Beispiel für eine Mehrfeld-Klassifizierung: Konfigurieren der Mehrfeldklassifizierung
Übersicht über die Mehrfeldklassifizierung
- Weiterleitungsklassen und PLP-Stufen
- Mehrfeldklassifikation und BA-Klassifizierung
- Mehrfeld-Klassifizierung in Verbindung mit Policern
Weiterleitungsklassen und PLP-Stufen
Sie können die CoS-Funktionen (Class of Service) von Junos OS so konfigurieren, dass eingehender Datenverkehr klassifiziert wird, indem Sie jedes Paket einer Weiterleitungsklasse, einer Paketverlustpriorität (PLP) oder beidem zuordnen:
Basierend auf der zugeordneten Weiterleitungsklasse wird jedes Paket einer Ausgabewarteschlange zugewiesen, und der Router bedient die Ausgabewarteschlangen gemäß dem von Ihnen konfigurierten Zeitplan.
Basierend auf dem zugehörigen PLP hat jedes Paket eine geringere oder höhere Wahrscheinlichkeit, dass es verworfen wird, wenn eine Überlastung auftritt. Der CoS-RED-Prozess (Random Early Detection) verwendet die Konfiguration der Drop-Wahrscheinlichkeit, den Prozentsatz der Auslastung der Ausgabewarteschlange und das Paket-PLP, um Pakete nach Bedarf zu verwerfen, um die Überlastung in der Ausgabephase zu kontrollieren.
Mehrfeldklassifikation und BA-Klassifizierung
Das Junos-Betriebssystem unterstützt zwei allgemeine Arten der Paketklassifizierung: Klassifizierung von Verhaltensaggregaten (BA) und Mehrfeldklassifizierungen:
-
BA-Klassifizierung oder CoS-Wert-Datenverkehrsklassifizierung bezieht sich auf eine Methode der Paketklassifizierung, bei der eine CoS-Konfiguration verwendet wird, um die Weiterleitungsklasse oder das PLP eines Pakets basierend auf dem CoS-Wert im IP-Paket-Header festzulegen. Der für die BA-Klassifizierung untersuchte CoS-Wert kann der DSCP-Wert (Differentiated Services Code Point), der DSCP-IPv6-Wert, der IP-Rangfolgewert, die MPLS-EXP-Bits und der IEEE 802.1p-Wert sein. Die Standardklassifizierung basiert auf dem IP-Rangfolgewert.
-
Mehrfeldklassifizierung bezieht sich auf eine Methode der Paketklassifizierung, bei der eine standardmäßige zustandslose Firewall-Filterkonfiguration verwendet wird, um die Weiterleitungsklasse oder das PLP für jedes Paket festzulegen, das in die Schnittstelle ein- oder ausgeht, basierend auf mehreren Feldern im IP-Paket-Header, einschließlich des DSCP-Werts (nur für IPv4), des IP-Rangfolgewerts, der MPLS-EXP-Bits, und die IEEE 802.1p-Bits. Die Klassifizierung mehrerer Felder stimmt in der Regel mit IP-Adressfeldern, dem Feld für den IP-Protokolltyp oder der Portnummer im UDP- oder TCP-Pseudoheaderfeld überein. Die Mehrfeldklassifizierung wird anstelle der BA-Klassifizierung verwendet, wenn Sie Pakete basierend auf Informationen in den Paketinformationen klassifizieren müssen, die nicht nur auf den CoS-Werten basieren.
Bei der Klassifizierung mit mehreren Feldern kann ein Firewallfilterbegriff die Paketklassifizierungsaktionen für übereinstimmende Pakete durch die Verwendung der oder nicht beendender Aktionen in der Klausel des Begriffs angeben.
forwarding-class class-name
loss-priority (high | medium-high | medium-low | low)
then
Die BA-Klassifizierung eines Pakets kann durch die zustandslosen Firewall-Filteraktionen und überschrieben werden.forwarding-class
loss-priority
Falsche Klassifizierung des Datenverkehrs über den Multifield-Klassifikator auf QFX5k:
-
Wenn BUM-Datenverkehr gezwungen wird, die Unicast-Warteschlange über den MF-Klassifizierer zu durchlaufen, werden Pakete in MCQ9 klassifiziert. Junos Versionen 21.4R3 , 22.1R3 und ab Junos Version 22.2 werden diese Pakete in MCQ8 klassifiziert.
-
Wenn Unicast-Datenverkehr gezwungen wird, die Multicast-Warteschlange über die MF-Klassifizierung zu übernehmen, werden Pakete in MCQ9 und ab Version 19.1R3 in die Best-Effort-Warteschlange klassifiziert.
Mehrfeld-Klassifizierung in Verbindung mit Policern
Um die Mehrfeldklassifizierung in Verbindung mit der Ratenbegrenzung zu konfigurieren, kann ein Firewallfilterbegriff die Paketklassifizierungsaktionen für übereinstimmende Pakete mithilfe einer nicht terminierenden Aktion angeben, die auf einen zweifarbigen Policer mit einer Rate verweist.policer
Wenn die Mehrfeldklassifizierung so konfiguriert ist, dass die Klassifizierung über einen Policer durchgeführt wird, werden die mit Filtern übereinstimmenden Pakete im Datenverkehrsfluss auf die vom Policer angegebenen Datenverkehrsgrenzwerte begrenzt. Pakete in einem konformen Fluss von Paketen mit Filterübereinstimmung werden implizit auf ein PLP festgelegt.low
Pakete in einem nicht konformen Datenverkehrsfluss können verworfen werden, oder die Pakete können auf eine bestimmte Weiterleitungsklasse, auf eine bestimmte PLP-Ebene oder beides festgelegt werden, abhängig vom Typ des Policers und davon, wie der Policer für die Verarbeitung von nicht konformem Datenverkehr konfiguriert ist.
Bevor Sie einen Firewallfilter, der eine Klassifizierung mit mehreren Feldern durchführt, und auch einen Policer auf dieselbe logische Schnittstelle und für dieselbe Datenverkehrsrichtung anwenden, stellen Sie sicher, dass Sie die Reihenfolge der Policer- und Firewallfiltervorgänge berücksichtigen.
Betrachten Sie als Beispiel das folgende Szenario:
Sie konfigurieren einen Firewallfilter, der eine Klassifizierung mit mehreren Feldern durchführt (auf übereinstimmende Pakete einwirkt, indem die Weiterleitungsklasse, das PLP oder beides festgelegt wird), basierend auf der vorhandenen Weiterleitungsklasse oder dem PLP des Pakets. Sie wenden den Firewall-Filter am Eingang einer logischen Schnittstelle an.
Außerdem konfigurieren Sie einen zweifarbigen Policer mit einer Rate, der auf einen roten Datenverkehrsfluss reagiert, indem er ihn neu markiert (indem er die Weiterleitungsklasse, das PLP oder beides festlegt), anstatt diese Pakete zu verwerfen. Sie wenden den Policer als Schnittstellen-Policer am Eingang derselben logischen Schnittstelle an, auf die Sie den Firewallfilter anwenden.
Aufgrund der Reihenfolge der Policer- und Firewall-Vorgänge wird der Eingabe-Policer vor dem Eingabe-Firewall-Filter ausgeführt. Dies bedeutet, dass die vom Firewall-Filter festgelegte Mehrfeld-Klassifizierung für Eingabepakete durchgeführt wird, die bereits einmal durch Polizeiaktionen neu markiert wurden. Folglich wird jedes Eingabepaket, das die in einem Firewallfilterbegriff angegebenen Bedingungen erfüllt, einer zweiten Neumarkierung gemäß den ebenfalls in diesem Begriff angegebenen oder nicht beendenden Aktionen unterzogen.forwarding-class
loss-priority
Siehe auch
Anforderungen und Einschränkungen für die Klassifizierung in mehreren Feldern
Unterstützte Plattformen
Die loss-priority
Firewallfilteraktion wird nur auf den folgenden Routing-Plattformen unterstützt:
Switches der EX-Serie
M7i- und M10i-Router mit dem erweiterten CFEB (CFEB-E)
M120- und M320-Router
Router der MX-Serie
Router der T-Serie mit Enhanced II Flexible PIC Concentrators (FPCs)
Router der PTX-Serie
CoS Tricolor-Kennzeichnungspflicht
Die Firewall-Filteraktion hat plattformspezifische Anforderungsabhängigkeiten von der dreifarbigen CoS-Markierungsfunktion, wie in RFC 2698 definiert:loss-priority
Auf einem M320-Router können Sie keine Konfiguration festlegen, die die Firewall-Filteraktion enthält, es sei denn, Sie aktivieren die dreifarbige CoS-Markierungsfunktion.
loss-priority
Auf allen Routing-Plattformen, die die Firewall-Filteraktion unterstützen, können Sie die Firewall-Filteraktion nicht auf oder festlegen, es sei denn, Sie aktivieren die CoS-Markierungsfunktion für die dreifarbige CoS-Kennzeichnung.
loss-priority
loss-priority
medium-low
medium-high
Um die dreifarbige CoS-Markierungsfunktion zu aktivieren, schließen Sie die Anweisung auf Hierarchieebene ein.tri-color
[edit class-of-service]
Einschränkungen
Es ist nicht möglich, die Aktionen und die nicht beendenden Aktionen für denselben Firewallfilterbegriff zu konfigurieren.loss-priority
three-color-policer
Diese beiden nicht beendenden Aktionen schließen sich gegenseitig aus.
Auf einem Router der PTX-Serie müssen Sie die Aktion in einer separaten Regel konfigurieren und dürfen sie nicht mit der Regel kombinieren, die die Aktionen und konfiguriert.policer
forwarding-class
loss-priority
Siehe .Firewall- und Richtlinienunterschiede zwischen Paketübertragungs-Routern der PTX-Serie und Matrix-Routern der T-Serie
Siehe auch
Einschränkungen bei der Mehrfeld-Klassifizierung bei Routern der M-Serie
- Problem: Ausgangsfilteranpassung bei der Klassifizierung von Eingabefiltern
- Problemumgehung: Konfigurieren Sie alle Aktionen im Eingangsfilter
Problem: Ausgangsfilteranpassung bei der Klassifizierung von Eingabefiltern
Auf Routern der M-Serie (mit Ausnahme von M120-Routern) können Sie Pakete mit einer Ausgabefilterübereinstimmung nicht basierend auf der Eingangsklassifizierung klassifizieren, die mit einem Eingabefilter festgelegt wird, der auf dieselbe logische IPv4-Schnittstelle angewendet wird.
In der folgenden Konfiguration weist der aufgerufene Filter beispielsweise alle eingehenden IPv4-Pakete der Klasse zu.ingress
expedited-forwarding
Der aufgerufene Filter zählt alle Pakete, die der Klasse im Filter zugewiesen wurden.egress
expedited-forwarding
ingress
Diese Konfiguration funktioniert auf den meisten Routern der M-Serie nicht. Es funktioniert auf allen anderen Routing-Plattformen, einschließlich M120-Routern, Routern der MX-Serie und Routern der T-Serie.
[edit] user@host # show firewall family inet { filter ingress { term 1 { then { forwarding-class expedited-forwarding; accept; } } term 2 { then accept; } } filter egress { term 1 { from { forwarding-class expedited-forwarding; } then count ef; } term 2 { then accept; } } } [edit] user@host# show interfaces ge-1/2/0 { unit 0 { family inet { filter { input ingress; output egress; } } } }
Problemumgehung: Konfigurieren Sie alle Aktionen im Eingangsfilter
Um dieses Problem zu umgehen, können Sie alle Aktionen im Eingangsfilter konfigurieren.
user@host # show firewall family inet { filter ingress { term 1 { then { forwarding-class expedited-forwarding; accept; count ef; } } term 2 { then accept; } } } [edit] user@host# show interfaces ge-1/2/0 { unit 0 { family inet { filter { input ingress; } } } }
Siehe auch
Beispiel: Konfigurieren der Mehrfeldklassifizierung
In diesem Beispiel wird gezeigt, wie die Klassifizierung von IPv4-Datenverkehr mit mehreren Feldern mithilfe von Firewallfilteraktionen und zwei Firewallfilter-Policern konfiguriert wird.
Anforderungen
Bevor Sie beginnen, stellen Sie sicher, dass Ihre Umgebung die in diesem Beispiel gezeigten Features unterstützt:
Die Firewall-Filteraktion muss auf dem Router unterstützt und für alle vier Werte konfigurierbar sein.
loss-priority
Um eine Firewallfilteraktion festlegen zu können, konfigurieren Sie dieses Beispiel auf der logischen Schnittstelle auf einer der folgenden Routing-Plattformen:
loss-priority
ge-1/2/0.0
Router der MX-Serie
M120- oder M320-Router
M7i- oder M10i-Router mit dem erweiterten CFEB (CFEB-E)
Router der T-Serie mit Enhanced II Flexible PIC Concentrator (FPC)
Um eine Firewall-Filteraktion auf oder festlegen zu können, stellen Sie sicher, dass die CoS-Tricolor-Markierungsfunktion aktiviert ist.
loss-priority
medium-low
medium-high
Um die dreifarbige CoS-Markierungsfunktion zu aktivieren, schließen Sie die Anweisung auf Hierarchieebene ein.tri-color
[edit class-of-service]
Die Weiterleitungsklassen und müssen auf der zugrunde liegenden physischen Schnittstelle eingeplant werden.
expedited-forwarding
assured-forwarding
ge-1/2/0
Stellen Sie sicher, dass den Ausgabequeues folgende Weiterleitungsklassen zugeordnet sind:
expedited-forwarding
assured-forwarding
Weiterleitungsklassenzuweisungen werden auf Hierarchieebene konfiguriert.
[edit class-of-service forwarding-classes queue queue-number]
HINWEIS:Es ist nicht möglich, einen Commit für eine Konfiguration auszuführen, die dieselbe Weiterleitungsklasse zwei verschiedenen Warteschlangen zuweist.
Stellen Sie sicher, dass die Ausgabewarteschlangen, denen die Weiterleitungsklassen zugeordnet sind, Schedulern zugeordnet sind. Ein Scheduler definiert die Schnittstellenbandbreite, die der Warteschlange zugewiesen ist, die Größe des Speicherpuffers, der zum Speichern von Paketen reserviert ist, die Priorität der Warteschlange und die der Warteschlange zugeordneten RED-Drop-Profile (Random Early Detection).
Sie konfigurieren Ausgabewarteschlangenplaner auf der Hierarchieebene .
[edit class-of-service schedulers]
Sie verknüpfen Ausgabe-Queue-Scheduler mit Weiterleitungsklassen über eine Scheduler-Zuordnung, die Sie auf Hierarchieebene konfigurieren.
[edit class-of-service scheduler-maps map-name]
Stellen Sie sicher, dass die Ausgabewarteschlangenplanung auf die physische Schnittstelle angewendet wird.
ge-1/2/0
Sie wenden eine Scheduler-Zuordnung auf eine physische Schnittstelle auf der Hierarchieebene an.
[edit class-of-service interfaces ge-1/2/0 scheduler-map map-name]
Überblick
In diesem Beispiel wenden Sie die Mehrfeldklassifizierung auf den IPv4-Eingabedatenverkehr an einer logischen Schnittstelle an, indem Sie zustandslose Firewallfilteraktionen und zwei Firewallfilter-Policer verwenden, auf die vom Firewallfilter verwiesen wird. Basierend auf dem Quelladressfeld werden Pakete entweder auf die Verlustpriorität gesetzt oder überwacht.low
Keiner der Polizisten verwirft nicht konformen Verkehr. Pakete in nicht konformen Datenströmen werden für eine bestimmte Weiterleitungsklasse ( oder ) markiert, auf eine bestimmte Verlustpriorität festgelegt und dann übertragen.expedited-forwarding
assured-forwarding
Zweifarbige Single-Rate-Policer übertragen Pakete immer in einem konformen Datenverkehrsfluss, nachdem implizit eine Verlustpriorität festgelegt wurde.low
Topologie
In diesem Beispiel wenden Sie die Mehrfeldklassifizierung auf den IPv4-Datenverkehr auf der logischen Schnittstelle an.ge-1/2/0.0
Die Klassifizierungsregeln werden im Filter für die zustandslose IPv4-Firewall und in zwei zweifarbigen Single-Rate-Policern und angegeben.mfc-filter
ef-policer
af-policer
Der standardmäßige zustandslose IPv4-Firewallfilter definiert drei Filterbegriffe:mfc-filter
isp1-customers
—Der erste Filterbegriff stimmt mit Paketen mit der Quelladresse 10.1.1.0/24 oder 10.1.2.0/24 überein. Übereinstimmende Pakete werden der Weiterleitungsklasse zugewiesen und auf die Verlustpriorität festgelegt.expedited-forwarding
low
isp2-customers
—Der zweite Filterbegriff stimmt mit Paketen mit der Quelladresse 10.1.3.0/24 oder 10.1.4.0/24 überein. Übereinstimmende Pakete werden an übergeben, einen Policer, der den Datenverkehr auf eine Bandbreitenbegrenzung von 300 KBit/s mit einer Burst-Größenbeschränkung von 50 KB begrenzt.ef-policer
Dieser Policer gibt an, dass Pakete in einem nicht konformen Datenstrom für die Weiterleitungsklasse markiert und auf die Verlustpriorität gesetzt werden.expedited-forwarding
high
—Der dritte und letzte Filterbegriff übergibt alle anderen Pakete an , einen Policer, der den Datenverkehr auf ein Bandbreitenlimit von 300 Kbit/s und ein Burst-Größenlimit von 50 KB begrenzt (die gleichen Datenverkehrslimits wie durch definiert).
other-customers
af-policer
ef-policer
Dieser Policer gibt an, dass Pakete in einem nicht konformen Datenstrom für die Weiterleitungsklasse markiert und auf die Verlustpriorität gesetzt werden.assured-forwarding
medium-high
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren von Policern zur Begrenzung der Ratenbegrenzung für Datenverkehr mit beschleunigter Weiterleitung und zugesicherter Weiterleitung
- Konfigurieren eines Klassifizierungsfilters mit mehreren Feldern, der auch die Überwachung anwendet
- Anwenden der Klassifizierungsfilterung und Überwachung mehrerer Felder auf die logische Schnittstelle
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set firewall policer ef-policer if-exceeding bandwidth-limit 300k set firewall policer ef-policer if-exceeding burst-size-limit 50k set firewall policer ef-policer then loss-priority high set firewall policer ef-policer then forwarding-class expedited-forwarding set firewall policer af-policer if-exceeding bandwidth-limit 300k set firewall policer af-policer if-exceeding burst-size-limit 50k set firewall policer af-policer then loss-priority high set firewall policer af-policer then forwarding-class assured-forwarding set firewall family inet filter mfc-filter term isp1-customers from source-address 10.1.1.0/24 set firewall family inet filter mfc-filter term isp1-customers from source-address 10.1.2.0/24 set firewall family inet filter mfc-filter term isp1-customers then loss-priority low set firewall family inet filter mfc-filter term isp1-customers then forwarding-class expedited-forwarding set firewall family inet filter mfc-filter term isp2-customers from source-address 10.1.3.0/24 set firewall family inet filter mfc-filter term isp2-customers from source-address 10.1.4.0/24 set firewall family inet filter mfc-filter term isp2-customers then policer ef-policer set firewall family inet filter mfc-filter term other-customers then policer af-policer set interfaces ge-1/2/0 unit 0 family inet address 192.168.1.1/24 set interfaces ge-1/2/0 unit 0 family inet filter input mfc-filter
Konfigurieren von Policern zur Begrenzung der Ratenbegrenzung für Datenverkehr mit beschleunigter Weiterleitung und zugesicherter Weiterleitung
Schritt-für-Schritt-Anleitung
So konfigurieren Sie Policer so, dass die Rate des Datenverkehrs für die beschleunigte Weiterleitung und die gesicherte Weiterleitung begrenzt wird:
Definieren Sie Datenverkehrslimits für den Datenverkehr mit beschleunigter Weiterleitung.
[edit] user@host# edit firewall policer ef-policer [edit firewall policer ef-policer] user@host# set if-exceeding bandwidth-limit 300k user@host# set if-exceeding burst-size-limit 50k user@host# set then loss-priority high user@host# set then forwarding-class expedited-forwarding
Konfigurieren Sie einen Policer für die gesicherte Weiterleitung von Datenverkehr.
[edit firewall policer ef-policer] user@host# up [edit firewall] user@host# edit policer af-policer [edit firewall policer af-policer] user@host# set if-exceeding bandwidth-limit 300k user@host# set if-exceeding burst-size-limit 50k user@host# set then loss-priority high user@host# set then forwarding-class assured-forwarding
Ergebnisse
Bestätigen Sie die Konfiguration des Policers, indem Sie den Befehl Konfigurationsmodus eingeben.show firewall
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show firewall policer af-policer { if-exceeding { bandwidth-limit 300k; burst-size-limit 50k; } then { loss-priority high; forwarding-class assured-forwarding; } } policer ef-policer { if-exceeding { bandwidth-limit 300k; burst-size-limit 50k; } then { loss-priority high; forwarding-class expedited-forwarding; } }
Konfigurieren eines Klassifizierungsfilters mit mehreren Feldern, der auch die Überwachung anwendet
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen Klassifizierungsfilter mit mehreren Feldern, der zusätzlich die Überwachung anwendet:
Aktivieren Sie die Konfiguration eines Firewallfilterbegriffs für IPv4-Datenverkehr.
[edit] user@host# edit firewall family inet filter mfc-filter
Konfigurieren Sie den ersten Begriff so, dass er mit Quelladressen übereinstimmt, und klassifizieren Sie dann die übereinstimmenden Pakete.
[edit firewall family inet filter mfc-filter] user@host# set term isp1-customers from source-address 10.1.1.0/24 user@host# set term isp1-customers from source-address 10.1.2.0/24 user@host# set term isp1-customers then loss-priority low user@host# set term isp1-customers then forwarding-class expedited-forwarding
Konfigurieren Sie den zweiten Begriff so, dass er mit verschiedenen Quelladressen übereinstimmt, und überwachen Sie dann die übereinstimmenden Pakete.
[edit firewall family inet filter mfc-filter] user@host# set term isp2-customers from source-address 10.1.3.0/24 user@host# set term isp2-customers from source-address 10.1.4.0/24 user@host# set term isp2-customers then policer ef-policer
Konfigurieren Sie den dritten Term so, dass alle anderen Pakete einem anderen Satz von Datenverkehrslimits und -aktionen zugeordnet werden.
[edit firewall family inet filter mfc-filter] user@host# set term other-customers then policer af-policer
Ergebnisse
Bestätigen Sie die Konfiguration des Filters, indem Sie den Befehl Konfigurationsmodus eingeben.show firewall
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show firewall family inet { filter mfc-filter { term isp1-customers { from { source-address 10.1.1.0/24; source-address 10.1.2.0/24; } then { loss-priority low; forwarding-class expedited-forwarding; } } term isp2-customers { from { source-address 10.1.3.0/24; source-address 10.1.4.0/24; } then { policer ef-policer; } } term other-customers { then { policer af-policer; } } } } policer af-policer { if-exceeding { bandwidth-limit 300k; burst-size-limit 50k; } then discard; } policer ef-policer { if-exceeding { bandwidth-limit 200k; burst-size-limit 50k; } then { loss-priority high; forwarding-class expedited-forwarding; } }
Anwenden der Klassifizierungsfilterung und Überwachung mehrerer Felder auf die logische Schnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie die Filterung und Überwachung der Klassifizierung mehrerer Felder auf die logische Schnittstelle an:
Aktivieren Sie die Konfiguration von IPv4 auf der logischen Schnittstelle.
[edit] user@host# edit interfaces ge-1/2/0 unit 0 family inet
Konfigurieren Sie eine IP-Adresse für die logische Schnittstelle.
[edit interfaces ge-1/2/0 unit 0 family inet ] user@host# set address 192.168.1.1/24
Wenden Sie den Firewall-Filter auf die Eingabe der logischen Schnittstelle an.
[edit interfaces ge-1/2/0 unit 0 family inet ] user@host# set filter input mfc-filter
HINWEIS:Da der Policer vor dem Filter ausgeführt wird, kann er, wenn ein Eingabe-Policer auch auf der logischen Schnittstelle konfiguriert ist, nicht die Weiterleitungsklasse und das PLP eines Mehrfeldklassifizierers verwenden, der der Schnittstelle zugeordnet ist.
Ergebnisse
Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den Befehl Konfigurationsmodus eingeben.show interfaces
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show interfaces ge-1/2/0 { unit 0 { family inet { filter { input mfc-filter; } address 192.168.1.1/24; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Anzeige der Anzahl der vom Policer verarbeiteten Pakete an der logischen Schnittstelle
Zweck
Überprüfen Sie, ob der Datenverkehr über die logische Schnittstelle fließt und ob der Policer ausgewertet wird, wenn Pakete auf der logischen Schnittstelle empfangen werden.
Was
Verwenden Sie den Befehl Betriebsmodus für den Filter, den Sie auf die logische Schnittstelle angewendet haben.show firewall
user@host> show firewall filter rate-limit-in Filter: rate-limit-in Policers: Name Packets ef-policer-isp2-customers 32863 af-policer-other-customers 3870
Die Befehlsausgabe listet die vom Firewallfilter angewendeten Policer und die Anzahl der Pakete auf, die mit dem Filterbegriff übereinstimmen.rate-limit-in
Die Paketanzahl umfasst die Anzahl der Pakete, die nicht der Spezifikation entsprechen (außerhalb der Spezifikationen), nicht alle Pakete, die vom Policer überwacht werden.
Der Name des Policers wird verkettet mit dem Namen des Firewallfilterbegriffs angezeigt, in dem der Policer als Aktion referenziert wird.
Beispiel: Konfigurieren und Anwenden eines Firewallfilters für eine Klassifizierung mit mehreren Feldern
In diesem Beispiel wird gezeigt, wie ein Firewallfilter so konfiguriert wird, dass Datenverkehr mithilfe einer Klassifizierung mit mehreren Feldern klassifiziert wird. Der Classifier erkennt Pakete, die für Class of Service (CoS) von Interesse sind, sobald sie auf einer Schnittstelle eintreffen. Mehrfeld-Klassifizierer werden verwendet, wenn ein BA-Klassifikator (Simple Behavior Aggregate) nicht ausreicht, um ein Paket zu klassifizieren, wenn bei Peering-Routern keine CoS-Bits markiert sind oder wenn die Markierung des Peering-Routers nicht vertrauenswürdig ist.
Anforderungen
Um dieses Verfahren zu überprüfen, wird in diesem Beispiel ein Datenverkehrsgenerator verwendet. Der Datenverkehrsgenerator kann hardwarebasiert sein oder Software, die auf einem Server oder Hostcomputer ausgeführt wird.
Die Funktionen dieses Verfahrens werden auf Geräten mit Junos OS weitgehend unterstützt. Das hier gezeigte Beispiel wurde auf Routern der MX-Serie mit Junos OS Version 10.4 getestet und verifiziert.
Überblick
Ein Klassifikator ist ein Softwarevorgang, der ein Paket inspiziert, sobald es in den Router oder Switch gelangt. Der Inhalt des Paketheaders wird untersucht, und diese Untersuchung bestimmt, wie das Paket behandelt wird, wenn das Netzwerk zu ausgelastet ist, um alle Pakete zu verarbeiten, und Sie möchten, dass Ihre Geräte Pakete intelligent verwerfen, anstatt Pakete wahllos zu verwerfen. Eine gängige Methode, um relevante Pakete zu erkennen, ist die Anhand der Quellportnummer. In diesem Beispiel werden die TCP-Portnummern 80 und 12345 verwendet, aber viele andere Übereinstimmungskriterien für die Paketerkennung sind für Mehrfeldklassifizierer verfügbar, die Übereinstimmungsbedingungen für Firewallfilter verwenden. Die Konfiguration in diesem Beispiel gibt an, dass TCP-Pakete mit Quellport 80 in die BE-Datenweiterleitungsklasse und die Warteschlangennummer 0 klassifiziert werden. TCP-Pakete mit Quellport 12345 werden in die Premium-Datenweiterleitungsklasse und die Warteschlangennummer 1 klassifiziert.
Mehrfeld-Klassifizierer werden in der Regel am Netzwerkrand verwendet, wenn Pakete in ein autonomes System (AS) gelangen.
In diesem Beispiel konfigurieren Sie den Firewallfilter mf-classifier und geben einige benutzerdefinierte Weiterleitungsklassen auf Gerät R1 an. Wenn Sie die benutzerdefinierten Weiterleitungsklassen angeben, ordnen Sie jede Klasse auch einer Warteschlange zu.
Der Klassifizierungsvorgang wird in Abbildung 1angezeigt.
Sie wenden den Firewallfilter der Mehrfeldklassifizierung als Eingabefilter auf jede kunden- oder hostseitige Schnittstelle an, die den Filter benötigt. Die eingehende Schnittstelle ist ge-1/0/1 auf Gerät R1. Die Klassifizierung und Queue-Zuweisung wird auf der ausgehenden Schnittstelle überprüft. Die ausgehende Schnittstelle ist die ge-1/0/9-Schnittstelle von Gerät R1.
Topologie
Abbildung 2 zeigt das Beispielnetzwerk an.
zeigt die Konfiguration für alle Geräte von Juniper Networks in an.CLI-SchnellkonfigurationAbbildung 2
Schritt-für-Schritt-Anleitung beschreibt die Schritte auf Gerät R1.
Klassifizierer werden im folgenden Video zu Lernbyte von Juniper Networks ausführlicher beschrieben.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann im Konfigurationsmodus ein .[edit]
commit
Gerät R1
set interfaces ge-1/0/1 description to-host set interfaces ge-1/0/1 unit 0 family inet filter input mf-classifier set interfaces ge-1/0/1 unit 0 family inet address 172.16.50.2/30 set interfaces ge-1/0/9 description to-R2 set interfaces ge-1/0/9 unit 0 family inet address 10.30.0.1/30 set class-of-service forwarding-classes class BE-data queue-num 0 set class-of-service forwarding-classes class Premium-data queue-num 1 set class-of-service forwarding-classes class Voice queue-num 2 set class-of-service forwarding-classes class NC queue-num 3 set firewall family inet filter mf-classifier term BE-data from protocol tcp set firewall family inet filter mf-classifier term BE-data from port 80 set firewall family inet filter mf-classifier term BE-data then forwarding-class BE-data set firewall family inet filter mf-classifier term Premium-data from protocol tcp set firewall family inet filter mf-classifier term Premium-data from port 12345 set firewall family inet filter mf-classifier term Premium-data then forwarding-class Premium-data set firewall family inet filter mf-classifier term accept-all-else then accept
Gerät R2
set interfaces ge-1/0/9 description to-R1 set interfaces ge-1/0/9 unit 0 family inet address 10.30.0.2/30
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie Gerät R1:
-
Konfigurieren Sie die Geräteschnittstellen.
[edit interfaces] user@R1# set ge-1/0/1 description to-host user@R1# set ge-1/0/1 unit 0 family inet address 172.16.50.2/30 user@R1# set ge-1/0/9 description to-R2 user@R1# set ge-1/0/9 unit 0 family inet address 10.30.0.1/30
-
Konfigurieren Sie die benutzerdefinierten Weiterleitungsklassen und die zugehörigen Warteschlangennummern.
[edit class-of-service forwarding-classes] user@R1# set BE-data queue-num 0 user@R1# set Premium-data queue-num 1 user@R1# set Voice queue-num 2 user@R1# set NC queue-num 3
-
Konfigurieren Sie den Firewallfilterbegriff, der TCP-Datenverkehr mit einem Quellport von 80 (HTTP-Datenverkehr) in die BE-Datenweiterleitungsklasse einordnet, die der Warteschlange 0 zugeordnet ist.
[edit firewall family inet filter mf-classifier] user@R1# set term BE-data from protocol tcp user@R1# set term BE-data from port 80 user@R1# set term BE-data then forwarding-class BE-data
-
Konfigurieren Sie den Firewallfilterbegriff, der TCP-Datenverkehr mit dem Quellport 12345 in die Premium-Datenweiterleitungsklasse einordnet, die Warteschlange 1 zugeordnet ist.
[edit firewall family inet filter mf-classifier] user@R1# set term Premium-data from protocol tcp user@R1# set term Premium-data from port 12345 user@R1# set term Premium-data then forwarding-class Premium-data
-
Konfigurieren Sie am Ende des Firewallfilters einen Standardbegriff, der den gesamten anderen Datenverkehr akzeptiert.
Andernfalls wird der gesamte Datenverkehr, der auf der Schnittstelle eingeht und nicht explizit vom Firewallfilter akzeptiert wird, verworfen.
[edit firewall family inet filter mf-classifier] user@R1# set term accept-all-else then accept
-
Wenden Sie den Firewall-Filter als Eingabefilter auf die ge-1/0/1-Schnittstelle an.
[edit interfaces] user@R1# set ge-1/0/1 unit 0 family inet filter input mf-classifier
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , , eingeben.show interfaces
show class-of-service
show firewall
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@R1# show interfaces ge-1/0/1 { description to-host; unit 0 { family inet { filter { input mf-classifier; } address 172.16.50.2/30; } } } ge-1/0/9 { description to-R2; unit 0 { family inet { address 10.30.0.1/30; } } }
user@R1# show class-of-service forwarding-classes { class BE-data queue-num 0; class Premium-data queue-num 1; class Voice queue-num 2; class NC queue-num 3; }
user@R1# show firewall family inet { filter mf-classifier { term BE-data { from { protocol tcp; port 80; } then forwarding-class BE-data; } term Premium-data { from { protocol tcp; port 12345; } then forwarding-class Premium-data; } term accept-all-else { then accept; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der CoS-Einstellungen
- Senden von TCP-Datenverkehr an das Netzwerk und Überwachen der Warteschlangenplatzierung
Überprüfen der CoS-Einstellungen
Zweck
Vergewissern Sie sich, dass die Weiterleitungsklassen korrekt konfiguriert sind.
Was
Führen Sie den Befehl auf Gerät R1 aus.show class-of-service forwardng-classes
user@R1> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority BE-data 0 0 0 low normal low Premium-data 1 1 1 low normal low Voice 2 2 2 low normal low NC 3 3 3 low normal low
Bedeutung
Die Ausgabe zeigt die konfigurierten benutzerdefinierten Klassifikatoreinstellungen.
Senden von TCP-Datenverkehr an das Netzwerk und Überwachen der Warteschlangenplatzierung
Zweck
Stellen Sie sicher, dass der relevante Datenverkehr aus der erwarteten Warteschlange gesendet wird.
Was
Löschen Sie die Schnittstellenstatistik auf der ausgehenden Schnittstelle von Gerät R1.
user@R1> clear interfaces statistics ge-1/0/9
Verwenden Sie einen Datenverkehrsgenerator, um 50 TCP-Port-80-Pakete an Gerät R2 oder an ein anderes nachgeschaltetes Gerät zu senden.
Überprüfen Sie auf Gerät R1 die Warteschlangenzähler.
Beachten Sie, dass Sie die Warteschlangenzähler auf der Downstream-Ausgabeschnittstelle und nicht auf der Eingangsschnittstelle überprüfen.
user@R1> show interfaces extensive ge-1/0/9 | find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 50 50 0 1 0 57 0 2 0 0 0 3 0 0 0
Verwenden Sie einen Datenverkehrsgenerator, um 50 TCP-Port 12345-Pakete an Gerät R2 oder an ein anderes nachgeschaltetes Gerät zu senden.
[root@host]# hping 172.16.60.1 -c 50 -s 12345 -k
Überprüfen Sie auf Gerät R1 die Warteschlangenzähler.
user@R1> show interfaces extensive ge-1/0/9 | find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 50 50 0 1 50 57 0 2 0 0 0 3 0 0 0
Bedeutung
Die Ausgabe zeigt, dass die Pakete korrekt klassifiziert wurden. Wenn Port 80 in den TCP-Paketen verwendet wird, wird Warteschlange 0 erhöht. Wenn Port 12345 verwendet wird, wird Warteschlange 1 inkrementiert.