Auf dieser Seite
Beispiel: Konfigurieren eines Filters, um das DSCP-Bit auf Null zu setzen
In diesem Beispiel wird gezeigt, wie ein standardmäßiger zustandsloser Firewallfilter basierend auf dem Differentiated Services-Codepunkt (Differentiated Services Code Point, DSCP) konfiguriert wird.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel verwenden Sie einen zustandslosen Firewallfilter, um Pakete mit DSCP-Bitmustern abzugleichen. Wenn der DSCP ist 2, wird das Paket in die best-effort Weiterleitungsklasse klassifiziert, und der DSCP wird auf 0festgelegt. Wenn DSCP ist 3, wird das Paket in die best-effort Weiterleitungsklasse klassifiziert.
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren des Filters "Zustandslose Firewall"
- Anwenden des Filters "Zustandslose Firewall" auf eine logische Schnittstelle
- Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene [edit] in die CLI ein.
set firewall filter filter1 term 1 from dscp 2 set firewall filter filter1 term 1 then forwarding-class best-effort set firewall filter filter1 term 1 then dscp 0 set firewall filter filter1 term 2 from dscp 3 set firewall filter filter1 term 2 then forwarding-class best-effort set interfaces so-0/1/0 unit 0 family inet filter input filter1
Konfigurieren des Filters "Zustandslose Firewall"
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den zustandslosen Firewall-Filter filter1:
Erstellen Sie den zustandslosen Firewallfilter.
[edit] user@host# edit firewall filter filter1
Konfigurieren Sie den ersten Ausdruck so, dass er einem Paket mit einem DSCP von
2entspricht, ändern Sie den DSCP in0und klassifizieren Sie das Paket in diebest-effortWeiterleitungsklasse.[edit firewall filter filter1] user@host# set term 1 from dscp 2 user@host# set term 1 then forwarding-class best-effort user@host# set term 1 then dscp 0
Konfigurieren Sie den anderen Begriff so, dass ein Paket mit einem DSCP von
3übereinstimmt, und klassifizieren Sie das Paket derbest-effortWeiterleitungsklasse.[edit firewall filter filter1] user@host# set term 2 from dscp 3 user@host# set term 2 then forwarding-class best-effort
Anwenden des Filters "Zustandslose Firewall" auf eine logische Schnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie den zustandslosen Firewallfilter auf die logische Schnittstelle an, die der VPN-Routing- und Weiterleitungsinstanz (VRF) entspricht:
Konfigurieren Sie die logische Schnittstelle, auf die Sie den zustandslosen Firewallfilter anwenden möchten.
[edit] user@host# edit interfaces so-0/1/0 unit 0 family inet
Wenden Sie den zustandslosen Firewallfilter auf die logische Schnittstelle an.
[ input filter1] user@host# set filter input filter1
Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
Schritt-für-Schritt-Anleitung
So bestätigen Sie Ihre Kandidatenkonfiguration und bestätigen sie:
Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters, indem Sie den
show firewallBefehl configuration mode eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall filter filter1 { term term1 { from { dscp 2; } then { forwarding-class best-effort; dscp 0; } } term term2 { from { dscp 3; } then { forwarding-class best-effort; } } }Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den
show interfacesBefehl Konfigurationsmodus eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces so-0/1/0 { unit 0 { family inet { filter input filter1; } } }Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.
[edit] user@host# commit
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, geben Sie die folgenden Befehle für den Betriebsmodus ein:
show class-of-service– Zeigt die gesamte Class-of-Service (CoS)-Konfiguration an, einschließlich der vom System ausgewählten Standardeinstellungen.show class-of-service classifier type dscp– Zeigt nur die Klassifizierer des DSCP für IPv4-Typ an.