Exemple : Configuration d’un filtre pour mettre le bit DSCP à zéro
Cet exemple montre comment configurer un filtre de pare-feu sans état standard basé sur le point de code DSCP (Differentiated Services Codepoint).
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Dans cet exemple, vous utilisez un filtre de pare-feu sans état pour faire correspondre les paquets sur les modèles de bits DSCP. Si le DSCP est 2, le paquet est classé dans la best-effort classe de transfert et le DSCP est défini sur 0. Si le DSCP est 3, le paquet est classé dans la best-effort classe de transfert.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configurer le filtre de pare-feu sans état
- Application du filtre de pare-feu sans état à une interface logique
- Confirmez et validez la configuration de votre candidat
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set firewall filter filter1 term 1 from dscp 2 set firewall filter filter1 term 1 then forwarding-class best-effort set firewall filter filter1 term 1 then dscp 0 set firewall filter filter1 term 2 from dscp 3 set firewall filter filter1 term 2 then forwarding-class best-effort set interfaces ge-0/1/0 unit 0 family inet filter input filter1
Configurer le filtre de pare-feu sans état
Procédure étape par étape
Pour configurer le filtre filter1du pare-feu sans état :
Créez le filtre de pare-feu sans état.
[edit] user@host# edit firewall filter filter1
Configurez le premier terme pour qu’il corresponde à un paquet dont le DSCP est , 2remplacez le DSCP par 0, puis classez le paquet dans la best-effort classe de transfert.
[edit firewall filter filter1] user@host# set term 1 from dscp 2 user@host# set term 1 then forwarding-class best-effort user@host# set term 1 then dscp 0
Configurez l’autre terme pour qu’il corresponde à un paquet avec un DSCP de 3 et classez le paquet dans la best-effort classe de transfert.
[edit firewall filter filter1] user@host# set term 2 from dscp 3 user@host# set term 2 then forwarding-class best-effort
Application du filtre de pare-feu sans état à une interface logique
Procédure étape par étape
Pour appliquer le filtre de pare-feu sans état à l’interface logique correspondant à l’instance VRF (VPN routing and forwarding) :
Configurez l’interface logique à laquelle vous allez appliquer le filtre de pare-feu sans état.
[edit] user@host# edit interfaces ge-0/1/0 unit 0 family inet
Appliquez le filtre de pare-feu sans état à l’interface logique.
[ input filter1] user@host# set filter input filter1
Confirmez et validez la configuration de votre candidat
Procédure étape par étape
Pour confirmer, puis valider la configuration de votre candidat :
Confirmez la configuration du filtre de pare-feu sans état en entrant la commande configuration
show firewallmode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show firewall filter filter1 { term term1 { from { dscp 2; } then { forwarding-class best-effort; dscp 0; } } term term2 { from { dscp 3; } then { forwarding-class best-effort; } } }Confirmez la configuration de l’interface en entrant la commande configuration
show interfacesmode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show interfaces ge-0/1/0 { unit 0 { family inet { filter input filter1; } } }Si vous avez terminé de configurer l’appareil, validez votre configuration candidate.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez les commandes suivantes en mode de fonctionnement :
show class-of-service: affiche l’intégralité de la configuration de la classe de service (CoS), y compris les valeurs par défaut choisies par le système.
show class-of-service classifier type dscp: affiche uniquement les classificateurs du DSCP pour le type IPv4.