本页内容
示例:配置和验证复杂的多域过滤器
在此示例中,SIP 信令 (VoIP) 消息使用 TCP/UDP,端口 5060,而 RTP 媒体通道使用 UDP,端口分配从 16,384 到 32,767。请参阅以下部分:
配置复杂多域过滤器
要配置多域过滤器,请执行以下操作:
使用防火墙过滤器将 SIP 信令消息(VoIP 网络控制流量)分类为 NC。
使用相同的防火墙过滤器将 VoIP 流量分类为 EF。
使用 IP 优先级
0
对所有剩余流量进行监管,并使其成为 BE。将 BE 流量监管到 1 Mbps,数据过剩,标有 PLP 高。
将带有监管器的防火墙过滤器应用到接口。
在传入数据包中识别的传输协议和端口上称为 classify
匹配的防火墙过滤器,并将数据包分类为您的标准指定的转发等级。
第一个术语 sip
将 SIP 信令消息分类为网络控制消息。语句 port
匹配编码为 5060 的任何源端口或目标端口(或两者)。
对 SIP 信令消息进行分类
firewall { family inet { filter classify { interface-specific; term sip { from { protocol [ udp tcp ]; port 5060; } then { forwarding-class network-control; accept; } } } } }
第二个 rtp
术语对使用基于 UDP 的传输的 VoIP 媒体通道进行分类。
对使用 UDP 的 VoIP 通道进行分类
term rtp { from { protocol udp; port 16384-32767; } then { forwarding-class expedited-forwarding; accept; } }
监管器的突发容差设置为低速接口的建议值,这是接口 MTU 的十倍。对于高速接口,建议的突发大小是接口的传输速率 3 到 5 毫秒。
配置监管器
policer be-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 15k; } then loss-priority high; }
第三个术语 be
确保所有剩余流量均根据带宽限制进行监管。
管制所有剩余流量
term be { then policer be-policer; }
术语 be
不包含 forwarding-class
操作修改符。此外,过滤器中 classify
未明确处理网络控制 (NC) 流量。您可以配置 NC 流量和所有剩余 IP 流量的显式分类,但不需要,因为默认 IP 优先级分类器可以正确分类剩余流量。
将 classify
分类器应用于 fe-0/0/2
接口:
应用分类器
interfaces { fe-0/0/2 { unit 0 { family inet { filter { input classify; } address 10.12.0.13/30; } } } }
验证复杂的多域过滤器
在提交配置之前,使用 show class-of-service interface interface-name
命令在接口上显示生效的默认分类符。显示将确认 ipprec-compatibility
分类器在默认情况下有效。
验证默认分类
user@host> show class-of-service fe-0/0/2 Physical interface: fe-0/0/2, Index: 135 Queues supported: 8, Queues in use: 4 Scheduler map: <default>, Index: 2032638653 Logical interface: fe-0/0/2.0, Index: 68 Shaping rate: 32000 Object Name Type Index Scheduler-map <default> 27 Rewrite exp-default exp 21 Classifier exp-default exp 5 Classifier ipprec-compatibility ip 8
要查看默认分类器映射,请使用 show class-of-service classifier name name
命令。突出显示的输出确认 IP 优先级设置为 0 的流量被正确分类为 BE,优先级值为 6 或 7 的 NC 流量被正确分类为 NC。
显示默认分类器映射
user@host> show class-of-service classifier name ipprec-compatibility Classifier: ipprec-compatibility, Code point type: inet-precedence, Index: 12 Code point Forwarding class Loss priority 000 best-effort low 001 best-effort high 010 best-effort low 011 best-effort high 100 best-effort low 101 best-effort high 110 network-control low 111 network-control high
提交配置后,验证多域分类器是否工作正常。您可以监控转发从对等方接收的 egress
流量时使用的路由器设备接口的队列计数器。显示入口接口 (fe-0/0/2
) 的队列计数器不允许检查入口分类,因为排队通常仅在 Junos OS 的出口处发生。(入口队列仅在千兆以太网 IQ2 PIC 和增强型 IQ2 PIC 上受支持。)
要验证多域过滤器的操作:
要确定用于流量的出口接口,请使用
traceroute
命令。识别出口接口后,通过发出
clear interfaces statistics interface-name
命令清除其关联的队列计数器。确认默认的转发类到队列编号分配。这样,您就可以预测 VoIP、NC 和其他流量使用了哪些队列。为此,请发出
show class-of-service forwarding-class
命令。通过发出
show interfaces queue
命令显示接口上的队列计数。