Multifield Classifier Exemple : Configuration de la classification multi-champs
Présentation de la classification multi-champs
- Classes de transfert et niveaux PLP
- Classification multi-champs et classification BA
- Classification multi-champs utilisée conjointement avec les policiers
Classes de transfert et niveaux PLP
Vous pouvez configurer les fonctionnalités de classe de service (CoS) junos OS pour classifier le trafic entrant en associant chaque paquet à une classe de transfert, un niveau de priorité de perte de paquets (PLP), ou les deux :
En fonction de la classe de transfert associée, chaque paquet est assigné à une file d’attente de sortie, et le routeur dessert les files d’attente de sortie en fonction de la planification associée que vous configurez.
En fonction du PLP associé, chaque paquet a une probabilité plus ou moins élevée d’être abandonné en cas de congestion. Le processus RED (Random Early Detection) coS utilise la configuration de probabilité de chute, le pourcentage de plénitude de la file d’attente de sortie et le PLP du paquet pour abandonner le paquet selon les besoins afin de contrôler la congestion à l’étape de sortie.
Classification multi-champs et classification BA
Junos OS prend en charge deux types généraux de classification des paquets : agrégation de comportements (BA) et classification multi-champs :
-
La classification BA, ou classification du trafic de valeur CoS, fait référence à une méthode de classification des paquets qui utilise une configuration CoS pour définir la classe de transfert ou PLP d’un paquet en fonction de la valeur CoS dans l’en-tête de paquet IP. La valeur CoS examinée à des fins de classification BA peut être la valeur du point de code de services différencié (DSCP), la valeur IPv6 DSCP, la valeur de priorité IP, les bits EXP MPLS et la valeur IEEE 802.1p. Le classificateur par défaut est basé sur la valeur de priorité IP.
-
La classification multi-champs fait référence à une méthode de classification des paquets qui utilise une configuration standard de filtre de pare-feu sans état pour définir la classe de transfert ou PLP pour chaque paquet entrant ou sortant de l’interface en fonction de plusieurs champs dans l’en-tête de paquet IP, y compris la valeur DSCP (pour IPv4 uniquement), la valeur de priorité IP, les bits EXP MPLS, et ieee 802.1p bits. La classification multi-champs correspond généralement aux champs d’adresse IP, au champ de type de protocole IP ou au numéro de port dans le champ udp ou tcp pseudoheader. La classification multi-champs est utilisée à la place de la classification BA lorsque vous devez classer les paquets en fonction des informations contenues dans les informations de paquets autres que les valeurs CoS uniquement.
Avec la classification multi-champs, un terme de filtre de pare-feu peut spécifier les actions de classification de paquets pour les paquets correspondants, mais l’utilisation d’actions
forwarding-class class-nameouloss-priority (high | medium-high | medium-low | low)de non-définition dans la clause duthenterme.
La classification BA d’un paquet peut être remplacée par les actions forwarding-class de filtrage de pare-feu sans état et loss-priority.
Classification erronée du trafic via le classificateur multifield sur QFX5k :
-
Si le trafic BUM est contraint de prendre une file d’attente unicast via le classificateur MF, les paquets seront classés dans MCQ9. Junos versions 21.4R3 , 22.1R3 et à partir de la version 22.2 de Junos, ces paquets seront classés dans MCQ8.
-
Si le trafic unicast est contraint de prendre une file d’attente multicast via le classificateur MF, les paquets seront classés dans MCQ9 et à partir de la version 19.1R3, ils seront classés dans la file d’attente best-effort.
Classification multi-champs utilisée conjointement avec les policiers
Pour configurer la classification multi-champs en conjonction avec la limitation de débit, un terme de filtre de pare-feu peut spécifier les actions de classification des paquets correspondants à l’aide d’une policer action non déterminative qui fait référence à un policer bicolore à débit unique.
Lorsque la classification multi-champs est configurée pour effectuer une classification via un policer, les paquets correspondants au filtre dans le flux de trafic sont limités aux limites de trafic spécifiées par le policeur. Les paquets dans un flux conforme de paquets assortis de filtres sont implicitement définis sur un low PLP. Les paquets dans un flux de trafic non-conformant peuvent être jetés, ou les paquets peuvent être définis sur une classe de transfert spécifiée, sur un niveau PLP spécifié, ou les deux, en fonction du type de policer et de la façon dont le policer est configuré pour gérer le trafic non-conforming.
Avant d’appliquer un filtre de pare-feu qui effectue une classification multi-champs et un policer à la même interface logique et pour la même direction du trafic, assurez-vous de tenir compte de l’ordre des opérations de police et de filtre de pare-feu.
Prenons le cas de figure suivant :
Vous configurez un filtre de pare-feu qui effectue une classification multi-champs (agit sur les paquets correspondants en définissant la classe de transfert, le PLP ou les deux) en fonction de la classe de transfert ou PLP existante du paquet. Vous appliquez le filtre de pare-feu à l’entrée d’une interface logique.
Vous configurez également un policer bicolore à débit unique qui agit sur un flux de trafic rouge en marquant de nouveau (en définissant la classe de transfert, le PLP ou les deux) plutôt que de rejeter ces paquets. Vous appliquez le policer en tant que police d’interface à l’entrée de la même interface logique à laquelle vous appliquez le filtre de pare-feu.
En raison de l’ordre des opérations de contrôle et de pare-feu, le policer d’entrée est exécuté avant le filtre de pare-feu d’entrée. Cela signifie que la classification multi-champs spécifiée par le filtre de pare-feu est effectuée sur des paquets d’entrée qui ont déjà été marqués une fois par des actions de contrôle. Par conséquent, tout paquet d’entrée qui correspond aux conditions spécifiées dans un terme de filtre de pare-feu est alors soumis à un deuxième marquage en fonction des forwarding-class actions ou loss-priority de non-indication également spécifiées dans ce terme.
Voir également
Exigences et restrictions de classification multi-champs
Plates-formes prises en charge :
L’action loss-priority de filtrage du pare-feu est prise en charge uniquement sur les plates-formes de routage suivantes :
commutateurs EX Series
M7i et routeurs M10i avec le CFEB-E amélioré (CFEB-E)
M120 et routeurs M320
Routeurs MX Series
Routeurs T Series avec concentrateurs PIC flexibles (FPC) II améliorés
Routeurs PTX Series
Exigence de marquage tricolore CoS
L’action loss-priority de filtrage du pare-feu a des exigences spécifiques à la plate-forme de la fonctionnalité de marquage tricolore CoS, telle que définie dans la RFC 2698 :
Sur un routeur M320, vous ne pouvez valider une configuration qui inclut l’action du
loss-priorityfiltre de pare-feu que si vous activez la fonctionnalité de marquage tricolore CoS.Sur toutes les plates-formes de routage qui prennent en charge l’action
loss-prioritydu filtre de pare-feu, vous ne pouvez pas définir l’action duloss-priorityfiltre de pare-feu surmedium-lowoumedium-highà moins d’activer la fonctionnalité de marquage tricolore CoS. .
Pour activer la fonctionnalité de marquage tricolore CoS, incluez l’énoncé tri-color au niveau de la [edit class-of-service] hiérarchie.
Restrictions
Vous ne pouvez pas configurer les loss-priority actions et three-color-policer ne pas les définir pour le même terme de filtre de pare-feu. Ces deux actions non déterminants s’excluent mutuellement.
Sur un routeur PTX Series, vous devez configurer l’action policer dans une règle distincte et ne pas la combiner avec la règle configurant le forwarding-class, et loss-priority les actions. Voir Différences de pare-feu et de contrôle entre les routeurs de transport de paquets PTX Series et les routeurs matriciels T Series.
Voir également
Limites de classification multi-champs sur les routeurs M Series
- Problème: Correspondance filtre de sortie sur la classification des filtres d’entrée
- Contournement: Configurer toutes les actions dans le filtre entrant
Problème: Correspondance filtre de sortie sur la classification des filtres d’entrée
Sur les routeurs M Series (sauf M120 routeurs), vous ne pouvez pas classer les paquets avec une correspondance de filtre de sortie en fonction de la classification entrante définie avec un filtre d’entrée appliqué à la même interface logique IPv4.
Par exemple, dans la configuration suivante, le filtre appelé ingress attribue tous les paquets IPv4 entrants à la expedited-forwarding classe. Le filtre appelé egress compte tous les paquets assignés à la expedited-forwarding classe du ingress filtre. Cette configuration ne fonctionne pas sur la plupart des routeurs M Series. Il fonctionne sur toutes les autres plates-formes de routage, y compris les routeurs M120, les routeurs MX Series et les routeurs T Series.
[edit]
user@host # show firewall
family inet {
filter ingress {
term 1 {
then {
forwarding-class expedited-forwarding;
accept;
}
}
term 2 {
then accept;
}
}
filter egress {
term 1 {
from {
forwarding-class expedited-forwarding;
}
then count ef;
}
term 2 {
then accept;
}
}
}
[edit]
user@host# show interfaces
ge-1/2/0 {
unit 0 {
family inet {
filter {
input ingress;
output egress;
}
}
}
}
Contournement: Configurer toutes les actions dans le filtre entrant
Pour contourner le problème, vous pouvez configurer toutes les actions dans le filtre entrant.
user@host # show firewall
family inet {
filter ingress {
term 1 {
then {
forwarding-class expedited-forwarding;
accept;
count ef;
}
}
term 2 {
then accept;
}
}
}
[edit]
user@host# show interfaces
ge-1/2/0 {
unit 0 {
family inet {
filter {
input ingress;
}
}
}
}
Voir également
Exemple : Configuration de la classification multi-champs
Cet exemple montre comment configurer la classification multi-champs du trafic IPv4 à l’aide d’actions de filtrage de pare-feu et de deux polices de filtre de pare-feu.
Conditions préalables
Avant de commencer, assurez-vous que votre environnement prend en charge les fonctionnalités indiquées dans cet exemple :
L’action
loss-prioritydu filtre de pare-feu doit être prise en charge sur le routeur et configurable sur les quatre valeurs.Pour définir une
loss-priorityaction de filtre de pare-feu, configurez cet exemple sur l’interfacege-1/2/0.0logique sur l’une des plates-formes de routage suivantes :Routeur MX Series
routeur M120 ou M320
M7i ou routeur M10i avec le CFEB amélioré (CFEB-E)
Routeur T Series avec concentrateur PIC flexible (FPC) II amélioré
Pour pouvoir définir une
loss-priorityaction de filtre de pare-feu surmedium-lowoumedium-high, assurez-vous que la fonctionnalité de marquage tricolore CoS est activée. Pour activer la fonctionnalité de marquage tricolore CoS, incluez l’énoncétri-colorau niveau de la[edit class-of-service]hiérarchie.
Les
expedited-forwardingclasses etassured-forwardingde transfert doivent être planifiées sur l’interfacege-1/2/0physique sous-jacente .Assurez-vous que les classes de transfert suivantes sont affectées aux files d’attente de sortie :
expedited-forwardingassured-forwarding
Les attributions de classes de transfert sont configurées au niveau de la
[edit class-of-service forwarding-classes queue queue-number]hiérarchie.REMARQUE :Vous ne pouvez pas valider une configuration qui attribue la même classe de transfert à deux files d’attente différentes.
Assurez-vous que les files d’attente de sortie auxquelles les classes de transfert sont attribuées sont associées aux planificateurs. Un planificateur définit la quantité de bande passante de l’interface attribuée à la file d’attente, la taille de la mémoire tampon allouée pour le stockage des paquets, la priorité de la file d’attente et les profils d’abandon aléatoires RED (détection précoce) associés à la file d’attente.
Vous configurez les planificateurs de files d’attente de sortie au niveau de la
[edit class-of-service schedulers]hiérarchie.Vous associez les planificateurs de file d’attente de sortie aux classes de transfert au moyen d’un plan de planificateur que vous configurez au niveau de la
[edit class-of-service scheduler-maps map-name]hiérarchie.
Assurez-vous que la planification des files d’attente de sortie est appliquée à l’interface
ge-1/2/0physique .Vous appliquez un plan de planificateur à une interface physique au niveau de la
[edit class-of-service interfaces ge-1/2/0 scheduler-map map-name]hiérarchie.
Présentation
Dans cet exemple, vous appliquez une classification multi-champs au trafic IPv4 d’entrée au niveau d’une interface logique en utilisant des actions de filtrage de pare-feu sans état et deux polices de filtre de pare-feu référencées à partir du filtre de pare-feu. En fonction du champ d’adresse source, les paquets sont soit définis sur la low priorité de perte, soit être supervisés. Aucun des agents de contrôle ne rejette le trafic non-conformité. Les paquets dans des flux non-conformants sont marqués pour une classe de transfert spécifique (expedited-forwarding ou assured-forwarding), défini sur une priorité de perte spécifique, puis transmis.
Les polices bicolores à débit unique transmettent toujours des paquets dans un flux de trafic conforme après avoir implicitement placé une low priorité de perte.
topologie
Dans cet exemple, vous appliquez une classification multi-champs au trafic IPv4 sur l’interface ge-1/2/0.0logique . Les règles de classification sont spécifiées dans le filtre mfc-filter de pare-feu sans état IPv4 et dans deux polices bi-couleurs à débit unique, ef-policer et af-policer.
Le filtre mfc-filter de pare-feu sans état IPv4 standard définit trois termes de filtre :
isp1-customers— Le premier terme de filtre fait correspondre les paquets à l’adresse source 10.1.1.0/24 ou 10.1.2.0/24. Les paquets correspondants sont assignés à laexpedited-forwardingclasse de transfert et définissent la priorité delowperte.isp2-customers— Le deuxième terme de filtre fait correspondre les paquets à l’adresse source 10.1.3.0/24 ou 10.1.4.0/24. Les paquets appariés sont transmis àef-policer, un dispositif de contrôle qui limite le trafic à une bande passante limitée à 300 Kb/s avec une limite de taille de rafale de 50 Ko. Ce dispositif de contrôle spécifie que les paquets d’un flux non-conformité sont marqués pour la classe deexpedited-forwardingtransfert et définis sur lahighpriorité de perte.other-customers— Le troisième et dernier terme de filtre transmet tous les autres paquets àaf-policer, un dispositif de contrôle qui limite le trafic à une bande passante de 300 Kb/s et à une limite de taille de rafale de 50 Ko (les mêmes limites de trafic définies paref-policer). Ce dispositif de contrôle spécifie que les paquets d’un flux non-conformité sont marqués pour la classe deassured-forwardingtransfert et définis sur lamedium-highpriorité de perte.
Configuration
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation sur la CLI, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide cli
- Configuration des polices pour limiter le débit du trafic de transfert accéléré et de transfert assuré
- Configuration d’un filtre de classification multi-champs qui applique également le contrôle
- Application du filtrage et du contrôle de classification multi-champs à l’interface logique
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez les commandes dans la CLI au niveau de la [edit] hiérarchie.
set firewall policer ef-policer if-exceeding bandwidth-limit 300k set firewall policer ef-policer if-exceeding burst-size-limit 50k set firewall policer ef-policer then loss-priority high set firewall policer ef-policer then forwarding-class expedited-forwarding set firewall policer af-policer if-exceeding bandwidth-limit 300k set firewall policer af-policer if-exceeding burst-size-limit 50k set firewall policer af-policer then loss-priority high set firewall policer af-policer then forwarding-class assured-forwarding set firewall family inet filter mfc-filter term isp1-customers from source-address 10.1.1.0/24 set firewall family inet filter mfc-filter term isp1-customers from source-address 10.1.2.0/24 set firewall family inet filter mfc-filter term isp1-customers then loss-priority low set firewall family inet filter mfc-filter term isp1-customers then forwarding-class expedited-forwarding set firewall family inet filter mfc-filter term isp2-customers from source-address 10.1.3.0/24 set firewall family inet filter mfc-filter term isp2-customers from source-address 10.1.4.0/24 set firewall family inet filter mfc-filter term isp2-customers then policer ef-policer set firewall family inet filter mfc-filter term other-customers then policer af-policer set interfaces ge-1/2/0 unit 0 family inet address 192.168.1.1/24 set interfaces ge-1/2/0 unit 0 family inet filter input mfc-filter
Configuration des polices pour limiter le débit du trafic de transfert accéléré et de transfert assuré
Procédure étape par étape
Pour configurer des contrôles afin de limiter la vitesse du trafic de transfert accéléré et de transfert garanti :
Définissez des limites de trafic pour le trafic de transfert accéléré.
[edit] user@host# edit firewall policer ef-policer [edit firewall policer ef-policer] user@host# set if-exceeding bandwidth-limit 300k user@host# set if-exceeding burst-size-limit 50k user@host# set then loss-priority high user@host# set then forwarding-class expedited-forwarding
Configurez un dispositif de contrôle pour assurer le trafic de transfert.
[edit firewall policer ef-policer] user@host# up [edit firewall] user@host# edit policer af-policer [edit firewall policer af-policer] user@host# set if-exceeding bandwidth-limit 300k user@host# set if-exceeding burst-size-limit 50k user@host# set then loss-priority high user@host# set then forwarding-class assured-forwarding
Résultats
Confirmez la configuration du policer en entrant la commande du show firewall mode de configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show firewall
policer af-policer {
if-exceeding {
bandwidth-limit 300k;
burst-size-limit 50k;
}
then {
loss-priority high;
forwarding-class assured-forwarding;
}
}
policer ef-policer {
if-exceeding {
bandwidth-limit 300k;
burst-size-limit 50k;
}
then {
loss-priority high;
forwarding-class expedited-forwarding;
}
}
Configuration d’un filtre de classification multi-champs qui applique également le contrôle
Procédure étape par étape
Pour configurer un filtre de classification multi-champs qui applique également le contrôle :
Activez la configuration d’un terme de filtre de pare-feu pour le trafic IPv4.
[edit] user@host# edit firewall family inet filter mfc-filter
Configurez le premier terme pour qu’il corresponde aux adresses source, puis classez les paquets correspondants.
[edit firewall family inet filter mfc-filter] user@host# set term isp1-customers from source-address 10.1.1.0/24 user@host# set term isp1-customers from source-address 10.1.2.0/24 user@host# set term isp1-customers then loss-priority low user@host# set term isp1-customers then forwarding-class expedited-forwarding
Configurez le deuxième terme pour qu’il corresponde à différentes adresses source, puis contrôlez les paquets correspondants.
[edit firewall family inet filter mfc-filter] user@host# set term isp2-customers from source-address 10.1.3.0/24 user@host# set term isp2-customers from source-address 10.1.4.0/24 user@host# set term isp2-customers then policer ef-policer
Configurez le troisième terme pour assurer la surveillance de tous les autres paquets en fonction d’un ensemble différent de limites et d’actions de trafic.
[edit firewall family inet filter mfc-filter] user@host# set term other-customers then policer af-policer
Résultats
Confirmez la configuration du filtre en entrant la commande du show firewall mode de configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show firewall
family inet {
filter mfc-filter {
term isp1-customers {
from {
source-address 10.1.1.0/24;
source-address 10.1.2.0/24;
}
then {
loss-priority low;
forwarding-class expedited-forwarding;
}
}
term isp2-customers {
from {
source-address 10.1.3.0/24;
source-address 10.1.4.0/24;
}
then {
policer ef-policer;
}
}
term other-customers {
then {
policer af-policer;
}
}
}
}
policer af-policer {
if-exceeding {
bandwidth-limit 300k;
burst-size-limit 50k;
}
then discard;
}
policer ef-policer {
if-exceeding {
bandwidth-limit 200k;
burst-size-limit 50k;
}
then {
loss-priority high;
forwarding-class expedited-forwarding;
}
}
Application du filtrage et du contrôle de classification multi-champs à l’interface logique
Procédure étape par étape
Pour appliquer le filtrage et le contrôle de classification multi-champs à l’interface logique :
Activez la configuration d’IPv4 sur l’interface logique.
[edit] user@host# edit interfaces ge-1/2/0 unit 0 family inet
Configurez une adresse IP pour l’interface logique.
[edit interfaces ge-1/2/0 unit 0 family inet ] user@host# set address 192.168.1.1/24
Appliquez le filtre de pare-feu à l’entrée de l’interface logique.
[edit interfaces ge-1/2/0 unit 0 family inet ] user@host# set filter input mfc-filter
REMARQUE :Étant donné que le policer est exécuté avant le filtre, si un policer d’entrée est également configuré sur l’interface logique, il ne peut pas utiliser la classe de transfert et le PLP d’un classificateur multi-champs associé à l’interface.
Résultats
Confirmez la configuration de l’interface en entrant la commande du show interfaces mode de configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show interfaces
ge-1/2/0 {
unit 0 {
family inet {
filter {
input mfc-filter;
}
address 192.168.1.1/24;
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Affichage du nombre de paquets traités par le policer au niveau de l’interface logique
But
Vérifiez le flux de trafic via l’interface logique et que le policer est évalué lorsque les paquets sont reçus sur l’interface logique.
Action
Utilisez la show firewall commande du mode opérationnel pour le filtre que vous avez appliqué à l’interface logique.
user@host> show firewall filter rate-limit-in Filter: rate-limit-in Policers: Name Packets ef-policer-isp2-customers 32863 af-policer-other-customers 3870
La sortie de commande répertorie les contrôles appliqués par le filtre rate-limit-inde pare-feu, ainsi que le nombre de paquets correspondant au terme du filtre.
Le nombre de paquets inclut le nombre de paquets non spécifiés (hors spécification), et pas tous les paquets qui sont supervisés par le gendarme.
Le nom du policer s’affiche concatété avec le nom du terme de filtre de pare-feu dans lequel le policer est référencé en tant qu’action.
Exemple : Configuration et application d’un filtre de pare-feu pour un classificateur multi-champs
Cet exemple montre comment configurer un filtre de pare-feu pour classer le trafic à l’aide d’un classificateur multi-champs. Le classificateur détecte les paquets d’intérêt pour la classe de service (CoS) dès qu’ils arrivent sur une interface. Les classificateurs multi-champs sont utilisés lorsqu’un simple classificateur d’agrégation de comportement (BA) est insuffisant pour classer un paquet, lorsque les routeurs d’appairage n’ont pas de bits CoS marqués ou que le marquage du routeur d’appairage n’est pas fiable.
Conditions préalables
Pour vérifier cette procédure, cet exemple utilise un générateur de trafic. Le générateur de trafic peut être basé sur du matériel ou un logiciel s’exécutant sur un serveur ou une machine hôte.
La fonctionnalité de cette procédure est largement prise en charge sur les équipements qui exécutent Junos OS. L’exemple illustré ici a été testé et vérifié sur les routeurs MX Series exécutant Junos OS Version 10.4.
Présentation
Un classificateur est une opération logicielle qui inspecte un paquet à mesure qu’il pénètre dans le routeur ou le commutateur. Le contenu de l’en-tête de paquet est examiné, et cet examen détermine comment le paquet est traité lorsque le réseau est trop occupé pour gérer tous les paquets et que vous souhaitez que vos équipements abandonnent les paquets de manière intelligente, au lieu de les abandonner sans discrimination. Un moyen courant de détecter les paquets d’intérêt est par numéro de port source. Les numéros de port TCP 80 et 12345 sont utilisés dans cet exemple, mais de nombreux autres critères de correspondance pour la détection des paquets sont disponibles pour les classificateurs multi-champs, à l’aide de conditions de correspondance de filtre de pare-feu. La configuration de cet exemple spécifie que les paquets TCP avec le port source 80 sont classés dans la classe de transfert de données BE et dans la file d’attente numéro 0. Les paquets TCP avec le port source 12345 sont classés dans la classe de transfert de données Premium et dans la file d’attente numéro 1.
Les classificateurs multi-champs sont généralement utilisés en périphérie du réseau lorsque les paquets pénètrent dans un système autonome (AS).
Dans cet exemple, vous configurez le filtre mf-classificateur de pare-feu et spécifiez des classes de transfert personnalisées sur l’équipement R1. Lorsque vous spécifiez les classes de transfert personnalisées, vous associez également chaque classe à une file d’attente.
L’opération de classificateur est indiquée dans la section Figure 1.
Vous appliquez le filtre de pare-feu du classificateur multi-champs en tant que filtre d’entrée sur chaque interface orientée client ou hôte qui a besoin du filtre. L’interface entrante est ge-1/0/1 sur l’équipement R1. La classification et l’attribution des files d’attente sont vérifiées sur l’interface sortante. L’interface sortante est l’interface ge-1/0/9 de l’équipement R1.
topologie
Figure 2 affiche l’exemple de réseau.
Configuration rapide cli affiche la configuration de tous les équipements Juniper Networks dans Figure 2.
Procédure étape par étape décrit les étapes sur l’équipement R1.
Les classificateurs sont décrits plus en détail dans la vidéo Juniper Networks Learning Byte suivante.
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis saisissez commit à partir du mode de configuration.
Équipement R1
set interfaces ge-1/0/1 description to-host set interfaces ge-1/0/1 unit 0 family inet filter input mf-classifier set interfaces ge-1/0/1 unit 0 family inet address 172.16.50.2/30 set interfaces ge-1/0/9 description to-R2 set interfaces ge-1/0/9 unit 0 family inet address 10.30.0.1/30 set class-of-service forwarding-classes class BE-data queue-num 0 set class-of-service forwarding-classes class Premium-data queue-num 1 set class-of-service forwarding-classes class Voice queue-num 2 set class-of-service forwarding-classes class NC queue-num 3 set firewall family inet filter mf-classifier term BE-data from protocol tcp set firewall family inet filter mf-classifier term BE-data from port 80 set firewall family inet filter mf-classifier term BE-data then forwarding-class BE-data set firewall family inet filter mf-classifier term Premium-data from protocol tcp set firewall family inet filter mf-classifier term Premium-data from port 12345 set firewall family inet filter mf-classifier term Premium-data then forwarding-class Premium-data set firewall family inet filter mf-classifier term accept-all-else then accept
Équipement R2
set interfaces ge-1/0/9 description to-R1 set interfaces ge-1/0/9 unit 0 family inet address 10.30.0.2/30
Procédure étape par étape
L’exemple suivant exige que vous parcouriez différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface cli, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface cli Junos OS.
Pour configurer l’équipement R1 :
-
Configurez les interfaces de l’équipement.
[edit interfaces] user@R1# set ge-1/0/1 description to-host user@R1# set ge-1/0/1 unit 0 family inet address 172.16.50.2/30 user@R1# set ge-1/0/9 description to-R2 user@R1# set ge-1/0/9 unit 0 family inet address 10.30.0.1/30
-
Configurez les classes de transfert personnalisées et les numéros de file d’attente associés.
[edit class-of-service forwarding-classes] user@R1# set BE-data queue-num 0 user@R1# set Premium-data queue-num 1 user@R1# set Voice queue-num 2 user@R1# set NC queue-num 3
-
Configurez le terme de filtre de pare-feu qui place le trafic TCP avec un port source 80 (trafic HTTP) dans la classe de transfert de données BE, associée à la file d’attente 0.
[edit firewall family inet filter mf-classifier] user@R1# set term BE-data from protocol tcp user@R1# set term BE-data from port 80 user@R1# set term BE-data then forwarding-class BE-data
-
Configurez le terme de filtre de pare-feu qui place le trafic TCP avec un port source 12345 dans la classe de transfert de données Premium, associée à la file d’attente 1.
[edit firewall family inet filter mf-classifier] user@R1# set term Premium-data from protocol tcp user@R1# set term Premium-data from port 12345 user@R1# set term Premium-data then forwarding-class Premium-data
-
À la fin du filtre de pare-feu, configurez un terme par défaut qui accepte tout le autre trafic.
Sinon, tout le trafic qui arrive sur l’interface et qui n’est pas explicitement accepté par le filtre de pare-feu est rejeté.
[edit firewall family inet filter mf-classifier] user@R1# set term accept-all-else then accept
-
Appliquez le filtre de pare-feu à l’interface ge-1/0/1 en tant que filtre d’entrée.
[edit interfaces] user@R1# set ge-1/0/1 unit 0 family inet filter input mf-classifier
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show interfacescommandes , show class-of-service. show firewall Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@R1# show interfaces
ge-1/0/1 {
description to-host;
unit 0 {
family inet {
filter {
input mf-classifier;
}
address 172.16.50.2/30;
}
}
}
ge-1/0/9 {
description to-R2;
unit 0 {
family inet {
address 10.30.0.1/30;
}
}
}
user@R1# show class-of-service
forwarding-classes {
class BE-data queue-num 0;
class Premium-data queue-num 1;
class Voice queue-num 2;
class NC queue-num 3;
}
user@R1# show firewall
family inet {
filter mf-classifier {
term BE-data {
from {
protocol tcp;
port 80;
}
then forwarding-class BE-data;
}
term Premium-data {
from {
protocol tcp;
port 12345;
}
then forwarding-class Premium-data;
}
term accept-all-else {
then accept;
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification des paramètres CoS
- Envoi du trafic TCP sur le réseau et surveillance de l’emplacement de la file d’attente
Vérification des paramètres CoS
But
Vérifiez que les classes de transfert sont correctement configurées.
Action
À partir de l’équipement R1, exécutez la show class-of-service forwardng-classes commande.
user@R1> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority BE-data 0 0 0 low normal low Premium-data 1 1 1 low normal low Voice 2 2 2 low normal low NC 3 3 3 low normal low
Sens
La sortie affiche les paramètres de classificateur personnalisés configurés.
Envoi du trafic TCP sur le réseau et surveillance de l’emplacement de la file d’attente
But
Assurez-vous que le trafic d’intérêt est envoyé hors de la file d’attente attendue.
Action
Effacez les statistiques d’interface sur l’interface sortante de l’équipement R1.
user@R1> clear interfaces statistics ge-1/0/9
Utilisez un générateur de trafic pour envoyer 50 paquets de port TCP 80 à l’équipement R2 ou à un autre équipement en aval.
Sur l’équipement R1, vérifiez les compteurs de file d’attente.
Notez que vous vérifiez les compteurs de files d’attente sur l’interface de sortie en aval, et non sur l’interface entrante.
user@R1> show interfaces extensive ge-1/0/9 | find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 50 50 0 1 0 57 0 2 0 0 0 3 0 0 0Utilisez un générateur de trafic pour envoyer 50 paquets de port TCP 12345 à l’équipement R2 ou à un autre équipement en aval.
[root@host]# hping 172.16.60.1 -c 50 -s 12345 -k
Sur l’équipement R1, vérifiez les compteurs de file d’attente.
user@R1> show interfaces extensive ge-1/0/9 | find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 50 50 0 1 50 57 0 2 0 0 0 3 0 0 0
Sens
La sortie montre que les paquets sont correctement classés. Lorsque le port 80 est utilisé dans les paquets TCP, la file d’attente 0 est incrémentée. Lorsque le port 12345 est utilisé, la file d’attente 1 est incrémentée.