EN ESTA PÁGINA
Ejemplo: Configuración de un filtro para establecer el bit DSCP en cero
En este ejemplo, se muestra cómo configurar un filtro de firewall estándar sin estado basado en el punto de código de servicios diferenciados (DSCP).
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, utiliza un filtro de firewall sin estado para hacer coincidir paquetes en patrones de bits DSCP. Si el DSCP es 2, el paquete se clasifica a la best-effort clase de reenvío y el DSCP se establece en 0. Si el DSCP es 3, el paquete se clasifica a la best-effort clase de reenvío.
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configurar el filtro de firewall sin estado
- Aplicar el filtro de firewall sin estado a una interfaz lógica
- Confirme y confirme la configuración de su candidato
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set firewall filter filter1 term 1 from dscp 2 set firewall filter filter1 term 1 then forwarding-class best-effort set firewall filter filter1 term 1 then dscp 0 set firewall filter filter1 term 2 from dscp 3 set firewall filter filter1 term 2 then forwarding-class best-effort set interfaces ge-0/1/0 unit 0 family inet filter input filter1
Configurar el filtro de firewall sin estado
Procedimiento paso a paso
Para configurar el filtro de firewall sin estado filter1:
Cree el filtro de firewall sin estado.
[edit] user@host# edit firewall filter filter1
Configure el primer término para que coincida con un paquete con un DSCP de 2, cambie el DSCP a 0, y clasifique el paquete en la best-effort clase de reenvío.
[edit firewall filter filter1] user@host# set term 1 from dscp 2 user@host# set term 1 then forwarding-class best-effort user@host# set term 1 then dscp 0
Configure el otro término para que coincida con un paquete con un DSCP de 3 y clasifique el paquete en la best-effort clase de reenvío.
[edit firewall filter filter1] user@host# set term 2 from dscp 3 user@host# set term 2 then forwarding-class best-effort
Aplicar el filtro de firewall sin estado a una interfaz lógica
Procedimiento paso a paso
Para aplicar el filtro de firewall sin estado a la interfaz lógica correspondiente a la instancia de enrutamiento y reenvío VPN (VRF):
Configure la interfaz lógica a la que aplicará el filtro de firewall sin estado.
[edit] user@host# edit interfaces ge-0/1/0 unit 0 family inet
Aplique el filtro de firewall sin estado a la interfaz lógica.
[ input filter1] user@host# set filter input filter1
Confirme y confirme la configuración de su candidato
Procedimiento paso a paso
Para confirmar y, luego, confirmar la configuración de su candidato:
Para confirmar la configuración del filtro de firewall sin estado, ingrese el comando del modo de
show firewallconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show firewall filter filter1 { term term1 { from { dscp 2; } then { forwarding-class best-effort; dscp 0; } } term term2 { from { dscp 3; } then { forwarding-class best-effort; } } }Confirme la configuración de la interfaz ingresando el comando de modo de
show interfacesconfiguración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.[edit] user@host# show interfaces ge-0/1/0 { unit 0 { family inet { filter input filter1; } } }Si ha terminado de configurar el dispositivo, confirme la configuración del candidato.
[edit] user@host# commit
Verificación
Para confirmar que la configuración funciona correctamente, escriba los siguientes comandos de modo operativo:
show class-of-service— Muestra toda la configuración de clase de servicio (CoS), incluidos los valores predeterminados elegidos por el sistema.
show class-of-service classifier type dscp— Muestra solo los clasificadores del DSCP para el tipo IPv4.