Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Instructions pour la configuration de SCU

Lorsque vous activez SCU ou DCU, gardez à l’esprit les informations suivantes :

  • Dans Junos OS version 5.6 et ultérieure pour les routeurs M Series uniquement, vous pouvez utiliser une classe source ou une classe de destination comme condition de correspondance dans un filtre de pare-feu. Pour configurer, incluez l’instruction destination-class ou source-class au niveau de la [edit firewall filter firewall-name term term-name from] hiérarchie. Pour plus d’informations sur les filtres de pare-feu, consultez le Guide de configuration de Junos Policy Framework.

  • Vous pouvez affecter jusqu’à 126 classes source et 126 classes de destination.

  • Lors de la configuration d’instructions d’action de stratégie, vous ne pouvez configurer qu’une seule classe source pour chaque route correspondante. En d’autres termes, plus d’une classe source ne peut pas être appliquée à la même route.

  • Une classe source ou de destination n’est appliquée à un paquet qu’une seule fois lors de la recherche dans la table de routage. Lorsqu’un préfixe réseau correspond à une stratégie d’utilisation de classe, SCU est d’abord affecté aux paquets ; La DCU n’est attribuée que si la SCU n’a pas été attribuée. Soyez prudent lorsque vous utilisez les deux types de classe, car une mauvaise configuration peut entraîner des paquets non comptés. L’exemple suivant explore un incident potentiel :

    Un paquet arrive sur une interface de routeur configurée à la fois pour SCU et DCU. L’adresse source du paquet correspond à une classe SCU et sa destination correspond à une classe DCU. Par conséquent, le paquet est soumis à une recherche de source et est marqué avec la classe SCU. La classe DCU est ignorée. En conséquence, le paquet est transféré vers l’interface sortante avec seule la classe SCU encore intacte.

    Cependant, l’interface sortante ne dispose pas d’une configuration SCU. Lorsque le paquet est prêt à quitter le routeur, celui-ci détecte que l’interface de sortie n’est pas configurée pour SCU et que le paquet n’est pas compté par SCU. De même, même si le préfixe correspond au préfixe DCU, les compteurs DCU ne s’incrémentent pas, car DCU a été remplacé par SCU à l’interface entrante.

Pour résoudre ce problème, assurez-vous de configurer complètement les interfaces entrantes et sortantes ou de ne configurer qu’un seul type de classe par interface et par direction.

  • Les classes ne peuvent pas être mappées à des préfixes directement connectés configurés sur les interfaces locales. C’est vrai pour les classes DCU et SCU.

  • Si vous utilisez plusieurs termes dans une seule stratégie, vous ne devez configurer le nom de la stratégie et l’appliquer à la table de transfert qu’une seule fois. Il est ainsi plus facile de modifier les options dans vos conditions sans avoir à reconfigurer la politique principale.

  • Exécutez les commandes de l’interface de ligne de commande (CLI) show et les profils comptables sur l’interface sortante souhaitée pour suivre le trafic SCU. Les compteurs SCU s’incrémentent à l’interface SCU output .

  • Appliquez vos classes aux interfaces entrantes et sortantes à l’aide des paramètres d’interface input et output SCU.

  • Sur les routeurs M320 et T Series, les classes source et de destination ne sont pas transportées dans la structure de la plate-forme. Pour ces routeurs, la comptabilisation SCU et DCU est effectuée avant que le paquet n’entre dans la structure et la DCU est effectuée avant que les filtres de sortie ne soient évalués.

  • Si un filtre de sortie abandonne le trafic sur les routeurs M Series autres que les routeurs M120 et M320, les paquets abandonnés sont exclus des statistiques DCU. Si un filtre de sortie abandonne le trafic sur les routeurs M320 et T Series, les paquets abandonnés sont inclus dans les statistiques DCU.

Rubriques connexes