Sie können Firewall-Filter so konfigurieren, dass Paketverlustpriorität (PLP) und Weiterleitungsklassen zugewiesen werden, sodass bei einer Überlastung die markierten Pakete entsprechend der von Ihnen festgelegten Priorität verworfen werden können. Die gültigen Übereinstimmungsbedingungen sind eines oder mehrere der sechs Paket-Header-Felder: Zieladresse, Quelladresse, IP-Protokoll, Quellport, Zielport und DSCP. Mit anderen Worten, Sie können die Weiterleitungsklasse und das PLP für jedes eingehende Paket oder eine Schnittstelle mit einer bestimmten Zieladresse, Quelladresse, IP-Protokoll, Quellport, Zielport oder DSCPfestlegen.
HINWEIS: Junos OS weist Weiterleitungsklassen und PLP nur bei eingehendem Datenverkehr zu. Verwenden Sie keinen Filter, der Weiterleitungsklassen oder PLP als Ausgangsfilter zuweist.
Wenn die dreifarbige Markierung aktiviert ist, unterstützt ein Switch vier PLP-Bezeichnungen: low, medium-low, medium-highund high. Sie können auch eine der Weiterleitungsklassen angeben, die unter Tabelle 1
Tabelle 1: Unicast-WeiterleitungsklassenUnicast-Weiterleitungsklasse
|
Für CoS-Datenverkehrstyp
|
|---|
be
|
Best-Effort-Datenverkehr
|
no-loss
|
Garantierte Zustellung für TCP-Datenverkehr
|
fcoe
|
Garantierte Zustellung für Fibre Channel over Ethernet (FCoE)-Datenverkehr
|
nc
|
Netzwerkgesteuerter Datenverkehr
|
So weisen Sie Weiterleitungsklassen in Firewall-Filtern zu:
- Konfigurieren Sie den Familienadresstyp und den Filternamen:
[edit]
user@switch# edit firewall family ethernet-switching filter ingress-filter
- Konfigurieren Sie die Bedingungen des Filters nach Bedarf, einschließlich der forwarding-class Modifizierer und loss-priority action. Beispielsweise untersucht jeder der folgenden Begriffe im Filter verschiedene Paket-Header-Felder und weist die entsprechende Weiterleitungsklasse und Paketverlustpriorität zu:
Der Begriff corp-traffic gleicht alle IPv4-Pakete mit einer 10.1.1.0/24 Quelladresse ab und weist die Pakete einer Weiterleitungsklasse no-loss mit einer Verlustpriorität von low:
[edit firewall family ethernet-switching filter ingress-filter]
user@switch# set term corp-traffic from source-address 10.1.1.0/24;
user@switch# set term corp-traffic then forwarding-class no-loss
user@switch# set term corp-traffic then loss-priority low
Der Begriff data-traffic gleicht alle IPv4-Pakete mit einer 10.1.2.0/24 Quelladresse ab und weist die Pakete der Weiterleitungsklasse be (Best Effort) mit einer Verlustpriorität von medium-high:
[edit firewall family ethernet-switching filter ingress-filter]
user@switch# set term data-traffic from source-address 10.1.2.0/24;
user@switch# set term data-traffic then forwarding-class be
user@switch# set term data-traffic then loss-priority medium-high
Da der Verlust von vom Netzwerk generierten Paketen den ordnungsgemäßen Netzwerkbetrieb gefährden kann, ist die Verzögerung dieser Pakete dem Verwerfen dieser Pakete vorzuziehen. Der Begriff network-traffic weist die Pakete mit einer IP-Priorität net-control von einer Weiterleitungsklasse nc (Netzwerkkontrolle) mit einer Verlustpriorität von low:
[edit firewall family ethernet-switching filter ingress-filter]
user@switch# set term network-traffic from precedence net-control
user@switch# set term network-traffic then forwarding-class nc
user@switch# set term network-traffic then loss-priority low
Der letzte Begriff accept-traffic stimmt mit allen Paketen überein, die mit keinem der vorhergehenden Begriffe übereinstimmen, und weist die Pakete der Weiterleitungsklasse be mit einer Verlustpriorität von high:
[edit firewall family ethernet-switching filter ingress-filter]
user@switch# set term accept-traffic then forwarding-class be
user@switch# set term accept-traffic then loss-priority high
- Wenden Sie den Filter ingress-filter auf einen Port, ein VLAN oder eine Layer-3-Schnittstelle an. Weitere Informationen zum Anwenden des Filters finden Sie unter Konfigurieren von Firewall-Filtern. (Das Zuweisen von Weiterleitungsklassen und PLP wird nur für Eingangsfilter unterstützt.)
