Sie können Firewall-Filter so konfigurieren, dass Paketverlustpriorität (PLP) und Weiterleitungsklassen zugewiesen werden, sodass bei einer Überlastung die markierten Pakete entsprechend der von Ihnen festgelegten Priorität verworfen werden können. Die gültigen Übereinstimmungsbedingungen sind eines oder mehrere der sechs Paket-Header-Felder: Zieladresse, Quelladresse, IP-Protokoll, Quellport, Zielport und DSCP. Mit anderen Worten, Sie können die Weiterleitungsklasse und das PLP für jedes eingehende Paket oder eine Schnittstelle mit einer bestimmten Zieladresse, Quelladresse, IP-Protokoll, Quellport, Zielport oder DSCPfestlegen.
HINWEIS: Junos OS weist Weiterleitungsklassen und PLP nur bei eingehendem Datenverkehr zu. Verwenden Sie keinen Filter, der Weiterleitungsklassen oder PLP als Ausgangsfilter zuweist.
Wenn die dreifarbige Markierung aktiviert ist, unterstützt ein Switch vier PLP-Bezeichnungen: low, medium-low, medium-highund high. Sie können auch eine der Weiterleitungsklassen angeben, die unter Tabelle 1
Tabelle 1: Unicast-WeiterleitungsklassenUnicast-Weiterleitungsklasse
|
Für CoS-Datenverkehrstyp
|
|---|
be
|
Best-Effort-Datenverkehr
|
no-loss
|
Garantierte Zustellung für TCP-Datenverkehr
|
fcoe
|
Garantierte Zustellung für Fibre Channel over Ethernet (FCoE)-Datenverkehr
|
nc
|
Netzwerkgesteuerter Datenverkehr
|
So weisen Sie Weiterleitungsklassen in Firewall-Filtern zu:
- Konfigurieren Sie den Familienadresstyp und den Filternamen:
[edit]
user@switch# edit firewall family inetfilter ingress-filter
- Konfigurieren Sie die Bedingungen des Filters nach Bedarf, einschließlich der
forwarding-class Modifizierer und loss-priority action. Beispielsweise untersucht jeder der folgenden Begriffe im Filter verschiedene Paket-Header-Felder und weist die entsprechende Weiterleitungsklasse und Paketverlustpriorität zu: Der Begriff corp-traffic gleicht alle IPv4-Pakete mit einer 10.1.1.0/24 Quelladresse ab und weist die Pakete einer Weiterleitungsklasse no-loss mit einer Verlustpriorität von low:
[edit firewall family inet filter ingress-filter]
user@switch# set term corp-traffic from source-address 10.1.1.0/24;
user@switch# set term corp-traffic then forwarding-class no-loss
user@switch# set term corp-traffic then loss-priority low
Der Begriff data-traffic gleicht alle IPv4-Pakete mit einer 10.1.2.0/24 Quelladresse ab und weist die Pakete der Weiterleitungsklasse be (Best Effort) mit einer Verlustpriorität von medium-high:
[edit firewall family inet filter ingress-filter]
user@switch# set term data-traffic from source-address 10.1.2.0/24;
user@switch# set term data-traffic then forwarding-class be
user@switch# set term data-traffic then loss-priority medium-high
Der letzte Begriff accept-traffic stimmt mit allen Paketen überein, die mit keinem der vorhergehenden Begriffe übereinstimmen, und weist die Pakete der Weiterleitungsklasse be mit einer Verlustpriorität von high:
[edit firewall family inet filter ingress-filter]
user@switch# set term accept-traffic then forwarding-class be
user@switch# set term accept-traffic then loss-priority high
- Wenden Sie den Filter
ingress-filter auf eine Layer-3-Schnittstelle an. Weitere Informationen zum Anwenden des Filters finden Sie unter Konfigurieren von Firewall-Filtern. (Das Zuweisen von Weiterleitungsklassen und PLP wird nur für Eingangsfilter unterstützt.)
