在此页面上
示例:配置和验证复杂的多域过滤器
在此示例中,SIP 信号 (VoIP) 消息使用 TCP/UDP、端口 5060 和 RTP 媒体通道使用 UDP,端口分配从 16,384 到 32,767。请参阅以下部分:
配置复杂的多域过滤器
要配置多域过滤器,请执行以下操作:
使用防火墙过滤器将 SIP 信号消息(VoIP 网络控制流量)分类为 NC。
使用相同的防火墙过滤器将 VoIP 流量分类为 EF。
监管所有具有 IP 优先级
0
的剩余流量,并使其成为。将超额数据标记为 PLP 高,将流量监管到 1 Mbps。
将防火墙过滤器与监管器应用于接口。
此防火墙过滤器在传入数据包中标识的传输协议和端口上调用 classify
匹配,并将数据包分类到您标准指定的转发类中。
第一个术语 sip
将 SIP 信号消息分类为网络控制消息。该 port
语句与编码为 5060 的任何源端口或目标端口(或两者兼有)匹配。
对 SIP 信令消息进行分类
firewall { family inet { filter classify { interface-specific; term sip { from { protocol [ udp tcp ]; port 5060; } then { forwarding-class network-control; accept; } } } } }
第二个术语 rtp
对使用基于 UDP 的传输的 VoIP 媒体通道进行了分类。
对使用 UDP 的 VoIP 通道进行分类
term rtp { from { protocol udp; port 16384-32767; } then { forwarding-class expedited-forwarding; accept; } }
监管器的突发容限设置为低速接口的建议值,这是接口 MTU 的十倍。对于高速接口,建议的突发大小是接口时间 3 到 5 毫秒的传输速率。
配置监管器
policer be-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 15k; } then loss-priority high; }
第三个术语 be
是,确保根据带宽限制对其余所有流量进行监管。
管制所有剩余流量
term be { then policer be-policer; }
该 be
术语不包括 forwarding-class
操作修改器。此外,过滤器中 classify
未显式处理网络控制 (NC) 流量。您可以配置 NC 信息流和所有剩余 IP 流量的显式分类,但无需配置,因为默认 IP 优先级分类器可正确对剩余信息流进行分类。
将 classify
分类器应用于 fe-0/0/2
接口:
应用分类器
interfaces { fe-0/0/2 { unit 0 { family inet { filter { input classify; } address 10.12.0.13/30; } } } }
验证复杂的多域过滤器
提交配置之前,请使用 show class-of-service interface interface-name
命令显示对接口有效的默认分类器。显示屏 ipprec-compatibility
确认分类器默认生效。
验证默认分类
user@host> show class-of-service fe-0/0/2 Physical interface: fe-0/0/2, Index: 135 Queues supported: 8, Queues in use: 4 Scheduler map: <default>, Index: 2032638653 Logical interface: fe-0/0/2.0, Index: 68 Shaping rate: 32000 Object Name Type Index Scheduler-map <default> 27 Rewrite exp-default exp 21 Classifier exp-default exp 5 Classifier ipprec-compatibility ip 8
要查看默认分类器映射,请使用 命令 show class-of-service classifier name name
。突出显示的输出确认 IP 优先级设置为 0 的信息流已正确分类为 BE,而优先级值为 6 或 7 的 NC 流量将正确归类为 NC。
显示默认分类器映射
user@host> show class-of-service classifier name ipprec-compatibility Classifier: ipprec-compatibility, Code point type: inet-precedence, Index: 12 Code point Forwarding class Loss priority 000 best-effort low 001 best-effort high 010 best-effort low 011 best-effort high 100 best-effort low 101 best-effort high 110 network-control low 111 network-control high
提交配置后,验证您的多域分类器是否正常工作。您可以监控路由器设备接口的 egress
队列计数器,该接口在转发从对等方接收的信息流时使用。显示入口接口 (fe-0/0/2
) 的队列计数器不允许检查入口分类,因为排队通常仅在 Junos OS 的出口进行。(千兆以太网 IQ2 PIC 和增强型 IQ2 PIC 上支持入口排队。)
要验证多域过滤器的操作:
要确定哪些出口接口用于信息流,请使用 命令
traceroute
。识别出接口后,发出 命令来清除其关联的
clear interfaces statistics interface-name
队列计数器。确认默认转发类到队列编号分配。这样您就可以预测 VoIP、NC 和其他信息流使用的队列。要执行此操作,请发出
show class-of-service forwarding-class
命令。发出 命令显示接口
show interfaces queue
上的队列计数。