Exemplo: configurar e verificar um filtro multicampo complexo
Neste exemplo, as mensagens de sinalização SIP (VoIP) usam TCP/UDP, porta 5060 e canais de mídia RTP usam UDP com atribuições de porta de 16.384 a 32.767. Veja as seções a seguir:
Configurando um filtro multicampo complexo
Para configurar o filtro multicampo, execute as seguintes ações:
Classifique as mensagens de sinalização SIP (tráfego de controle de rede VoIP) como NC com um filtro de firewall.
Classifique o tráfego VoIP como EF com o mesmo filtro de firewall.
Policiar todo o tráfego restante com precedência
0ip e torná-lo BE.Tráfego de BE da polícia a 1 Mbps com dados em excesso marcados com PLP alto.
Aplique o filtro de firewall com o policiador na interface.
O filtro de firewall chamado classify combina no protocolo de transporte e portas identificadas nos pacotes de entrada e classifica pacotes nas classes de encaminhamento especificadas por seus critérios.
O primeiro termo classifica sipas mensagens de sinalização SIP como mensagens de controle de rede. A port declaração corresponde a qualquer porta de origem ou porta de destino (ou ambas) codificada para 5060.
Classificando mensagens de sinalização SIP
firewall {
family inet {
filter classify {
interface-specific;
term sip {
from {
protocol [ udp tcp ];
port 5060;
}
then {
forwarding-class network-control;
accept;
}
}
}
}
}
O segundo termo classifica rtpos canais de mídia VoIP que usam o transporte baseado em UDP.
Classificação de canais VoIP que usam UDP
term rtp {
from {
protocol udp;
port 16384-32767;
}
then {
forwarding-class expedited-forwarding;
accept;
}
}
A tolerância de explosão do policial é definida como o valor recomendado para uma interface de baixa velocidade, que é dez vezes o MTU da interface. Para uma interface de alta velocidade, o tamanho recomendado de explosão é a taxa de transmissão da interface vezes de 3 a 5 milissegundos.
Configurando o Policiador
policer be-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 15k;
}
then loss-priority high;
}
O terceiro mandato garante beque todo o tráfego restante seja policiado de acordo com uma restrição de largura de banda.
Policiamento de todo o tráfego restante
term be {
then policer be-policer;
}
O be termo não inclui um modificador de forwarding-class ação. Além disso, não há tratamento explícito do tráfego de controle de rede (NC) fornecido no classify filtro. Você pode configurar a classificação explícita do tráfego NC e todo o tráfego IP restante, mas não precisa, porque o classificador de precedência IP padrão classifica corretamente o tráfego restante.
Aplique o classify classificador na fe-0/0/2 interface:
Aplicando o classificador
interfaces {
fe-0/0/2 {
unit 0 {
family inet {
filter {
input classify;
}
address 10.12.0.13/30;
}
}
}
}
Verificando um filtro multicampo complexo
Antes que a configuração seja comprometida, exibir os classificadores padrão em vigor na interface usando o show class-of-service interface interface-name comando. O display confirma que o ipprec-compatibility classificador está em vigor por padrão.
Verificando a classificação padrão
user@host> show class-of-service fe-0/0/2
Physical interface: fe-0/0/2, Index: 135
Queues supported: 8, Queues in use: 4
Scheduler map: <default>, Index: 2032638653
Logical interface: fe-0/0/2.0, Index: 68
Shaping rate: 32000
Object Name Type Index
Scheduler-map <default> 27
Rewrite exp-default exp 21
Classifier exp-default exp 5
Classifier ipprec-compatibility ip 8
Para ver os mapeamentos de classificação padrão, use o show class-of-service classifier name name comando. A saída destacada confirma que o tráfego com configuração de precedência ip de 0 é corretamente classificado como BE, e o tráfego NC, com valores de precedência de 6 ou 7, é devidamente classificado como NC.
Exibindo mapeamentos de classificação padrão
user@host> show class-of-service classifier name ipprec-compatibility Classifier: ipprec-compatibility, Code point type: inet-precedence, Index: 12 Code point Forwarding class Loss priority 000 best-effort low 001 best-effort high 010 best-effort low 011 best-effort high 100 best-effort low 101 best-effort high 110 network-control low 111 network-control high
Depois que sua configuração for comprometida, verifique se seu classificador multicampo está funcionando corretamente. Você pode monitorar os contadores de fila para a interface do dispositivo de egress roteador usada ao encaminhar o tráfego recebido dos peer. Exibir os contadores de fila para a interface de entrada (fe-0/0/2) não permite que você verifique sua classificação de ingresso, porque a fila geralmente ocorre apenas na saída no Junos OS. (a fila de ingressos é suportada apenas em PICs Gigabit Ethernet IQ2 e PICs IQ2 aprimorados.)
Para verificar a operação do filtro multicampo:
Para determinar qual interface de saída é usada para o tráfego, use o
traceroutecomando.Depois de identificar a interface de saída, libere seus contadores de fila associados emitindo o
clear interfaces statistics interface-namecomando.Confirme o encaminhamento padrão da atribuição de números de classe para fila. Isso permite prever quais filas são usadas pelo VoIP, NC e outros tráfegos. Para fazer isso, emita o
show class-of-service forwarding-classcomando.Exibir a fila conta com a interface emitindo o
show interfaces queuecomando.