在此页面上
示例:配置和验证复杂的多域过滤器
在此示例中,SIP 信号 (VoIP) 消息使用 TCP/UDP、端口 5060 和 RTP 媒体通道使用 UDP,端口分配从 16,384 到 32,767。请参阅以下部分:
配置复杂的多域过滤器
要配置多域过滤器,请执行以下操作:
使用防火墙过滤器将 SIP 信号消息(VoIP 网络控制流量)分类为 NC。
使用相同的防火墙过滤器将 VoIP 流量分类为 EF。
监管所有具有 IP 优先级
0的剩余流量,并使其成为。将超额数据标记为 PLP 高,将流量监管到 1 Mbps。
将防火墙过滤器与监管器应用于接口。
此防火墙过滤器在传入数据包中标识的传输协议和端口上调用 classify 匹配,并将数据包分类到您标准指定的转发类中。
第一个术语 sip将 SIP 信号消息分类为网络控制消息。该 port 语句与编码为 5060 的任何源端口或目标端口(或两者兼有)匹配。
对 SIP 信令消息进行分类
firewall {
family inet {
filter classify {
interface-specific;
term sip {
from {
protocol [ udp tcp ];
port 5060;
}
then {
forwarding-class network-control;
accept;
}
}
}
}
}
第二个术语 rtp对使用基于 UDP 的传输的 VoIP 媒体通道进行了分类。
对使用 UDP 的 VoIP 通道进行分类
term rtp {
from {
protocol udp;
port 16384-32767;
}
then {
forwarding-class expedited-forwarding;
accept;
}
}
监管器的突发容限设置为低速接口的建议值,这是接口 MTU 的十倍。对于高速接口,建议的突发大小是接口时间 3 到 5 毫秒的传输速率。
配置监管器
policer be-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 15k;
}
then loss-priority high;
}
第三个术语 be是,确保根据带宽限制对其余所有流量进行监管。
管制所有剩余流量
term be {
then policer be-policer;
}
该 be 术语不包括 forwarding-class 操作修改器。此外,过滤器中 classify 未显式处理网络控制 (NC) 流量。您可以配置 NC 信息流和所有剩余 IP 流量的显式分类,但无需配置,因为默认 IP 优先级分类器可正确对剩余信息流进行分类。
将 classify 分类器应用于 fe-0/0/2 接口:
应用分类器
interfaces {
fe-0/0/2 {
unit 0 {
family inet {
filter {
input classify;
}
address 10.12.0.13/30;
}
}
}
}
验证复杂的多域过滤器
提交配置之前,请使用 show class-of-service interface interface-name 命令显示对接口有效的默认分类器。显示屏 ipprec-compatibility 确认分类器默认生效。
验证默认分类
user@host> show class-of-service fe-0/0/2
Physical interface: fe-0/0/2, Index: 135
Queues supported: 8, Queues in use: 4
Scheduler map: <default>, Index: 2032638653
Logical interface: fe-0/0/2.0, Index: 68
Shaping rate: 32000
Object Name Type Index
Scheduler-map <default> 27
Rewrite exp-default exp 21
Classifier exp-default exp 5
Classifier ipprec-compatibility ip 8
要查看默认分类器映射,请使用 命令 show class-of-service classifier name name 。突出显示的输出确认 IP 优先级设置为 0 的信息流已正确分类为 BE,而优先级值为 6 或 7 的 NC 流量将正确归类为 NC。
显示默认分类器映射
user@host> show class-of-service classifier name ipprec-compatibility Classifier: ipprec-compatibility, Code point type: inet-precedence, Index: 12 Code point Forwarding class Loss priority 000 best-effort low 001 best-effort high 010 best-effort low 011 best-effort high 100 best-effort low 101 best-effort high 110 network-control low 111 network-control high
提交配置后,验证您的多域分类器是否正常工作。您可以监控路由器设备接口的 egress 队列计数器,该接口在转发从对等方接收的信息流时使用。显示入口接口 (fe-0/0/2) 的队列计数器不允许检查入口分类,因为排队通常仅在 Junos OS 的出口进行。(千兆以太网 IQ2 PIC 和增强型 IQ2 PIC 上支持入口排队。)
要验证多域过滤器的操作:
要确定哪些出口接口用于信息流,请使用 命令
traceroute。识别出接口后,发出 命令来清除其关联的
clear interfaces statistics interface-name队列计数器。确认默认转发类到队列编号分配。这样您就可以预测 VoIP、NC 和其他信息流使用的队列。要执行此操作,请发出
show class-of-service forwarding-class命令。发出 命令显示接口
show interfaces queue上的队列计数。