您可以配置防火墙过滤器来分配数据包丢失优先级 (PLP) 和转发类,以便在发生拥塞时,可以根据您设置的优先级丢弃标记的数据包。有效的匹配条件是六个数据包头字段中的一个或多个:目标地址、源地址、IP 协议、源端口、目标端口和 DSCP。换句话说,您可以为每个进入的数据包或 具有特定目标地址、源地址、IP 协议、源端口、目标端口或 DSCP 的接口设置转发等级和 PLP。
注: Junos OS 仅在入口处分配转发类和 PLP。请勿使用分配转发类或 PLP 的过滤器作为出口过滤器。
启用三色标记后,交换机支持四种 PLP 标识:low、 medium-low、 medium-high和 high。您还可以指定 中列出的任何转发类 表 1
表 1: 单播转发类单播转发类
|
对于 CoS 流量类型
|
be
|
尽力而为流量
|
no-loss
|
保证 TCP 流量的交付
|
fcoe
|
以太网光纤通道 (FCoE) 流量的保证交付
|
nc
|
网络控制流量
|
要在防火墙过滤器中分配转发类:
- 配置家族地址类型和过滤器名称:
[edit]
user@switch# edit firewall family ethernet-switching filter ingress-filter
- 根据需要配置筛选器的术语,包括 forwarding-class 和 loss-priority 操作修饰符。例如,过滤器中的以下每个术语都会检查各种数据包头字段,并分配适当的转发类和数据包丢失优先级:
该术语corp-traffic匹配具有源地址的所有 IPv4 数据包10.1.1.0/24,并将数据包分配给丢失no-loss优先级为 :low
[edit firewall family ethernet-switching filter ingress-filter]
user@switch# set term corp-traffic from source-address 10.1.1.0/24;
user@switch# set term corp-traffic then forwarding-class no-loss
user@switch# set term corp-traffic then loss-priority low
该术语data-traffic将所有具有源地址的 IPv4 数据包10.1.2.0/24进行匹配,并将数据包分配给丢失be优先级为 :medium-high
[edit firewall family ethernet-switching filter ingress-filter]
user@switch# set term data-traffic from source-address 10.1.2.0/24;
user@switch# set term data-traffic then forwarding-class be
user@switch# set term data-traffic then loss-priority medium-high
由于丢失网络生成的数据包会危及正常的网络操作,因此这些数据包的延迟比丢弃这些数据包更可取。该术语network-traffic将 IP 优先级为 的net-control数据包分配给丢失nc优先级为 :low
[edit firewall family ethernet-switching filter ingress-filter]
user@switch# set term network-traffic from precedence net-control
user@switch# set term network-traffic then forwarding-class nc
user@switch# set term network-traffic then loss-priority low
最后一个术语 accept-traffic 匹配与上述任何术语不匹配的任何数据包,并将数据包分配给丢失 be 优先级 high为 :
[edit firewall family ethernet-switching filter ingress-filter]
user@switch# set term accept-traffic then forwarding-class be
user@switch# set term accept-traffic then loss-priority high
- 将过滤器 ingress-filter 应用于端口、VLAN 或第 3 层接口。有关应用过滤器的信息,请参阅 配置防火墙过滤器。(仅入口过滤器支持分配转发类和 PLP。