配置多域分类器
本主题介绍如何配置多域分类器。
多域分类器根据过滤器匹配标准将数据包分类为转发类和丢失优先级。多域分类通常在网络边缘对没有有效或可信行为聚合代码点的数据包进行。
如果同时配置行为聚合 (BA) 分类器和多域分类器,则首先执行 BA 分类:然后执行多域分类如果它们相冲突,则任何 BA 分类结果都由多域分类器覆盖。
对于指定的接口,您可以配置多域分类器和 BA 分类器,而不会发生冲突。由于分类器始终按顺序应用,因此 BA 分类器紧跟多域分类器,因此如果多域分类器发生冲突,任何 BA 分类结果都会被多域分类器覆盖。
要激活(应用)多域分类器,必须在逻辑接口上对其进行配置。您可以配置的多域分类器数量没有限制。
对于 MX 系列路由器和 EX 系列交换机,如果在 DPC 上配置了带有 DSCP 操作或流量类操作的防火墙过滤器,则提交不会失败,但显示警告并在系统日志中输入一个条目。
对于 MX 系列路由器上的 L2TP LNS,可以通过直接在内联服务设备 (si-fpc/pic/port) 上的逻辑接口上配置静态 LNS 会话防火墙。不支持 RADIUS 配置的防火墙附件。
您可以通过以下方式配置多域分类器:
Defining the filter- 配置防火墙 过滤器或简单过滤器。简单过滤器仅过滤 IPv4 流量(家族 inet)。防火墙过滤器使您能够过滤其他协议家族和更复杂的过滤器。以下部分介绍了这两个过程。
Applying the filter-通过在逻辑接口上配置为 输入 过滤器来激活过滤器。
要配置防火墙过滤器:
要配置简单的过滤器:
为简单过滤器指定名称。
[edit firewall family family-name] user@host# edit simple-filter filter-name
指定术语名称和匹配您要在传入数据包中查找的标准。
[edit firewall family family-name simple-filter filter-name] user@host# set term term-name from match-conditions
指定当数据包符合条件时要采取的操作。
[edit firewall family family-name simple-filter filter-name] user@host# set term term-name then actions
对于多域分类器,您可以为简单的过滤器执行以下操作:
将防火墙过滤器作为输入过滤器应用于相应的逻辑接口。
指定要应用防火墙过滤器的物理和逻辑接口。
edit user@host# edit interfaces interface-name unit unit-number
指定防火墙过滤器的协议家族。
[edit interfaces interface-name unit unit-number] user@host# set family family-name
指定要应用于接收数据包的防火墙过滤器的名称。
[edit interfaces interface-name unit unit-number] user@host# set filter input filter-name
对家族协议过滤器和简单过滤器重复这一步。
保存您的配置。
[edit] user@host# commit