Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

CoS IPv6 流量的安全功能概述

IPv6 流量的服务等级 (CoS) 处理使用 IPv6 DiffServ 代码点 (DSCP) 值。IPv6 DSCP 值是 IPv6 标头的 8 位信息流类字段中的前六位。DSCP 值用于确定进入网络设备的数据包的行为聚合 (BA) 分类。您可使用分类器规则将 DSCP 代码点映射到转发类和数据包丢失优先级。您可以使用 重写规则 将转发类和数据包丢失优先级映射回退出设备的数据包上的 DSCP 值。

图 1 显示了CoS设备瞻博网络功能的组件,说明了它们交互的顺序。

图 1:通过 SRX 系列设备的数据包流 Packet Flow Through an SRX Series Device
注意:

并非所有CoS都支持所有功能。

  • CoS组件执行以下操作:

    BA 分类器规则将 DSCP 代码点映射到转发类和丢失优先级。转发类和丢失优先级确定整个系统的数据包按跳跃行为。转发类将数据包与出站传输队列关联。丢失优先级会影响数据包的计划,而不影响数据包的相对排序。BA 分类是"下游"节点可以遵守编码为"上游"CoS目标的简单方法。

    请参阅 示例:配置CoS DSCP IPv6 BA 分类器

  • 多域分类器规则覆盖 BA 分类器规则读取的初始转发类和丢失优先级确定。通常在内容源附近节点上使用多域分类器规则,其中数据包可能未编码标头中的所需 DSCP 值。多域分类器规则将数据包分配给转发类,并基于过滤器(例如源 IP、目标 IP、端口或应用程序)分配数据包丢失优先级。

    请参阅 示例:为多域分类器配置和应用防火墙过滤器 。

  • 输入管制器测量信息流,以查看信息流是否超过其服务级别。管理程序可能丢弃、更改转发类和丢失优先级,或者设置数据包的数据包丢失优先级位。如果数据包丢失优先级位已设置,则其出现拥塞时被丢弃的概率会提高。

  • 时间表图应用于接口,并将传出数据包与时间表和转发类关联。

    时间表管理输出传输队列,包括:

    • 缓冲区大小 — 定义数据包在拥塞期间存储的时间段。

    • 安排优先级和传输速率 — 确定数据包的传输顺序。

    • 丢弃配置文件 — 定义如何使用特定时间表主动丢弃数据包。

    请参阅 示例:在安全设备上配置服务等级时间表

  • 输出管制器测量信息流,如果信息流超过其服务级别,可能会更改数据包的转发类和丢失优先级。

  • 重写规则将转发类和数据包丢失优先级映射到 DSCP 值。您通常将重写规则与靠近内容源的多域分类器规则结合使用,或者当设备位于网络边界时,必须修改代码点来满足目标对等方的策略。

    请参阅 示例:配置CoS DSCP IPv6 重写规则

只有 BA 分类规则和重写规则需要特殊考虑才能CoS IPv6 流量。其他应用程序功能的程序逻辑CoS IPv4 和 IPv6 流量之间的差异。