示例:配置和应用简单筛选器
此示例演示如何配置简单筛选器。
要求
此示例使用以下硬件组件之一:
一个安装在 M120、M320 或 T 系列路由器上的千兆以太网智能排队 (IQ2) PIC
一个增强型排队密集端口集中器 (EQ DPC),安装在 MX 系列路由器或 EX 系列交换机上
在开始之前,请确保您已:
已安装支持的路由器(或交换机)和 PIC 或 DPC,并执行初始路由器(或交换机)配置。
在拓扑中配置基本以太网,并验证流量是否在拓扑中流动,以及入口 IPv4 流量是否流入逻辑接口
ge-0/0/1.0。
概述
此简单过滤器将源地址 172.16.1.1为 TCP 流量的丢失优先级设置为低,对于源地址在 172.16.4.0/8 范围内的 HTTP (Web) 流量,将丢失优先级设置为高,并将目标地址 172.16.6.6的所有流量的丢失优先级设置为低。
拓扑学
简单过滤器作为接口上的ge-0/0/1.0输入过滤器(到达数据包正在检查目标地址6.6.6.6,而不是排队的输出数据包)应用。
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 在配置模式下使用 CLI 编辑器。
要配置此示例,请执行以下操作:
CLI 快速配置
要快速配置此示例,请将以下命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI [edit] 中。
set firewall family inet simple-filter sf_classify_1 term 1 from source-address 172.16.1.1/32 set firewall family inet simple-filter sf_classify_1 term 1 from protocol tcp set firewall family inet simple-filter sf_classify_1 term 1 then loss-priority low set firewall family inet simple-filter sf_classify_1 term 2 from source-address 172.16.4.0/8 set firewall family inet simple-filter sf_classify_1 term 2 from protocol tcp set firewall family inet simple-filter sf_classify_1 term 2 from source-port http set firewall family inet simple-filter sf_classify_1 term 2 then loss-priority high set firewall family inet simple-filter sf_classify_1 term 3 from destination-address 6.6.6.6/32 set firewall family inet simple-filter sf_classify_1 term 3 then loss-priority low set firewall family inet simple-filter sf_classify_1 term 3 then forwarding-class best-effort set interfaces ge-0/0/1 unit 0 family inet simple-filter input sf_classify_1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
配置简单防火墙过滤器
分步过程
要配置简单筛选器,请执行以下操作:
创建简单过滤器
sf_classify_1。[edit] user@host# edit firewall family inet simple-filter sf_classify_1
根据源 IP 地址配置 TCP 流量分类。
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 1 from source-address 172.16.1.1/32 user@host# set term 1 from protocol tcp user@host# set term 1 then loss-priority low
根据源 IP 地址配置 HTTP 流量分类。
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 2 from source-address 172.16.4.0/8 user@host# set term 2 from protocol tcp user@host# set term 2 from source-port http user@host# set term 2 then loss-priority high
根据目标 IP 地址配置其他流量的分类。
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 3 from destination-address 6.6.6.6/32 user@host# set term 3 then loss-priority low user@host# set term 3 then forwarding-class best-effort
结果
通过输入 show firewall 配置模式命令确认简单过滤器的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit]
user@host# show firewall
family inet {
simple-filter sf_classify_1 {
term 1 {
from {
source-address {
172.16.1.1/32;
}
protocol {
tcp;
}
}
then loss-priority low;
}
term 2 {
from {
source-address {
172.16.4.0/8;
}
source-port {
http;
}
protocol {
tcp;
}
}
then loss-priority high;
}
term 3 {
from {
destination-address {
6.6.6.6/32;
}
}
then {
loss-priority low;
forwarding-class best-effort;
}
}
}
}
将简单过滤器应用于逻辑接口输入
分步过程
要将简单过滤器应用于逻辑接口输入,请执行以下操作:
配置要应用简单过滤器的逻辑接口。
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
配置逻辑接口的接口地址。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
将简单过滤器应用于逻辑接口输入。
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set simple-filter input sf_classify_1
结果
通过输入 show interfaces 配置模式命令确认接口的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
simple-filter {
input sf_classify_1;
}
address 10.1.2.3/30;
}
}
}
配置完设备后,提交候选配置。
验证
确认配置工作正常。
显示转发类映射和名称到队列号的映射
目的
显示转发类名到队列号的映射。
操作
show class-of-service forwarding-class进入操作模式命令。
[edit] user@host> show class-of-service forwarding-class
有关命令输出的信息,请参阅 CLI 资源管理器中的 “show class-of-service forwarding-class”。
显示接口的 CoS 队列计数器
目的
验证接口的服务等级 (CoS) 队列计数器是否反映了应用于逻辑接口的简单过滤器。
操作
show interfaces输入应用简单过滤器的物理接口的命令,并指定detail或extensive输出级别。
[edit] user@host> show interfaces ge-0/0/1 detail
在该 Physical interface 部分中的 下 Ingress queues,该 Queue counters 部分显示每个转发类的入口队列计数器。
有关命令输出的更多详细信息,请参阅 CLI 资源管理器中的“show interfaces ”。
显示物理接口的 CoS 队列计数器详细信息
目的
验证物理接口的 CoS 队列计数器详细信息是否反映了应用于逻辑接口的简单过滤器。
操作
show interfaces queue输入应用简单过滤器的物理接口的命令,并指定ingress选项。
[edit] user@host> show interfaces queue ge-0/0/1 ingress
有关命令输出的信息,请参阅 CLI 资源管理器中的 “show interfaces queue”。