您可以配置防火墙过滤器以分配丢包优先级 (PLP) 和转发等级,以便在发生拥塞时,可以根据您设置的优先级丢弃标记的数据包。有效的匹配条件是六个数据包标头字段中的一个或多个:目标地址、源地址、IP 协议、源端口、目标端口和 DSCP。换句话说,您可以为每输入的数据包设置转发类和 PLP,或者 为具有特定目标地址、源地址、IP 协议、源端口、目标端口或 DSCP 的接口设置。
注: Junos OS 仅在入口上分配转发类和 PLP。请勿使用分配转发类或 PLP 作为出口过滤器的过滤器。
启用三色标记后,交换机支持四种 PLP 标识:low、 medium-low、 medium-high和 high。您还可以指定在 表 1
表 1: 单播转发类单播转发类
|
对于 CoS 流量类型
|
|---|
be
|
尽力服务流量
|
no-loss
|
TCP 流量有保证的交付
|
fcoe
|
以太网光纤通道 (FCoE) 流量的有保证交付
|
nc
|
网络控制流量
|
在防火墙过滤器中分配转发等级:
- 配置家族地址类型和过滤器名称:
[edit]
user@switch# edit firewall family inetfilter ingress-filter
- 根据需要配置过滤器的条款,
forwarding-class 包括和 loss-priority 操作修改符。例如,过滤器中的以下每个术语都会检查各种数据包标头字段,并分配相应的转发类和数据包丢失优先级: corp-traffic术语匹配具有10.1.1.0/24源地址的所有 IPv4 数据包,并将数据包分配给转发类no-loss,丢失优先级为low:
[edit firewall family inet filter ingress-filter]
user@switch# set term corp-traffic from source-address 10.1.1.0/24;
user@switch# set term corp-traffic then forwarding-class no-loss
user@switch# set term corp-traffic then loss-priority low
data-traffic术语匹配具有10.1.2.0/24源地址的所有 IPv4 数据包,并将数据包分配给转发类be(尽力而为),丢失优先级medium-high为:
[edit firewall family inet filter ingress-filter]
user@switch# set term data-traffic from source-address 10.1.2.0/24;
user@switch# set term data-traffic then forwarding-class be
user@switch# set term data-traffic then loss-priority medium-high
最后一个术语accept-traffic匹配之前任何条款中都不匹配的任何数据包,并将数据包分配给具有丢失优先级的high转发类be:
[edit firewall family inet filter ingress-filter]
user@switch# set term accept-traffic then forwarding-class be
user@switch# set term accept-traffic then loss-priority high
- 将过滤器
ingress-filter 应用于 第 3 层接口。有关应用过滤器的信息,请参阅 配置防火墙过滤器。(仅入口过滤器支持分配转发类和 PLP。)
