在防火墙过滤器中分配多域分类器以指定数据包转发行为(CLI 过程)
您可以使用多域分类器配置防火墙过滤器,对在 EX 系列交换机上通过端口、VLAN 或第 3 层接口的数据包进行分类。
您可以在防火墙过滤器配置中指定多字段分类器,以设置传入或传出数据包的转发类和数据包丢失优先级 (PLP)。缺省情况下,未分类的数据流量将分配给 best-effort 与队列 0 关联的类。
您可以指定以下任何默认转发类:
转发类 |
队列 |
|---|---|
尽力而为。 |
0 |
有保证的转发 |
1 |
加速转发 |
5 |
网络控制 |
7 |
要在防火墙过滤器中分配多字段分类器,请执行以下操作:
- 在层次结构级别配置
[edit firewall]过滤器的系列名称和过滤器名称,例如:[edit firewall] user@switch# set family ethernet-switching user@switch# set family ethernet-switching filter ingress-filter
- 根据需要配置筛选器的术语,包括 forwarding-class 和 loss-priority 操作修饰符。指定转发类时,还必须指定丢包优先级。例如,以下每个术语检查不同的数据包标头字段,并分配适当的分类器和数据包丢失优先级:
该术语 voice-traffic 匹配 上的 voice-vlan 数据包,并分配转发类 expedited-forwarding 和数据包丢失优先级 low:
[edit firewall family ethernet-switching filter ingress-filter] user@switch# set term voice-traffic from vlan-id voice-vlan user@switch# set term voice-traffic then forwarding-class expedited-forwarding user@switch# set term voice-traffic then loss-priority low
该术语 data-traffic 匹配上的 employee-vlan 数据包并分配转发类 assured-forwarding 和数据包丢失优先级 low:
[edit firewall family ethernet-switching filter ingress-filter] user@switch# set term data-traffic from vlan-id employee-vlan user@switch# set term data-traffic then forwarding-class assured-forwarding user@switch# set term data-traffic then loss-priority low
由于丢失网络生成的数据包会危及正常的网络操作,因此延迟比丢弃数据包更可取。以下术语 network-traffic, 分配转发类 network-control 和数据包丢失优先级 low:
[edit firewall family ethernet-switching filter ingress-filter] user@switch# set term network-traffic from precedence net-control user@switch# set term network-traffic then forwarding-class network user@switch# set term network-traffic then loss-priority low
最后一个术语 accept-traffic 匹配与上述任何术语不匹配的任何数据包,并分配转发类 best-effort 和数据包丢失优先级 low:
[edit firewall family ethernet-switching filter ingress-filter] user@switch# set term accept-traffic from precedence net-control user@switch# set term accept-traffic then forwarding-class best-effort user@switch# set term accept-traffic then loss-priority low
- 将过滤器 ingress-filter 应用于端口、VLAN 或第 3 层接口。有关应用过滤器的信息,请参阅配置防火墙过滤器(CLI 过程)。