Puede configurar filtros de firewall para asignar prioridad de pérdida de paquetes (PLP) y clases de reenvío de modo que, si se produce una congestión, los paquetes marcados se puedan perder de acuerdo con la prioridad que haya establecido. Las condiciones de coincidencia válidas son uno o más de los campos de encabezado de seis paquetes: dirección de destino, dirección de origen, protocolo IP, puerto de origen, puerto de destino y DSCP. En otras palabras, puede establecer la clase de reenvío y el PLP para cada paquete que ingresa o una interfaz con una dirección de destino específica, dirección de origen, protocolo IP, puerto de origen, puerto de destino o DSCP.
Nota: Junos OS asigna clases de reenvío y PLP solo en la entrada. No utilice un filtro que asigne clases de reenvío o PLP como filtro de salida.
Cuando se habilita el marcado tricolor, un conmutador admite cuatro designaciones PLP: low, medium-low, medium-high, y high. También puede especificar cualquiera de las clases de reenvío enumeradas en Tabla 1
Tabla 1: Clases de reenvío de unidifusiónClase de reenvío de unidifusión
|
Para el tipo de tráfico de CoS
|
|---|
be
|
Tráfico de mejor esfuerzo
|
no-loss
|
Entrega garantizada para el tráfico TCP
|
fcoe
|
Entrega garantizada para el tráfico de Fibre Channel a través de Ethernet (FCoE)
|
nc
|
Tráfico de control de red
|
Para asignar clases de reenvío en filtros de firewall:
- Configure el tipo de dirección de familia y el nombre del filtro:
[edit]
user@switch# edit firewall family inetfilter ingress-filter
- Configure los términos del filtro según corresponda, incluidos los
forwarding-class modificadores de acción y loss-priority . Por ejemplo, cada uno de los siguientes términos del filtro examina varios campos de encabezado de paquete y asigna la clase de reenvío adecuada y la prioridad de pérdida de paquete: El término corp-traffic hace coincidir todos los paquetes IPv4 con una 10.1.1.0/24 dirección de origen y asigna los paquetes a la clase no-loss de reenvío con una prioridad de pérdida de low:
[edit firewall family inet filter ingress-filter]
user@switch# set term corp-traffic from source-address 10.1.1.0/24;
user@switch# set term corp-traffic then forwarding-class no-loss
user@switch# set term corp-traffic then loss-priority low
El término data-traffic hace coincidir todos los paquetes IPv4 con una 10.1.2.0/24 dirección de origen y asigna los paquetes a la clase be de reenvío (mejor esfuerzo) con una prioridad de pérdida de medium-high:
[edit firewall family inet filter ingress-filter]
user@switch# set term data-traffic from source-address 10.1.2.0/24;
user@switch# set term data-traffic then forwarding-class be
user@switch# set term data-traffic then loss-priority medium-high
El último término accept-traffic coincide con cualquier paquete que no coincide con ninguno de los términos anteriores y asigna los paquetes a la clase be de reenvío con una prioridad de pérdida de high:
[edit firewall family inet filter ingress-filter]
user@switch# set term accept-traffic then forwarding-class be
user@switch# set term accept-traffic then loss-priority high
- Aplique el filtro
ingress-filter a una interfaz de capa 3. Para obtener más información acerca de cómo aplicar el filtro, consulte Configuración de filtros de firewall. (La asignación de clases de reenvío y PLP solo se admite en filtros de entrada.)
