Exemple de classificateurmultichamp : Configuration de la classification multichamps
Vue d’ensemble de la classification multi-champs
- Classes de transfert et niveaux PLP
- Classification multi-champs et classification BA
- Classification multi-champs utilisée en conjonction avec les mécanismes de contrôle
Classes de transfert et niveaux PLP
Vous pouvez configurer les fonctionnalités de classe de service (CoS) de Junos OS pour classer le trafic entrant en associant chaque paquet à une classe de transfert, à un niveau de priorité de perte de paquets (PLP) ou aux deux :
En fonction de la classe de transfert associée, chaque paquet est affecté à une file d’attente de sortie, et le routeur gère les files d’attente de sortie en fonction de la planification associée que vous configurez.
Sur la base du PLP associé, chaque paquet a une probabilité plus ou moins grande d’être abandonné en cas d’encombrement. Le processus RED (Random Early Detection) CoS utilise la configuration de probabilité d’abandon, le pourcentage de plénitude de la file d’attente de sortie et le PLP des paquets pour supprimer les paquets selon les besoins afin de contrôler l’encombrement à l’étape de sortie.
Classification multi-champs et classification BA
Junos OS prend en charge deux types généraux de classification des paquets : classification des agrégats de comportement (BA) et classification multi-champs :
-
La classification BA, ou classification du trafic de valeur CoS, fait référence à une méthode de classification des paquets qui utilise une configuration CoS pour définir la classe de transfert ou PLP d’un paquet en fonction de la valeur CoS dans l’en-tête du paquet IP. La valeur CoS examinée à des fins de classification BA peut être la valeur DSCP (Differentiated Services Code Point), la valeur DSCP IPv6, la valeur IP de priorité, les bits MPLS EXP et la valeur IEEE 802.1p. Le classificateur par défaut est basé sur la valeur de priorité IP.
-
La classification multichamps fait référence à une méthode de classification des paquets qui utilise une configuration de filtre de pare-feu sans état standard pour définir la classe de transfert ou PLP pour chaque paquet entrant ou sortant de l’interface en fonction de plusieurs champs dans l’en-tête du paquet IP, y compris la valeur DSCP (pour IPv4 uniquement), la valeur de priorité IP, les bits EXP MPLS, et les bits IEEE 802.1p. La classification multi-champs correspond généralement aux champs d’adresse IP, au champ de type de protocole IP ou au numéro de port dans le champ pseudo-en-tête UDP ou TCP. La classification à champs multiples est utilisée à la place de la classification BA lorsque vous devez classer des paquets en fonction des informations contenues dans les paquets autres que les valeurs CoS uniquement.
Avec la classification à champs multiples, un terme de filtre de pare-feu peut spécifier les actions de classification des paquets pour les paquets correspondants via l’utilisation des actions ou
forwarding-class class-nameloss-priority (high | medium-high | medium-low | low)non terminantes dans la clause duthenterme.
La classification BA d’un paquet peut être remplacée par les actions forwarding-class de filtre du pare-feu sans état et loss-priority.
Classification erronée du trafic via le classificateur multichamps sur QFX5k :
-
Si le trafic BUM est forcé de prendre la file d’attente unicast via le classificateur MF, les paquets seront classés dans MCQ9. Junos versions 21.4R3 , 22.1R3 et à partir de la version 22.2 de Junos, ces paquets seront classés dans MCQ8.
-
Si le trafic unicast est forcé de prendre la file d’attente multicast via le classificateur MF, les paquets seront classés dans MCQ9 et à partir de la version 19.1R3, ils seront classés dans la file d’attente best effort.
Classification multi-champs utilisée en conjonction avec les mécanismes de contrôle
Pour configurer la classification multichamps en conjonction avec la limitation de débit, un terme de filtre de pare-feu peut spécifier les actions de classification des paquets pour les paquets correspondants à l’aide d’une policer action non terminale qui fait référence à un mécanisme de contrôle bicolore à débit unique.
Lorsque la classification à champs multiples est configurée pour effectuer une classification par le biais d’un mécanisme de contrôle, les paquets filtrés dans le flux de trafic sont limités aux limites de trafic spécifiées par le mécanisme de contrôle. Les paquets d’un flux conforme de paquets filtrés sont implicitement définis sur un low PLP. Les paquets d’un flux de trafic non conforme peuvent être ignorés, ou les paquets peuvent être affectés à une classe de transfert spécifiée, à un niveau PLP spécifié, ou aux deux, selon le type de mécanisme de contrôle et la façon dont il est configuré pour gérer le trafic non conforme.
Avant d’appliquer un filtre de pare-feu qui effectue une classification à plusieurs champs ainsi qu’un mécanisme de contrôle à la même interface logique et pour la même direction de trafic, veillez à tenir compte de l’ordre des opérations du mécanisme de contrôle et du filtre de pare-feu.
À titre d’exemple, considérons le scénario suivant :
Vous configurez un filtre de pare-feu qui effectue une classification à champs multiples (agit sur les paquets correspondants en définissant la classe de transfert, le PLP ou les deux) en fonction de la classe de transfert ou PLP existante du paquet. Vous appliquez le filtre de pare-feu à l’entrée d’une interface logique.
Vous pouvez également configurer un mécanisme de contrôle bicolore à débit unique qui agit sur un flux de trafic rouge en remarquant (en définissant la classe de transfert, le PLP ou les deux) plutôt que d’ignorer ces paquets. Vous appliquez le mécanisme de contrôle en tant que mécanisme de contrôle d’interface à l’entrée de l’interface logique à laquelle vous appliquez le filtre de pare-feu.
En raison de l’ordre des opérations du mécanisme de contrôle et du pare-feu, le mécanisme de contrôle d’entrée est exécuté avant le filtre de pare-feu d’entrée. Cela signifie que la classification multi-champs spécifiée par le filtre de pare-feu est effectuée sur les paquets d’entrée qui ont déjà été marqués une fois par des actions de contrôle. Par conséquent, tout paquet d’entrée qui correspond aux conditions spécifiées dans un terme de filtre de pare-feu est ensuite soumis à un second marquage en fonction des forwarding-classloss-priority actions ou actions non terminantes également spécifiées dans ce terme.
Voir également
Exigences et restrictions relatives à la classification multizone
Plates-formes prises en charge
L’action loss-priority de filtre de pare-feu est uniquement prise en charge sur les plates-formes de routage suivantes :
Commutateurs EX Series
Routeurs M7i et M10i avec la technologie CFEB améliorée (CFEB-E)
Routeurs M120 et M320
Routeurs MX Series
Routeurs T Series avec concentrateurs PIC flexibles (FPC) Enhanced II
Routeurs PTX Series
Exigence de marquage tricolore CoS
L’action loss-priority de filtre de pare-feu a des exigences spécifiques à la plate-forme qui dépendent de la fonctionnalité de marquage tricolore CoS, telle que définie dans la RFC 2698 :
Sur un routeur M320, vous ne pouvez pas valider une configuration qui inclut l’action de
loss-priorityfiltre du pare-feu, sauf si vous activez la fonctionnalité de marquage tricolore CoS.Sur toutes les plates-formes de routage qui prennent en charge l’action
loss-priorityde filtre de pare-feu, vous ne pouvez pas définir l’action deloss-priorityfiltre de pare-feu surmedium-lowoumedium-highà moins d’activer la fonctionnalité de marquage tricolore CoS.
Pour activer la fonction de marquage tricolore CoS, incluez l’instruction tri-color au niveau de la [edit class-of-service] hiérarchie.
Restrictions
Vous ne pouvez pas configurer les loss-priority actions et three-color-policer les actions non terminantes pour le même terme de filtre de pare-feu. Ces deux actions sans interruption s’excluent mutuellement.
Sur un routeur PTX Series, vous devez configurer l’action policer dans une règle distincte et ne pas la combiner avec la règle configurant les forwarding-classactions et loss-priority . Reportez-vous à la section Différences de pare-feu et de contrôle entre les routeurs matriciels PTX Series Routeurs de transport de paquets et T Series.
Voir également
Limites de la classification multichamp sur les routeurs M Series
- Problème: Correspondance sortie-filtre sur la classification entrée-filtre
- Solution : Configurer toutes les actions dans le filtre d’entrée
Problème: Correspondance sortie-filtre sur la classification entrée-filtre
Sur les routeurs M Series (à l’exception des routeurs M120), vous ne pouvez pas classer les paquets avec une correspondance de filtre de sortie en fonction de la classification d’entrée définie avec un filtre d’entrée appliqué à la même interface logique IPv4.
Par exemple, dans la configuration suivante, le filtre appelé ingress affecte tous les paquets IPv4 entrants à la expedited-forwarding classe. Le filtre appelé egress compte tous les paquets qui ont été affectés à la expedited-forwarding classe dans le ingress filtre. Cette configuration ne fonctionne pas sur la plupart des routeurs M Series. Il fonctionne sur toutes les autres plates-formes de routage, y compris les routeurs M120, les routeurs MX Series et les routeurs T Series.
[edit]
user@host # show firewall
family inet {
filter ingress {
term 1 {
then {
forwarding-class expedited-forwarding;
accept;
}
}
term 2 {
then accept;
}
}
filter egress {
term 1 {
from {
forwarding-class expedited-forwarding;
}
then count ef;
}
term 2 {
then accept;
}
}
}
[edit]
user@host# show interfaces
ge-1/2/0 {
unit 0 {
family inet {
filter {
input ingress;
output egress;
}
}
}
}
Solution : Configurer toutes les actions dans le filtre d’entrée
Pour contourner ce problème, vous pouvez configurer toutes les actions dans le filtre d’entrée.
user@host # show firewall
family inet {
filter ingress {
term 1 {
then {
forwarding-class expedited-forwarding;
accept;
count ef;
}
}
term 2 {
then accept;
}
}
}
[edit]
user@host# show interfaces
ge-1/2/0 {
unit 0 {
family inet {
filter {
input ingress;
}
}
}
}
Voir également
Exemple : Configuration de la classification multichamps
Cet exemple montre comment configurer la classification multichamps du trafic IPv4 à l’aide d’actions de filtre de pare-feu et de deux mécanismes de contrôle de filtre de pare-feu.
Conditions préalables
Avant de commencer, assurez-vous que votre environnement prend en charge les fonctionnalités présentées dans cet exemple :
L’action
loss-priorityde filtre du pare-feu doit être prise en charge sur le routeur et configurable sur les quatre valeurs.Pour pouvoir définir une
loss-priorityaction de filtre de pare-feu, configurez cet exemple sur une interfacege-1/2/0.0logique sur l’une des plateformes de routage suivantes :Routeur MX Series
Routeur M120 ou M320
Routeur M7i ou M10i avec CFEB amélioré (CFEB-E)
Routeur T Series avec concentrateur PIC flexible (FPC) Enhanced II
Pour pouvoir définir une action de
loss-priorityfiltre de pare-feu surmedium-lowoumedium-high, assurez-vous que la fonction de marquage tricolore CoS est activée. Pour activer la fonction de marquage tricolore CoS, incluez l’instructiontri-colorau niveau de la[edit class-of-service]hiérarchie.
Les
expedited-forwardingclasses de transfert etassured-forwardingdoivent être planifiées sur l’interfacege-1/2/0physique sous-jacente.Assurez-vous que les classes de transfert suivantes sont affectées aux files d’attente de sortie :
expedited-forwardingassured-forwarding
Les affectations de classe de transfert sont configurées au niveau de la
[edit class-of-service forwarding-classes queue queue-number]hiérarchie.REMARQUE :Vous ne pouvez pas valider une configuration qui affecte la même classe de transfert à deux files d’attente différentes.
Assurez-vous que les files d’attente de sortie auxquelles les classes de transfert sont affectées sont associées à des planificateurs. Un planificateur définit la quantité de bande passante d’interface affectée à la file d’attente, la taille de la mémoire tampon allouée au stockage des paquets, la priorité de la file d’attente et les profils d’abandon RED (Random Early Detection) associés à la file d’attente.
Vous configurez les planificateurs de file d’attente de sortie au niveau de la
[edit class-of-service schedulers]hiérarchie.Vous associez les planificateurs de file d’attente de sortie aux classes de transfert au moyen d’une carte de planificateur que vous configurez au niveau de la
[edit class-of-service scheduler-maps map-name]hiérarchie.
Assurez-vous que la planification de la file d’attente de sortie est appliquée à l’interface
ge-1/2/0physique.Vous appliquez un mappage de planificateur à une interface physique au niveau de la
[edit class-of-service interfaces ge-1/2/0 scheduler-map map-name]hiérarchie.
Présentation
Dans cet exemple, vous appliquez une classification multichamps au trafic IPv4 d’entrée au niveau d’une interface logique à l’aide d’actions de filtre de pare-feu sans état et de deux mécanismes de contrôle de filtre de pare-feu référencés à partir du filtre de pare-feu. En fonction du champ d’adresse source, les paquets sont soit définis sur la priorité de low perte, soit contrôlés. Ni l’un ni l’autre des agents de police ne rejette le trafic non conforme. Les paquets dans les flux non conformes sont marqués pour une classe de transfert spécifique (expedited-forwarding ou assured-forwarding), définie sur une priorité de perte spécifique, puis transmis.
Les mécanismes de contrôle bicolores à débit unique transmettent toujours les paquets dans un flux de trafic conforme après avoir implicitement défini une low priorité de perte.
Topologie
Dans cet exemple, vous appliquez la classification multichamps au trafic IPv4 sur l’interface ge-1/2/0.0logique . Les règles de classification sont spécifiées dans le filtre mfc-filter de pare-feu sans état IPv4 et dans deux mécanismes de contrôle bicolores à débit unique, ef-policer et af-policer.
Le filtre mfc-filter de pare-feu sans état standard IPv4 définit trois termes de filtre :
isp1-customers: le premier terme de filtre fait correspondre les paquets avec l’adresse source 10.1.1.0/24 ou 10.1.2.0/24. Les paquets correspondants sont affectés à laexpedited-forwardingclasse de transfert et définis sur la priorité delowperte.isp2-customers: le deuxième terme de filtre fait correspondre les paquets avec l’adresse source 10.1.3.0/24 ou 10.1.4.0/24. Les paquets correspondants sont transmis àef-policer, un mécanisme de contrôle qui limite le débit du trafic à une limite de bande passante de 300 Kbits/s avec une limite de taille de rafale de 50 Ko. Ce mécanisme de contrôle spécifie que les paquets d’un flux non conforme sont marqués pour laexpedited-forwardingclasse de transfert et définis sur lahighpriorité de perte.other-customers: le troisième et dernier terme de filtre transmet tous les autres paquets àaf-policer, un mécanisme de contrôle qui limite le débit du trafic à une limite de bande passante de 300 Kbits/s et à une limite de taille de rafale de 50 Ko (les mêmes limites de trafic que celles définies paref-policer). Ce mécanisme de contrôle spécifie que les paquets d’un flux non conforme sont marqués pour laassured-forwardingclasse de transfert et définis sur lamedium-highpriorité de perte.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configuration de mécanismes de contrôle pour limiter le débit du trafic de transfert accéléré et de transfert assuré
- Configuration d’un filtre de classification multichamps qui applique également le contrôle
- Application d’un filtrage et d’une surveillance de la classification multichamps à l’interface logique
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set firewall policer ef-policer if-exceeding bandwidth-limit 300k set firewall policer ef-policer if-exceeding burst-size-limit 50k set firewall policer ef-policer then loss-priority high set firewall policer ef-policer then forwarding-class expedited-forwarding set firewall policer af-policer if-exceeding bandwidth-limit 300k set firewall policer af-policer if-exceeding burst-size-limit 50k set firewall policer af-policer then loss-priority high set firewall policer af-policer then forwarding-class assured-forwarding set firewall family inet filter mfc-filter term isp1-customers from source-address 10.1.1.0/24 set firewall family inet filter mfc-filter term isp1-customers from source-address 10.1.2.0/24 set firewall family inet filter mfc-filter term isp1-customers then loss-priority low set firewall family inet filter mfc-filter term isp1-customers then forwarding-class expedited-forwarding set firewall family inet filter mfc-filter term isp2-customers from source-address 10.1.3.0/24 set firewall family inet filter mfc-filter term isp2-customers from source-address 10.1.4.0/24 set firewall family inet filter mfc-filter term isp2-customers then policer ef-policer set firewall family inet filter mfc-filter term other-customers then policer af-policer set interfaces ge-1/2/0 unit 0 family inet address 192.168.1.1/24 set interfaces ge-1/2/0 unit 0 family inet filter input mfc-filter
Configuration de mécanismes de contrôle pour limiter le débit du trafic de transfert accéléré et de transfert assuré
Procédure étape par étape
Pour configurer les mécanismes de contrôle afin de limiter le débit du trafic de transfert accéléré et de transfert assuré :
Définissez des limites de trafic pour le trafic de transfert accéléré.
[edit] user@host# edit firewall policer ef-policer [edit firewall policer ef-policer] user@host# set if-exceeding bandwidth-limit 300k user@host# set if-exceeding burst-size-limit 50k user@host# set then loss-priority high user@host# set then forwarding-class expedited-forwarding
Configurez un mécanisme de contrôle pour assurer le transfert du trafic.
[edit firewall policer ef-policer] user@host# up [edit firewall] user@host# edit policer af-policer [edit firewall policer af-policer] user@host# set if-exceeding bandwidth-limit 300k user@host# set if-exceeding burst-size-limit 50k user@host# set then loss-priority high user@host# set then forwarding-class assured-forwarding
Résultats
Confirmez la configuration du mécanisme de contrôle en entrant la show firewall commande de mode de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show firewall
policer af-policer {
if-exceeding {
bandwidth-limit 300k;
burst-size-limit 50k;
}
then {
loss-priority high;
forwarding-class assured-forwarding;
}
}
policer ef-policer {
if-exceeding {
bandwidth-limit 300k;
burst-size-limit 50k;
}
then {
loss-priority high;
forwarding-class expedited-forwarding;
}
}
Configuration d’un filtre de classification multichamps qui applique également le contrôle
Procédure étape par étape
Pour configurer un filtre de classification à champs multiples qui applique en plus le contrôle :
Activez la configuration d’un terme de filtre de pare-feu pour le trafic IPv4.
[edit] user@host# edit firewall family inet filter mfc-filter
Configurez le premier terme à faire correspondre sur les adresses source, puis classez les paquets correspondants.
[edit firewall family inet filter mfc-filter] user@host# set term isp1-customers from source-address 10.1.1.0/24 user@host# set term isp1-customers from source-address 10.1.2.0/24 user@host# set term isp1-customers then loss-priority low user@host# set term isp1-customers then forwarding-class expedited-forwarding
Configurez le second terme pour qu’il corresponde à différentes adresses source, puis contrôlez les paquets correspondants.
[edit firewall family inet filter mfc-filter] user@host# set term isp2-customers from source-address 10.1.3.0/24 user@host# set term isp2-customers from source-address 10.1.4.0/24 user@host# set term isp2-customers then policer ef-policer
Configurez le troisième terme pour contrôler tous les autres paquets en fonction d’un ensemble différent de limites de trafic et d’actions.
[edit firewall family inet filter mfc-filter] user@host# set term other-customers then policer af-policer
Résultats
Confirmez la configuration du filtre en entrant la commande de show firewall mode de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show firewall
family inet {
filter mfc-filter {
term isp1-customers {
from {
source-address 10.1.1.0/24;
source-address 10.1.2.0/24;
}
then {
loss-priority low;
forwarding-class expedited-forwarding;
}
}
term isp2-customers {
from {
source-address 10.1.3.0/24;
source-address 10.1.4.0/24;
}
then {
policer ef-policer;
}
}
term other-customers {
then {
policer af-policer;
}
}
}
}
policer af-policer {
if-exceeding {
bandwidth-limit 300k;
burst-size-limit 50k;
}
then discard;
}
policer ef-policer {
if-exceeding {
bandwidth-limit 200k;
burst-size-limit 50k;
}
then {
loss-priority high;
forwarding-class expedited-forwarding;
}
}
Application d’un filtrage et d’une surveillance de la classification multichamps à l’interface logique
Procédure étape par étape
Pour appliquer le filtrage et le contrôle de la classification multichamps à l’interface logique :
Activez la configuration d’IPv4 sur l’interface logique.
[edit] user@host# edit interfaces ge-1/2/0 unit 0 family inet
Configurez une adresse IP pour l’interface logique.
[edit interfaces ge-1/2/0 unit 0 family inet ] user@host# set address 192.168.1.1/24
Appliquez le filtre de pare-feu à l’entrée de l’interface logique.
[edit interfaces ge-1/2/0 unit 0 family inet ] user@host# set filter input mfc-filter
REMARQUE :Étant donné que le mécanisme de contrôle est exécuté avant le filtre, si un mécanisme de contrôle d’entrée est également configuré sur l’interface logique, il ne peut pas utiliser la classe de transfert et le PLP d’un classificateur à champs multiples associé à l’interface.
Résultats
Confirmez la configuration de l’interface en entrant la commande configuration show interfaces mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show interfaces
ge-1/2/0 {
unit 0 {
family inet {
filter {
input mfc-filter;
}
address 192.168.1.1/24;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Affichage du nombre de paquets traités par le mécanisme de contrôle au niveau de l’interface logique
But
Vérifiez que le flux de trafic passe par l’interface logique et que le mécanisme de contrôle est évalué lorsque des paquets sont reçus sur l’interface logique.
Action
Utilisez la show firewall commande mode opérationnel pour le filtre que vous avez appliqué à l’interface logique.
user@host> show firewall filter rate-limit-in Filter: rate-limit-in Policers: Name Packets ef-policer-isp2-customers 32863 af-policer-other-customers 3870
La sortie de la commande répertorie les mécanismes de contrôle appliqués par le filtre rate-limit-inde pare-feu et le nombre de paquets correspondant au terme de filtrage.
Le nombre de paquets inclut le nombre de paquets hors spécification (hors spécification), et non tous les paquets contrôlés par le mécanisme de contrôle.
Le nom du mécanisme de contrôle s’affiche concaténé avec le nom du terme de filtre de pare-feu dans lequel le mécanisme de contrôle est référencé en tant qu’action.
Exemple : Configuration et application d’un filtre de pare-feu pour un classificateur à champs multiples
Cet exemple montre comment configurer un filtre de pare-feu pour classer le trafic à l’aide d’un classificateur à champs multiples. Le classifieur détecte les paquets présentant un intérêt pour la classe de service (CoS) lorsqu’ils arrivent sur une interface. Les classificateurs multichamps sont utilisés lorsqu’un classificateur d’agrégation de comportement simple (BA) est insuffisant pour classer un paquet, lorsque les bits CoS des routeurs d’appairage ne sont pas marqués ou lorsque le marquage du routeur d’appairage n’est pas fiable.
Conditions préalables
Pour vérifier cette procédure, cet exemple utilise un générateur de trafic. Le générateur de trafic peut être matériel ou logiciel exécuté sur un serveur ou une machine hôte.
La fonctionnalité de cette procédure est largement prise en charge sur les périphériques qui exécutent Junos OS. L’exemple présenté ici a été testé et vérifié sur des routeurs MX Series exécutant Junos OS version 10.4.
Présentation
Un classificateur est une opération logicielle qui inspecte un paquet lorsqu’il entre dans le routeur ou le commutateur. Le contenu de l’en-tête du paquet est examiné, et cet examen détermine la façon dont le paquet est traité lorsque le réseau devient trop occupé pour gérer tous les paquets et que vous souhaitez que vos périphériques abandonnent les paquets intelligemment, au lieu d’abandonner des paquets sans discernement. Une façon courante de détecter les paquets d’intérêt est le numéro de port source. Les numéros de port TCP 80 et 12345 sont utilisés dans cet exemple, mais de nombreux autres critères de correspondance pour la détection de paquets sont disponibles pour les classificateurs à champs multiples, en utilisant les conditions de correspondance du filtre de pare-feu. La configuration de cet exemple spécifie que les paquets TCP avec le port source 80 sont classés dans la classe de transfert de données BE et le numéro de file d’attente 0. Les paquets TCP avec le port source 12345 sont classés dans la classe de transfert de données Premium et le numéro de file d’attente 1.
Les classificateurs multichamps sont généralement utilisés à la périphérie du réseau lorsque les paquets entrent dans un système autonome (AS).
Dans cet exemple, vous configurez le filtre de pare-feu mf-classifier et spécifiez des classes de transfert personnalisées sur l’appareil R1. En spécifiant les classes de transfert personnalisées, vous associez également chaque classe à une file d’attente.
Le fonctionnement du classificateur est illustré à la .Figure 1
Vous appliquez le filtre de pare-feu du classifieur à champs multiples en tant que filtre d’entrée sur chaque interface orientée client ou hôte qui a besoin du filtre. L’interface entrante est ge-1/0/1 sur l’appareil R1. La classification et l’affectation des files d’attente sont vérifiées sur l’interface sortante. L’interface sortante est l’interface ge-1/0/9 de l’appareil R1.
Topologie
Figure 2 montre l’exemple de réseau.
Configuration rapide de l’interface de ligne de commande affiche la configuration de tous les équipements Juniper Networks dans Figure 2.
Procédure étape par étape décrit les étapes sur l’appareil R1.
Les classificateurs sont décrits plus en détail dans la vidéo Juniper Networks Learning Byte suivante.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
Appareil R1
set interfaces ge-1/0/1 description to-host set interfaces ge-1/0/1 unit 0 family inet filter input mf-classifier set interfaces ge-1/0/1 unit 0 family inet address 172.16.50.2/30 set interfaces ge-1/0/9 description to-R2 set interfaces ge-1/0/9 unit 0 family inet address 10.30.0.1/30 set class-of-service forwarding-classes class BE-data queue-num 0 set class-of-service forwarding-classes class Premium-data queue-num 1 set class-of-service forwarding-classes class Voice queue-num 2 set class-of-service forwarding-classes class NC queue-num 3 set firewall family inet filter mf-classifier term BE-data from protocol tcp set firewall family inet filter mf-classifier term BE-data from port 80 set firewall family inet filter mf-classifier term BE-data then forwarding-class BE-data set firewall family inet filter mf-classifier term Premium-data from protocol tcp set firewall family inet filter mf-classifier term Premium-data from port 12345 set firewall family inet filter mf-classifier term Premium-data then forwarding-class Premium-data set firewall family inet filter mf-classifier term accept-all-else then accept
Appareil R2
set interfaces ge-1/0/9 description to-R1 set interfaces ge-1/0/9 unit 0 family inet address 10.30.0.2/30
Procédure étape par étape
L’exemple suivant nécessite que vous naviguiez à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer l’appareil R1 :
-
Configurez les interfaces de l’appareil.
[edit interfaces] user@R1# set ge-1/0/1 description to-host user@R1# set ge-1/0/1 unit 0 family inet address 172.16.50.2/30 user@R1# set ge-1/0/9 description to-R2 user@R1# set ge-1/0/9 unit 0 family inet address 10.30.0.1/30
-
Configurez les classes de transfert personnalisées et les numéros de file d’attente associés.
[edit class-of-service forwarding-classes] user@R1# set BE-data queue-num 0 user@R1# set Premium-data queue-num 1 user@R1# set Voice queue-num 2 user@R1# set NC queue-num 3
-
Configurez le terme de filtre de pare-feu qui place le trafic TCP avec un port source de 80 (trafic HTTP) dans la classe de transfert de données BE, associée à la file d’attente 0.
[edit firewall family inet filter mf-classifier] user@R1# set term BE-data from protocol tcp user@R1# set term BE-data from port 80 user@R1# set term BE-data then forwarding-class BE-data
-
Configurez le terme de filtre de pare-feu qui place le trafic TCP avec un port source de 12345 dans la classe de transfert de données Premium, associée à la file d’attente 1.
[edit firewall family inet filter mf-classifier] user@R1# set term Premium-data from protocol tcp user@R1# set term Premium-data from port 12345 user@R1# set term Premium-data then forwarding-class Premium-data
-
À la fin du filtre de votre pare-feu, configurez un terme par défaut qui accepte tout le reste du trafic.
Dans le cas contraire, tout le trafic qui arrive sur l’interface et qui n’est pas explicitement accepté par le filtre de pare-feu est ignoré.
[edit firewall family inet filter mf-classifier] user@R1# set term accept-all-else then accept
-
Appliquez le filtre de pare-feu à l’interface ge-1/0/1 en tant que filtre d’entrée.
[edit interfaces] user@R1# set ge-1/0/1 unit 0 family inet filter input mf-classifier
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les show interfacescommandes , show class-of-service. show firewall Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@R1# show interfaces
ge-1/0/1 {
description to-host;
unit 0 {
family inet {
filter {
input mf-classifier;
}
address 172.16.50.2/30;
}
}
}
ge-1/0/9 {
description to-R2;
unit 0 {
family inet {
address 10.30.0.1/30;
}
}
}
user@R1# show class-of-service
forwarding-classes {
class BE-data queue-num 0;
class Premium-data queue-num 1;
class Voice queue-num 2;
class NC queue-num 3;
}
user@R1# show firewall
family inet {
filter mf-classifier {
term BE-data {
from {
protocol tcp;
port 80;
}
then forwarding-class BE-data;
}
term Premium-data {
from {
protocol tcp;
port 12345;
}
then forwarding-class Premium-data;
}
term accept-all-else {
then accept;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification des paramètres CoS
- Envoi de trafic TCP dans le réseau et surveillance du placement des files d’attente
Vérification des paramètres CoS
But
Vérifiez que les classes de transfert sont correctement configurées.
Action
À partir de l’appareil R1, exécutez la show class-of-service forwardng-classes commande.
user@R1> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority BE-data 0 0 0 low normal low Premium-data 1 1 1 low normal low Voice 2 2 2 low normal low NC 3 3 3 low normal low
Sens
La sortie affiche les paramètres du classificateur personnalisé configuré.
Envoi de trafic TCP dans le réseau et surveillance du placement des files d’attente
But
Assurez-vous que le trafic d’intérêt est envoyé dans la file d’attente attendue.
Action
Effacez les statistiques de l’interface sur l’interface sortante de l’appareil R1.
user@R1> clear interfaces statistics ge-1/0/9
Utilisez un générateur de trafic pour envoyer 50 paquets TCP port 80 au périphérique R2 ou à un autre périphérique en aval.
Sur l’appareil R1, vérifiez les compteurs de file d’attente.
Notez que vous vérifiez les compteurs de file d’attente sur l’interface de sortie en aval, et non sur l’interface entrante.
user@R1> show interfaces extensive ge-1/0/9 | find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 50 50 0 1 0 57 0 2 0 0 0 3 0 0 0Utilisez un générateur de trafic pour envoyer 50 paquets TCP port 12345 au périphérique R2 ou à un autre périphérique en aval.
[root@host]# hping 172.16.60.1 -c 50 -s 12345 -k
Sur l’appareil R1, vérifiez les compteurs de file d’attente.
user@R1> show interfaces extensive ge-1/0/9 | find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 50 50 0 1 50 57 0 2 0 0 0 3 0 0 0
Sens
La sortie montre que les paquets sont correctement classés. Lorsque le port 80 est utilisé dans les paquets TCP, la file d’attente 0 est incrémentée. Lorsque le port 12345 est utilisé, la file d’attente 1 est incrémentée.