Ejemplo: Configuración y verificación de un filtro complejo de varios campos
En este ejemplo, los mensajes de señalización SIP (VoIP) usan TCP/UDP, el puerto 5060 y los canales de medios RTP usan UDP con asignaciones de puerto de 16 384 a 32 767. Consulte las siguientes secciones:
Configurar un filtro complejo de varios campos
Para configurar el filtro de varios campos, realice las siguientes acciones:
Clasifique los mensajes de señalización SIP (tráfico de control de red VoIP) como NC con un filtro de firewall.
Clasifique el tráfico de VoIP como EF con el mismo filtro de firewall.
Ordene todo el tráfico restante con prioridad
0IP y haga que sea BE.Controle el tráfico DE BE a 1 Mbps con exceso de datos marcado con PLP alto.
Aplique el filtro de firewall con el agente de policía a la interfaz.
El filtro de firewall llamado classify coincidencias en el protocolo de transporte y los puertos identificados en los paquetes entrantes y clasifica los paquetes en las clases de reenvío especificadas por sus criterios.
El primer término, sip, clasifica los mensajes de señalización SIP como mensajes de control de red. La port instrucción coincide con cualquier puerto de origen o destino (o ambos) que esté codificado a 5060.
Clasificación de mensajes de señalización SIP
firewall {
family inet {
filter classify {
interface-specific;
term sip {
from {
protocol [ udp tcp ];
port 5060;
}
then {
forwarding-class network-control;
accept;
}
}
}
}
}
El segundo término, rtp, clasifica los canales de medios VoIP que utilizan transporte basado en UDP.
Clasificación de canales VoIP que usan UDP
term rtp {
from {
protocol udp;
port 16384-32767;
}
then {
forwarding-class expedited-forwarding;
accept;
}
}
La tolerancia a ráfaga del agente de policía se establece en el valor recomendado para una interfaz de baja velocidad, que es diez veces la MTU de interfaz. Para una interfaz de alta velocidad, el tamaño de ráfaga recomendado es la velocidad de transmisión de la interfaz por veces de 3 a 5 milisegundos.
Configurar el agente de policía
policer be-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 15k;
}
then loss-priority high;
}
El tercer término, be, garantiza que todo el tráfico restante esté vigilado de acuerdo con una restricción de ancho de banda.
Controlar todo el tráfico restante
term be {
then policer be-policer;
}
El be término no incluye un forwarding-class modificador de acción. Además, no se proporciona un tratamiento explícito del tráfico de control de red (NC) en el classify filtro. Puede configurar la clasificación explícita del tráfico nc y de todo el tráfico ip restante, pero no es necesario, ya que el clasificador predeterminado de prioridad IP clasifica correctamente el tráfico restante.
Aplique el classify clasificador a la fe-0/0/2 interfaz:
Aplicación del clasificador
interfaces {
fe-0/0/2 {
unit 0 {
family inet {
filter {
input classify;
}
address 10.12.0.13/30;
}
}
}
}
Verificar un filtro multicampo complejo
Antes de confirmar la configuración, muestre los clasificadores predeterminados vigentes en la interfaz mediante el show class-of-service interface interface-name comando. La pantalla confirma que el ipprec-compatibility clasificador está vigente de forma predeterminada.
Verificar la clasificación predeterminada
user@host> show class-of-service fe-0/0/2
Physical interface: fe-0/0/2, Index: 135
Queues supported: 8, Queues in use: 4
Scheduler map: <default>, Index: 2032638653
Logical interface: fe-0/0/2.0, Index: 68
Shaping rate: 32000
Object Name Type Index
Scheduler-map <default> 27
Rewrite exp-default exp 21
Classifier exp-default exp 5
Classifier ipprec-compatibility ip 8
Para ver las asignaciones predeterminadas del clasificador, utilice el show class-of-service classifier name name comando. El resultado destacado confirma que el tráfico con la configuración de prioridad IP de 0 está correctamente clasificado como BE, y que el tráfico NC, con valores de prioridad de 6 o 7, se clasifica correctamente como NC.
Mostrar asignaciones predeterminadas del clasificador
user@host> show class-of-service classifier name ipprec-compatibility Classifier: ipprec-compatibility, Code point type: inet-precedence, Index: 12 Code point Forwarding class Loss priority 000 best-effort low 001 best-effort high 010 best-effort low 011 best-effort high 100 best-effort low 101 best-effort high 110 network-control low 111 network-control high
Una vez confirmada la configuración, compruebe que el clasificador de varios campos funciona correctamente. Puede supervisar los contadores de cola para la interfaz del egress dispositivo enrutador que se utiliza al reenviar el tráfico recibido del par. La visualización de los contadores de cola de la interfaz de entrada (fe-0/0/2) no permite comprobar la clasificación de entrada, ya que la cola generalmente solo se produce en la salida del Junos OS. (La cola de entrada se admite solo en las PIC IQ2 de Gigabit Ethernet y las PIC IQ2 mejoradas.)
Para comprobar el funcionamiento del filtro de varios campos:
Para determinar qué interfaz de salida se utiliza para el tráfico, utilice el
traceroutecomando.Después de identificar la interfaz de salida, desactive sus contadores de cola asociados mediante la emisión del
clear interfaces statistics interface-namecomando.Confirme la asignación predeterminada de número de clase a cola de reenvío. Esto le permite predecir qué colas utilizan VoIP, NC y otros tráficos. Para ello, emita el
show class-of-service forwarding-classcomando.Mostrar los recuentos de cola en la interfaz mediante la emisión del
show interfaces queuecomando.