예: DSCP 비트를 0으로 설정하는 필터 구성
이 예에서는 DSCP(Differentiated Services Code Point)를 기반으로 표준 무상태 방화벽 필터를 구성하는 방법을 보여줍니다.
요구 사항
이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서는 상태 비저장 방화벽 필터를 사용하여 DSCP 비트 패턴의 패킷을 일치시킵니다. DSCP가 2인 경우 패킷은 포워딩 클래스로 best-effort 분류되고 DSCP는 로 설정됩니다 0. DSCP가 3인 경우 패킷은 포워딩 클래스로 best-effort 분류됩니다.
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 구성 모드에서 CLI 편집기 사용.
이 예를 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 다음 구성 명령을 텍스트 파일에 복사하고, 줄 바꿈을 제거한 다음, 계층 수준에서 명령을 CLI에 붙여넣습니다 [edit]
.
set firewall filter filter1 term 1 from dscp 2 set firewall filter filter1 term 1 then forwarding-class best-effort set firewall filter filter1 term 1 then dscp 0 set firewall filter filter1 term 2 from dscp 3 set firewall filter filter1 term 2 then forwarding-class best-effort set interfaces ge-0/1/0 unit 0 family inet filter input filter1
무상태 방화벽 필터 구성
단계별 절차
무상태 방화벽 필터 filter1구성 방법:
상태 비저장 방화벽 필터를 생성합니다.
[edit] user@host# edit firewall filter filter1
DSCP가 인 2패킷과 일치하도록 첫 번째 용어를 구성하고, DSCP 0를 로 변경하고, 패킷을 포워딩 클래스로 분류합니다 best-effort .
[edit firewall filter filter1] user@host# set term 1 from dscp 2 user@host# set term 1 then forwarding-class best-effort user@host# set term 1 then dscp 0
DSCP 3 가 인 패킷과 일치하도록 다른 용어를 구성하고 패킷을 포워딩 클래스로 best-effort 분류합니다.
[edit firewall filter filter1] user@host# set term 2 from dscp 3 user@host# set term 2 then forwarding-class best-effort
논리적 인터페이스에 무상태 방화벽 필터 적용
단계별 절차
VPN 라우팅 및 포워딩(VRF) 인스턴스에 해당하는 논리적 인터페이스에 스테이트리스 방화벽 필터를 적용하려면 다음을 수행합니다.
무상태 방화벽 필터를 적용할 논리적 인터페이스를 구성합니다.
[edit] user@host# edit interfaces ge-0/1/0 unit 0 family inet
논리적 인터페이스에 무상태 방화벽 필터를 적용합니다.
[ input filter1] user@host# set filter input filter1
후보 구성 확인 및 커밋
단계별 절차
후보 구성을 확인한 후 커밋하려면 다음을 수행합니다.
구성 모드 명령을 입력하여 무상태 방화벽 필터의
show firewall
구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show firewall filter filter1 { term term1 { from { dscp 2; } then { forwarding-class best-effort; dscp 0; } } term term2 { from { dscp 3; } then { forwarding-class best-effort; } } }
구성 모드 명령을 입력하여
show interfaces
인터페이스 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show interfaces ge-0/1/0 { unit 0 { family inet { filter input filter1; } } }
디바이스 구성을 완료하면 후보 구성을 커밋합니다.
[edit] user@host# commit
검증
구성이 제대로 작동하는지 확인하려면 다음 운영 모드 명령을 입력합니다.
show class-of-service- 시스템에서 선택한 기본값을 포함하여 전체 CoS(Class of Service) 구성을 표시합니다.
show class-of-service classifier type dscp- IPv4 유형에 대한 DSCP의 분류자만 표시합니다.