CoS IPv6 流量的安全功能概述
IPv6 流量的服务等级 (CoS) 处理使用 IPv6 DiffServ 代码点 (DSCP) 值。IPv6 DSCP 值是 IPv6 标头的 8 位信息流类字段中的前六位。DSCP 值用于确定进入网络设备的数据包的行为聚合 (BA) 分类。您可使用分类器规则将 DSCP 代码点映射到转发类和数据包丢失优先级。您可以使用 重写规则 将转发类和数据包丢失优先级映射回退出设备的数据包上的 DSCP 值。
图 1 显示了CoS设备瞻博网络功能的组件,说明了它们交互的顺序。
并非所有CoS都支持所有功能。
CoS组件执行以下操作:
BA 分类器规则将 DSCP 代码点映射到转发类和丢失优先级。转发类和丢失优先级确定整个系统的数据包按跳跃行为。转发类将数据包与出站传输队列关联。丢失优先级会影响数据包的计划,而不影响数据包的相对排序。BA 分类是"下游"节点可以遵守编码为"上游"CoS目标的简单方法。
多域分类器规则覆盖 BA 分类器规则读取的初始转发类和丢失优先级确定。通常在内容源附近节点上使用多域分类器规则,其中数据包可能未编码标头中的所需 DSCP 值。多域分类器规则将数据包分配给转发类,并基于过滤器(例如源 IP、目标 IP、端口或应用程序)分配数据包丢失优先级。
请参阅 示例:为多域分类器配置和应用防火墙过滤器 。
输入管制器测量信息流,以查看信息流是否超过其服务级别。管理程序可能丢弃、更改转发类和丢失优先级,或者设置数据包的数据包丢失优先级位。如果数据包丢失优先级位已设置,则其出现拥塞时被丢弃的概率会提高。
时间表图应用于接口,并将传出数据包与时间表和转发类关联。
时间表管理输出传输队列,包括:
缓冲区大小 — 定义数据包在拥塞期间存储的时间段。
安排优先级和传输速率 — 确定数据包的传输顺序。
丢弃配置文件 — 定义如何使用特定时间表主动丢弃数据包。
请参阅 示例:在安全设备上配置服务等级时间表。
输出管制器测量信息流,如果信息流超过其服务级别,可能会更改数据包的转发类和丢失优先级。
重写规则将转发类和数据包丢失优先级映射到 DSCP 值。您通常将重写规则与靠近内容源的多域分类器规则结合使用,或者当设备位于网络边界时,必须修改代码点来满足目标对等方的策略。
只有 BA 分类规则和重写规则需要特殊考虑才能CoS IPv6 流量。其他应用程序功能的程序逻辑CoS IPv4 和 IPv6 流量之间的差异。