示例:确定侦听和检查数据包的优先级
在 EX 系列交换机上,您可能需要使用服务等级 (CoS) 来保护关键应用程序中的数据包在网络拥塞和延迟期间不被丢弃,并且您可能还需要在这些关键数据包进出的相同端口上享受 DHCP 侦听和动态 ARP 检查 (DAI) 的端口安全功能。通过使用 CoS 转发类和队列来确定侦听和检查数据包的优先级,您可以结合这两种功能的优势。这种类型的配置将侦听和检查的数据包放入所需的出口队列中,确保安全过程不会干扰此高优先级流量的传输。这对于对抖动和延迟敏感的流量(例如语音流量)尤其重要。
此示例说明如何配置交换机以在繁重的网络流量中优先处理侦听和检查的数据包。
要求
此示例使用以下硬件和软件组件:
一台 EX 系列交换机
适用于 EX 系列交换机的 Junos OS 11.2 或更高版本
DHCP 服务器,用于向交换机上的网络设备提供 IP 地址
在为侦听和检查的数据包指定 CoS 转发类之前,请确保您已:
已将DHCP服务器连接到交换机。
已在交换机上配置VLAN VLAN200 。请参阅 为 EX 系列交换机配置 VLAN。
已将两个接口 ge-0/0/1 和 ge-0/0/8 配置为属于 VLAN200。
概述和拓扑
以太网 LAN 容易受到网络设备上的地址欺骗和 DoS 攻击。要保护设备免受此类攻击,您可以配置 DHCP 侦听以验证 DHCP 服务器消息,并配置 DAI 以防止 MAC 欺骗。如果您必须处理严重的网络拥塞时期,并且希望确保敏感流量不中断,则可以将端口安全功能与 CoS 转发类相结合,以优先处理被窥探和检查的安全数据包。
在默认交换机配置中:
交换机上的安全端口访问已激活。
DHCP 侦听和 DAI 在所有 VLAN 上均处于禁用状态。
所有接入端口均不受信任,并且所有中继端口都受信任以进行 DHCP 侦听。
此示例说明如何将 DHCP 侦听和 DAI 安全功能与侦听和检查数据包的优先转发相结合。
此示例的设置包括交换机上的 VLAN VLAN200 。 图 1 说明了此示例的拓扑结构。
拓扑学
优先级的网络拓扑
此示例的拓扑组件如 表 1 所示。
| 属性 | 设置 |
|---|---|
交换机硬件 |
EX 系列交换机 |
VLAN 名称 |
VLAN200 |
VLAN200中的接口 |
ge-0/0/1,ge-0/0/2,ge-0/0/3,ge-0/0/8 |
DHCP 服务器接口 |
ge-0/0/8 |
在此示例的配置任务中,您将创建用户定义的转发类 c1,在VLAN200上启用 DHCP 侦听和 DAI,并将侦听和检查的数据包分配给转发类 c1 和队列 6。队列 6 和 7 是为高优先级控制数据包保留的。受 DHCP 侦听和 DAI 影响的数据包是控制(而不是数据)数据包;因此,将这些被窥探和检查的高优先级控制数据包放在队列 6 中是合适的。(队列 7 的优先级高于队列 6,也可用于此目的。
配置
要在VLAN200上配置 DHCP 侦听和 DAI,并确定侦听和检查数据包的优先级:
程序
CLI 快速配置
要通过优先转发侦听和检查数据包来快速配置 DHCP 侦听和 DAI,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit]
set class-of-service forwarding-classes class c1 queue 6
set ethernet-switching-options security-access-port vlan VLAN200 examine-dhcp forwarding-class c1
set ethernet-switching-options security-access-port vlan VLAN200 arp-inspection forwarding-class c1
分步过程
通过优先转发侦听和检查数据包配置 DHCP 和 DAI:
创建用户定义的转发类,用于确定侦听和检查数据包的优先级。
[edit class-of-service] user@switch# set forwarding-classes class c1 queue 6
在 VLAN 上启用 DHCP 侦听,并将转发类 c1 应用于侦听数据包:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan VLAN200 examine-dhcp forwarding-class c1
在 VLAN 上启用 DAI,并将转发类 c1 应用于已检查的数据包:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan VLAN200 arp-inspection forwarding-class c1
结果
检查配置结果:
[edit ethernet-switching-options secure-access-port]
user@switch# show
vlan VLAN200 {
arp-inspection forwarding-class c1;
examine-dhcp forwarding-class c1;
}
[edit class-of-service]
user@switch# show
}
forwarding-classes {
class c1 queue-num 6;
}
验证
要确认配置工作正常,请执行以下任务:
验证优先转发在侦听数据包上是否正常工作
目的
验证优先转发是否正在处理 DHCP 侦听数据包。
行动
从网络设备向交换机发送一些 DHCP 请求。显示 VLAN200 中其中一个接口的输出队列,以确保数据包在指定队列中传输:
user@switch> show interfaces ge 0/0/1 extensive
Egress queues: 8 supported, 5 in use
Queue counters: Queued packets Transmitted packets Dropped packets
0 best-effort 0 0 0
1 assured-forw 0 0 0
5 expedited-fo 0 0 0
6 c1 0 3209 0
7 network-cont 0 126371 0
意义
命令输出显示数据包已在转发类 c1 队列 6 上传输。
通过更改 examine-dhcp 转发类 的设置以使用默认队列之一(如尽力而为)来继续测试,然后重复该 show interfaces 命令以比较输出中的差异。您可以通过查看转发类 c1 队列 6 报告的传输数据包数的差异来判断设置是否正常工作。
验证优先转发在 DAI 检查的数据包上是否正常工作
目的
验证优先级转发是否正在处理 DAI 检查的数据包。
行动
从网络设备向交换机发送一些 ARP 请求。显示 VLAN200 中其中一个接口的输出队列,以确保数据包在指定队列中传输:
user@switch> show interfaces ge-0/0/1 extensive
Egress queues: 8 supported, 5 in use
Queue counters: Queued packets Transmitted packets Dropped packets
0 best-effort 0 0 0
1 assured-forw 0 0 0
5 expedited-fo 0 0 0
6 c1 0 3209 0
7 network-cont 0 126371 0
意义
命令输出显示数据包已在转发类 c1 队列 6 上传输。
通过将 arp 检查转发类 的设置更改为使用默认队列之一(如尽力而为)来继续测试,然后重复该 show interfaces 命令以比较输出中的差异。您可以通过查看转发类 c1 队列 6 报告的传输数据包数的差异来判断设置是否正常工作。