Ayúdenos a mejorar su experiencia.

Háganos saber su opinión.

¿Podría dedicar dos minutos de su tiempo a completar una encuesta?

Announcement: Try the Ask AI chatbot for answers to your technical questions about Juniper products and solutions.

close
header-navigation

Solutions

Featured solutions AI Campus and branch Data center WAN Security Service provider Cloud operator Industries
Campus and Branch

Welcome to the NOW Way to Wi-Fi

Take your networking performance to new heights with a modern, cloud-native, AI-Native architecture. Only Juniper can help you unleash the full potential of Wi-Fi 7 with our AI-Native platform for innovation.
Prepare for liftoff
Business intelligence analyst dashboard on virtual screen. Big data Graphs Charts.

AI Data Center Networking

Juniper’s AI data center solution is a quick way to deploy high performing AI training and inference networks that are the most flexible to design and easiest to manage with limited IT resources.
Find out more
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Zero trust security

Ops4AI Lab

Visit our lab in Sunnyvale, CA and see our AI data center solution for yourself. You can try out your own model’s functionality and performance, too.
Visit the lab
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Higher Education

Shaping Student Experiences: The NOW Way to Build Higher Education Networks

Juniper Networks CIO Sharon Mandell and a virtual summit of C-level IT leaders from prestigious institutions discuss ongoing efforts to support digital transformation on campus.
Watch now
Hand on tablet with healthcare overlay of graphics

Security in healthcare

In this IDC Spotlight report, discover how AI networking can automate and strengthen a healthcare ecosystem to defeat criminals and prevent loss. 
Gain insights into ecosystem security
Retail

The Future of In-Store Technologies

Retail experts Kevin McCartan, Senior IT Service Delivery Engineer at Musgrave; Jack Stratten of Insider Trends; and Christian Gilby, Senior Director of Product Marketing at Juniper Networks, discuss customer experiences.
See the future

Products

Wireless access Wired access SD-WAN / SASE Routing and switching Security Mist AI™ Management software Network operating system Blueprint for AI-Native Acceleration Optics
  • Operations
ACX7020 router

Juniper ACX7020 Cloud Metro Access Router

Legacy networks simply cannot meet the demands of today’s rapidly evolving metro landscape. Unlock a new generation of highly scalable architectures and automated operations with the Juniper ACX7020. 
Learn more
EX4000 Ethernet Switch

Next-gen AI-Native EX4000 line of switches

Lack of AI innovation from your current networking vendor slowing you down? Embrace Juniper’s cloud-native, AI-Native access switches that support every level and layer, across nearly every deployment.
Discover how
The Q and AI text with an image of Bob Friday and Kedar Dhuru.

The Q&AI Podcast

Delivering practical solutions and enriching discussions, this podcast series is a vital resource for those seeking an in-depth exploration of AI's transformative potential.
Catch the latest episode

Services

Services
Services AI Care

Juniper AI Care Services Revolutionize Your Service Experience

Our industry-first AI-Native services couple AIOps with our deep expertise across the full network life cycle. You can move from reactive response to proactive insight and action.
Explore AI Care Services
Services AI Data Center

Juniper AI Data Center Deployment Services Optimize Your AI Model Runs

We use our expertise and validated designs to help design, deploy, validate and tune networks, including GPUs and storage, to get the most from your AI infrastructure operation.
Learn about AI Data Center Deployment Services

Partners

Partners

Support and Documentation

Support and Documentation

Learn

About Juniper Training Events The Feed Resources Technology learning topics Thought leadership and insights
Audience raising hands up while businessman is speaking in training at the office.

Juniper certification and training news

See the latest
Ringing of the bell

All global events

See the latest
AI-native-now

AI-Native NOW event series

Explore events
AINN AI Innovation Impact Virtual Event

AI-Native NOW: AI Innovation and Impact

Register NOW
Juniper's Christina Hendrix at the head of a conference table. With the text "The NOW Way to Network" overlayed, with "NOW" emphasizing the "O" in green color.

The NOW Way to Network

Watch the video series
AI Native Now

Executive insights

Dive deep with leading experts and thought leaders on all the topics that matter most to your business, from AI to network security to driving rapid, relevant transformation for your business.
Learn more
A keynote speaker giving a presentation at a conference. There are dozens of people sitting around them. The presentation is displayed via projector on all the walls in the room.

Leadership voices

Juniper Networks’ leaders operate on the front lines of creating the network of the future. Take a look around to see what’s on their minds.
Watch now
Bob Friday and Jessica Garrison speaking

Bob Friday Talks

Join Bob as he ventures into all the knowns -- and -- unknowns -- of AI.
Catch the latest episode
Documentation
Menu
License Guide
Quick Starts
Validated Designs
Explore Pathfinder Apps
CLI Explorer
Feature Explorer
Hardware Compatibility Tool
Port Checker
Browse All
Collapse

Pathfinder Apps

All

By Software

By Hardware

Learn More
Pathfinder HomeCLI ExplorerCompliance AdvisorFeature ExplorerHardware Compatibility ToolJunos XML API ExplorerJunos YANG Data Model ExplorerPort CheckerPower CalculatorSNMP MIB ExplorerSystem Log Explorer
CLI ExplorerFeature ExplorerJunos XML API ExplorerJunos YANG Data Model ExplorerSNMP MIB ExplorerSystem Log Explorer
Compliance AdvisorFeature ExplorerHardware Compatibility ToolPort CheckerPower Calculator
Home Documentation Junos OS Guía del usuario de políticas de enrutamiento, filtros de firewall y políticas de tráfico Configuración de filtros de firewall Adjuntar varios filtros de firewall a una sola interfaz

Guía del usuario de políticas de enrutamiento, filtros de firewall y políticas de tráfico

keyboard_arrow_up
close
keyboard_arrow_left
Guía del usuario de políticas de enrutamiento, filtros de firewall y políticas de tráfico
Table of Contents Expand all
list Table of Contents
EN ESTA PÁGINA
keyboard_arrow_right

¿Fue útil esta traducción automática?

starstarstarstarstar
Go to English page
DESCARGO DE RESPONSABILIDAD:

Esta página será traducida por software de traducción automática de terceros. Si bien nos hemos esforzado por proporcionar una traducción de calidad, Juniper Networks no puede garantizar su corrección. En caso de duda respecto a la exactitud de la información que ofrece esta traducción, consulte la versión en inglés. El PDF descargable está disponible solo en inglés.

Ejemplo de clasificadorde múltiples campos: Configuración de la clasificación de campos múltiples

date_range 18-Jan-25
arrow_backward
arrow_forward

Descripción general de la clasificación multicampo

Clases de envío y niveles PLP

Puede configurar las funciones de clase de servicio (CoS) de Junos OS para clasificar el tráfico entrante asociando cada paquete con una clase de reenvío, un nivel de prioridad de pérdida de paquetes (PLP) o ambos:

  • Según la clase de reenvío asociada, cada paquete se asigna a una cola de salida y el enrutador presta servicios a las colas de salida de acuerdo con la programación asociada que configure.

  • Según el PLP asociado, cada paquete tiene una probabilidad menor o mayor de que se caiga si se produce congestión. El proceso de detección temprana aleatoria (RED) de CoS utiliza la configuración de probabilidad de caída, el porcentaje de plenitud de la cola de salida y el PLP del paquete para descartar el paquete según sea necesario para controlar la congestión en la etapa de salida.

Clasificación multicampo y clasificación BA

Junos OS admite dos tipos generales de clasificación de paquetes: clasificación de agregados de comportamiento (BA) y clasificación multicampo:

  • La clasificación de BA, o clasificación de tráfico de valores CoS, se refiere a un método de clasificación de paquetes que utiliza una configuración de CoS para establecer la clase de reenvío o PLP de un paquete en función del valor de CoS en el encabezado del paquete IP. El valor CoS examinado para fines de clasificación BA puede ser el valor del punto de código de servicios diferenciados (DSCP), el valor IPv6 DSCP, el valor de prioridad IP, los bits EXP MPLS y el valor IEEE 802.1p. El clasificador predeterminado se basa en el valor de prioridad IP.

  • La clasificación multicampo se refiere a un método de clasificación de paquetes que utiliza una configuración estándar de filtro de firewall sin estado para establecer la clase de reenvío o PLP para cada paquete que entra o sale de la interfaz en función de varios campos en el encabezado del paquete IP, incluido el valor DSCP (solo para IPv4), el valor de prioridad IP, los bits EXP MPLS, y los bits IEEE 802.1p. La clasificación multicampo suele coincidir en los campos de dirección IP, el campo de tipo de protocolo IP o el número de puerto en el campo de pseudoencabezado UDP o TCP. Se usa la clasificación multicampo en lugar de la clasificación BA cuando necesita clasificar paquetes basándose en información del paquete distinta de los valores CoS solamente.

    Con la clasificación de varios campos, un término de filtro de firewall puede especificar las acciones de clasificación de paquetes para paquetes coincidentes mediante el uso de las forwarding-class class-nameloss-priority (high | medium-high | medium-low | low) acciones o de no terminación en la cláusula del then término.

Nota:

La clasificación BA de un paquete puede ser invalidada por las acciones forwarding-class de filtro de firewall sin estado y loss-priority.

Nota:

Clasificación errónea del tráfico a través del clasificador multicampo en QFX5k:

  • Si el tráfico BUM se ve obligado a tomar cola de unidifusión a través del clasificador MF, los paquetes se clasificarán en MCQ9. Junos lanza 21.4R3 y 22.1R3 y a partir de la versión 22.2 de Junos, estos paquetes se clasificarán en MCQ8.

  • Si el tráfico de unidifusión se ve obligado a tomar la cola de multidifusión a través del clasificador MF, los paquetes se clasificarán en MCQ9 y, a partir de la versión 19.1R3, se clasificarán en la cola de mejor esfuerzo.

Clasificación multicampo utilizada junto con los aplicadores

Para configurar la clasificación de varios campos junto con la limitación de velocidad, un término de filtro de firewall puede especificar las acciones de clasificación de paquetes para paquetes coincidentes mediante el uso de una policer acción de no terminación que hace referencia a un aplicador de dos colores de velocidad única.

Cuando la clasificación de varios campos está configurada para realizar la clasificación a través de un aplicador de política, los paquetes con filtros coincidentes en el flujo de tráfico se limitan a los límites de tráfico especificados por el aplicador de aplicación. Los paquetes en un flujo conforme de paquetes con filtro coincidente se establecen implícitamente en un low PLP. Los paquetes en un flujo de tráfico no conforme se pueden descartar, o los paquetes se pueden establecer en una clase de reenvío especificada, establecer en un nivel PLP especificado, o ambos, según el tipo de aplicador y cómo está configurado el policía para manejar el tráfico no conforme.

Nota:

Antes de aplicar un filtro de firewall que realice una clasificación de varios campos y también un controlador a la misma interfaz lógica y para la misma dirección de tráfico, asegúrese de tener en cuenta el orden de las operaciones de filtro de controlador y firewall.

Como ejemplo, considere el siguiente escenario:

  • Configure un filtro de firewall que realice una clasificación de varios campos (actúa sobre paquetes coincidentes estableciendo la clase de reenvío, el PLP o ambos) en función de la clase de reenvío o PLP existente del paquete. El filtro de firewall se aplica en la entrada de una interfaz lógica.

  • También puede configurar un aplicador de dos colores de velocidad única que actúa sobre un flujo de tráfico rojo volviendo a marcar (estableciendo la clase de reenvío, el PLP o ambos) en lugar de descartar esos paquetes. El aplicador se aplica como un aplicador de interfaz en la entrada de la misma interfaz lógica a la que se aplica el filtro de firewall.

Debido al orden de las operaciones de policía y firewall, el controlador de entrada se ejecuta antes que el filtro de firewall de entrada. Esto significa que la clasificación de varios campos especificada por el filtro de firewall se realiza en paquetes de entrada que ya se han vuelto a marcar una vez mediante acciones de vigilancia. En consecuencia, cualquier paquete de entrada que coincida con las condiciones especificadas en un término de filtro de firewall está sujeto a un segundo remarcado de acuerdo con las forwarding-class acciones de no terminación o loss-priority no especificadas también especificadas en ese término.

Consulte también

Requisitos y restricciones de clasificación de múltiples campos

Plataformas compatibles

La acción de loss-priority filtro de firewall solo se admite en las siguientes plataformas de enrutamiento:

  • Conmutadores de la serie EX

  • Enrutadores M7i y M10i con CFEB mejorado (CFEB-E)

  • Enrutadores M120 y M320

  • Enrutadores serie MX

  • Enrutadores de la serie T con concentradores PIC flexibles (FPC) II mejorados

  • Enrutadores de la serie PTX

Requisito de marcado tricolor CoS

La loss-priority acción de filtro del firewall tiene dependencias de requisitos específicos de la plataforma en la característica de marcado tricolor CoS, tal como se define en RFC 2698:

  • En un router M320, no puedes confirmar una configuración que incluya la acción de filtro del loss-priority firewall a menos que habilites la función de marcado tricolor CoS.

  • En todas las plataformas de enrutamiento que admiten la acción de filtro de loss-priority firewall, no puede establecer la acción de filtro de loss-priority firewall en medium-low o medium-high a menos que habilite la función de marcado tricolor CoS. .

Para habilitar la característica de marcado tricolor CoS, incluya la tri-color instrucción en el nivel de [edit class-of-service] jerarquía.

Restricciones

No puede configurar las loss-priority acciones y three-color-policer de no terminación para el mismo período de filtro de firewall. Estas dos acciones de no terminación son mutuamente excluyentes.

Nota:

En un enrutador de la serie PTX, debe configurar la policer acción en una regla independiente y no combinarla con la regla que configura las acciones , forwarding-classy loss-priority . Consulte Diferencias de firewall y políticas entre los enrutadores de transporte de paquetes de la serie PTX y los enrutadores de matriz de la serie T.

Consulte también

Limitaciones de clasificación de múltiples campos en enrutadores de la serie M

Problema: Coincidencia de filtros de salida en la clasificación de filtros de entrada

En los enrutadores serie M (excepto los enrutadores M120), no puede clasificar los paquetes con una coincidencia de filtro de salida según la clasificación de entrada establecida con un filtro de entrada aplicado a la misma interfaz lógica IPv4.

Por ejemplo, en la siguiente configuración, el filtro llamado ingress asigna todos los paquetes IPv4 entrantes a la expedited-forwarding clase. El filtro llamado egress cuenta todos los paquetes que se asignaron a la expedited-forwarding clase en el ingress filtro. Esta configuración no funciona en la mayoría de los enrutadores de la serie M. Funciona en todas las demás plataformas de enrutamiento, incluidos los enrutadores M120, los enrutadores serie MX y los enrutadores serie T.

content_copy zoom_out_map
[edit]
user@host # show firewall
family inet {
    filter ingress {
        term 1 {
            then {
                forwarding-class expedited-forwarding;
                accept;
            }
        }
        term 2 {
            then accept;
        }
    }
    filter egress {
        term 1 {
            from {
                forwarding-class expedited-forwarding;
            }
            then count ef;
        }
        term 2 {
            then accept;
        }
    }
}
 
[edit]
user@host# show interfaces
ge-1/2/0 {
    unit 0 {
        family inet {
            filter {
                input ingress;
                output egress;
            }
        }
    }
}

Solución alternativa: Configurar todas las acciones del filtro de entrada

Como solución alternativa, puede configurar todas las acciones del filtro de entrada.

content_copy zoom_out_map
user@host # show firewall
family inet {
    filter ingress {
        term 1 {
            then {
                forwarding-class expedited-forwarding;
                accept;
                count ef;
            }
        }
        term 2 {
            then accept;
        }
    }
}
 
[edit]
user@host# show interfaces
ge-1/2/0 {
    unit 0 {
        family inet {
            filter {
                input ingress;
            }
        }
    }
}

Consulte también

Ejemplo: Configuración de la clasificación de campos múltiples

En este ejemplo se muestra cómo configurar la clasificación multicampo del tráfico IPv4 mediante acciones de filtro de firewall y dos políticas de filtro de firewall.

Requisitos

Antes de comenzar, asegúrese de que su entorno admite las características que se muestran en este ejemplo:

  1. La loss-priority acción de filtro del firewall debe ser compatible con el enrutador y configurable para los cuatro valores.

    1. Para poder establecer una loss-priority acción de filtro de firewall, configure este ejemplo en la interfaz ge-1/2/0.0 lógica en una de las siguientes plataformas de enrutamiento:

      • Enrutador serie MX

      • Enrutador M120 o M320

      • Enrutador M7i o M10i con CFEB mejorado (CFEB-E)

      • Enrutador de la serie T con concentrador PIC flexible (FPC) II mejorado

    2. Para poder establecer una acción de loss-priority filtro de firewall en medium-low o medium-high, asegúrese de que la función de marcado tricolor CoS esté activada. Para habilitar la característica de marcado tricolor CoS, incluya la tri-color instrucción en el nivel de [edit class-of-service] jerarquía.

  2. Las expedited-forwarding clases de reenvío y assured-forwarding deben programarse en la interfaz ge-1/2/0física subyacente.

    1. Asegúrese de que las siguientes clases de reenvío están asignadas a las colas de salida:

      • expedited-forwarding

      • assured-forwarding

      Las asignaciones de clase de reenvío se configuran en el nivel jerárquico [edit class-of-service forwarding-classes queue queue-number] .

      Nota:

      No puede confirmar una configuración que asigne la misma clase de reenvío a dos colas diferentes.

    2. Asegúrese de que las colas de salida a las que están asignadas las clases de reenvío están asociadas a programadores. Un programador define la cantidad de ancho de banda de interfaz asignado a la cola, el tamaño del búfer de memoria asignado para almacenar paquetes, la prioridad de la cola y los perfiles de caída de detección temprana aleatoria (RED) asociados con la cola.

      • Los programadores de colas de salida se configuran en el nivel jerárquico [edit class-of-service schedulers] .

      • Los programadores de cola de salida se asocian a las clases de reenvío mediante una asignación de programador que se configura en el [edit class-of-service scheduler-maps map-name] nivel de jerarquía.

    3. Asegúrese de que la programación de la cola de salida se aplica a la interfaz ge-1/2/0física.

      Puede aplicar una asignación de programador a una interfaz física en el nivel jerárquico [edit class-of-service interfaces ge-1/2/0 scheduler-map map-name] .

Descripción general

En este ejemplo, se aplica la clasificación de varios campos al tráfico IPv4 de entrada en una interfaz lógica mediante acciones de filtro de firewall sin estado y dos políticas de filtro de firewall a las que se hace referencia desde el filtro de firewall. Según el campo de dirección de origen, los paquetes se establecen en la prioridad de low pérdida o se vigilan. Ninguno de los policías descarta el tráfico no conforme. Los paquetes en flujos no conformes se marcan para una clase de reenvío específica (expedited-forwarding o assured-forwarding), establecida en una prioridad de pérdida específica y luego se transmiten.

Nota:

Los aplicadores de dos colores de velocidad única siempre transmiten paquetes en un flujo de tráfico conforme después de establecer implícitamente una prioridad de low pérdida.

Topología

En este ejemplo, se aplica la clasificación de varios campos al tráfico IPv4 en la interfaz ge-1/2/0.0lógica. Las reglas de clasificación se especifican en el filtro mfc-filter de firewall sin estado IPv4 y en dos aplicadores de dos colores de velocidad única, ef-policer y af-policer.

El filtro mfc-filter de firewall sin estado estándar IPv4 define tres términos de filtro:

  • isp1-customers: el primer término de filtro hace coincidir los paquetes con la dirección de origen 10.1.1.0/24 o 10.1.2.0/24. Los paquetes coincidentes se asignan a la expedited-forwarding clase de reenvío y se establecen en la prioridad de low pérdida.

  • isp2-customers: el segundo término de filtro hace coincidir los paquetes con la dirección de origen 10.1.3.0/24 o 10.1.4.0/24. Los paquetes coincidentes se pasan a , un aplicador de políticas que limita la ef-policervelocidad del tráfico a un límite de ancho de banda de 300 Kbps con un límite de tamaño de ráfaga de 50 KB. Este aplicador de políticas especifica que los paquetes de un flujo no conforme se marcan para la expedited-forwarding clase de reenvío y se establecen en la prioridad de high pérdida.

  • other-customers: el tercer y último término de filtro pasa todos los demás paquetes a af-policer, un aplicador de políticas que limita la velocidad del tráfico a un límite de ancho de banda de 300 Kbps y un límite de tamaño de ráfaga de 50 KB (los mismos límites de tráfico definidos por ef-policer). Este aplicador de políticas especifica que los paquetes de un flujo no conforme se marcan para la assured-forwarding clase de reenvío y se establecen en la prioridad de medium-high pérdida.

Configuración

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.

Para configurar este ejemplo, realice las siguientes tareas:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit] jerarquía.

content_copy zoom_out_map
set firewall policer ef-policer if-exceeding bandwidth-limit 300k
set firewall policer ef-policer if-exceeding burst-size-limit 50k
set firewall policer ef-policer then loss-priority high
set firewall policer ef-policer then forwarding-class expedited-forwarding
set firewall policer af-policer if-exceeding bandwidth-limit 300k
set firewall policer af-policer if-exceeding burst-size-limit 50k
set firewall policer af-policer then loss-priority high
set firewall policer af-policer then forwarding-class assured-forwarding
set firewall family inet filter mfc-filter term isp1-customers from source-address 10.1.1.0/24
set firewall family inet filter mfc-filter term isp1-customers from source-address 10.1.2.0/24
set firewall family inet filter mfc-filter term isp1-customers then loss-priority low
set firewall family inet filter mfc-filter term isp1-customers then forwarding-class expedited-forwarding
set firewall family inet filter mfc-filter term isp2-customers from source-address 10.1.3.0/24
set firewall family inet filter mfc-filter term isp2-customers from source-address 10.1.4.0/24
set firewall family inet filter mfc-filter term isp2-customers then policer ef-policer
set firewall family inet filter mfc-filter term other-customers then policer af-policer
set interfaces ge-1/2/0 unit 0 family inet address 192.168.1.1/24
set interfaces ge-1/2/0 unit 0 family inet filter input mfc-filter

Configuración de políticas para limitar la velocidad del tráfico de reenvío acelerado y reenvío asegurado

Procedimiento paso a paso

Para configurar los aplicadores de políticas para limitar la velocidad del tráfico de reenvío acelerado y reenvío asegurado:

  1. Defina los límites de tráfico para el tráfico de reenvío acelerado.

    content_copy zoom_out_map
    [edit]
user@host# edit firewall policer ef-policer

[edit firewall policer ef-policer]
user@host# set if-exceeding bandwidth-limit 300k
user@host# set if-exceeding burst-size-limit 50k
user@host# set then loss-priority high
user@host# set then forwarding-class expedited-forwarding

  2. Configure un aplicador de políticas para el tráfico de reenvío asegurado.

    content_copy zoom_out_map
    [edit firewall policer ef-policer]
user@host# up
 
[edit firewall]
user@host# edit policer af-policer
 
[edit firewall policer af-policer]
user@host# set if-exceeding bandwidth-limit 300k
user@host# set if-exceeding burst-size-limit 50k
user@host# set then loss-priority high
user@host# set then forwarding-class assured-forwarding
Resultados

Confirme la configuración del aplicador de políticas introduciendo el comando de show firewall modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

content_copy zoom_out_map
[edit]
user@host# show firewall
policer af-policer {
    if-exceeding {
        bandwidth-limit 300k;
        burst-size-limit 50k;
    }
    then {
        loss-priority high;
        forwarding-class assured-forwarding;
    }
}
policer ef-policer {
    if-exceeding {
        bandwidth-limit 300k;
        burst-size-limit 50k;
    }
    then {
        loss-priority high;
        forwarding-class expedited-forwarding;
    }
}

Configuración de un filtro de clasificación de varios campos que también aplique vigilancia

Procedimiento paso a paso

Para configurar un filtro de clasificación de varios campos que aplique adicionalmente la vigilancia:

  1. Habilite la configuración de un término de filtro de firewall para el tráfico IPv4.

    content_copy zoom_out_map
    [edit]
user@host# edit firewall family inet filter mfc-filter

  2. Configure el primer término para que coincida en las direcciones de origen y, a continuación, clasifique los paquetes coincidentes.

    content_copy zoom_out_map
    [edit firewall family inet filter mfc-filter]
user@host# set term isp1-customers from source-address 10.1.1.0/24
user@host# set term isp1-customers from source-address 10.1.2.0/24
user@host# set term isp1-customers then loss-priority low
user@host# set term isp1-customers then forwarding-class expedited-forwarding

  3. Configure el segundo término para que coincida en diferentes direcciones de origen y, a continuación, examine los paquetes coincidentes.

    content_copy zoom_out_map
    [edit firewall family inet filter mfc-filter]
user@host# set term isp2-customers from source-address 10.1.3.0/24
user@host# set term isp2-customers from source-address 10.1.4.0/24
user@host# set term isp2-customers then policer ef-policer

  4. Configure el tercer término para vigilar todos los demás paquetes en un conjunto diferente de límites de tráfico y acciones.

    content_copy zoom_out_map
    [edit firewall family inet filter mfc-filter]
user@host# set term other-customers then policer af-policer
Resultados

Confirme la configuración del filtro introduciendo el comando de show firewall modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

content_copy zoom_out_map
[edit]
user@host# show firewall
family inet {
    filter mfc-filter {
        term isp1-customers {
            from {
                source-address 10.1.1.0/24;
                source-address 10.1.2.0/24;
            }
            then {
                loss-priority low;
                forwarding-class expedited-forwarding;
            }
        }
        term isp2-customers {
            from {
                source-address 10.1.3.0/24;
                source-address 10.1.4.0/24;
            }
            then {
                policer ef-policer;
            }
        }
        term other-customers {
            then {
                policer af-policer;
            }
        }
    }
}
policer af-policer {
    if-exceeding {
        bandwidth-limit 300k;
        burst-size-limit 50k;
    }
    then discard;
}
policer ef-policer {
    if-exceeding {
        bandwidth-limit 200k;
        burst-size-limit 50k;
    }
    then {
        loss-priority high;
        forwarding-class expedited-forwarding;
    }
}

Aplicación del filtrado y la vigilancia de clasificación de varios campos a la interfaz lógica

Procedimiento paso a paso

Para aplicar el filtrado y la vigilancia de clasificación de varios campos a la interfaz lógica:

  1. Habilite la configuración de IPv4 en la interfaz lógica.

    content_copy zoom_out_map
    [edit]
user@host# edit interfaces ge-1/2/0 unit 0 family inet

  2. Configure una dirección IP para la interfaz lógica.

    content_copy zoom_out_map
    [edit interfaces ge-1/2/0 unit 0 family inet ]
user@host# set address 192.168.1.1/24

  3. Aplique el filtro de firewall a la entrada de interfaz lógica.

    content_copy zoom_out_map
    [edit interfaces ge-1/2/0 unit 0 family inet ]
user@host# set filter input mfc-filter
    Nota:

    Dado que el controlador se ejecuta antes que el filtro, si también se configura un controlador de entrada en la interfaz lógica, no puede utilizar la clase de reenvío y el PLP de un clasificador de varios campos asociado a la interfaz.

Resultados

Confirme la configuración de la interfaz introduciendo el comando de show interfaces modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

content_copy zoom_out_map
[edit]
user@host# show interfaces
ge-1/2/0 {
    unit 0 {
        family inet {
            filter {
                input mfc-filter;
            }
            address 192.168.1.1/24;
        }
    }
}

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Visualización del número de paquetes procesados por el aplicador de políticas en la interfaz lógica

Propósito

Compruebe el flujo de tráfico a través de la interfaz lógica y que el aplicador de políticas se evalúa cuando se reciben paquetes en la interfaz lógica.

Acción

Utilice el comando de show firewall modo operativo para el filtro que aplicó a la interfaz lógica.

content_copy zoom_out_map
user@host> show firewall filter rate-limit-in
Filter: rate-limit-in                                          
Policers:
Name                                              Packets 
ef-policer-isp2-customers                           32863
af-policer-other-customers                           3870

El resultado del comando enumera los aplicadores aplicados por el filtro rate-limit-inde firewall y el número de paquetes que coinciden con el término del filtro.

Nota:

El recuento de paquetes incluye el número de recuentos de paquetes fuera de especificación (fuera de especificación), no todos los paquetes vigilados por el aplicador de la ley.

El nombre del policía se muestra concatenado con el nombre del término del filtro de firewall en el que se hace referencia al aplicador como una acción.

Consulte también

Ejemplo: Configuración y aplicación de un filtro de firewall para un clasificador de varios campos

En este ejemplo se muestra cómo configurar un filtro de firewall para clasificar el tráfico mediante un clasificador de varios campos. El clasificador detecta paquetes de interés para la clase de servicio (CoS) a medida que llegan a una interfaz. Los clasificadores de múltiples campos se utilizan cuando un clasificador de agregado de comportamiento simple (BA) no es suficiente para clasificar un paquete, cuando los enrutadores de emparejamiento no tienen marcados los bits CoS o cuando el marcado del enrutador de emparejamiento no es de confianza.

Requisitos

Para comprobar este procedimiento, en este ejemplo se utiliza un generador de tráfico. El generador de tráfico puede estar basado en hardware o puede ser software que se ejecuta en un servidor o máquina host.

La funcionalidad de este procedimiento es ampliamente admitida en dispositivos que ejecutan Junos OS. El ejemplo que se muestra aquí se probó y verificó en enrutadores de la serie MX que ejecutan Junos OS versión 10.4.

Descripción general

Un clasificador es una operación de software que inspecciona un paquete a medida que ingresa al enrutador o conmutador. Se examina el contenido del encabezado del paquete, y este examen determina cómo se trata el paquete cuando la red está demasiado ocupada para manejar todos los paquetes y desea que los dispositivos descarten paquetes de forma inteligente, en lugar de descartarlos indiscriminadamente. Una forma común de detectar paquetes de interés es por número de puerto de origen. Los números de puerto TCP 80 y 12345 se utilizan en este ejemplo, pero muchos otros criterios coincidentes para la detección de paquetes están disponibles para los clasificadores de múltiples campos, utilizando condiciones de coincidencia de filtro de firewall. La configuración de este ejemplo especifica que los paquetes TCP con el puerto de origen 80 se clasifican en la clase de reenvío de datos BE y en el número de cola 0. Los paquetes TCP con el puerto de origen 12345 se clasifican en la clase de reenvío de datos Premium y el número de cola 1.

Los clasificadores multicampo se usan normalmente en el borde de la red cuando los paquetes entran en un sistema autónomo (AS).

En este ejemplo, configure el filtro de firewall mf-classifier y especifique algunas clases de reenvío personalizadas en el dispositivo R1. Al especificar las clases de reenvío personalizadas, también se asocia cada clase con una cola.

La operación del clasificador se muestra en Figura 1.

Figura 1: Clasificador de múltiples campos basado en puertos de origen TCPClasificador de múltiples campos basado en puertos de origen TCP

El filtro de firewall del clasificador de varios campos se aplica como filtro de entrada en cada interfaz orientada al cliente o al host que necesite el filtro. La interfaz entrante es ge-1/0/1 en el dispositivo R1. La clasificación y la asignación de colas se verifican en la interfaz de salida. La interfaz saliente es la interfaz ge-1/0/9 del dispositivo R1.

Topología

Figura 2 muestra la red de ejemplo.

Figura 2: Escenario de clasificador de múltiples camposEscenario de clasificador de múltiples campos

Configuración rápida de CLI muestra la configuración de todos los dispositivos de Juniper Networks en Figura 2.

Procedimiento paso a paso describe los pasos del dispositivo R1.

Los clasificadores se describen con más detalle en el siguiente video de Byte de aprendizaje de Juniper Networks.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Dispositivo R1

content_copy zoom_out_map
set interfaces ge-1/0/1 description to-host
set interfaces ge-1/0/1 unit 0 family inet filter input mf-classifier
set interfaces ge-1/0/1 unit 0 family inet address 172.16.50.2/30
set interfaces ge-1/0/9 description to-R2
set interfaces ge-1/0/9 unit 0 family inet address 10.30.0.1/30
set class-of-service forwarding-classes class BE-data queue-num 0
set class-of-service forwarding-classes class Premium-data queue-num 1
set class-of-service forwarding-classes class Voice queue-num 2
set class-of-service forwarding-classes class NC queue-num 3
set firewall family inet filter mf-classifier term BE-data from protocol tcp
set firewall family inet filter mf-classifier term BE-data from port 80
set firewall family inet filter mf-classifier term BE-data then forwarding-class BE-data
set firewall family inet filter mf-classifier term Premium-data from protocol tcp
set firewall family inet filter mf-classifier term Premium-data from port 12345
set firewall family inet filter mf-classifier term Premium-data then forwarding-class Premium-data
set firewall family inet filter mf-classifier term accept-all-else then accept

Dispositivo R2

content_copy zoom_out_map
set interfaces ge-1/0/9 description to-R1
set interfaces ge-1/0/9 unit 0 family inet address 10.30.0.2/30
Procedimiento paso a paso

El ejemplo siguiente requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.

Para configurar el dispositivo R1:

  1. Configure las interfaces del dispositivo.

    content_copy zoom_out_map
    [edit interfaces]
user@R1# set ge-1/0/1 description to-host
user@R1# set ge-1/0/1 unit 0 family inet address 172.16.50.2/30
user@R1# set ge-1/0/9 description to-R2
user@R1# set ge-1/0/9 unit 0 family inet address 10.30.0.1/30

  2. Configure las clases de reenvío personalizadas y los números de cola asociados.

    content_copy zoom_out_map
    [edit class-of-service forwarding-classes]
user@R1# set BE-data queue-num 0
user@R1# set Premium-data queue-num 1
user@R1# set Voice queue-num 2
user@R1# set NC queue-num 3

  3. Configure el término de filtro de firewall que coloca el tráfico TCP con un puerto de origen de 80 (tráfico HTTP) en la clase de reenvío de datos BE, asociada a la cola 0.

    content_copy zoom_out_map
    [edit firewall family inet filter mf-classifier]
user@R1# set term BE-data from protocol tcp
user@R1# set term BE-data from port 80
user@R1# set term BE-data then forwarding-class BE-data

  4. Configure el término de filtro de firewall que coloca el tráfico TCP con un puerto de origen de 12345 en la clase de reenvío de datos Premium, asociada a la cola 1.

    content_copy zoom_out_map
    [edit firewall family inet filter mf-classifier]
user@R1# set term Premium-data from protocol tcp
user@R1# set term Premium-data from port 12345
user@R1# set term Premium-data then forwarding-class Premium-data

  5. Al final del filtro de firewall, configure un término predeterminado que acepte el resto del tráfico.

    De lo contrario, se descartará todo el tráfico que llegue a la interfaz y que no sea aceptado explícitamente por el filtro del firewall.

    content_copy zoom_out_map
    [edit firewall family inet filter mf-classifier]
user@R1# set term accept-all-else then accept

  6. Aplique el filtro de firewall a la interfaz ge-1/0/1 como filtro de entrada.

    content_copy zoom_out_map
    [edit interfaces]
user@R1# set ge-1/0/1 unit 0 family inet filter input mf-classifier
Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfacescomandos , show class-of-service. show firewall Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

content_copy zoom_out_map
user@R1# show interfaces
ge-1/0/1 {
    description to-host;
    unit 0 {
        family inet {
            filter {
                input mf-classifier;
            }
            address 172.16.50.2/30;
        }
    }
}
ge-1/0/9 {
    description to-R2;
    unit 0 {
        family inet {
            address 10.30.0.1/30;
        }
    }
}
content_copy zoom_out_map
user@R1# show class-of-service
forwarding-classes {
    class BE-data queue-num 0;
    class Premium-data queue-num 1;
    class Voice queue-num 2;
    class NC queue-num 3;
}
content_copy zoom_out_map
user@R1# show firewall
family inet {
    filter mf-classifier {
        term BE-data {
            from {
                protocol tcp;
                port 80;
            }
            then forwarding-class BE-data;
        }
        term Premium-data {
            from {
                protocol tcp;
                port 12345;
            }
            then forwarding-class Premium-data;
        }
        term accept-all-else {
            then accept;
        }
    }
}

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Comprobación de la configuración del CoS

Propósito

Confirme que las clases de reenvío están configuradas correctamente.

Acción

Desde el dispositivo R1, ejecute el show class-of-service forwardng-classes comando.

content_copy zoom_out_map
user@R1> show class-of-service forwarding-class

Forwarding class                       ID      Queue  Restricted queue  Fabric priority  Policing priority   SPU priority
  BE-data                               0       0          0             low                normal            low    
  Premium-data                          1       1          1             low                normal            low    
  Voice                                 2       2          2             low                normal            low    
  NC                                    3       3          3             low                normal            low
Significado

El resultado muestra los valores del clasificador personalizado configurados.

Envío de tráfico TCP a la red y supervisión de la colocación de la cola

Propósito

Asegúrese de que el tráfico de interés se envía a la cola esperada.

Acción

  1. Borre las estadísticas de la interfaz en la interfaz saliente del dispositivo R1.

    content_copy zoom_out_map
    user@R1> clear interfaces statistics ge-1/0/9

  2. Utilice un generador de tráfico para enviar 50 paquetes del puerto TCP 80 al dispositivo R2 o a algún otro dispositivo descendente.

  3. En el dispositivo R1, compruebe los contadores de cola.

    Observe que comprueba los contadores de cola en la interfaz de salida descendente, no en la interfaz entrante.

    content_copy zoom_out_map
    user@R1> show interfaces extensive ge-1/0/9 | find "Queue counters"

  Queue counters:       Queued packets  Transmitted packets      Dropped packets
    0                               50                   50                    0
    1                                0                   57                    0
    2                                0                    0                    0
    3                                0                    0                    0

  4. Utilice un generador de tráfico para enviar 50 paquetes del puerto TCP 12345 al dispositivo R2 o a algún otro dispositivo descendente.

    content_copy zoom_out_map
    [root@host]#  hping 172.16.60.1  -c 50 -s 12345  -k

  5. En el dispositivo R1, compruebe los contadores de cola.

    content_copy zoom_out_map
    user@R1> show interfaces extensive ge-1/0/9 | find "Queue counters"
 
  Queue counters:       Queued packets  Transmitted packets      Dropped packets
    0                               50                   50                    0
    1                               50                   57                    0
    2                                0                    0                    0
    3                                0                    0                    0
Significado

El resultado muestra que los paquetes están clasificados correctamente. Cuando se utiliza el puerto 80 en los paquetes TCP, se incrementa la cola 0. Cuando se utiliza el puerto 12345, se incrementa la cola 1.

Consulte también

Temas relacionados

arrow_backward PREVIOUS Configuración de filtros de firewall
NEXT arrow_forward Clasificador de múltiples campos para colas de entrada en enrutadores de la serie MX con MPC
footer-navigation

© 1999 - 2025 Juniper Networks, Inc. All rights reserved.

Scroll to top