Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Richtlinien für die Konfiguration von SCU

Beachten Sie beim Aktivieren von SCU oder DCU die folgenden Informationen:

  • In Junos OS Version 5.6 und höher können Sie nur für Router der M-Serie eine Quellklasse oder eine Zielklasse als Übereinstimmungsbedingung in einem Firewallfilterverwenden. Fügen Sie zur Konfiguration die destination-class oder-Anweisung source-class auf Hierarchieebene [edit firewall filter firewall-name term term-name from] ein. Weitere Informationen zu Firewall-Filtern finden Sie im Konfigurationshandbuch für das Junos Policy Framework.

  • Sie können bis zu 126 Quellklassen und 126 Zielklassen zuweisen.

  • Beim Konfigurieren von Richtlinienaktionsanweisungen können Sie nur eine Quellklasse für jede übereinstimmende Route konfigurieren. Mit anderen Worten, es können nicht mehr als eine Quellklasse auf dieselbe Route angewendet werden.

  • Eine Quell- oder Zielklasse wird während der Suche in der Routing-Tabelle nur einmal auf ein Paket angewendet. Wenn ein Netzwerkpräfix mit einer Klassenverwendungsrichtlinie übereinstimmt, wird SCU zuerst den Paketen zugewiesen. DCU wird nur zugewiesen, wenn SCU nicht zugewiesen wurde. Seien Sie vorsichtig, wenn Sie beide Klassentypen verwenden, da eine Fehlkonfiguration zu nicht gezählten Paketen führen kann. Im folgenden Beispiel wird ein potenzielles Missgeschick untersucht:

    Ein Paket geht auf einer Routerschnittstelle ein, die sowohl für SCU als auch für DCU konfiguriert ist. Die Quelladresse des Pakets stimmt mit einer SCU-Klasse überein, und sein Ziel stimmt mit einer DCU-Klasse überein. Folglich wird das Paket einer Quellsuche unterzogen und mit der SCU-Klasse markiert. Die DCU-Klasse wird ignoriert. Infolgedessen wird das Paket an die ausgehende Schnittstelle weitergeleitet, wobei nur die SCU-Klasse noch intakt ist.

    Der Ausgangsschnittstelle fehlt jedoch eine SCU-Konfiguration. Wenn das Paket bereit ist, den Router zu verlassen, erkennt der Router, dass die Ausgabeschnittstelle nicht für SCU konfiguriert ist und das Paket von SCU nicht gezählt wird. Auch wenn das Präfix mit dem DCU-Präfix übereinstimmt, werden die DCU-Zähler nicht inkrementiert, da DCU an der Eingangsschnittstelle durch SCU ersetzt wurde.

Um dieses Problem zu lösen, stellen Sie sicher, dass Sie sowohl die eingehende als auch die ausgehende Schnittstelle vollständig konfigurieren oder nur einen Klassentyp pro Schnittstelle und Richtung konfigurieren.

  • Klassen können nicht direkt verbundenen Präfixen zugeordnet werden, die auf lokalen Schnittstellen konfiguriert sind. Dies gilt für DCU- und SCU-Klassen.

  • Wenn Sie mehrere Ausdrücke in einer einzelnen Richtlinie verwenden, müssen Sie nur den Richtliniennamen konfigurieren und ihn einmal auf die Weiterleitungstabelle anwenden. Dies erleichtert das Ändern von Optionen innerhalb Ihrer Bedingungen, ohne die Hauptrichtlinie neu konfigurieren zu müssen.

  • Führen Sie CLI-Befehle (Command Line Interface) show und Accounting-Profile an der gewünschten ausgehenden Schnittstelle aus, um den SCU-Datenverkehr zu verfolgen. SCU-Zähler werden an der SCU-Schnittstelle output inkrementiert.

  • Wenden Sie Ihre Klassen mithilfe der Schnittstellenparameter und output und input SCU auf die Eingangs- und Ausgangsschnittstellen an.

  • Bei Routern der M320- und T-Serie werden die Quell- und Zielklassen nicht über die Plattform-Fabric übertragen. Bei diesen Routern wird die SCU- und DCU-Abrechnung durchgeführt, bevor das Paket in die Fabric gelangt, und die DCU, bevor die Ausgabefilter ausgewertet werden.

  • Wenn ein Ausgangsfilter den Datenverkehr auf anderen Routern der M-Serie als dem M120-Router und dem M320-Router verwirft, werden die verworfenen Pakete aus den DCU-Statistiken ausgeschlossen. Wenn ein Ausgangsfilter den Datenverkehr auf Routern der M320- und T-Serie unterbricht, werden die verworfenen Pakete in die DCU-Statistiken aufgenommen.

Verwandte Themen