Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel für eine Mehrfeld-Klassifizierung: Konfigurieren der Mehrfeldklassifizierung

Übersicht über die Mehrfeldklassifizierung

Weiterleitungsklassen und PLP-Stufen

Sie können die CoS-Funktionen (Class of Service) von Junos OS so konfigurieren, dass eingehender Datenverkehr klassifiziert wird, indem Sie jedes Paket einer Weiterleitungsklasse, einer Paketverlustpriorität (PLP) oder beidem zuordnen:

  • Basierend auf der zugeordneten Weiterleitungsklasse wird jedes Paket einer Ausgabewarteschlange zugewiesen, und der Router bedient die Ausgabewarteschlangen gemäß dem von Ihnen konfigurierten Zeitplan.

  • Basierend auf dem zugehörigen PLP hat jedes Paket eine geringere oder höhere Wahrscheinlichkeit, dass es verworfen wird, wenn eine Überlastung auftritt. Der CoS-RED-Prozess (Random Early Detection) verwendet die Konfiguration der Drop-Wahrscheinlichkeit, den Prozentsatz der Auslastung der Ausgabewarteschlange und das Paket-PLP, um Pakete nach Bedarf zu verwerfen, um die Überlastung in der Ausgabephase zu kontrollieren.

Mehrfeldklassifikation und BA-Klassifizierung

Das Junos-Betriebssystem unterstützt zwei allgemeine Arten der Paketklassifizierung: Klassifizierung von Verhaltensaggregaten (BA) und Mehrfeldklassifizierungen:

  • BA-Klassifizierung oder CoS-Wert-Datenverkehrsklassifizierung bezieht sich auf eine Methode der Paketklassifizierung, bei der eine CoS-Konfiguration verwendet wird, um die Weiterleitungsklasse oder das PLP eines Pakets basierend auf dem CoS-Wert im IP-Paket-Header festzulegen. Der für die BA-Klassifizierung untersuchte CoS-Wert kann der DSCP-Wert (Differentiated Services Code Point), der DSCP-IPv6-Wert, der IP-Rangfolgewert, die MPLS-EXP-Bits und der IEEE 802.1p-Wert sein. Die Standardklassifizierung basiert auf dem IP-Rangfolgewert.

  • Mehrfeldklassifizierung bezieht sich auf eine Methode der Paketklassifizierung, bei der eine standardmäßige zustandslose Firewall-Filterkonfiguration verwendet wird, um die Weiterleitungsklasse oder das PLP für jedes Paket festzulegen, das in die Schnittstelle ein- oder ausgeht, basierend auf mehreren Feldern im IP-Paket-Header, einschließlich des DSCP-Werts (nur für IPv4), des IP-Rangfolgewerts, der MPLS-EXP-Bits, und die IEEE 802.1p-Bits. Die Klassifizierung mehrerer Felder stimmt in der Regel mit IP-Adressfeldern, dem Feld für den IP-Protokolltyp oder der Portnummer im UDP- oder TCP-Pseudoheaderfeld überein. Die Mehrfeldklassifizierung wird anstelle der BA-Klassifizierung verwendet, wenn Sie Pakete basierend auf Informationen in den Paketinformationen klassifizieren müssen, die nicht nur auf den CoS-Werten basieren.

    Bei der Klassifizierung mit mehreren Feldern kann ein Firewallfilterbegriff die Paketklassifizierungsaktionen für übereinstimmende Pakete durch die Verwendung der oder nicht beendender Aktionen in der Klausel des Begriffs angeben.forwarding-class class-nameloss-priority (high | medium-high | medium-low | low)then

HINWEIS:

Die BA-Klassifizierung eines Pakets kann durch die zustandslosen Firewall-Filteraktionen und überschrieben werden.forwarding-classloss-priority

HINWEIS:

Falsche Klassifizierung des Datenverkehrs über den Multifield-Klassifikator auf QFX5k:

  • Wenn BUM-Datenverkehr gezwungen wird, die Unicast-Warteschlange über den MF-Klassifizierer zu durchlaufen, werden Pakete in MCQ9 klassifiziert. Junos Versionen 21.4R3 , 22.1R3 und ab Junos Version 22.2 werden diese Pakete in MCQ8 klassifiziert.

  • Wenn Unicast-Datenverkehr gezwungen wird, die Multicast-Warteschlange über die MF-Klassifizierung zu übernehmen, werden Pakete in MCQ9 und ab Version 19.1R3 in die Best-Effort-Warteschlange klassifiziert.

Mehrfeld-Klassifizierung in Verbindung mit Policern

Um die Mehrfeldklassifizierung in Verbindung mit der Ratenbegrenzung zu konfigurieren, kann ein Firewallfilterbegriff die Paketklassifizierungsaktionen für übereinstimmende Pakete mithilfe einer nicht terminierenden Aktion angeben, die auf einen zweifarbigen Policer mit einer Rate verweist.policer

Wenn die Mehrfeldklassifizierung so konfiguriert ist, dass die Klassifizierung über einen Policer durchgeführt wird, werden die mit Filtern übereinstimmenden Pakete im Datenverkehrsfluss auf die vom Policer angegebenen Datenverkehrsgrenzwerte begrenzt. Pakete in einem konformen Fluss von Paketen mit Filterübereinstimmung werden implizit auf ein PLP festgelegt.low Pakete in einem nicht konformen Datenverkehrsfluss können verworfen werden, oder die Pakete können auf eine bestimmte Weiterleitungsklasse, auf eine bestimmte PLP-Ebene oder beides festgelegt werden, abhängig vom Typ des Policers und davon, wie der Policer für die Verarbeitung von nicht konformem Datenverkehr konfiguriert ist.

HINWEIS:

Bevor Sie einen Firewallfilter, der eine Klassifizierung mit mehreren Feldern durchführt, und auch einen Policer auf dieselbe logische Schnittstelle und für dieselbe Datenverkehrsrichtung anwenden, stellen Sie sicher, dass Sie die Reihenfolge der Policer- und Firewallfiltervorgänge berücksichtigen.

Betrachten Sie als Beispiel das folgende Szenario:

  • Sie konfigurieren einen Firewallfilter, der eine Klassifizierung mit mehreren Feldern durchführt (auf übereinstimmende Pakete einwirkt, indem die Weiterleitungsklasse, das PLP oder beides festgelegt wird), basierend auf der vorhandenen Weiterleitungsklasse oder dem PLP des Pakets. Sie wenden den Firewall-Filter am Eingang einer logischen Schnittstelle an.

  • Außerdem konfigurieren Sie einen zweifarbigen Policer mit einer Rate, der auf einen roten Datenverkehrsfluss reagiert, indem er ihn neu markiert (indem er die Weiterleitungsklasse, das PLP oder beides festlegt), anstatt diese Pakete zu verwerfen. Sie wenden den Policer als Schnittstellen-Policer am Eingang derselben logischen Schnittstelle an, auf die Sie den Firewallfilter anwenden.

Aufgrund der Reihenfolge der Policer- und Firewall-Vorgänge wird der Eingabe-Policer vor dem Eingabe-Firewall-Filter ausgeführt. Dies bedeutet, dass die vom Firewall-Filter festgelegte Mehrfeld-Klassifizierung für Eingabepakete durchgeführt wird, die bereits einmal durch Polizeiaktionen neu markiert wurden. Folglich wird jedes Eingabepaket, das die in einem Firewallfilterbegriff angegebenen Bedingungen erfüllt, einer zweiten Neumarkierung gemäß den ebenfalls in diesem Begriff angegebenen oder nicht beendenden Aktionen unterzogen.forwarding-classloss-priority

Anforderungen und Einschränkungen für die Klassifizierung in mehreren Feldern

Unterstützte Plattformen

Die loss-priority Firewallfilteraktion wird nur auf den folgenden Routing-Plattformen unterstützt:

  • Switches der EX-Serie

  • M7i- und M10i-Router mit dem erweiterten CFEB (CFEB-E)

  • M120- und M320-Router

  • Router der MX-Serie

  • Router der T-Serie mit Enhanced II Flexible PIC Concentrators (FPCs)

  • Router der PTX-Serie

CoS Tricolor-Kennzeichnungspflicht

Die Firewall-Filteraktion hat plattformspezifische Anforderungsabhängigkeiten von der dreifarbigen CoS-Markierungsfunktion, wie in RFC 2698 definiert:loss-priority

  • Auf einem M320-Router können Sie keine Konfiguration festlegen, die die Firewall-Filteraktion enthält, es sei denn, Sie aktivieren die dreifarbige CoS-Markierungsfunktion.loss-priority

  • Auf allen Routing-Plattformen, die die Firewall-Filteraktion unterstützen, können Sie die Firewall-Filteraktion nicht auf oder festlegen, es sei denn, Sie aktivieren die CoS-Markierungsfunktion für die dreifarbige CoS-Kennzeichnung.loss-priorityloss-prioritymedium-lowmedium-high

Um die dreifarbige CoS-Markierungsfunktion zu aktivieren, schließen Sie die Anweisung auf Hierarchieebene ein.tri-color[edit class-of-service]

Einschränkungen

Es ist nicht möglich, die Aktionen und die nicht beendenden Aktionen für denselben Firewallfilterbegriff zu konfigurieren.loss-prioritythree-color-policer Diese beiden nicht beendenden Aktionen schließen sich gegenseitig aus.

HINWEIS:

Auf einem Router der PTX-Serie müssen Sie die Aktion in einer separaten Regel konfigurieren und dürfen sie nicht mit der Regel kombinieren, die die Aktionen und konfiguriert.policerforwarding-classloss-priority Siehe .Firewall- und Richtlinienunterschiede zwischen Paketübertragungs-Routern der PTX-Serie und Matrix-Routern der T-Serie

Einschränkungen bei der Mehrfeld-Klassifizierung bei Routern der M-Serie

Problem: Ausgangsfilteranpassung bei der Klassifizierung von Eingabefiltern

Auf Routern der M-Serie (mit Ausnahme von M120-Routern) können Sie Pakete mit einer Ausgabefilterübereinstimmung nicht basierend auf der Eingangsklassifizierung klassifizieren, die mit einem Eingabefilter festgelegt wird, der auf dieselbe logische IPv4-Schnittstelle angewendet wird.

In der folgenden Konfiguration weist der aufgerufene Filter beispielsweise alle eingehenden IPv4-Pakete der Klasse zu.ingressexpedited-forwarding Der aufgerufene Filter zählt alle Pakete, die der Klasse im Filter zugewiesen wurden.egressexpedited-forwardingingress Diese Konfiguration funktioniert auf den meisten Routern der M-Serie nicht. Es funktioniert auf allen anderen Routing-Plattformen, einschließlich M120-Routern, Routern der MX-Serie und Routern der T-Serie.

Problemumgehung: Konfigurieren Sie alle Aktionen im Eingangsfilter

Um dieses Problem zu umgehen, können Sie alle Aktionen im Eingangsfilter konfigurieren.

Beispiel: Konfigurieren der Mehrfeldklassifizierung

In diesem Beispiel wird gezeigt, wie die Klassifizierung von IPv4-Datenverkehr mit mehreren Feldern mithilfe von Firewallfilteraktionen und zwei Firewallfilter-Policern konfiguriert wird.

Anforderungen

Bevor Sie beginnen, stellen Sie sicher, dass Ihre Umgebung die in diesem Beispiel gezeigten Features unterstützt:

  1. Die Firewall-Filteraktion muss auf dem Router unterstützt und für alle vier Werte konfigurierbar sein.loss-priority

    1. Um eine Firewallfilteraktion festlegen zu können, konfigurieren Sie dieses Beispiel auf der logischen Schnittstelle auf einer der folgenden Routing-Plattformen:loss-priorityge-1/2/0.0

      • Router der MX-Serie

      • M120- oder M320-Router

      • M7i- oder M10i-Router mit dem erweiterten CFEB (CFEB-E)

      • Router der T-Serie mit Enhanced II Flexible PIC Concentrator (FPC)

    2. Um eine Firewall-Filteraktion auf oder festlegen zu können, stellen Sie sicher, dass die CoS-Tricolor-Markierungsfunktion aktiviert ist.loss-prioritymedium-lowmedium-high Um die dreifarbige CoS-Markierungsfunktion zu aktivieren, schließen Sie die Anweisung auf Hierarchieebene ein.tri-color[edit class-of-service]

  2. Die Weiterleitungsklassen und müssen auf der zugrunde liegenden physischen Schnittstelle eingeplant werden.expedited-forwardingassured-forwardingge-1/2/0

    1. Stellen Sie sicher, dass den Ausgabequeues folgende Weiterleitungsklassen zugeordnet sind:

      • expedited-forwarding

      • assured-forwarding

      Weiterleitungsklassenzuweisungen werden auf Hierarchieebene konfiguriert.[edit class-of-service forwarding-classes queue queue-number]

      HINWEIS:

      Es ist nicht möglich, einen Commit für eine Konfiguration auszuführen, die dieselbe Weiterleitungsklasse zwei verschiedenen Warteschlangen zuweist.

    2. Stellen Sie sicher, dass die Ausgabewarteschlangen, denen die Weiterleitungsklassen zugeordnet sind, Schedulern zugeordnet sind. Ein Scheduler definiert die Schnittstellenbandbreite, die der Warteschlange zugewiesen ist, die Größe des Speicherpuffers, der zum Speichern von Paketen reserviert ist, die Priorität der Warteschlange und die der Warteschlange zugeordneten RED-Drop-Profile (Random Early Detection).

      • Sie konfigurieren Ausgabewarteschlangenplaner auf der Hierarchieebene .[edit class-of-service schedulers]

      • Sie verknüpfen Ausgabe-Queue-Scheduler mit Weiterleitungsklassen über eine Scheduler-Zuordnung, die Sie auf Hierarchieebene konfigurieren.[edit class-of-service scheduler-maps map-name]

    3. Stellen Sie sicher, dass die Ausgabewarteschlangenplanung auf die physische Schnittstelle angewendet wird.ge-1/2/0

      Sie wenden eine Scheduler-Zuordnung auf eine physische Schnittstelle auf der Hierarchieebene an.[edit class-of-service interfaces ge-1/2/0 scheduler-map map-name]

Überblick

In diesem Beispiel wenden Sie die Mehrfeldklassifizierung auf den IPv4-Eingabedatenverkehr an einer logischen Schnittstelle an, indem Sie zustandslose Firewallfilteraktionen und zwei Firewallfilter-Policer verwenden, auf die vom Firewallfilter verwiesen wird. Basierend auf dem Quelladressfeld werden Pakete entweder auf die Verlustpriorität gesetzt oder überwacht.low Keiner der Polizisten verwirft nicht konformen Verkehr. Pakete in nicht konformen Datenströmen werden für eine bestimmte Weiterleitungsklasse ( oder ) markiert, auf eine bestimmte Verlustpriorität festgelegt und dann übertragen.expedited-forwardingassured-forwarding

HINWEIS:

Zweifarbige Single-Rate-Policer übertragen Pakete immer in einem konformen Datenverkehrsfluss, nachdem implizit eine Verlustpriorität festgelegt wurde.low

Topologie

In diesem Beispiel wenden Sie die Mehrfeldklassifizierung auf den IPv4-Datenverkehr auf der logischen Schnittstelle an.ge-1/2/0.0 Die Klassifizierungsregeln werden im Filter für die zustandslose IPv4-Firewall und in zwei zweifarbigen Single-Rate-Policern und angegeben.mfc-filteref-policeraf-policer

Der standardmäßige zustandslose IPv4-Firewallfilter definiert drei Filterbegriffe:mfc-filter

  • isp1-customers—Der erste Filterbegriff stimmt mit Paketen mit der Quelladresse 10.1.1.0/24 oder 10.1.2.0/24 überein. Übereinstimmende Pakete werden der Weiterleitungsklasse zugewiesen und auf die Verlustpriorität festgelegt.expedited-forwardinglow

  • isp2-customers—Der zweite Filterbegriff stimmt mit Paketen mit der Quelladresse 10.1.3.0/24 oder 10.1.4.0/24 überein. Übereinstimmende Pakete werden an übergeben, einen Policer, der den Datenverkehr auf eine Bandbreitenbegrenzung von 300 KBit/s mit einer Burst-Größenbeschränkung von 50 KB begrenzt.ef-policer Dieser Policer gibt an, dass Pakete in einem nicht konformen Datenstrom für die Weiterleitungsklasse markiert und auf die Verlustpriorität gesetzt werden.expedited-forwardinghigh

  • —Der dritte und letzte Filterbegriff übergibt alle anderen Pakete an , einen Policer, der den Datenverkehr auf ein Bandbreitenlimit von 300 Kbit/s und ein Burst-Größenlimit von 50 KB begrenzt (die gleichen Datenverkehrslimits wie durch definiert).other-customersaf-policeref-policer Dieser Policer gibt an, dass Pakete in einem nicht konformen Datenstrom für die Weiterleitungsklasse markiert und auf die Verlustpriorität gesetzt werden.assured-forwardingmedium-high

Konfiguration

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus

Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]

Konfigurieren von Policern zur Begrenzung der Ratenbegrenzung für Datenverkehr mit beschleunigter Weiterleitung und zugesicherter Weiterleitung

Schritt-für-Schritt-Anleitung

So konfigurieren Sie Policer so, dass die Rate des Datenverkehrs für die beschleunigte Weiterleitung und die gesicherte Weiterleitung begrenzt wird:

  1. Definieren Sie Datenverkehrslimits für den Datenverkehr mit beschleunigter Weiterleitung.

  2. Konfigurieren Sie einen Policer für die gesicherte Weiterleitung von Datenverkehr.

Ergebnisse

Bestätigen Sie die Konfiguration des Policers, indem Sie den Befehl Konfigurationsmodus eingeben.show firewall Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.

Konfigurieren eines Klassifizierungsfilters mit mehreren Feldern, der auch die Überwachung anwendet

Schritt-für-Schritt-Anleitung

So konfigurieren Sie einen Klassifizierungsfilter mit mehreren Feldern, der zusätzlich die Überwachung anwendet:

  1. Aktivieren Sie die Konfiguration eines Firewallfilterbegriffs für IPv4-Datenverkehr.

  2. Konfigurieren Sie den ersten Begriff so, dass er mit Quelladressen übereinstimmt, und klassifizieren Sie dann die übereinstimmenden Pakete.

  3. Konfigurieren Sie den zweiten Begriff so, dass er mit verschiedenen Quelladressen übereinstimmt, und überwachen Sie dann die übereinstimmenden Pakete.

  4. Konfigurieren Sie den dritten Term so, dass alle anderen Pakete einem anderen Satz von Datenverkehrslimits und -aktionen zugeordnet werden.

Ergebnisse

Bestätigen Sie die Konfiguration des Filters, indem Sie den Befehl Konfigurationsmodus eingeben.show firewall Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.

Anwenden der Klassifizierungsfilterung und Überwachung mehrerer Felder auf die logische Schnittstelle

Schritt-für-Schritt-Anleitung

So wenden Sie die Filterung und Überwachung der Klassifizierung mehrerer Felder auf die logische Schnittstelle an:

  1. Aktivieren Sie die Konfiguration von IPv4 auf der logischen Schnittstelle.

  2. Konfigurieren Sie eine IP-Adresse für die logische Schnittstelle.

  3. Wenden Sie den Firewall-Filter auf die Eingabe der logischen Schnittstelle an.

    HINWEIS:

    Da der Policer vor dem Filter ausgeführt wird, kann er, wenn ein Eingabe-Policer auch auf der logischen Schnittstelle konfiguriert ist, nicht die Weiterleitungsklasse und das PLP eines Mehrfeldklassifizierers verwenden, der der Schnittstelle zugeordnet ist.

Ergebnisse

Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den Befehl Konfigurationsmodus eingeben.show interfaces Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Anzeige der Anzahl der vom Policer verarbeiteten Pakete an der logischen Schnittstelle

Zweck

Überprüfen Sie, ob der Datenverkehr über die logische Schnittstelle fließt und ob der Policer ausgewertet wird, wenn Pakete auf der logischen Schnittstelle empfangen werden.

Was

Verwenden Sie den Befehl Betriebsmodus für den Filter, den Sie auf die logische Schnittstelle angewendet haben.show firewall

Die Befehlsausgabe listet die vom Firewallfilter angewendeten Policer und die Anzahl der Pakete auf, die mit dem Filterbegriff übereinstimmen.rate-limit-in

HINWEIS:

Die Paketanzahl umfasst die Anzahl der Pakete, die nicht der Spezifikation entsprechen (außerhalb der Spezifikationen), nicht alle Pakete, die vom Policer überwacht werden.

Der Name des Policers wird verkettet mit dem Namen des Firewallfilterbegriffs angezeigt, in dem der Policer als Aktion referenziert wird.

Beispiel: Konfigurieren und Anwenden eines Firewallfilters für eine Klassifizierung mit mehreren Feldern

In diesem Beispiel wird gezeigt, wie ein Firewallfilter so konfiguriert wird, dass Datenverkehr mithilfe einer Klassifizierung mit mehreren Feldern klassifiziert wird. Der Classifier erkennt Pakete, die für Class of Service (CoS) von Interesse sind, sobald sie auf einer Schnittstelle eintreffen. Mehrfeld-Klassifizierer werden verwendet, wenn ein BA-Klassifikator (Simple Behavior Aggregate) nicht ausreicht, um ein Paket zu klassifizieren, wenn bei Peering-Routern keine CoS-Bits markiert sind oder wenn die Markierung des Peering-Routers nicht vertrauenswürdig ist.

Anforderungen

Um dieses Verfahren zu überprüfen, wird in diesem Beispiel ein Datenverkehrsgenerator verwendet. Der Datenverkehrsgenerator kann hardwarebasiert sein oder Software, die auf einem Server oder Hostcomputer ausgeführt wird.

Die Funktionen dieses Verfahrens werden auf Geräten mit Junos OS weitgehend unterstützt. Das hier gezeigte Beispiel wurde auf Routern der MX-Serie mit Junos OS Version 10.4 getestet und verifiziert.

Überblick

Ein Klassifikator ist ein Softwarevorgang, der ein Paket inspiziert, sobald es in den Router oder Switch gelangt. Der Inhalt des Paketheaders wird untersucht, und diese Untersuchung bestimmt, wie das Paket behandelt wird, wenn das Netzwerk zu ausgelastet ist, um alle Pakete zu verarbeiten, und Sie möchten, dass Ihre Geräte Pakete intelligent verwerfen, anstatt Pakete wahllos zu verwerfen. Eine gängige Methode, um relevante Pakete zu erkennen, ist die Anhand der Quellportnummer. In diesem Beispiel werden die TCP-Portnummern 80 und 12345 verwendet, aber viele andere Übereinstimmungskriterien für die Paketerkennung sind für Mehrfeldklassifizierer verfügbar, die Übereinstimmungsbedingungen für Firewallfilter verwenden. Die Konfiguration in diesem Beispiel gibt an, dass TCP-Pakete mit Quellport 80 in die BE-Datenweiterleitungsklasse und die Warteschlangennummer 0 klassifiziert werden. TCP-Pakete mit Quellport 12345 werden in die Premium-Datenweiterleitungsklasse und die Warteschlangennummer 1 klassifiziert.

Mehrfeld-Klassifizierer werden in der Regel am Netzwerkrand verwendet, wenn Pakete in ein autonomes System (AS) gelangen.

In diesem Beispiel konfigurieren Sie den Firewallfilter mf-classifier und geben einige benutzerdefinierte Weiterleitungsklassen auf Gerät R1 an. Wenn Sie die benutzerdefinierten Weiterleitungsklassen angeben, ordnen Sie jede Klasse auch einer Warteschlange zu.

Der Klassifizierungsvorgang wird in Abbildung 1angezeigt.

Abbildung 1: Multifield-Klassifizierer basierend auf TCP-QuellportsMultifield-Klassifizierer basierend auf TCP-Quellports

Sie wenden den Firewallfilter der Mehrfeldklassifizierung als Eingabefilter auf jede kunden- oder hostseitige Schnittstelle an, die den Filter benötigt. Die eingehende Schnittstelle ist ge-1/0/1 auf Gerät R1. Die Klassifizierung und Queue-Zuweisung wird auf der ausgehenden Schnittstelle überprüft. Die ausgehende Schnittstelle ist die ge-1/0/9-Schnittstelle von Gerät R1.

Topologie

Abbildung 2 zeigt das Beispielnetzwerk an.

Abbildung 2: Szenario mit Mehrfeld-KlassifikatorSzenario mit Mehrfeld-Klassifikator

zeigt die Konfiguration für alle Geräte von Juniper Networks in an.CLI-SchnellkonfigurationAbbildung 2

Schritt-für-Schritt-Anleitung beschreibt die Schritte auf Gerät R1.

Klassifizierer werden im folgenden Video zu Lernbyte von Juniper Networks ausführlicher beschrieben.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann im Konfigurationsmodus ein .[edit]commit

Gerät R1

Gerät R2

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

So konfigurieren Sie Gerät R1:

  1. Konfigurieren Sie die Geräteschnittstellen.

  2. Konfigurieren Sie die benutzerdefinierten Weiterleitungsklassen und die zugehörigen Warteschlangennummern.

  3. Konfigurieren Sie den Firewallfilterbegriff, der TCP-Datenverkehr mit einem Quellport von 80 (HTTP-Datenverkehr) in die BE-Datenweiterleitungsklasse einordnet, die der Warteschlange 0 zugeordnet ist.

  4. Konfigurieren Sie den Firewallfilterbegriff, der TCP-Datenverkehr mit dem Quellport 12345 in die Premium-Datenweiterleitungsklasse einordnet, die Warteschlange 1 zugeordnet ist.

  5. Konfigurieren Sie am Ende des Firewallfilters einen Standardbegriff, der den gesamten anderen Datenverkehr akzeptiert.

    Andernfalls wird der gesamte Datenverkehr, der auf der Schnittstelle eingeht und nicht explizit vom Firewallfilter akzeptiert wird, verworfen.

  6. Wenden Sie den Firewall-Filter als Eingabefilter auf die ge-1/0/1-Schnittstelle an.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , eingeben.show interfacesshow class-of-serviceshow firewall Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der CoS-Einstellungen

Zweck

Vergewissern Sie sich, dass die Weiterleitungsklassen korrekt konfiguriert sind.

Was

Führen Sie den Befehl auf Gerät R1 aus.show class-of-service forwardng-classes

Bedeutung

Die Ausgabe zeigt die konfigurierten benutzerdefinierten Klassifikatoreinstellungen.

Senden von TCP-Datenverkehr an das Netzwerk und Überwachen der Warteschlangenplatzierung

Zweck

Stellen Sie sicher, dass der relevante Datenverkehr aus der erwarteten Warteschlange gesendet wird.

Was
  1. Löschen Sie die Schnittstellenstatistik auf der ausgehenden Schnittstelle von Gerät R1.

  2. Verwenden Sie einen Datenverkehrsgenerator, um 50 TCP-Port-80-Pakete an Gerät R2 oder an ein anderes nachgeschaltetes Gerät zu senden.

  3. Überprüfen Sie auf Gerät R1 die Warteschlangenzähler.

    Beachten Sie, dass Sie die Warteschlangenzähler auf der Downstream-Ausgabeschnittstelle und nicht auf der Eingangsschnittstelle überprüfen.

  4. Verwenden Sie einen Datenverkehrsgenerator, um 50 TCP-Port 12345-Pakete an Gerät R2 oder an ein anderes nachgeschaltetes Gerät zu senden.

  5. Überprüfen Sie auf Gerät R1 die Warteschlangenzähler.

Bedeutung

Die Ausgabe zeigt, dass die Pakete korrekt klassifiziert wurden. Wenn Port 80 in den TCP-Paketen verwendet wird, wird Warteschlange 0 erhöht. Wenn Port 12345 verwendet wird, wird Warteschlange 1 inkrementiert.