Nesta página
Exemplo de classificador multicampo: Configuração da classificação multicampo
Visão geral da classificação multicampo
- Aulas de encaminhamento e níveis de PLP
- Classificação multicampo e classificação BA
- Classificação multicampo usada em conjunto com policiais
Aulas de encaminhamento e níveis de PLP
Você pode configurar os recursos da classe de serviço (CoS) do Junos OS para classificar o tráfego de entrada associando cada pacote a uma classe de encaminhamento, um nível de prioridade de perda de pacotes (PLP) ou ambos:
Com base na classe de encaminhamento associada, cada pacote é atribuído a uma fila de saída e o roteador presta serviços nas filas de saída de acordo com a programação associada que você configura.
Com base no PLP associado, cada pacote carrega uma menor ou maior probabilidade de queda se ocorrer congestionamento. O processo de detecção antecipada aleatória de CoS (RED) usa a configuração de probabilidade de queda, a porcentagem de plenitude da fila de saída e o PLP de pacote para soltar pacotes conforme necessário para controlar o congestionamento no estágio de saída.
Classificação multicampo e classificação BA
O Junos OS oferece suporte a dois tipos gerais de classificação de pacotes: classificação agregada de comportamento (BA) e classificação multicampo:
-
A classificação BA, ou classificação de tráfego de valor CoS, refere-se a um método de classificação de pacotes que usa uma configuração cos para definir a classe de encaminhamento ou PLP de um pacote com base no valor cos no cabeçalho de pacote IP. O valor de CoS analisado para fins de classificação ba pode ser o valor do ponto de código de serviços diferenciados (DSCP), valor DSCP IPv6, valor de precedência de IP, bits MPLS EXP e valor IEEE 802.1p. O classificador padrão é baseado no valor de precedência de IP.
-
A classificação multicampo refere-se a um método de classificação de pacotes que usa uma configuração padrão de filtro de firewall sem estado para definir a classe de encaminhamento ou PLP para cada pacote que entra ou sai da interface com base em vários campos no cabeçalho de pacote IP, incluindo o valor de DSCP (apenas para IPv4), o valor de precedência de IP, os bits MPLS EXP, e o IEEE 802.1p bits. A classificação multicampo geralmente é correspondida em campos de endereço IP, no campo do tipo de protocolo IP ou no número de porta no campo pseudoheader UDP ou TCP. A classificação multicampo é usada em vez de classificação BA quando você precisa classificar pacotes com base em informações nos pacotes que não sejam apenas os valores de CoS.
Com a classificação multicampo, um termo de filtro de firewall pode especificar as ações de classificação de pacotes para a correspondência de pacotes, embora o
forwarding-class class-nameuso das ações nãoloss-priority (high | medium-high | medium-low | low)sufocantes na cláusula dothentermo.
A classificação BA de um pacote pode ser anulada pelas ações forwarding-class de filtro de firewall sem estado e loss-priority.
Classificação incorreta de tráfego via classificador multicampo no QFX5k:
-
Se o tráfego BUM for forçado a fazer fila unicast via classificador MF, os pacotes serão classificados como MCQ9. O Junos lança 21.4R3 , 22.1R3 e do junos versão 22.2 esses pacotes serão classificados como MCQ8.
-
Se o tráfego unicast for forçado a fazer fila multicast pelo classificador MF, os pacotes serão classificados para MCQ9 e, a partir do lançamento 19.1R3, serão classificados como uma fila de melhor esforço.
Classificação multicampo usada em conjunto com policiais
Para configurar a classificação multicampo em conjunto com o limite de taxa, um termo de filtro de firewall pode especificar as ações de classificação de pacotes para a correspondência de pacotes através do uso de uma policer ação não sufocante que faz referência a um policiador de duas cores de taxa única.
Quando a classificação multicampo é configurada para realizar a classificação por meio de um policiador, os pacotes combinados com filtro no fluxo de tráfego são limitados a limites de tráfego especificados pelo policiador. Os pacotes em um fluxo de pacotes combinados com filtros estão implícitos em um low PLP. Pacotes em um fluxo de tráfego sem conformidade podem ser descartados, ou os pacotes podem ser definidos em uma classe de encaminhamento especificada, definidos para um nível PLP especificado, ou ambos, dependendo do tipo de policiador e como o policiador está configurado para lidar com o tráfego não conformante.
Antes de aplicar um filtro de firewall que executa a classificação multicampo e também um policial na mesma interface lógica e para a mesma direção de tráfego, certifique-se de considerar a ordem de operações de filtro de policiamento e firewall.
Como exemplo, considere o seguinte cenário:
Você configura um filtro de firewall que executa classificação multicampo (atua em pacotes combinados configurando a classe de encaminhamento, o PLP ou ambos) com base na classe de encaminhamento ou PLP existente do pacote. Você aplica o filtro de firewall na entrada de uma interface lógica.
Você também configura um policiador de duas cores de taxa única que age em um fluxo de tráfego vermelho marcando novamente (configurando a classe de encaminhamento, o PLP ou ambos) em vez de descartar esses pacotes. Você aplica o policiador como um policiador de interface na entrada da mesma interface lógica à qual você aplica o filtro de firewall.
Devido à ordem de operações de policiamento e firewall, o policiador de entrada é executado antes do filtro de firewall de entrada. Isso significa que a classificação multicampo especificada pelo filtro de firewall é realizada em pacotes de entrada que já foram re-marcados uma vez por ações de policiamento. Consequentemente, qualquer pacote de entrada que corresponda às condições especificadas em um termo de filtro de firewall está então sujeito a uma segunda remarcação de acordo com as forwarding-class ações ou loss-priority não sufocantes também especificadas nesse termo.
Consulte também
Requisitos e restrições de classificação multicampo
Plataformas suportadas
A ação do loss-priority filtro de firewall é suportada apenas nas seguintes plataformas de roteamento:
Switches da Série EX
Roteadores M7i e M10i com o CFEB aprimorado (CFEB-E)
Roteadores M120 e M320
Roteadores da Série MX
Roteadores da Série T com concentradores PIC flexíveis (FPCs) aprimorados II
Roteadores da Série PTX
Requisito de marcação do CoS Tricolor
A ação do loss-priority filtro de firewall tem requisitos específicos da plataforma dependências do recurso de marcação tricolor CoS, conforme definido na RFC 2698:
Em um roteador M320, você não pode confirmar uma configuração que inclua a ação do
loss-priorityfiltro de firewall a menos que você habilite o recurso de marcação tricolor CoS.Em todas as plataformas de roteamento que oferecem suporte à ação do
loss-priorityfiltro de firewall, você não pode definir a ação doloss-priorityfiltro de firewall oumedium-higha menos que você habilite o recurso de marcação tricolor cos.medium-low
Para habilitar o recurso de marcação tricolor cos, inclua a tri-color declaração no nível de [edit class-of-service] hierarquia.
Restrições
Você não pode configurar as loss-priority ações e three-color-policer não termômetros para o mesmo termo de filtro de firewall. Essas duas ações não intermináveis são mutuamente exclusivas.
Em um roteador da Série PTX, você deve configurar a ação policer em uma regra separada e não combiná-la com a regra que configura e as forwarding-classloss-priority ações. Veja Diferenças de firewall e policiamento entre roteadores de transporte de pacotes da Série PTX e roteadores matrix da Série T.
Consulte também
Limitações de classificação multicampo em roteadores da Série M
- Problema: Correspondência de filtro de saída na classificação de filtro de entrada
- Solução alternativa: Configure todas as ações no filtro de entrada
Problema: Correspondência de filtro de saída na classificação de filtro de entrada
Em roteadores da Série M (exceto roteadores M120), você não pode classificar pacotes com uma correspondência de filtro de saída com base na classificação de entrada definida com um filtro de entrada aplicado à mesma interface lógica IPv4.
Por exemplo, na configuração a seguir, o filtro chamado ingress atribui todos os pacotes IPv4 de entrada à expedited-forwarding classe. O filtro chamado egress conta todos os pacotes que foram atribuídos à expedited-forwarding classe no ingress filtro. Essa configuração não funciona na maioria dos roteadores da Série M. Ele funciona em todas as outras plataformas de roteamento, incluindo roteadores M120, roteadores da Série MX e roteadores da Série T.
[edit]
user@host # show firewall
family inet {
filter ingress {
term 1 {
then {
forwarding-class expedited-forwarding;
accept;
}
}
term 2 {
then accept;
}
}
filter egress {
term 1 {
from {
forwarding-class expedited-forwarding;
}
then count ef;
}
term 2 {
then accept;
}
}
}
[edit]
user@host# show interfaces
ge-1/2/0 {
unit 0 {
family inet {
filter {
input ingress;
output egress;
}
}
}
}
Solução alternativa: Configure todas as ações no filtro de entrada
Como uma solução alternativa, você pode configurar todas as ações no filtro de entrada.
user@host # show firewall
family inet {
filter ingress {
term 1 {
then {
forwarding-class expedited-forwarding;
accept;
count ef;
}
}
term 2 {
then accept;
}
}
}
[edit]
user@host# show interfaces
ge-1/2/0 {
unit 0 {
family inet {
filter {
input ingress;
}
}
}
}
Consulte também
Exemplo: Configuração da classificação multicampo
Este exemplo mostra como configurar a classificação multicampo do tráfego IPv4 usando ações de filtro de firewall e dois policiais de filtro de firewall.
Requisitos
Antes de começar, certifique-se de que seu ambiente oferece suporte aos recursos mostrados neste exemplo:
A
loss-priorityação do filtro de firewall deve ser suportada no roteador e configurável para todos os quatro valores.Para ser capaz de definir uma
loss-priorityação de filtro de firewall, configure este exemplo em interfacege-1/2/0.0lógica em uma das seguintes plataformas de roteamento:Roteador da Série MX
Roteador M120 ou M320
Roteador M7i ou M10i com CFEB aprimorado (CFEB-E)
Roteador da Série T com concentrador PIC flexível (FPC) aprimorado II
Para ser capaz de definir uma
loss-priorityaçãomedium-lowde filtro de firewall oumedium-high, certifique-se de que o recurso de marcação tricolor cos está habilitado. Para habilitar o recurso de marcação tricolor cos, inclua atri-colordeclaração no nível de[edit class-of-service]hierarquia.
As
expedited-forwardingaulas de encaminhamento eassured-forwardingencaminhamento devem ser agendadas na interfacege-1/2/0física subjacente.Certifique-se de que as seguintes aulas de encaminhamento sejam atribuídas a filas de saída:
expedited-forwardingassured-forwarding
As atribuições de classe de encaminhamento estão configuradas no nível de
[edit class-of-service forwarding-classes queue queue-number]hierarquia.Nota:Você não pode comprometer uma configuração que atribui a mesma classe de encaminhamento a duas filas diferentes.
Certifique-se de que as filas de saída para as quais as aulas de encaminhamento são atribuídas estão associadas aos agendadores. Um agendador define a quantidade de largura de banda de interface atribuída à fila, o tamanho do buffer de memória alocado para armazenar pacotes, a prioridade da fila e os perfis de queda aleatórios de detecção antecipada (RED) associados à fila.
Você configura os agendadores de fila de saída no nível de
[edit class-of-service schedulers]hierarquia.Você associa os agendadores de fila de saída a aulas de encaminhamento por meio de um mapa de agendador que você configura no nível de
[edit class-of-service scheduler-maps map-name]hierarquia.
Certifique-se de que o agendamento da fila de saída seja aplicado à interface
ge-1/2/0física.Você aplica um mapa de agendador a uma interface física no nível de
[edit class-of-service interfaces ge-1/2/0 scheduler-map map-name]hierarquia.
Visão geral
Neste exemplo, você aplica a classificação multicampo ao tráfego IPv4 de entrada em uma interface lógica usando ações de filtro de firewall sem estado e dois roteadores de filtro de firewall que são referenciados a partir do filtro de firewall. Com base no campo de endereço de origem, os pacotes são definidos para a prioridade de low perda ou então policiados. Nenhum dos policiais descarta o tráfego não conformado. Os pacotes em fluxos não conformes são marcados para uma classe de encaminhamento específica (expedited-forwarding ou assured-forwarding), definida para uma prioridade de perda específica e depois transmitida.
Os policiais de duas cores de taxa única sempre transmitem pacotes em um fluxo de tráfego em conformidade depois de definir implicitamente uma prioridade de low perda.
Topologia
Neste exemplo, você aplica a classificação multicampo ao tráfego IPv4 em interface ge-1/2/0.0lógica. As regras de classificação são especificadas no filtro mfc-filter de firewall stateless IPv4 e dois policiais de duas cores de taxa única, ef-policer e af-policer.
O filtro mfc-filter de firewall sem estado padrão IPv4 define três termos de filtro:
isp1-customers— O primeiro termo de filtro combina pacotes com o endereço de origem 10.1.1.0/24 ou 10.1.2.0/24. Os pacotes combinados são atribuídos àexpedited-forwardingclasse de encaminhamento e definidos para a prioridade delowperda.isp2-customers— O segundo termo filtro combina pacotes com o endereço fonte 10.1.3.0/24 ou 10.1.4.0/24. Os pacotes combinados são passados paraef-policerum policial que limita o tráfego a um limite de largura de banda de 300 Kbps com um limite de tamanho máximo de 50 KB. Este policiador especifica que os pacotes em um fluxo sem conformidade estão marcados para aexpedited-forwardingclasse de encaminhamento e definidos para a prioridade dehighperda.other-customers— O terceiro e último termo de filtro passa por todos os outros pacotes paraaf-policer, um policial que limita o tráfego a um limite de largura de banda de 300 Kbps e um limite de tamanho de explosão de 50 KB (os mesmos limites de tráfego definidos poref-policer). Este policiador especifica que os pacotes em um fluxo sem conformidade estão marcados para aassured-forwardingclasse de encaminhamento e definidos para a prioridade demedium-highperda.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configuração de policiais para acelerar o encaminhamento e o tráfego de encaminhamento garantido
- Configuração de um filtro de classificação multicampo que também aplica o policiamento
- Aplicando filtragem e policiamento de classificação multicampo na interface lógica
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit] hierarquia.
set firewall policer ef-policer if-exceeding bandwidth-limit 300k set firewall policer ef-policer if-exceeding burst-size-limit 50k set firewall policer ef-policer then loss-priority high set firewall policer ef-policer then forwarding-class expedited-forwarding set firewall policer af-policer if-exceeding bandwidth-limit 300k set firewall policer af-policer if-exceeding burst-size-limit 50k set firewall policer af-policer then loss-priority high set firewall policer af-policer then forwarding-class assured-forwarding set firewall family inet filter mfc-filter term isp1-customers from source-address 10.1.1.0/24 set firewall family inet filter mfc-filter term isp1-customers from source-address 10.1.2.0/24 set firewall family inet filter mfc-filter term isp1-customers then loss-priority low set firewall family inet filter mfc-filter term isp1-customers then forwarding-class expedited-forwarding set firewall family inet filter mfc-filter term isp2-customers from source-address 10.1.3.0/24 set firewall family inet filter mfc-filter term isp2-customers from source-address 10.1.4.0/24 set firewall family inet filter mfc-filter term isp2-customers then policer ef-policer set firewall family inet filter mfc-filter term other-customers then policer af-policer set interfaces ge-1/2/0 unit 0 family inet address 192.168.1.1/24 set interfaces ge-1/2/0 unit 0 family inet filter input mfc-filter
Configuração de policiais para acelerar o encaminhamento e o tráfego de encaminhamento garantido
Procedimento passo a passo
Para configurar os policiais para o tráfego de encaminhamento acelerado e de encaminhamento garantido com limitação de taxa:
Definir limites de tráfego para o tráfego de encaminhamento acelerado.
[edit] user@host# edit firewall policer ef-policer [edit firewall policer ef-policer] user@host# set if-exceeding bandwidth-limit 300k user@host# set if-exceeding burst-size-limit 50k user@host# set then loss-priority high user@host# set then forwarding-class expedited-forwarding
Configure um policial para tráfego de encaminhamento garantido.
[edit firewall policer ef-policer] user@host# up [edit firewall] user@host# edit policer af-policer [edit firewall policer af-policer] user@host# set if-exceeding bandwidth-limit 300k user@host# set if-exceeding burst-size-limit 50k user@host# set then loss-priority high user@host# set then forwarding-class assured-forwarding
Resultados
Confirme a configuração do policiador inserindo o comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show firewall
policer af-policer {
if-exceeding {
bandwidth-limit 300k;
burst-size-limit 50k;
}
then {
loss-priority high;
forwarding-class assured-forwarding;
}
}
policer ef-policer {
if-exceeding {
bandwidth-limit 300k;
burst-size-limit 50k;
}
then {
loss-priority high;
forwarding-class expedited-forwarding;
}
}
Configuração de um filtro de classificação multicampo que também aplica o policiamento
Procedimento passo a passo
Para configurar um filtro de classificação multicampo que também aplica o policiamento:
Habilite a configuração de um termo de filtro de firewall para tráfego IPv4.
[edit] user@host# edit firewall family inet filter mfc-filter
Configure o primeiro termo para combinar em endereços de origem e, em seguida, classifique os pacotes combinados.
[edit firewall family inet filter mfc-filter] user@host# set term isp1-customers from source-address 10.1.1.0/24 user@host# set term isp1-customers from source-address 10.1.2.0/24 user@host# set term isp1-customers then loss-priority low user@host# set term isp1-customers then forwarding-class expedited-forwarding
Configure o segundo termo para combinar em diferentes endereços de origem e, em seguida, policiar os pacotes combinados.
[edit firewall family inet filter mfc-filter] user@host# set term isp2-customers from source-address 10.1.3.0/24 user@host# set term isp2-customers from source-address 10.1.4.0/24 user@host# set term isp2-customers then policer ef-policer
Configure o terceiro termo para policiar todos os outros pacotes a um conjunto diferente de limites e ações de tráfego.
[edit firewall family inet filter mfc-filter] user@host# set term other-customers then policer af-policer
Resultados
Confirme a configuração do filtro entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show firewall
family inet {
filter mfc-filter {
term isp1-customers {
from {
source-address 10.1.1.0/24;
source-address 10.1.2.0/24;
}
then {
loss-priority low;
forwarding-class expedited-forwarding;
}
}
term isp2-customers {
from {
source-address 10.1.3.0/24;
source-address 10.1.4.0/24;
}
then {
policer ef-policer;
}
}
term other-customers {
then {
policer af-policer;
}
}
}
}
policer af-policer {
if-exceeding {
bandwidth-limit 300k;
burst-size-limit 50k;
}
then discard;
}
policer ef-policer {
if-exceeding {
bandwidth-limit 200k;
burst-size-limit 50k;
}
then {
loss-priority high;
forwarding-class expedited-forwarding;
}
}
Aplicando filtragem e policiamento de classificação multicampo na interface lógica
Procedimento passo a passo
Aplicar filtragem e policiamento de classificação multicampo na interface lógica:
Habilite a configuração do IPv4 na interface lógica.
[edit] user@host# edit interfaces ge-1/2/0 unit 0 family inet
Configure um endereço IP para a interface lógica.
[edit interfaces ge-1/2/0 unit 0 family inet ] user@host# set address 192.168.1.1/24
Aplique o filtro de firewall na entrada lógica da interface.
[edit interfaces ge-1/2/0 unit 0 family inet ] user@host# set filter input mfc-filter
Nota:Como o policiador é executado antes do filtro, se um policiador de entrada também estiver configurado na interface lógica, ele não pode usar a classe de encaminhamento e PLP de um classificador multicampo associado à interface.
Resultados
Confirme a configuração da interface entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show interfaces
ge-1/2/0 {
unit 0 {
family inet {
filter {
input mfc-filter;
}
address 192.168.1.1/24;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
Exibindo o número de pacotes processados pelo policial na Interface Lógica
Propósito
Verifique o fluxo de tráfego através da interface lógica e se o policiador é avaliado quando os pacotes são recebidos na interface lógica.
Ação
Use o comando de show firewall modo operacional para o filtro que você aplicou à interface lógica.
user@host> show firewall filter rate-limit-in Filter: rate-limit-in Policers: Name Packets ef-policer-isp2-customers 32863 af-policer-other-customers 3870
A saída de comando lista os policiais aplicados pelo filtro rate-limit-inde firewall e o número de pacotes compatíveis com o termo filtro.
A contagem de pacotes inclui o número de contagens de pacotes fora de especificação (fora de especificação), nem todos os pacotes policiados pelo policial.
O nome do policial é exibido concatenado com o nome do termo filtro de firewall no qual o policiador é mencionado como uma ação.
Exemplo: Configuração e aplicação de um filtro de firewall para um classificador multicampo
Este exemplo mostra como configurar um filtro de firewall para classificar o tráfego usando um classificador multicampo. O classificador detecta pacotes de interesse para classe de serviço (CoS) quando eles chegam em uma interface. Classificadores multicampo são usados quando um classificador agregado de comportamento simples (BA) é insuficiente para classificar um pacote, quando os roteadores de peering não têm bits CoS marcados, ou a marcação do roteador de peering não é confiável.
Requisitos
Para verificar esse procedimento, este exemplo usa um gerador de tráfego. O gerador de tráfego pode ser baseado em hardware ou pode ser um software em execução em um servidor ou máquina de host.
A funcionalidade neste procedimento é amplamente suportada em dispositivos que executam o Junos OS. O exemplo mostrado aqui foi testado e verificado em roteadores da Série MX que executam o Junos OS Release 10.4.
Visão geral
Um classificador é uma operação de software que inspeciona um pacote enquanto ele entra no roteador ou switch. O conteúdo do cabeçalho de pacotes é analisado, e este exame determina como o pacote é tratado quando a rede fica muito ocupada para lidar com todos os pacotes e você quer que seus dispositivos derrubem pacotes de forma inteligente, em vez de soltar pacotes indiscriminadamente. Uma maneira comum de detectar pacotes de interesse é pelo número da porta de origem. Os números de porta TCP 80 e 12345 são usados neste exemplo, mas muitos outros critérios de correspondência para detecção de pacotes estão disponíveis para classificadores multicampo, usando condições de correspondência de filtro de firewall. A configuração neste exemplo especifica que os pacotes TCP com porta de origem 80 são classificados na classe de encaminhamento de dados BE e na fila número 0. Os pacotes TCP com porta de origem 12345 são classificados na classe de encaminhamento de dados Premium e na fila número 1.
Classificadores multicampo são normalmente usados na borda da rede à medida que os pacotes entram em um sistema autônomo (AS).
Neste exemplo, você configura o filtro de firewall de classificador mf e especifica algumas aulas de encaminhamento personalizadas no Dispositivo R1. Ao especificar as aulas de encaminhamento personalizadas, você também associa cada classe a uma fila.
A operação do classificador é mostrada em Figura 1.
Você aplica o filtro de firewall do classificador multicampo como um filtro de entrada em cada interface voltada para o cliente ou voltada para o host que precisa do filtro. A interface de entrada é ge-1/0/1 no dispositivo R1. A classificação e a atribuição da fila são verificadas na interface de saída. A interface de saída é a interface ge-1/0/9 do Dispositivo R1.
Topologia
Figura 2 mostra a rede de amostra.
Configuração rápida da CLI mostra a configuração de todos os dispositivos da Juniper Networks em Figura 2.
Procedimento passo a passo descreve as etapas do dispositivo R1.
Os classificadores são descritos com mais detalhes no vídeo do Juniper Networks Learning Byte a seguir.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar commit no modo de configuração.
Dispositivo R1
set interfaces ge-1/0/1 description to-host set interfaces ge-1/0/1 unit 0 family inet filter input mf-classifier set interfaces ge-1/0/1 unit 0 family inet address 172.16.50.2/30 set interfaces ge-1/0/9 description to-R2 set interfaces ge-1/0/9 unit 0 family inet address 10.30.0.1/30 set class-of-service forwarding-classes class BE-data queue-num 0 set class-of-service forwarding-classes class Premium-data queue-num 1 set class-of-service forwarding-classes class Voice queue-num 2 set class-of-service forwarding-classes class NC queue-num 3 set firewall family inet filter mf-classifier term BE-data from protocol tcp set firewall family inet filter mf-classifier term BE-data from port 80 set firewall family inet filter mf-classifier term BE-data then forwarding-class BE-data set firewall family inet filter mf-classifier term Premium-data from protocol tcp set firewall family inet filter mf-classifier term Premium-data from port 12345 set firewall family inet filter mf-classifier term Premium-data then forwarding-class Premium-data set firewall family inet filter mf-classifier term accept-all-else then accept
Dispositivo R2
set interfaces ge-1/0/9 description to-R1 set interfaces ge-1/0/9 unit 0 family inet address 10.30.0.2/30
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar o dispositivo R1:
-
Configure as interfaces do dispositivo.
[edit interfaces] user@R1# set ge-1/0/1 description to-host user@R1# set ge-1/0/1 unit 0 family inet address 172.16.50.2/30 user@R1# set ge-1/0/9 description to-R2 user@R1# set ge-1/0/9 unit 0 family inet address 10.30.0.1/30
-
Configure as aulas de encaminhamento personalizadas e os números de fila associados.
[edit class-of-service forwarding-classes] user@R1# set BE-data queue-num 0 user@R1# set Premium-data queue-num 1 user@R1# set Voice queue-num 2 user@R1# set NC queue-num 3
-
Configure o termo filtro de firewall que coloca o tráfego TCP com uma porta de origem de 80 (tráfego HTTP) na classe de encaminhamento de dados BE, associada à fila 0.
[edit firewall family inet filter mf-classifier] user@R1# set term BE-data from protocol tcp user@R1# set term BE-data from port 80 user@R1# set term BE-data then forwarding-class BE-data
-
Configure o termo filtro de firewall que coloca o tráfego TCP com uma porta de origem de 12345 na classe de encaminhamento de dados Premium, associada à fila 1.
[edit firewall family inet filter mf-classifier] user@R1# set term Premium-data from protocol tcp user@R1# set term Premium-data from port 12345 user@R1# set term Premium-data then forwarding-class Premium-data
-
Ao final do seu filtro de firewall, configure um termo padrão que aceita todo o tráfego.
Caso contrário, todo o tráfego que chega na interface e não é explicitamente aceito pelo filtro de firewall é descartado.
[edit firewall family inet filter mf-classifier] user@R1# set term accept-all-else then accept
-
Aplique o filtro de firewall na interface ge-1/0/1 como um filtro de entrada.
[edit interfaces] user@R1# set ge-1/0/1 unit 0 family inet filter input mf-classifier
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show interfacesshow class-of-serviceshow firewall comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@R1# show interfaces
ge-1/0/1 {
description to-host;
unit 0 {
family inet {
filter {
input mf-classifier;
}
address 172.16.50.2/30;
}
}
}
ge-1/0/9 {
description to-R2;
unit 0 {
family inet {
address 10.30.0.1/30;
}
}
}
user@R1# show class-of-service
forwarding-classes {
class BE-data queue-num 0;
class Premium-data queue-num 1;
class Voice queue-num 2;
class NC queue-num 3;
}
user@R1# show firewall
family inet {
filter mf-classifier {
term BE-data {
from {
protocol tcp;
port 80;
}
then forwarding-class BE-data;
}
term Premium-data {
from {
protocol tcp;
port 12345;
}
then forwarding-class Premium-data;
}
term accept-all-else {
then accept;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando as configurações de CoS
- Enviar tráfego de TCP para a rede e monitorar o posicionamento da fila
Verificando as configurações de CoS
Propósito
Confirme se as aulas de encaminhamento estão configuradas corretamente.
Ação
A partir do Dispositivo R1, execute o show class-of-service forwardng-classes comando.
user@R1> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority BE-data 0 0 0 low normal low Premium-data 1 1 1 low normal low Voice 2 2 2 low normal low NC 3 3 3 low normal low
Significado
A saída mostra as configurações configuradas do classificador personalizado.
Enviar tráfego de TCP para a rede e monitorar o posicionamento da fila
Propósito
Certifique-se de que o tráfego de interesses seja enviado para fora da fila esperada.
Ação
Limpe as estatísticas de interface na interface de saída do dispositivo R1.
user@R1> clear interfaces statistics ge-1/0/9
Use um gerador de tráfego para enviar 50 pacotes de porta TCP 80 para o Dispositivo R2 ou para algum outro dispositivo downstream.
No dispositivo R1, verifique os contadores de fila.
Observe que você verifica os contadores de fila na interface de saída downstream, não na interface de entrada.
user@R1> show interfaces extensive ge-1/0/9 | find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 50 50 0 1 0 57 0 2 0 0 0 3 0 0 0Use um gerador de tráfego para enviar 50 pacotes de porta TCP 12345 para o Dispositivo R2 ou para algum outro dispositivo downstream.
[root@host]# hping 172.16.60.1 -c 50 -s 12345 -k
No dispositivo R1, verifique os contadores de fila.
user@R1> show interfaces extensive ge-1/0/9 | find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 50 50 0 1 50 57 0 2 0 0 0 3 0 0 0
Significado
A saída mostra que os pacotes são classificados corretamente. Quando a porta 80 é usada nos pacotes TCP, a fila 0 é incrementada. Quando a porta 12345 é usada, a fila 1 é incrementada.