos de policiamento em roteadores da Série ACX
- Processamento de policiais hierárquicos em roteadores da Série ACX
- Ações realizadas para policiais hierárquicos em roteadores da Série ACX
- Configuração de policiais agregados de pais e filhos em roteadores da Série ACX
- play_arrow Configuração dos limites e ações da taxa de policiamento
- play_arrow Configuração de policiais de camada 2
- Policiais hierárquicos
- Configuração de sobrecarga de um policial
- Policiais de duas cores e três cores na Camada 2
- Policiamento de tráfego de camada 2 na visão geral da Pseudowire
- Configurando um policiador de camada 2 de duas cores para o Pseudowire
- Configurando um policiador de camada 2 de três cores para o Pseudowire
- Aplicando os policiais em interfaces de perfil dinâmico
- Anexação de perfis dinâmicos a instâncias de roteamento
- Usando variáveis para o policiamento de tráfego de camada 2 na visão geral da Pseudowire
- Configuração de um policiador para a configuração complexa
- Criação de um perfil dinâmico para a configuração complexa
- Anexação de perfis dinâmicos a instâncias de roteamento para a configuração complexa
- Verificação de policiais de tráfego de camada 2 em conexões VPLS
- Entendendo os policiais em interfaces gerenciadas por OVSDB
- Exemplo: Aplicar um policiador em interfaces gerenciadas por OVSDB
- play_arrow Configuração de policiais de tráfego de duas cores e três cores na camada 3
- Visão geral da configuração do policiamento de duas cores
- Policiais básicos de duas cores de taxa única
- Policiais de largura de banda
- Ações de contagem e policiamento específicas de prefixo
- Sobrecarga do policial para explicar a modelagem da taxa no gerente de tráfego
- Visão geral da configuração do policiador de três cores
- Aplicando policiais
- Diretrizes de configuração de policiais de três cores
- Policiais básicos de três cores de taxa única
- Policiais básicos de três cores de duas categorias
- Exemplo: Configurando um policiador de três cores de duas categorias
- play_arrow Configuração de policiais de tráfego de interface lógica e física na camada 3
- play_arrow Configuração de policiais em switches
- Visão geral dos policiais
- Tipos de policiais de trânsito
- Entendendo o uso de policiais em filtros de firewall
- Entendendo a arquitetura de marcação tricolor
- Configuração de policiais para controlar taxas de tráfego (procedimento CLI)
- Configuração de policiais de marcação tricolor
- Entender os policiais com grupos de agregação de enlaces
- Entendendo o modo color-blind para marcação tricolor de taxa única
- Entendendo o modo de reconhecimento de cores para marcação tricolor de taxa única
- Entendendo o modo color-blind para marcação tricolor de duas categorias
- Entendendo o modo de reconhecimento de cores para marcação tricolor de duas categorias
- Exemplo: Usando listas de policiais e prefixos de duas cores
- Exemplo: Usando policiais para gerenciar a sobrescrição
- Atribuição de aulas de encaminhamento e prioridade de perda
- Configuração de policiais de saída color-blind para PLP médio-baixo
- Configuração de policiais de duas cores e três cores para controlar as taxas de tráfego
- Verificando se os policiais de duas cores estão operacionais
- Verificando se os policiais tricolores estão operacionais
- Resolução de problemas da configuração do policial
- Resolução de problemas da configuração do policial
-
- play_arrow Declarações de configuração e comandos operacionais
- play_arrow Solução de problemas
- play_arrow Base de conhecimento
-
Nesta página
Exemplo de classificador multicampo: Configuração da classificação multicampo
Visão geral da classificação multicampo
- Aulas de encaminhamento e níveis de PLP
- Classificação multicampo e classificação BA
- Classificação multicampo usada em conjunto com policiais
Aulas de encaminhamento e níveis de PLP
Você pode configurar os recursos da classe de serviço (CoS) do Junos OS para classificar o tráfego de entrada associando cada pacote a uma classe de encaminhamento, um nível de prioridade de perda de pacotes (PLP) ou ambos:
Com base na classe de encaminhamento associada, cada pacote é atribuído a uma fila de saída e o roteador presta serviços nas filas de saída de acordo com a programação associada que você configura.
Com base no PLP associado, cada pacote carrega uma menor ou maior probabilidade de queda se ocorrer congestionamento. O processo de detecção antecipada aleatória de CoS (RED) usa a configuração de probabilidade de queda, a porcentagem de plenitude da fila de saída e o PLP de pacote para soltar pacotes conforme necessário para controlar o congestionamento no estágio de saída.
Classificação multicampo e classificação BA
O Junos OS oferece suporte a dois tipos gerais de classificação de pacotes: classificação agregada de comportamento (BA) e classificação multicampo:
A classificação BA, ou classificação de tráfego de valor CoS, refere-se a um método de classificação de pacotes que usa uma configuração cos para definir a classe de encaminhamento ou PLP de um pacote com base no valor cos no cabeçalho de pacote IP. O valor de CoS analisado para fins de classificação ba pode ser o valor do ponto de código de serviços diferenciados (DSCP), valor DSCP IPv6, valor de precedência de IP, bits MPLS EXP e valor IEEE 802.1p. O classificador padrão é baseado no valor de precedência de IP.
A classificação multicampo refere-se a um método de classificação de pacotes que usa uma configuração padrão de filtro de firewall sem estado para definir a classe de encaminhamento ou PLP para cada pacote que entra ou sai da interface com base em vários campos no cabeçalho de pacote IP, incluindo o valor de DSCP (apenas para IPv4), o valor de precedência de IP, os bits MPLS EXP, e o IEEE 802.1p bits. A classificação multicampo geralmente é correspondida em campos de endereço IP, no campo do tipo de protocolo IP ou no número de porta no campo pseudoheader UDP ou TCP. A classificação multicampo é usada em vez de classificação BA quando você precisa classificar pacotes com base em informações nos pacotes que não sejam apenas os valores de CoS.
Com a classificação multicampo, um termo de filtro de firewall pode especificar as ações de classificação de pacotes para a correspondência de pacotes, embora o
forwarding-class class-name
uso das ações nãoloss-priority (high | medium-high | medium-low | low)
sufocantes na cláusula dothen
termo.
A classificação BA de um pacote pode ser anulada pelas ações forwarding-class
de filtro de firewall sem estado e loss-priority
.
Classificação incorreta de tráfego via classificador multicampo no QFX5k:
Se o tráfego BUM for forçado a fazer fila unicast via classificador MF, os pacotes serão classificados como MCQ9. O Junos lança 21.4R3 , 22.1R3 e do junos versão 22.2 esses pacotes serão classificados como MCQ8.
Se o tráfego unicast for forçado a fazer fila multicast pelo classificador MF, os pacotes serão classificados para MCQ9 e, a partir do lançamento 19.1R3, serão classificados como uma fila de melhor esforço.
Classificação multicampo usada em conjunto com policiais
Para configurar a classificação multicampo em conjunto com o limite de taxa, um termo de filtro de firewall pode especificar as ações de classificação de pacotes para a correspondência de pacotes através do uso de uma policer
ação não sufocante que faz referência a um policiador de duas cores de taxa única.
Quando a classificação multicampo é configurada para realizar a classificação por meio de um policiador, os pacotes combinados com filtro no fluxo de tráfego são limitados a limites de tráfego especificados pelo policiador. Os pacotes em um fluxo de pacotes combinados com filtros estão implícitos em um low
PLP. Pacotes em um fluxo de tráfego sem conformidade podem ser descartados, ou os pacotes podem ser definidos em uma classe de encaminhamento especificada, definidos para um nível PLP especificado, ou ambos, dependendo do tipo de policiador e como o policiador está configurado para lidar com o tráfego não conformante.
Antes de aplicar um filtro de firewall que executa a classificação multicampo e também um policial na mesma interface lógica e para a mesma direção de tráfego, certifique-se de considerar a ordem de operações de filtro de policiamento e firewall.
Como exemplo, considere o seguinte cenário:
Você configura um filtro de firewall que executa classificação multicampo (atua em pacotes combinados configurando a classe de encaminhamento, o PLP ou ambos) com base na classe de encaminhamento ou PLP existente do pacote. Você aplica o filtro de firewall na entrada de uma interface lógica.
Você também configura um policiador de duas cores de taxa única que age em um fluxo de tráfego vermelho marcando novamente (configurando a classe de encaminhamento, o PLP ou ambos) em vez de descartar esses pacotes. Você aplica o policiador como um policiador de interface na entrada da mesma interface lógica à qual você aplica o filtro de firewall.
Devido à ordem de operações de policiamento e firewall, o policiador de entrada é executado antes do filtro de firewall de entrada. Isso significa que a classificação multicampo especificada pelo filtro de firewall é realizada em pacotes de entrada que já foram re-marcados uma vez por ações de policiamento. Consequentemente, qualquer pacote de entrada que corresponda às condições especificadas em um termo de filtro de firewall está então sujeito a uma segunda remarcação de acordo com as forwarding-class
ações ou loss-priority
não sufocantes também especificadas nesse termo.
Consulte também
Requisitos e restrições de classificação multicampo
Plataformas suportadas
A ação do loss-priority
filtro de firewall é suportada apenas nas seguintes plataformas de roteamento:
Switches da Série EX
Roteadores M7i e M10i com o CFEB aprimorado (CFEB-E)
Roteadores M120 e M320
Roteadores da Série MX
Roteadores da Série T com concentradores PIC flexíveis (FPCs) aprimorados II
Roteadores da Série PTX
Requisito de marcação do CoS Tricolor
A ação do loss-priority
filtro de firewall tem requisitos específicos da plataforma dependências do recurso de marcação tricolor CoS, conforme definido na RFC 2698:
Em um roteador M320, você não pode confirmar uma configuração que inclua a ação do
loss-priority
filtro de firewall a menos que você habilite o recurso de marcação tricolor CoS.Em todas as plataformas de roteamento que oferecem suporte à ação do
loss-priority
filtro de firewall, você não pode definir a ação doloss-priority
filtro de firewall oumedium-high
a menos que você habilite o recurso de marcação tricolor cos.medium-low
Para habilitar o recurso de marcação tricolor cos, inclua a tri-color
declaração no nível de [edit class-of-service]
hierarquia.
Restrições
Você não pode configurar as loss-priority
ações e three-color-policer
não termômetros para o mesmo termo de filtro de firewall. Essas duas ações não intermináveis são mutuamente exclusivas.
Em um roteador da Série PTX, você deve configurar a ação policer
em uma regra separada e não combiná-la com a regra que configura e as forwarding-class
loss-priority
ações. Veja Diferenças de firewall e policiamento entre roteadores de transporte de pacotes da Série PTX e roteadores matrix da Série T.
Consulte também
Limitações de classificação multicampo em roteadores da Série M
- Problema: Correspondência de filtro de saída na classificação de filtro de entrada
- Solução alternativa: Configure todas as ações no filtro de entrada
Problema: Correspondência de filtro de saída na classificação de filtro de entrada
Em roteadores da Série M (exceto roteadores M120), você não pode classificar pacotes com uma correspondência de filtro de saída com base na classificação de entrada definida com um filtro de entrada aplicado à mesma interface lógica IPv4.
Por exemplo, na configuração a seguir, o filtro chamado ingress
atribui todos os pacotes IPv4 de entrada à expedited-forwarding
classe. O filtro chamado egress
conta todos os pacotes que foram atribuídos à expedited-forwarding
classe no ingress
filtro. Essa configuração não funciona na maioria dos roteadores da Série M. Ele funciona em todas as outras plataformas de roteamento, incluindo roteadores M120, roteadores da Série MX e roteadores da Série T.
[edit] user@host # show firewall family inet { filter ingress { term 1 { then { forwarding-class expedited-forwarding; accept; } } term 2 { then accept; } } filter egress { term 1 { from { forwarding-class expedited-forwarding; } then count ef; } term 2 { then accept; } } } [edit] user@host# show interfaces ge-1/2/0 { unit 0 { family inet { filter { input ingress; output egress; } } } }
Solução alternativa: Configure todas as ações no filtro de entrada
Como uma solução alternativa, você pode configurar todas as ações no filtro de entrada.
user@host # show firewall family inet { filter ingress { term 1 { then { forwarding-class expedited-forwarding; accept; count ef; } } term 2 { then accept; } } } [edit] user@host# show interfaces ge-1/2/0 { unit 0 { family inet { filter { input ingress; } } } }
Consulte também
Exemplo: Configuração da classificação multicampo
Este exemplo mostra como configurar a classificação multicampo do tráfego IPv4 usando ações de filtro de firewall e dois policiais de filtro de firewall.
Requisitos
Antes de começar, certifique-se de que seu ambiente oferece suporte aos recursos mostrados neste exemplo:
A
loss-priority
ação do filtro de firewall deve ser suportada no roteador e configurável para todos os quatro valores.Para ser capaz de definir uma
loss-priority
ação de filtro de firewall, configure este exemplo em interfacege-1/2/0.0
lógica em uma das seguintes plataformas de roteamento:Roteador da Série MX
Roteador M120 ou M320
Roteador M7i ou M10i com CFEB aprimorado (CFEB-E)
Roteador da Série T com concentrador PIC flexível (FPC) aprimorado II
Para ser capaz de definir uma
loss-priority
açãomedium-low
de filtro de firewall oumedium-high
, certifique-se de que o recurso de marcação tricolor cos está habilitado. Para habilitar o recurso de marcação tricolor cos, inclua atri-color
declaração no nível de[edit class-of-service]
hierarquia.
As
expedited-forwarding
aulas de encaminhamento eassured-forwarding
encaminhamento devem ser agendadas na interfacege-1/2/0
física subjacente.Certifique-se de que as seguintes aulas de encaminhamento sejam atribuídas a filas de saída:
expedited-forwarding
assured-forwarding
As atribuições de classe de encaminhamento estão configuradas no nível de
[edit class-of-service forwarding-classes queue queue-number]
hierarquia.Nota:Você não pode comprometer uma configuração que atribui a mesma classe de encaminhamento a duas filas diferentes.
Certifique-se de que as filas de saída para as quais as aulas de encaminhamento são atribuídas estão associadas aos agendadores. Um agendador define a quantidade de largura de banda de interface atribuída à fila, o tamanho do buffer de memória alocado para armazenar pacotes, a prioridade da fila e os perfis de queda aleatórios de detecção antecipada (RED) associados à fila.
Você configura os agendadores de fila de saída no nível de
[edit class-of-service schedulers]
hierarquia.Você associa os agendadores de fila de saída a aulas de encaminhamento por meio de um mapa de agendador que você configura no nível de
[edit class-of-service scheduler-maps map-name]
hierarquia.
Certifique-se de que o agendamento da fila de saída seja aplicado à interface
ge-1/2/0
física.Você aplica um mapa de agendador a uma interface física no nível de
[edit class-of-service interfaces ge-1/2/0 scheduler-map map-name]
hierarquia.
Visão geral
Neste exemplo, você aplica a classificação multicampo ao tráfego IPv4 de entrada em uma interface lógica usando ações de filtro de firewall sem estado e dois roteadores de filtro de firewall que são referenciados a partir do filtro de firewall. Com base no campo de endereço de origem, os pacotes são definidos para a prioridade de low
perda ou então policiados. Nenhum dos policiais descarta o tráfego não conformado. Os pacotes em fluxos não conformes são marcados para uma classe de encaminhamento específica (expedited-forwarding
ou assured-forwarding
), definida para uma prioridade de perda específica e depois transmitida.
Os policiais de duas cores de taxa única sempre transmitem pacotes em um fluxo de tráfego em conformidade depois de definir implicitamente uma prioridade de low
perda.
Topologia
Neste exemplo, você aplica a classificação multicampo ao tráfego IPv4 em interface ge-1/2/0.0
lógica. As regras de classificação são especificadas no filtro mfc-filter
de firewall stateless IPv4 e dois policiais de duas cores de taxa única, ef-policer
e af-policer
.
O filtro mfc-filter
de firewall sem estado padrão IPv4 define três termos de filtro:
isp1-customers
— O primeiro termo de filtro combina pacotes com o endereço de origem 10.1.1.0/24 ou 10.1.2.0/24. Os pacotes combinados são atribuídos àexpedited-forwarding
classe de encaminhamento e definidos para a prioridade delow
perda.isp2-customers
— O segundo termo filtro combina pacotes com o endereço fonte 10.1.3.0/24 ou 10.1.4.0/24. Os pacotes combinados são passados paraef-policer
um policial que limita o tráfego a um limite de largura de banda de 300 Kbps com um limite de tamanho máximo de 50 KB. Este policiador especifica que os pacotes em um fluxo sem conformidade estão marcados para aexpedited-forwarding
classe de encaminhamento e definidos para a prioridade dehigh
perda.other-customers
— O terceiro e último termo de filtro passa por todos os outros pacotes paraaf-policer
, um policial que limita o tráfego a um limite de largura de banda de 300 Kbps e um limite de tamanho de explosão de 50 KB (os mesmos limites de tráfego definidos poref-policer
). Este policiador especifica que os pacotes em um fluxo sem conformidade estão marcados para aassured-forwarding
classe de encaminhamento e definidos para a prioridade demedium-high
perda.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configuração de policiais para acelerar o encaminhamento e o tráfego de encaminhamento garantido
- Configuração de um filtro de classificação multicampo que também aplica o policiamento
- Aplicando filtragem e policiamento de classificação multicampo na interface lógica
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit]
hierarquia.
set firewall policer ef-policer if-exceeding bandwidth-limit 300k set firewall policer ef-policer if-exceeding burst-size-limit 50k set firewall policer ef-policer then loss-priority high set firewall policer ef-policer then forwarding-class expedited-forwarding set firewall policer af-policer if-exceeding bandwidth-limit 300k set firewall policer af-policer if-exceeding burst-size-limit 50k set firewall policer af-policer then loss-priority high set firewall policer af-policer then forwarding-class assured-forwarding set firewall family inet filter mfc-filter term isp1-customers from source-address 10.1.1.0/24 set firewall family inet filter mfc-filter term isp1-customers from source-address 10.1.2.0/24 set firewall family inet filter mfc-filter term isp1-customers then loss-priority low set firewall family inet filter mfc-filter term isp1-customers then forwarding-class expedited-forwarding set firewall family inet filter mfc-filter term isp2-customers from source-address 10.1.3.0/24 set firewall family inet filter mfc-filter term isp2-customers from source-address 10.1.4.0/24 set firewall family inet filter mfc-filter term isp2-customers then policer ef-policer set firewall family inet filter mfc-filter term other-customers then policer af-policer set interfaces ge-1/2/0 unit 0 family inet address 192.168.1.1/24 set interfaces ge-1/2/0 unit 0 family inet filter input mfc-filter
Configuração de policiais para acelerar o encaminhamento e o tráfego de encaminhamento garantido
Procedimento passo a passo
Para configurar os policiais para o tráfego de encaminhamento acelerado e de encaminhamento garantido com limitação de taxa:
Definir limites de tráfego para o tráfego de encaminhamento acelerado.
content_copy zoom_out_map[edit] user@host# edit firewall policer ef-policer [edit firewall policer ef-policer] user@host# set if-exceeding bandwidth-limit 300k user@host# set if-exceeding burst-size-limit 50k user@host# set then loss-priority high user@host# set then forwarding-class expedited-forwarding
Configure um policial para tráfego de encaminhamento garantido.
content_copy zoom_out_map[edit firewall policer ef-policer] user@host# up [edit firewall] user@host# edit policer af-policer [edit firewall policer af-policer] user@host# set if-exceeding bandwidth-limit 300k user@host# set if-exceeding burst-size-limit 50k user@host# set then loss-priority high user@host# set then forwarding-class assured-forwarding
Resultados
Confirme a configuração do policiador inserindo o comando do show firewall
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit] user@host# show firewall policer af-policer { if-exceeding { bandwidth-limit 300k; burst-size-limit 50k; } then { loss-priority high; forwarding-class assured-forwarding; } } policer ef-policer { if-exceeding { bandwidth-limit 300k; burst-size-limit 50k; } then { loss-priority high; forwarding-class expedited-forwarding; } }
Configuração de um filtro de classificação multicampo que também aplica o policiamento
Procedimento passo a passo
Para configurar um filtro de classificação multicampo que também aplica o policiamento:
Habilite a configuração de um termo de filtro de firewall para tráfego IPv4.
content_copy zoom_out_map[edit] user@host# edit firewall family inet filter mfc-filter
Configure o primeiro termo para combinar em endereços de origem e, em seguida, classifique os pacotes combinados.
content_copy zoom_out_map[edit firewall family inet filter mfc-filter] user@host# set term isp1-customers from source-address 10.1.1.0/24 user@host# set term isp1-customers from source-address 10.1.2.0/24 user@host# set term isp1-customers then loss-priority low user@host# set term isp1-customers then forwarding-class expedited-forwarding
Configure o segundo termo para combinar em diferentes endereços de origem e, em seguida, policiar os pacotes combinados.
content_copy zoom_out_map[edit firewall family inet filter mfc-filter] user@host# set term isp2-customers from source-address 10.1.3.0/24 user@host# set term isp2-customers from source-address 10.1.4.0/24 user@host# set term isp2-customers then policer ef-policer
Configure o terceiro termo para policiar todos os outros pacotes a um conjunto diferente de limites e ações de tráfego.
content_copy zoom_out_map[edit firewall family inet filter mfc-filter] user@host# set term other-customers then policer af-policer
Resultados
Confirme a configuração do filtro entrando no comando do show firewall
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit] user@host# show firewall family inet { filter mfc-filter { term isp1-customers { from { source-address 10.1.1.0/24; source-address 10.1.2.0/24; } then { loss-priority low; forwarding-class expedited-forwarding; } } term isp2-customers { from { source-address 10.1.3.0/24; source-address 10.1.4.0/24; } then { policer ef-policer; } } term other-customers { then { policer af-policer; } } } } policer af-policer { if-exceeding { bandwidth-limit 300k; burst-size-limit 50k; } then discard; } policer ef-policer { if-exceeding { bandwidth-limit 200k; burst-size-limit 50k; } then { loss-priority high; forwarding-class expedited-forwarding; } }
Aplicando filtragem e policiamento de classificação multicampo na interface lógica
Procedimento passo a passo
Aplicar filtragem e policiamento de classificação multicampo na interface lógica:
Habilite a configuração do IPv4 na interface lógica.
content_copy zoom_out_map[edit] user@host# edit interfaces ge-1/2/0 unit 0 family inet
Configure um endereço IP para a interface lógica.
content_copy zoom_out_map[edit interfaces ge-1/2/0 unit 0 family inet ] user@host# set address 192.168.1.1/24
Aplique o filtro de firewall na entrada lógica da interface.
content_copy zoom_out_map[edit interfaces ge-1/2/0 unit 0 family inet ] user@host# set filter input mfc-filter
Nota:Como o policiador é executado antes do filtro, se um policiador de entrada também estiver configurado na interface lógica, ele não pode usar a classe de encaminhamento e PLP de um classificador multicampo associado à interface.
Resultados
Confirme a configuração da interface entrando no comando do show interfaces
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit] user@host# show interfaces ge-1/2/0 { unit 0 { family inet { filter { input mfc-filter; } address 192.168.1.1/24; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
Exibindo o número de pacotes processados pelo policial na Interface Lógica
Propósito
Verifique o fluxo de tráfego através da interface lógica e se o policiador é avaliado quando os pacotes são recebidos na interface lógica.
Ação
Use o comando de show firewall
modo operacional para o filtro que você aplicou à interface lógica.
user@host> show firewall filter rate-limit-in Filter: rate-limit-in Policers: Name Packets ef-policer-isp2-customers 32863 af-policer-other-customers 3870
A saída de comando lista os policiais aplicados pelo filtro rate-limit-in
de firewall e o número de pacotes compatíveis com o termo filtro.
A contagem de pacotes inclui o número de contagens de pacotes fora de especificação (fora de especificação), nem todos os pacotes policiados pelo policial.
O nome do policial é exibido concatenado com o nome do termo filtro de firewall no qual o policiador é mencionado como uma ação.
Exemplo: Configuração e aplicação de um filtro de firewall para um classificador multicampo
Este exemplo mostra como configurar um filtro de firewall para classificar o tráfego usando um classificador multicampo. O classificador detecta pacotes de interesse para classe de serviço (CoS) quando eles chegam em uma interface. Classificadores multicampo são usados quando um classificador agregado de comportamento simples (BA) é insuficiente para classificar um pacote, quando os roteadores de peering não têm bits CoS marcados, ou a marcação do roteador de peering não é confiável.
Requisitos
Para verificar esse procedimento, este exemplo usa um gerador de tráfego. O gerador de tráfego pode ser baseado em hardware ou pode ser um software em execução em um servidor ou máquina de host.
A funcionalidade neste procedimento é amplamente suportada em dispositivos que executam o Junos OS. O exemplo mostrado aqui foi testado e verificado em roteadores da Série MX que executam o Junos OS Release 10.4.
Visão geral
Um classificador é uma operação de software que inspeciona um pacote enquanto ele entra no roteador ou switch. O conteúdo do cabeçalho de pacotes é analisado, e este exame determina como o pacote é tratado quando a rede fica muito ocupada para lidar com todos os pacotes e você quer que seus dispositivos derrubem pacotes de forma inteligente, em vez de soltar pacotes indiscriminadamente. Uma maneira comum de detectar pacotes de interesse é pelo número da porta de origem. Os números de porta TCP 80 e 12345 são usados neste exemplo, mas muitos outros critérios de correspondência para detecção de pacotes estão disponíveis para classificadores multicampo, usando condições de correspondência de filtro de firewall. A configuração neste exemplo especifica que os pacotes TCP com porta de origem 80 são classificados na classe de encaminhamento de dados BE e na fila número 0. Os pacotes TCP com porta de origem 12345 são classificados na classe de encaminhamento de dados Premium e na fila número 1.
Classificadores multicampo são normalmente usados na borda da rede à medida que os pacotes entram em um sistema autônomo (AS).
Neste exemplo, você configura o filtro de firewall de classificador mf e especifica algumas aulas de encaminhamento personalizadas no Dispositivo R1. Ao especificar as aulas de encaminhamento personalizadas, você também associa cada classe a uma fila.
A operação do classificador é mostrada em Figura 1.

Você aplica o filtro de firewall do classificador multicampo como um filtro de entrada em cada interface voltada para o cliente ou voltada para o host que precisa do filtro. A interface de entrada é ge-1/0/1 no dispositivo R1. A classificação e a atribuição da fila são verificadas na interface de saída. A interface de saída é a interface ge-1/0/9 do Dispositivo R1.
Topologia
Figura 2 mostra a rede de amostra.

Configuração rápida da CLI mostra a configuração de todos os dispositivos da Juniper Networks em Figura 2.
Procedimento passo a passo descreve as etapas do dispositivo R1.
Os classificadores são descritos com mais detalhes no vídeo do Juniper Networks Learning Byte a seguir.
VÍDEO 1: Classe básica de serviço, Parte 2: Byte de aprendizad...
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar commit
no modo de configuração.
Dispositivo R1
set interfaces ge-1/0/1 description to-host set interfaces ge-1/0/1 unit 0 family inet filter input mf-classifier set interfaces ge-1/0/1 unit 0 family inet address 172.16.50.2/30 set interfaces ge-1/0/9 description to-R2 set interfaces ge-1/0/9 unit 0 family inet address 10.30.0.1/30 set class-of-service forwarding-classes class BE-data queue-num 0 set class-of-service forwarding-classes class Premium-data queue-num 1 set class-of-service forwarding-classes class Voice queue-num 2 set class-of-service forwarding-classes class NC queue-num 3 set firewall family inet filter mf-classifier term BE-data from protocol tcp set firewall family inet filter mf-classifier term BE-data from port 80 set firewall family inet filter mf-classifier term BE-data then forwarding-class BE-data set firewall family inet filter mf-classifier term Premium-data from protocol tcp set firewall family inet filter mf-classifier term Premium-data from port 12345 set firewall family inet filter mf-classifier term Premium-data then forwarding-class Premium-data set firewall family inet filter mf-classifier term accept-all-else then accept
Dispositivo R2
set interfaces ge-1/0/9 description to-R1 set interfaces ge-1/0/9 unit 0 family inet address 10.30.0.2/30
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar o dispositivo R1:
Configure as interfaces do dispositivo.
content_copy zoom_out_map[edit interfaces] user@R1# set ge-1/0/1 description to-host user@R1# set ge-1/0/1 unit 0 family inet address 172.16.50.2/30 user@R1# set ge-1/0/9 description to-R2 user@R1# set ge-1/0/9 unit 0 family inet address 10.30.0.1/30
Configure as aulas de encaminhamento personalizadas e os números de fila associados.
content_copy zoom_out_map[edit class-of-service forwarding-classes] user@R1# set BE-data queue-num 0 user@R1# set Premium-data queue-num 1 user@R1# set Voice queue-num 2 user@R1# set NC queue-num 3
Configure o termo filtro de firewall que coloca o tráfego TCP com uma porta de origem de 80 (tráfego HTTP) na classe de encaminhamento de dados BE, associada à fila 0.
content_copy zoom_out_map[edit firewall family inet filter mf-classifier] user@R1# set term BE-data from protocol tcp user@R1# set term BE-data from port 80 user@R1# set term BE-data then forwarding-class BE-data
Configure o termo filtro de firewall que coloca o tráfego TCP com uma porta de origem de 12345 na classe de encaminhamento de dados Premium, associada à fila 1.
content_copy zoom_out_map[edit firewall family inet filter mf-classifier] user@R1# set term Premium-data from protocol tcp user@R1# set term Premium-data from port 12345 user@R1# set term Premium-data then forwarding-class Premium-data
Ao final do seu filtro de firewall, configure um termo padrão que aceita todo o tráfego.
Caso contrário, todo o tráfego que chega na interface e não é explicitamente aceito pelo filtro de firewall é descartado.
content_copy zoom_out_map[edit firewall family inet filter mf-classifier] user@R1# set term accept-all-else then accept
Aplique o filtro de firewall na interface ge-1/0/1 como um filtro de entrada.
content_copy zoom_out_map[edit interfaces] user@R1# set ge-1/0/1 unit 0 family inet filter input mf-classifier
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show interfaces
show class-of-service
show firewall
comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@R1# show interfaces ge-1/0/1 { description to-host; unit 0 { family inet { filter { input mf-classifier; } address 172.16.50.2/30; } } } ge-1/0/9 { description to-R2; unit 0 { family inet { address 10.30.0.1/30; } } }
user@R1# show class-of-service forwarding-classes { class BE-data queue-num 0; class Premium-data queue-num 1; class Voice queue-num 2; class NC queue-num 3; }
user@R1# show firewall family inet { filter mf-classifier { term BE-data { from { protocol tcp; port 80; } then forwarding-class BE-data; } term Premium-data { from { protocol tcp; port 12345; } then forwarding-class Premium-data; } term accept-all-else { then accept; } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando as configurações de CoS
- Enviar tráfego de TCP para a rede e monitorar o posicionamento da fila
Verificando as configurações de CoS
Propósito
Confirme se as aulas de encaminhamento estão configuradas corretamente.
Ação
A partir do Dispositivo R1, execute o show class-of-service forwardng-classes
comando.
user@R1> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority BE-data 0 0 0 low normal low Premium-data 1 1 1 low normal low Voice 2 2 2 low normal low NC 3 3 3 low normal low
Significado
A saída mostra as configurações configuradas do classificador personalizado.
Enviar tráfego de TCP para a rede e monitorar o posicionamento da fila
Propósito
Certifique-se de que o tráfego de interesses seja enviado para fora da fila esperada.
Ação
Limpe as estatísticas de interface na interface de saída do dispositivo R1.
content_copy zoom_out_mapuser@R1> clear interfaces statistics ge-1/0/9
Use um gerador de tráfego para enviar 50 pacotes de porta TCP 80 para o Dispositivo R2 ou para algum outro dispositivo downstream.
No dispositivo R1, verifique os contadores de fila.
Observe que você verifica os contadores de fila na interface de saída downstream, não na interface de entrada.
content_copy zoom_out_mapuser@R1> show interfaces extensive ge-1/0/9 | find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 50 50 0 1 0 57 0 2 0 0 0 3 0 0 0
Use um gerador de tráfego para enviar 50 pacotes de porta TCP 12345 para o Dispositivo R2 ou para algum outro dispositivo downstream.
content_copy zoom_out_map[root@host]# hping 172.16.60.1 -c 50 -s 12345 -k
No dispositivo R1, verifique os contadores de fila.
content_copy zoom_out_mapuser@R1> show interfaces extensive ge-1/0/9 | find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 50 50 0 1 50 57 0 2 0 0 0 3 0 0 0
Significado
A saída mostra que os pacotes são classificados corretamente. Quando a porta 80 é usada nos pacotes TCP, a fila 0 é incrementada. Quando a porta 12345 é usada, a fila 1 é incrementada.