本页内容
示例:配置和验证复杂的多域过滤器
在此示例中,SIP 信令 (VoIP) 消息使用 TCP/UDP,端口 5060,而 RTP 媒体通道使用 UDP,端口分配从 16,384 到 32,767。请参阅以下部分:
配置复杂多域过滤器
要配置多域过滤器,请执行以下操作:
使用防火墙过滤器将 SIP 信令消息(VoIP 网络控制流量)分类为 NC。
使用相同的防火墙过滤器将 VoIP 流量分类为 EF。
使用 IP 优先级
0对所有剩余流量进行监管,并使其成为 BE。将 BE 流量监管到 1 Mbps,数据过剩,标有 PLP 高。
将带有监管器的防火墙过滤器应用到接口。
在传入数据包中识别的传输协议和端口上称为 classify 匹配的防火墙过滤器,并将数据包分类为您的标准指定的转发等级。
第一个术语 sip将 SIP 信令消息分类为网络控制消息。语句 port 匹配编码为 5060 的任何源端口或目标端口(或两者)。
对 SIP 信令消息进行分类
firewall {
family inet {
filter classify {
interface-specific;
term sip {
from {
protocol [ udp tcp ];
port 5060;
}
then {
forwarding-class network-control;
accept;
}
}
}
}
}
第二个 rtp术语对使用基于 UDP 的传输的 VoIP 媒体通道进行分类。
对使用 UDP 的 VoIP 通道进行分类
term rtp {
from {
protocol udp;
port 16384-32767;
}
then {
forwarding-class expedited-forwarding;
accept;
}
}
监管器的突发容差设置为低速接口的建议值,这是接口 MTU 的十倍。对于高速接口,建议的突发大小是接口的传输速率 3 到 5 毫秒。
配置监管器
policer be-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 15k;
}
then loss-priority high;
}
第三个术语 be确保所有剩余流量均根据带宽限制进行监管。
管制所有剩余流量
term be {
then policer be-policer;
}
术语 be 不包含 forwarding-class 操作修改符。此外,过滤器中 classify 未明确处理网络控制 (NC) 流量。您可以配置 NC 流量和所有剩余 IP 流量的显式分类,但不需要,因为默认 IP 优先级分类器可以正确分类剩余流量。
将 classify 分类器应用于 fe-0/0/2 接口:
应用分类器
interfaces {
fe-0/0/2 {
unit 0 {
family inet {
filter {
input classify;
}
address 10.12.0.13/30;
}
}
}
}
验证复杂的多域过滤器
在提交配置之前,使用 show class-of-service interface interface-name 命令在接口上显示生效的默认分类符。显示将确认 ipprec-compatibility 分类器在默认情况下有效。
验证默认分类
user@host> show class-of-service fe-0/0/2
Physical interface: fe-0/0/2, Index: 135
Queues supported: 8, Queues in use: 4
Scheduler map: <default>, Index: 2032638653
Logical interface: fe-0/0/2.0, Index: 68
Shaping rate: 32000
Object Name Type Index
Scheduler-map <default> 27
Rewrite exp-default exp 21
Classifier exp-default exp 5
Classifier ipprec-compatibility ip 8
要查看默认分类器映射,请使用 show class-of-service classifier name name 命令。突出显示的输出确认 IP 优先级设置为 0 的流量被正确分类为 BE,优先级值为 6 或 7 的 NC 流量被正确分类为 NC。
显示默认分类器映射
user@host> show class-of-service classifier name ipprec-compatibility Classifier: ipprec-compatibility, Code point type: inet-precedence, Index: 12 Code point Forwarding class Loss priority 000 best-effort low 001 best-effort high 010 best-effort low 011 best-effort high 100 best-effort low 101 best-effort high 110 network-control low 111 network-control high
提交配置后,验证多域分类器是否工作正常。您可以监控转发从对等方接收的 egress 流量时使用的路由器设备接口的队列计数器。显示入口接口 (fe-0/0/2) 的队列计数器不允许检查入口分类,因为排队通常仅在 Junos OS 的出口处发生。(入口队列仅在千兆以太网 IQ2 PIC 和增强型 IQ2 PIC 上受支持。)
要验证多域过滤器的操作:
要确定用于流量的出口接口,请使用
traceroute命令。识别出口接口后,通过发出
clear interfaces statistics interface-name命令清除其关联的队列计数器。确认默认的转发类到队列编号分配。这样,您就可以预测 VoIP、NC 和其他流量使用了哪些队列。为此,请发出
show class-of-service forwarding-class命令。通过发出
show interfaces queue命令显示接口上的队列计数。