Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

多域分类器 示例:配置多域分类

多域分类概述

转发类和 PLP 级别

您可以配置 Junos OS 服务等级 (CoS) 功能,通过将每个数据包与转发类、数据包丢失优先级 (PLP) 级别或两者进行关联来对传入流量进行分类:

  • 根据关联的转发类,每个数据包都分配给一个输出队列,并且路由器会根据您配置的关联调度为输出队列提供服务。

  • 根据关联的 PLP,如果发生拥塞,每个数据包被丢弃的可能性都较低,或更高。CoS 随机早期检测 (RED) 进程使用丢弃概率配置、输出队列满度百分比和数据包 PLP 根据需要丢弃数据包,以控制输出阶段的拥塞。

多域分类和 BA 分类

Junos OS 支持两种常规类型的数据包分类:行为聚合 (BA) 分类和多域分类:

  • BA 分类或 CoS 值流量分类是指使用 CoS 配置基于 IP 数据包标头中的 CoS 值 设置数据包的转发等级或 PLP 的数据包分类方法。为 BA 分类检查的 CoS 值可以是差异化服务代码点 (DSCP) 值、DSCP IPv6 值、IP 优先级值、MPLS EXP 位和 IEEE 802.1p 值。默认分类器基于 IP 优先级值。

  • 多字段分类是指一种数据包分类方法,该方法使用标准无状态 防火墙过滤器 配置,根据 IP 数据包标头中的 多个字段 ,为进入或退出接口的每个数据包设置转发类或 PLP,包括 DSCP 值(仅限 IPv4)、IP 优先级值、MPLS EXP 位、 和 IEEE 802.1p 位多字段分类通常与 IP 地址字段、IP 协议类型字段或 UDP 或 TCP 伪头程序字段中的端口号匹配。如果需要仅基于数据包信息中除 CoS 值之外的信息对数据包进行分类,则使用多域分类而不是 BA 分类。

    借助多域分类,防火墙过滤器术语可以指定用于匹配数据包的forwarding-class class-name数据包分类操作,尽管在术语的then分支中使用了不可loss-priority (high | medium-high | medium-low | low)确定操作。

注:

数据包的 BA 分类可由无状态防火墙过滤器操作 forwarding-classloss-priority

与监管器一起使用的多域分类

要同时配置多域分类和速率限制,防火墙过滤器术语可以使用引用单速率双色监管器的非确定操作来指定数据包分类操作,以匹配数据包 policer

将多域分类配置为通过监管器执行分类时,流量流中过滤器匹配的数据包的速率仅限于监管器指定的流量限制。符合过滤器匹配的数据包流中的数据包被隐式设置为 low PLP。不一致的流量中的数据包会被丢弃,也可以将数据包设置为指定的转发类,或者设置为指定的 PLP 级别,或者这两种级别,具体取决于监管器的类型以及配置监管器来处理不符合流量的方式。

注:

在对同一 逻辑接口 和相同流量方向应用执行多域分类的防火墙过滤器以及监管器之前,请确保考虑监管器和防火墙过滤器操作的顺序。

例如,考虑以下场景:

  • 您可以根据数据包的现有转发类或 PLP 配置执行多域分类(通过设置转发类和 PLP 对匹配的数据包执行)的防火墙过滤器。您可以在逻辑接口的输入位置应用防火墙过滤器。

  • 您还可以配置单速率双色监管器,该监管器通过重新标记(设置转发类和 PLP)来对红色流量流执行操作,而不是丢弃这些数据包。您可以在应用防火墙过滤器的同一逻辑接口的输入处将监管器应用于接口监管器。

由于监管器和防火墙操作的命令,输入监管器在输入防火墙过滤器之前执行。这意味着,对已通过监管操作重新标记一次的输入数据包,将执行防火墙过滤器指定的多域分类。因此,如果任何输入数据包符合防火墙过滤器术语中规定的条件,则会根据 forwarding-class 该术语中指定的操作或 loss-priority 非确定操作进行第二次重新标记。

多域分类要求和限制

支持的平台

防火墙 loss-priority 过滤器 操作仅在以下路由平台上受支持:

  • EX 系列交换机

  • 配备增强型 CFEB (CFEB-E) 的 M7i 和 M10i 路由器

  • M120 和 M320 路由器

  • MX 系列路由器

  • 带有增强型 II 灵活 PIC 集中器 (FPC) 的 T 系列路由器

  • PTX 系列路由器

CoS 三色标记要求

loss-priority防火墙过滤器操作特定于平台的需求依赖于 CoS 三色标记功能,如 RFC 2698 中定义:

  • 在 M320 路由器上,除非您启用 CoS 三色标记功能,否则无法提交包括 loss-priority 防火墙过滤器操作的配置。

  • 在支持 loss-priority 防火墙过滤器操作的所有路由平台上,您不能将 loss-priority 防火墙过滤器操作 medium-low 设置为或 medium-high 启用 CoS 三色标记功能。

要启用 CoS 三色标记功能,请将语句 tri-color 包含在 [edit class-of-service] 层次结构级别。

限制

您不能为同一loss-prioritythree-color-policer防火墙过滤器术语配置和非确定性操作。这两个非确定性操作是相互排斥的。

注:

在 PTX 系列路由器上 policer ,必须在单独规则中配置操作,而不是将其与配置 forwarding-class、 和 loss-priority 操作的规则组合在一起。请参阅PTX 系列数据包传输路由器和 T 系列 Matrix 路由器之间的防火墙和监管差异

M 系列路由器上的多域分类限制

问题:输入过滤器分类上的输出过滤器匹配

在 M 系列路由器(M120 路由器除外)上,您无法根据使用应用于同一 IPv4 逻辑接口的输入过滤器设置的入口分类,对具有输出过滤器匹配的数据包进行分类。

例如,在以下配置中,名为 ingress 的过滤器会将所有传入的 IPv4 数据包分配给该 expedited-forwarding 类。名为egress的过滤器对分配给过滤器中expedited-forwardingingress类的所有数据包进行计数。此配置不适用于大多数 M 系列路由器。它适用于所有其他路由平台,包括 M120 路由器、MX 系列路由器和 T 系列路由器。

解决 方案:在入口过滤器中配置所有操作

作为应对方案,您可以在入口过滤器中配置所有操作。

示例:配置多域分类

此示例说明如何使用防火墙过滤器操作和两个防火墙过滤器监管器配置 IPv4 流量的多域分类。

要求

开始之前,确保您的环境支持此示例中显示的功能:

  1. 防火墙 loss-priority 过滤器操作必须在路由器上受支持,并可配置为所有四个值。

    1. 要设置 loss-priority 防火墙过滤器操作,请在以下某个路由平台上的逻辑接口 ge-1/2/0.0 上配置此示例:

      • MX 系列路由器

      • M120 或 M320 路由器

      • 带有增强型 CFEB (CFEB-E) 的 M7i 或 M10i 路由器

      • 带有增强型 II 灵活 PIC 集中器 (FPC) 的 T 系列路由器

    2. 要能够将防火墙过滤器操作medium-low设置为loss-prioritymedium-high,请确保 CoS 三色标记功能已启用。要启用 CoS 三色标记功能,请将语句 tri-color 包含在 [edit class-of-service] 层次结构级别。

  2. 必须在 expedited-forwarding 底层物理接口上安排和 assured-forwarding 转发类 ge-1/2/0

    1. 请确保将以下转发类分配给输出队列:

      • expedited-forwarding

      • assured-forwarding

      转发类分配在层次结构级别上配置 [edit class-of-service forwarding-classes queue queue-number]

      注:

      您不能提交将同一转发类分配给两个不同队列的配置。

    2. 确保转发类所分配到的输出队列与调度器相关联。调度程序定义分配给队列的接口带宽量、分配给存储数据包的内存缓冲区大小、队列的优先级以及与队列关联的随机早期检测 (RED) 丢弃配置文件。

      • 您可以在层级配置输出队列调度器 [edit class-of-service schedulers]

      • 您可以通过在 [edit class-of-service scheduler-maps map-name] 层次结构级别上配置的调度器映射,将输出队列调度器与转发类相关联。

    3. 请确保将输出队列调度应用于物理接口 ge-1/2/0

      您可以在层级将调度器图应用于物理接口 [edit class-of-service interfaces ge-1/2/0 scheduler-map map-name]

概述

在此示例中,您可以使用从防火墙过滤器引用的无状态防火墙过滤器操作和两个防火墙过滤器监管器,在逻辑接口上对输入的 IPv4 流量应用多域分类。根据源地址字段,数据包要么设置为 low 丢失优先级,要么进行监管。两个监管人员都不会丢弃不一致的流量。不一致的流中的数据包会为特定的转发类(expedited-forwardingassured-forwarding)标记为特定的丢失优先级,然后进行传输。

注:

在隐式设置丢失优先级之后,单速率双色监管器始终在一致的 low 流量流中传输数据包。

拓扑

在此示例中,您将多域分类应用于逻辑接口 ge-1/2/0.0上的 IPv4 流量。分类规则在 IPv4 无状态防火墙过滤器 mfc-filter 和两个单速率双色监管器 ef-policer 中指定,以及 af-policer

IPv4 标准无状态防火墙过滤器 mfc-filter 定义了三个过滤术语:

  • isp1-customers—第一个过滤器术语匹配源地址为 10.1.1.0/24 或 10.1.2.0/24 的数据包。匹配的数据包被 expedited-forwarding 分配给转发类并设置为 low 丢失优先级。

  • isp2-customers—第二个过滤器术语匹配源地址为 10.1.3.0/24 或 10.1.4.0/24 的数据包。匹配的数据包被 ef-policer传递到 ,监管器,该监管器将流量速率限制为 300 Kbps 的带宽限制,突发大小限制为 50 KB。此监管器指定为 expedited-forwarding 转发类标记不一致的流中的数据包,并设置为 high 丢失优先级。

  • other-customers—第三个也是最后一个过滤器术语将所有其他数据包 af-policer传递给,监管器用于将流量速率限制为 300 Kbps 的带宽限制和 50 KB 的突发大小限制(与定义的 ef-policer流量限制相同)。此监管器指定为 assured-forwarding 转发类标记不一致的流中的数据包,并设置为 medium-high 丢失优先级。

配置

以下示例要求您在配置层次结构中的各个级别上导航。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器

要配置此示例,请执行以下操作:

CLI 快速配置

要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI 中 [edit]

将监管器配置为限速加速转发和有保证转发流量

逐步过程

要将监管器配置为限速加速转发和保证转发流量:

  1. 定义加速转发流量的流量限制。

  2. 为有保证的转发流量配置监管器。

结果

输入 show firewall 配置模式命令,确认监管器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明,以更正配置。

配置同时应用监管的多域分类过滤器

逐步过程

要配置附加策略的多域分类过滤器,

  1. 启用 IPv4 流量防火墙过滤器术语配置。

  2. 将第一个术语配置为对源地址进行匹配,然后对匹配的数据包进行分类。

  3. 将第二个术语配置为在不同的源地址上匹配,然后监管匹配的数据包。

  4. 配置第三个术语以将所有其他数据包监管到一组不同的流量限制和操作。

结果

输入 show firewall 配置模式命令,确认过滤器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明,以更正配置。

将多域分类过滤和监管应用于逻辑接口

逐步过程

要对逻辑接口应用多域分类过滤和监管:

  1. 在逻辑接口上启用 IPv4 配置。

  2. 为逻辑接口配置 IP 地址。

  3. 将防火墙过滤器应用于逻辑接口输入。

    注:

    由于监管器是在过滤器之前执行的,如果也在逻辑接口上配置了输入监管器,因此它无法使用与接口关联的多域分类器的转发类和 PLP。

结果

输入 show interfaces 配置模式命令,确认接口的配置。如果命令输出未显示预期的配置,请重复此过程中的说明,以更正配置。

完成设备配置后,请从配置模式进入 commit

验证

确认配置工作正常。

显示监管器在逻辑接口上处理的数据包数

目的

验证通过逻辑接口的流量,以及当在逻辑接口上收到数据包时,将评估监管器。

行动

show firewall 应用于逻辑接口的过滤器使用操作模式命令。

命令输出列出了防火墙过滤器 rate-limit-in应用的监管程序,以及与过滤器术语匹配的数据包数量。

注:

数据包计数包括不规范(不规范)数据包计数,而不是由监管器监管的所有数据包。

监管器名称与防火墙过滤器术语的名称串联在一起,其中监管器被引用为操作。

示例:为多域分类器配置和应用防火墙过滤器

此示例说明如何配置防火墙过滤器,以使用多域分类器对流量进行分类。分类器在到达接口时检测到感兴趣的服务等级 (CoS) 数据包。当简单行为聚合 (BA) 分类器不足以对数据包进行分类、对等路由器未标记 CoS 位或对等路由器的标记不可信时,使用多域分类器。

要求

为了验证此过程,此示例使用流量生成器。流量生成器可以是基于硬件的,也可以是基于服务器或主机上运行的软件。

运行 Junos OS 的设备上广泛支持此过程中的功能。此处展示的示例在运行 Junos OS 10.4 版的 MX 系列路由器上进行了测试和验证。

概述

分类器是在数据包进入路由器或交换机时进行检测的软件操作。将检查数据包标头内容,此检查将确定当网络变得太忙,难以处理所有数据包,并希望您的设备智能地丢弃数据包,而不是不分青红皂白地丢弃数据包时,如何处理数据包。检测感兴趣数据包的一种常用方法是通过源端口号。此示例使用 TCP 端口号 80 和 12345,但多域分类器可以使用防火墙过滤器匹配条件来使用数据包检测的许多其他匹配标准。此示例中的配置指定将具有源端口 80 的 TCP 数据包分类为 BE-data 转发类和队列编号 0。源端口 12345 的 TCP 数据包分为高级数据转发类和队列编号 1。

当数据包进入自治系统 (AS) 时,多域分类器通常用于网络边缘。

在此示例中,您将配置防火墙过滤器 mf-分类器,并在设备 R1 上指定一些自定义转发类。在指定自定义转发类时,还需将每个类与一个队列相关联。

分类器操作如中 图 1所示。

图 1: 基于 TCP 源端口的多域分类器基于 TCP 源端口的多域分类器

您可以在每个面向客户或面向主机且需要过滤器的接口上应用多域分类器的防火墙过滤器作为输入过滤器。设备 R1 上的传入接口为 ge-1/0/1。在传出接口上验证分类和队列分配。传出接口是设备 R1 的 ge-1/0/9 接口。

拓扑

图 2 显示了示例网络。

图 2: 多域分类器场景 多域分类器场景

CLI 快速配置 显示了中 图 2所有瞻博网络设备的配置。

逐步过程 介绍了设备 R1 上的步骤。

以下瞻博网络学习字节视频详细介绍了分类器。

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层级的 [edit] CLI 中,然后从配置模式进入 commit

设备 R1

设备 R2

逐步过程

以下示例要求您在配置层次结构中的各个级别上导航。有关导航 CLI 的信息,请参阅《Junos OS CLI 用户指南》中的在配置模式下使用 CLI 编辑器

要配置设备 R1:

  1. 配置设备接口。

  2. 配置自定义转发类和关联的队列编号。

  3. 配置防火墙过滤器术语,将源端口为 80 的 TCP 流量(HTTP 流量)放入与队列 0 关联的 BE-data 转发类中。

  4. 配置防火墙过滤器术语,将源端口为 12345 的 TCP 流量放入与队列 1 关联的高级数据转发类中。

  5. 防火墙过滤器结束时,配置接受所有其他流量的默认术语。

    否则,到达接口且防火墙过滤器未明确接受的所有流量将被丢弃。

  6. 将防火墙过滤器作为输入过滤器应用到 ge-1/0/1 接口。

结果

在配置模式下,输入 、 show class-of-serviceshow firewall 命令以确认show interfaces您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以更正配置。

完成设备配置后,请从配置模式进入 commit

验证

确认配置工作正常。

检查 CoS 设置

目的

确认转发类配置正确。

行动

从设备 R1 中运行 show class-of-service forwardng-classes 命令。

含义

输出显示配置的自定义分类器设置。

向网络发送 TCP 流量并监控队列放置

目的

请确保目标流量已按预期队列发送。

行动
  1. 清除设备 R1 传出接口上的接口统计信息。

  2. 使用流量生成器将 50 TCP 端口 80 数据包发送到设备 R2 或其他某个下游设备。

  3. 在设备 R1 上,检查队列计数器。

    请注意,检查下行输出接口(而非传入接口)上的队列计数器。

  4. 使用流量生成器将 50 TCP 端口 12345 数据包发送到设备 R2 或其他下游设备。

  5. 在设备 R1 上,检查队列计数器。

含义

输出显示数据包分类正确。在 TCP 数据包中使用端口 80 时,队列 0 将递增。使用端口 12345 时,队列 1 将递增。