Auf dieser Seite
Beispiel: Konfigurieren und Anwenden eines einfachen Filters
In diesem Beispiel wird gezeigt, wie ein einfacher Filter konfiguriert wird.
Anforderungen
In diesem Beispiel wird eine der folgenden Hardwarekomponenten verwendet:
Ein Gigabit Ethernet Intelligent Queuing (IQ2) PIC, installiert auf einem Router der M120-, M320- oder T-Serie
Ein erweiterter Queuing Dense Port Concentrator (EQ DPC), der auf einem Router der MX-Serie oder einem Switch der EX-Serie installiert ist
Bevor Sie beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:
Sie haben Ihren unterstützten Router (oder Switch) und PIC oder DPC installiert und die erste Konfiguration des Routers (oder Switches) durchgeführt.
Grundlegendes Ethernet in der Topologie konfiguriert und überprüft, ob der Datenverkehr in der Topologie fließt und ob eingehender IPv4-Datenverkehr in die logische Schnittstelle fließt.
ge-0/0/1.0
Überblick
Dieser einfache Filter setzt die Verlustpriorität für TCP-Datenverkehr mit Quelladresse auf niedrig, setzt die Verlustpriorität für HTTP (Web)-Datenverkehr mit Quelladressen im Bereich 172.16.4.0/8 auf hoch und setzt die Verlustpriorität für den gesamten Datenverkehr mit Zieladresse auf niedrig.172.16.1.1
172.16.6.6
Topologie
Der einfache Filter wird als Eingabefilter (eingehende Pakete prüfen die Zieladresse , nicht die in der Warteschlange befindlichen Ausgabepakete) auf der Schnittstelle angewendet.6.6.6.6
ge-0/0/1.0
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren des einfachen Firewallfilters
- Anwenden des einfachen Filters auf die Eingabe der logischen Schnittstelle
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set firewall family inet simple-filter sf_classify_1 term 1 from source-address 172.16.1.1/32 set firewall family inet simple-filter sf_classify_1 term 1 from protocol tcp set firewall family inet simple-filter sf_classify_1 term 1 then loss-priority low set firewall family inet simple-filter sf_classify_1 term 2 from source-address 172.16.4.0/8 set firewall family inet simple-filter sf_classify_1 term 2 from protocol tcp set firewall family inet simple-filter sf_classify_1 term 2 from source-port http set firewall family inet simple-filter sf_classify_1 term 2 then loss-priority high set firewall family inet simple-filter sf_classify_1 term 3 from destination-address 6.6.6.6/32 set firewall family inet simple-filter sf_classify_1 term 3 then loss-priority low set firewall family inet simple-filter sf_classify_1 term 3 then forwarding-class best-effort set interfaces ge-0/0/1 unit 0 family inet simple-filter input sf_classify_1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
Konfigurieren des einfachen Firewallfilters
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den einfachen Filter:
Erstellen Sie den einfachen Filter .
sf_classify_1
[edit] user@host# edit firewall family inet simple-filter sf_classify_1
Konfigurieren Sie die Klassifizierung des TCP-Datenverkehrs basierend auf der Quell-IP-Adresse.
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 1 from source-address 172.16.1.1/32 user@host# set term 1 from protocol tcp user@host# set term 1 then loss-priority low
Konfigurieren Sie die Klassifizierung des HTTP-Datenverkehrs basierend auf der Quell-IP-Adresse.
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 2 from source-address 172.16.4.0/8 user@host# set term 2 from protocol tcp user@host# set term 2 from source-port http user@host# set term 2 then loss-priority high
Konfigurieren Sie die Klassifizierung von anderem Datenverkehr basierend auf der Ziel-IP-Adresse.
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 3 from destination-address 6.6.6.6/32 user@host# set term 3 then loss-priority low user@host# set term 3 then forwarding-class best-effort
Ergebnisse
Bestätigen Sie die Konfiguration des einfachen Filters, indem Sie den Befehl Konfigurationsmodus eingeben.show firewall
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit] user@host# show firewall family inet { simple-filter sf_classify_1 { term 1 { from { source-address { 172.16.1.1/32; } protocol { tcp; } } then loss-priority low; } term 2 { from { source-address { 172.16.4.0/8; } source-port { http; } protocol { tcp; } } then loss-priority high; } term 3 { from { destination-address { 6.6.6.6/32; } } then { loss-priority low; forwarding-class best-effort; } } } }
Anwenden des einfachen Filters auf die Eingabe der logischen Schnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie den einfachen Filter auf die Eingabe der logischen Schnittstelle an:
Konfigurieren Sie die logische Schnittstelle, auf die Sie den einfachen Filter anwenden möchten.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Konfigurieren Sie die Schnittstellenadresse für die logische Schnittstelle.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
Wenden Sie den einfachen Filter auf die Eingabe der logischen Schnittstelle an.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set simple-filter input sf_classify_1
Ergebnisse
Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den Befehl Konfigurationsmodus eingeben.show interfaces
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { simple-filter { input sf_classify_1; } address 10.1.2.3/30; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Zuordnung von Weiterleitungsklassenzuordnungen und -namen zu Warteschlangennummern anzeigen
- CoS-Warteschlangenzähler für die Schnittstelle anzeigen
- CoS-Warteschlangenzählerdetails für die physische Schnittstelle anzeigen
Zuordnung von Weiterleitungsklassenzuordnungen und -namen zu Warteschlangennummern anzeigen
Zweck
Zeigen Sie die Zuordnung von Weiterleitungsklassennamen zu Warteschlangennummern an.
Was
Geben Sie den Befehl für den Betriebsmodus ein.show class-of-service forwarding-class
[edit] user@host> show class-of-service forwarding-class
Informationen zur Befehlsausgabe finden Sie unter "" im CLI-Explorer.show class-of-service forwarding-class
https://www.juniper.net/documentation/content-applications/cli-explorer/junos/
CoS-Warteschlangenzähler für die Schnittstelle anzeigen
Zweck
Stellen Sie sicher, dass die Class-of-Service (CoS)-Warteschlangenzähler für die Schnittstelle den einfachen Filter widerspiegeln, der auf die logische Schnittstelle angewendet wurde.
Was
Geben Sie den Befehl für die physische Schnittstelle ein, auf die der einfache Filter angewendet wird, und geben Sie unseren Ausgabepegel an.show interfaces
detail
extensive
[edit] user@host> show interfaces ge-0/0/1 detail
In dem Abschnitt unter werden die Leistungsindikatoren für die Eingangswarteschlange für jede Weiterleitungsklasse angezeigt.Physical interface
Ingress queues
Queue counters
Ausführlichere Informationen zur Befehlsausgabe finden Sie unter "" im CLI-Explorer.show interfaces
https://www.juniper.net/documentation/content-applications/cli-explorer/junos/
CoS-Warteschlangenzählerdetails für die physische Schnittstelle anzeigen
Zweck
Stellen Sie sicher, dass die Details des CoS-Warteschlangenzählers für die physische Schnittstelle den einfachen Filter widerspiegeln, der auf die logische Schnittstelle angewendet wurde.
Was
Geben Sie den Befehl für die physische Schnittstelle ein, auf die der einfache Filter angewendet wird, und geben Sie die Option an.show interfaces queue
ingress
[edit] user@host> show interfaces queue ge-0/0/1 ingress
Informationen zur Befehlsausgabe finden Sie unter "" im CLI-Explorer.show interfaces queue
https://www.juniper.net/documentation/content-applications/cli-explorer/junos/