示例:配置过滤器以将 DSCP 位设置为零
此示例说明如何基于差异服务代码点 (DSCP) 配置标准无状态防火墙过滤器。
要求
配置此示例之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您使用无状态防火墙过滤器来匹配 DSCP 位模式上的数据包。如果 DSCP 为 2,则数据包将分类为 best-effort 转发类,并且 DSCP 设置为 0。如果 DSCP 为 3,则数据包被分类为 best-effort 转发类。
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 在配置模式下使用 CLI 编辑器。
要配置此示例,请执行以下操作:
CLI 快速配置
要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI [edit] 中。
set firewall filter filter1 term 1 from dscp 2 set firewall filter filter1 term 1 then forwarding-class best-effort set firewall filter filter1 term 1 then dscp 0 set firewall filter filter1 term 2 from dscp 3 set firewall filter filter1 term 2 then forwarding-class best-effort set interfaces so-0/1/0 unit 0 family inet filter input filter1
配置无状态防火墙过滤器
分步过程
要配置无状态防火墙过滤器 filter1:
创建无状态防火墙过滤器。
[edit] user@host# edit firewall filter filter1
配置第一个术语以匹配 DSCP 为
2的数据包,将 DSCP0更改为 ,并将数据包分类为best-effort转发类。[edit firewall filter filter1] user@host# set term 1 from dscp 2 user@host# set term 1 then forwarding-class best-effort user@host# set term 1 then dscp 0
配置另一个术语以匹配 DSCP 为的
3数据包,并将数据包分类为best-effort转发类。[edit firewall filter filter1] user@host# set term 2 from dscp 3 user@host# set term 2 then forwarding-class best-effort
将无状态防火墙过滤器应用于逻辑接口
分步过程
要将无状态防火墙过滤器应用于与 VPN 路由和转发 (VRF) 实例对应的逻辑接口,请执行以下操作:
配置要应用无状态防火墙过滤器的逻辑接口。
[edit] user@host# edit interfaces so-0/1/0 unit 0 family inet
将无状态防火墙过滤器应用于逻辑接口。
[ input filter1] user@host# set filter input filter1
确认并提交候选配置
分步过程
要确认并提交候选配置,请执行以下操作:
通过输入
show firewall配置模式命令确认无状态防火墙过滤器的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show firewall filter filter1 { term term1 { from { dscp 2; } then { forwarding-class best-effort; dscp 0; } } term term2 { from { dscp 3; } then { forwarding-class best-effort; } } }通过输入
show interfaces配置模式命令确认接口的配置。如果命令输出未显示预期的配置,请重复此示例中的说明以更正配置。[edit] user@host# show interfaces so-0/1/0 { unit 0 { family inet { filter input filter1; } } }如果完成设备配置,请提交候选配置。
[edit] user@host# commit
验证
要确认配置工作正常,请输入以下操作模式命令:
show class-of-service—显示整个服务等级 (CoS) 配置,包括系统选择的默认值。show class-of-service classifier type dscp— 仅显示 IPv4 类型的 DSCP 分类器。