EN ESTA PÁGINA
Requisitos y restricciones de clasificación de múltiples campos
Limitaciones de clasificación de múltiples campos en enrutadores de la serie M
Ejemplo: Configuración de la clasificación de campos múltiples
Ejemplo: Configuración y aplicación de un filtro de firewall para un clasificador de varios campos
Ejemplo de clasificadorde múltiples campos: Configuración de la clasificación de campos múltiples
Descripción general de la clasificación multicampo
- Clases de envío y niveles PLP
- Clasificación multicampo y clasificación BA
- Clasificación multicampo utilizada junto con los aplicadores
Clases de envío y niveles PLP
Puede configurar las funciones de clase de servicio (CoS) de Junos OS para clasificar el tráfico entrante asociando cada paquete con una clase de reenvío, un nivel de prioridad de pérdida de paquetes (PLP) o ambos:
Según la clase de reenvío asociada, cada paquete se asigna a una cola de salida y el enrutador presta servicios a las colas de salida de acuerdo con la programación asociada que configure.
Según el PLP asociado, cada paquete tiene una probabilidad menor o mayor de que se caiga si se produce congestión. El proceso de detección temprana aleatoria (RED) de CoS utiliza la configuración de probabilidad de caída, el porcentaje de plenitud de la cola de salida y el PLP del paquete para descartar el paquete según sea necesario para controlar la congestión en la etapa de salida.
Clasificación multicampo y clasificación BA
Junos OS admite dos tipos generales de clasificación de paquetes: clasificación de agregados de comportamiento (BA) y clasificación multicampo:
-
La clasificación de BA, o clasificación de tráfico de valores CoS, se refiere a un método de clasificación de paquetes que utiliza una configuración de CoS para establecer la clase de reenvío o PLP de un paquete en función del valor de CoS en el encabezado del paquete IP. El valor CoS examinado para fines de clasificación BA puede ser el valor del punto de código de servicios diferenciados (DSCP), el valor IPv6 DSCP, el valor de prioridad IP, los bits EXP MPLS y el valor IEEE 802.1p. El clasificador predeterminado se basa en el valor de prioridad IP.
-
La clasificación multicampo se refiere a un método de clasificación de paquetes que utiliza una configuración estándar de filtro de firewall sin estado para establecer la clase de reenvío o PLP para cada paquete que entra o sale de la interfaz en función de varios campos en el encabezado del paquete IP, incluido el valor DSCP (solo para IPv4), el valor de prioridad IP, los bits EXP MPLS, y los bits IEEE 802.1p. La clasificación multicampo suele coincidir en los campos de dirección IP, el campo de tipo de protocolo IP o el número de puerto en el campo de pseudoencabezado UDP o TCP. Se usa la clasificación multicampo en lugar de la clasificación BA cuando necesita clasificar paquetes basándose en información del paquete distinta de los valores CoS solamente.
Con la clasificación de varios campos, un término de filtro de firewall puede especificar las acciones de clasificación de paquetes para paquetes coincidentes mediante el uso de las
forwarding-class class-name
loss-priority (high | medium-high | medium-low | low)
acciones o de no terminación en la cláusula delthen
término.
La clasificación BA de un paquete puede ser invalidada por las acciones forwarding-class
de filtro de firewall sin estado y loss-priority
.
Clasificación errónea del tráfico a través del clasificador multicampo en QFX5k:
-
Si el tráfico BUM se ve obligado a tomar cola de unidifusión a través del clasificador MF, los paquetes se clasificarán en MCQ9. Junos lanza 21.4R3 y 22.1R3 y a partir de la versión 22.2 de Junos, estos paquetes se clasificarán en MCQ8.
-
Si el tráfico de unidifusión se ve obligado a tomar la cola de multidifusión a través del clasificador MF, los paquetes se clasificarán en MCQ9 y, a partir de la versión 19.1R3, se clasificarán en la cola de mejor esfuerzo.
Clasificación multicampo utilizada junto con los aplicadores
Para configurar la clasificación de varios campos junto con la limitación de velocidad, un término de filtro de firewall puede especificar las acciones de clasificación de paquetes para paquetes coincidentes mediante el uso de una policer
acción de no terminación que hace referencia a un aplicador de dos colores de velocidad única.
Cuando la clasificación de varios campos está configurada para realizar la clasificación a través de un aplicador de política, los paquetes con filtros coincidentes en el flujo de tráfico se limitan a los límites de tráfico especificados por el aplicador de aplicación. Los paquetes en un flujo conforme de paquetes con filtro coincidente se establecen implícitamente en un low
PLP. Los paquetes en un flujo de tráfico no conforme se pueden descartar, o los paquetes se pueden establecer en una clase de reenvío especificada, establecer en un nivel PLP especificado, o ambos, según el tipo de aplicador y cómo está configurado el policía para manejar el tráfico no conforme.
Antes de aplicar un filtro de firewall que realice una clasificación de varios campos y también un controlador a la misma interfaz lógica y para la misma dirección de tráfico, asegúrese de tener en cuenta el orden de las operaciones de filtro de controlador y firewall.
Como ejemplo, considere el siguiente escenario:
Configure un filtro de firewall que realice una clasificación de varios campos (actúa sobre paquetes coincidentes estableciendo la clase de reenvío, el PLP o ambos) en función de la clase de reenvío o PLP existente del paquete. El filtro de firewall se aplica en la entrada de una interfaz lógica.
También puede configurar un aplicador de dos colores de velocidad única que actúa sobre un flujo de tráfico rojo volviendo a marcar (estableciendo la clase de reenvío, el PLP o ambos) en lugar de descartar esos paquetes. El aplicador se aplica como un aplicador de interfaz en la entrada de la misma interfaz lógica a la que se aplica el filtro de firewall.
Debido al orden de las operaciones de policía y firewall, el controlador de entrada se ejecuta antes que el filtro de firewall de entrada. Esto significa que la clasificación de varios campos especificada por el filtro de firewall se realiza en paquetes de entrada que ya se han vuelto a marcar una vez mediante acciones de vigilancia. En consecuencia, cualquier paquete de entrada que coincida con las condiciones especificadas en un término de filtro de firewall está sujeto a un segundo remarcado de acuerdo con las forwarding-class
acciones de no terminación o loss-priority
no especificadas también especificadas en ese término.
Consulte también
Requisitos y restricciones de clasificación de múltiples campos
Plataformas compatibles
La acción de loss-priority
filtro de firewall solo se admite en las siguientes plataformas de enrutamiento:
Conmutadores de la serie EX
Enrutadores M7i y M10i con CFEB mejorado (CFEB-E)
Enrutadores M120 y M320
Enrutadores serie MX
Enrutadores de la serie T con concentradores PIC flexibles (FPC) II mejorados
Enrutadores de la serie PTX
Requisito de marcado tricolor CoS
La loss-priority
acción de filtro del firewall tiene dependencias de requisitos específicos de la plataforma en la característica de marcado tricolor CoS, tal como se define en RFC 2698:
En un router M320, no puedes confirmar una configuración que incluya la acción de filtro del
loss-priority
firewall a menos que habilites la función de marcado tricolor CoS.En todas las plataformas de enrutamiento que admiten la acción de filtro de
loss-priority
firewall, no puede establecer la acción de filtro deloss-priority
firewall enmedium-low
omedium-high
a menos que habilite la función de marcado tricolor CoS. .
Para habilitar la característica de marcado tricolor CoS, incluya la tri-color
instrucción en el nivel de [edit class-of-service]
jerarquía.
Restricciones
No puede configurar las loss-priority
acciones y three-color-policer
de no terminación para el mismo período de filtro de firewall. Estas dos acciones de no terminación son mutuamente excluyentes.
En un enrutador de la serie PTX, debe configurar la policer
acción en una regla independiente y no combinarla con la regla que configura las acciones , forwarding-class
y loss-priority
. Consulte Diferencias de firewall y políticas entre los enrutadores de transporte de paquetes de la serie PTX y los enrutadores de matriz de la serie T.
Consulte también
Limitaciones de clasificación de múltiples campos en enrutadores de la serie M
- Problema: Coincidencia de filtros de salida en la clasificación de filtros de entrada
- Solución alternativa: Configurar todas las acciones del filtro de entrada
Problema: Coincidencia de filtros de salida en la clasificación de filtros de entrada
En los enrutadores serie M (excepto los enrutadores M120), no puede clasificar los paquetes con una coincidencia de filtro de salida según la clasificación de entrada establecida con un filtro de entrada aplicado a la misma interfaz lógica IPv4.
Por ejemplo, en la siguiente configuración, el filtro llamado ingress
asigna todos los paquetes IPv4 entrantes a la expedited-forwarding
clase. El filtro llamado egress
cuenta todos los paquetes que se asignaron a la expedited-forwarding
clase en el ingress
filtro. Esta configuración no funciona en la mayoría de los enrutadores de la serie M. Funciona en todas las demás plataformas de enrutamiento, incluidos los enrutadores M120, los enrutadores serie MX y los enrutadores serie T.
[edit] user@host # show firewall family inet { filter ingress { term 1 { then { forwarding-class expedited-forwarding; accept; } } term 2 { then accept; } } filter egress { term 1 { from { forwarding-class expedited-forwarding; } then count ef; } term 2 { then accept; } } } [edit] user@host# show interfaces ge-1/2/0 { unit 0 { family inet { filter { input ingress; output egress; } } } }
Solución alternativa: Configurar todas las acciones del filtro de entrada
Como solución alternativa, puede configurar todas las acciones del filtro de entrada.
user@host # show firewall family inet { filter ingress { term 1 { then { forwarding-class expedited-forwarding; accept; count ef; } } term 2 { then accept; } } } [edit] user@host# show interfaces ge-1/2/0 { unit 0 { family inet { filter { input ingress; } } } }
Consulte también
Ejemplo: Configuración de la clasificación de campos múltiples
En este ejemplo se muestra cómo configurar la clasificación multicampo del tráfico IPv4 mediante acciones de filtro de firewall y dos políticas de filtro de firewall.
Requisitos
Antes de comenzar, asegúrese de que su entorno admite las características que se muestran en este ejemplo:
La
loss-priority
acción de filtro del firewall debe ser compatible con el enrutador y configurable para los cuatro valores.Para poder establecer una
loss-priority
acción de filtro de firewall, configure este ejemplo en la interfazge-1/2/0.0
lógica en una de las siguientes plataformas de enrutamiento:Enrutador serie MX
Enrutador M120 o M320
Enrutador M7i o M10i con CFEB mejorado (CFEB-E)
Enrutador de la serie T con concentrador PIC flexible (FPC) II mejorado
Para poder establecer una acción de
loss-priority
filtro de firewall enmedium-low
omedium-high
, asegúrese de que la función de marcado tricolor CoS esté activada. Para habilitar la característica de marcado tricolor CoS, incluya latri-color
instrucción en el nivel de[edit class-of-service]
jerarquía.
Las
expedited-forwarding
clases de reenvío yassured-forwarding
deben programarse en la interfazge-1/2/0
física subyacente.Asegúrese de que las siguientes clases de reenvío están asignadas a las colas de salida:
expedited-forwarding
assured-forwarding
Las asignaciones de clase de reenvío se configuran en el nivel jerárquico
[edit class-of-service forwarding-classes queue queue-number]
.Nota:No puede confirmar una configuración que asigne la misma clase de reenvío a dos colas diferentes.
Asegúrese de que las colas de salida a las que están asignadas las clases de reenvío están asociadas a programadores. Un programador define la cantidad de ancho de banda de interfaz asignado a la cola, el tamaño del búfer de memoria asignado para almacenar paquetes, la prioridad de la cola y los perfiles de caída de detección temprana aleatoria (RED) asociados con la cola.
Los programadores de colas de salida se configuran en el nivel jerárquico
[edit class-of-service schedulers]
.Los programadores de cola de salida se asocian a las clases de reenvío mediante una asignación de programador que se configura en el
[edit class-of-service scheduler-maps map-name]
nivel de jerarquía.
Asegúrese de que la programación de la cola de salida se aplica a la interfaz
ge-1/2/0
física.Puede aplicar una asignación de programador a una interfaz física en el nivel jerárquico
[edit class-of-service interfaces ge-1/2/0 scheduler-map map-name]
.
Descripción general
En este ejemplo, se aplica la clasificación de varios campos al tráfico IPv4 de entrada en una interfaz lógica mediante acciones de filtro de firewall sin estado y dos políticas de filtro de firewall a las que se hace referencia desde el filtro de firewall. Según el campo de dirección de origen, los paquetes se establecen en la prioridad de low
pérdida o se vigilan. Ninguno de los policías descarta el tráfico no conforme. Los paquetes en flujos no conformes se marcan para una clase de reenvío específica (expedited-forwarding
o assured-forwarding
), establecida en una prioridad de pérdida específica y luego se transmiten.
Los aplicadores de dos colores de velocidad única siempre transmiten paquetes en un flujo de tráfico conforme después de establecer implícitamente una prioridad de low
pérdida.
Topología
En este ejemplo, se aplica la clasificación de varios campos al tráfico IPv4 en la interfaz ge-1/2/0.0
lógica. Las reglas de clasificación se especifican en el filtro mfc-filter
de firewall sin estado IPv4 y en dos aplicadores de dos colores de velocidad única, ef-policer
y af-policer
.
El filtro mfc-filter
de firewall sin estado estándar IPv4 define tres términos de filtro:
isp1-customers
: el primer término de filtro hace coincidir los paquetes con la dirección de origen 10.1.1.0/24 o 10.1.2.0/24. Los paquetes coincidentes se asignan a laexpedited-forwarding
clase de reenvío y se establecen en la prioridad delow
pérdida.isp2-customers
: el segundo término de filtro hace coincidir los paquetes con la dirección de origen 10.1.3.0/24 o 10.1.4.0/24. Los paquetes coincidentes se pasan a , un aplicador de políticas que limita laef-policer
velocidad del tráfico a un límite de ancho de banda de 300 Kbps con un límite de tamaño de ráfaga de 50 KB. Este aplicador de políticas especifica que los paquetes de un flujo no conforme se marcan para laexpedited-forwarding
clase de reenvío y se establecen en la prioridad dehigh
pérdida.other-customers
: el tercer y último término de filtro pasa todos los demás paquetes aaf-policer
, un aplicador de políticas que limita la velocidad del tráfico a un límite de ancho de banda de 300 Kbps y un límite de tamaño de ráfaga de 50 KB (los mismos límites de tráfico definidos poref-policer
). Este aplicador de políticas especifica que los paquetes de un flujo no conforme se marcan para laassured-forwarding
clase de reenvío y se establecen en la prioridad demedium-high
pérdida.
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configuración de políticas para limitar la velocidad del tráfico de reenvío acelerado y reenvío asegurado
- Configuración de un filtro de clasificación de varios campos que también aplique vigilancia
- Aplicación del filtrado y la vigilancia de clasificación de varios campos a la interfaz lógica
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit]
jerarquía.
set firewall policer ef-policer if-exceeding bandwidth-limit 300k set firewall policer ef-policer if-exceeding burst-size-limit 50k set firewall policer ef-policer then loss-priority high set firewall policer ef-policer then forwarding-class expedited-forwarding set firewall policer af-policer if-exceeding bandwidth-limit 300k set firewall policer af-policer if-exceeding burst-size-limit 50k set firewall policer af-policer then loss-priority high set firewall policer af-policer then forwarding-class assured-forwarding set firewall family inet filter mfc-filter term isp1-customers from source-address 10.1.1.0/24 set firewall family inet filter mfc-filter term isp1-customers from source-address 10.1.2.0/24 set firewall family inet filter mfc-filter term isp1-customers then loss-priority low set firewall family inet filter mfc-filter term isp1-customers then forwarding-class expedited-forwarding set firewall family inet filter mfc-filter term isp2-customers from source-address 10.1.3.0/24 set firewall family inet filter mfc-filter term isp2-customers from source-address 10.1.4.0/24 set firewall family inet filter mfc-filter term isp2-customers then policer ef-policer set firewall family inet filter mfc-filter term other-customers then policer af-policer set interfaces ge-1/2/0 unit 0 family inet address 192.168.1.1/24 set interfaces ge-1/2/0 unit 0 family inet filter input mfc-filter
Configuración de políticas para limitar la velocidad del tráfico de reenvío acelerado y reenvío asegurado
Procedimiento paso a paso
Para configurar los aplicadores de políticas para limitar la velocidad del tráfico de reenvío acelerado y reenvío asegurado:
Defina los límites de tráfico para el tráfico de reenvío acelerado.
[edit] user@host# edit firewall policer ef-policer [edit firewall policer ef-policer] user@host# set if-exceeding bandwidth-limit 300k user@host# set if-exceeding burst-size-limit 50k user@host# set then loss-priority high user@host# set then forwarding-class expedited-forwarding
Configure un aplicador de políticas para el tráfico de reenvío asegurado.
[edit firewall policer ef-policer] user@host# up [edit firewall] user@host# edit policer af-policer [edit firewall policer af-policer] user@host# set if-exceeding bandwidth-limit 300k user@host# set if-exceeding burst-size-limit 50k user@host# set then loss-priority high user@host# set then forwarding-class assured-forwarding
Resultados
Confirme la configuración del aplicador de políticas introduciendo el comando de show firewall
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit] user@host# show firewall policer af-policer { if-exceeding { bandwidth-limit 300k; burst-size-limit 50k; } then { loss-priority high; forwarding-class assured-forwarding; } } policer ef-policer { if-exceeding { bandwidth-limit 300k; burst-size-limit 50k; } then { loss-priority high; forwarding-class expedited-forwarding; } }
Configuración de un filtro de clasificación de varios campos que también aplique vigilancia
Procedimiento paso a paso
Para configurar un filtro de clasificación de varios campos que aplique adicionalmente la vigilancia:
Habilite la configuración de un término de filtro de firewall para el tráfico IPv4.
[edit] user@host# edit firewall family inet filter mfc-filter
Configure el primer término para que coincida en las direcciones de origen y, a continuación, clasifique los paquetes coincidentes.
[edit firewall family inet filter mfc-filter] user@host# set term isp1-customers from source-address 10.1.1.0/24 user@host# set term isp1-customers from source-address 10.1.2.0/24 user@host# set term isp1-customers then loss-priority low user@host# set term isp1-customers then forwarding-class expedited-forwarding
Configure el segundo término para que coincida en diferentes direcciones de origen y, a continuación, examine los paquetes coincidentes.
[edit firewall family inet filter mfc-filter] user@host# set term isp2-customers from source-address 10.1.3.0/24 user@host# set term isp2-customers from source-address 10.1.4.0/24 user@host# set term isp2-customers then policer ef-policer
Configure el tercer término para vigilar todos los demás paquetes en un conjunto diferente de límites de tráfico y acciones.
[edit firewall family inet filter mfc-filter] user@host# set term other-customers then policer af-policer
Resultados
Confirme la configuración del filtro introduciendo el comando de show firewall
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit] user@host# show firewall family inet { filter mfc-filter { term isp1-customers { from { source-address 10.1.1.0/24; source-address 10.1.2.0/24; } then { loss-priority low; forwarding-class expedited-forwarding; } } term isp2-customers { from { source-address 10.1.3.0/24; source-address 10.1.4.0/24; } then { policer ef-policer; } } term other-customers { then { policer af-policer; } } } } policer af-policer { if-exceeding { bandwidth-limit 300k; burst-size-limit 50k; } then discard; } policer ef-policer { if-exceeding { bandwidth-limit 200k; burst-size-limit 50k; } then { loss-priority high; forwarding-class expedited-forwarding; } }
Aplicación del filtrado y la vigilancia de clasificación de varios campos a la interfaz lógica
Procedimiento paso a paso
Para aplicar el filtrado y la vigilancia de clasificación de varios campos a la interfaz lógica:
Habilite la configuración de IPv4 en la interfaz lógica.
[edit] user@host# edit interfaces ge-1/2/0 unit 0 family inet
Configure una dirección IP para la interfaz lógica.
[edit interfaces ge-1/2/0 unit 0 family inet ] user@host# set address 192.168.1.1/24
Aplique el filtro de firewall a la entrada de interfaz lógica.
[edit interfaces ge-1/2/0 unit 0 family inet ] user@host# set filter input mfc-filter
Nota:Dado que el controlador se ejecuta antes que el filtro, si también se configura un controlador de entrada en la interfaz lógica, no puede utilizar la clase de reenvío y el PLP de un clasificador de varios campos asociado a la interfaz.
Resultados
Confirme la configuración de la interfaz introduciendo el comando de show interfaces
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit] user@host# show interfaces ge-1/2/0 { unit 0 { family inet { filter { input mfc-filter; } address 192.168.1.1/24; } } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
Visualización del número de paquetes procesados por el aplicador de políticas en la interfaz lógica
Propósito
Compruebe el flujo de tráfico a través de la interfaz lógica y que el aplicador de políticas se evalúa cuando se reciben paquetes en la interfaz lógica.
Acción
Utilice el comando de show firewall
modo operativo para el filtro que aplicó a la interfaz lógica.
user@host> show firewall filter rate-limit-in Filter: rate-limit-in Policers: Name Packets ef-policer-isp2-customers 32863 af-policer-other-customers 3870
El resultado del comando enumera los aplicadores aplicados por el filtro rate-limit-in
de firewall y el número de paquetes que coinciden con el término del filtro.
El recuento de paquetes incluye el número de recuentos de paquetes fuera de especificación (fuera de especificación), no todos los paquetes vigilados por el aplicador de la ley.
El nombre del policía se muestra concatenado con el nombre del término del filtro de firewall en el que se hace referencia al aplicador como una acción.
Ejemplo: Configuración y aplicación de un filtro de firewall para un clasificador de varios campos
En este ejemplo se muestra cómo configurar un filtro de firewall para clasificar el tráfico mediante un clasificador de varios campos. El clasificador detecta paquetes de interés para la clase de servicio (CoS) a medida que llegan a una interfaz. Los clasificadores de múltiples campos se utilizan cuando un clasificador de agregado de comportamiento simple (BA) no es suficiente para clasificar un paquete, cuando los enrutadores de emparejamiento no tienen marcados los bits CoS o cuando el marcado del enrutador de emparejamiento no es de confianza.
Requisitos
Para comprobar este procedimiento, en este ejemplo se utiliza un generador de tráfico. El generador de tráfico puede estar basado en hardware o puede ser software que se ejecuta en un servidor o máquina host.
La funcionalidad de este procedimiento es ampliamente admitida en dispositivos que ejecutan Junos OS. El ejemplo que se muestra aquí se probó y verificó en enrutadores de la serie MX que ejecutan Junos OS versión 10.4.
Descripción general
Un clasificador es una operación de software que inspecciona un paquete a medida que ingresa al enrutador o conmutador. Se examina el contenido del encabezado del paquete, y este examen determina cómo se trata el paquete cuando la red está demasiado ocupada para manejar todos los paquetes y desea que los dispositivos descarten paquetes de forma inteligente, en lugar de descartarlos indiscriminadamente. Una forma común de detectar paquetes de interés es por número de puerto de origen. Los números de puerto TCP 80 y 12345 se utilizan en este ejemplo, pero muchos otros criterios coincidentes para la detección de paquetes están disponibles para los clasificadores de múltiples campos, utilizando condiciones de coincidencia de filtro de firewall. La configuración de este ejemplo especifica que los paquetes TCP con el puerto de origen 80 se clasifican en la clase de reenvío de datos BE y en el número de cola 0. Los paquetes TCP con el puerto de origen 12345 se clasifican en la clase de reenvío de datos Premium y el número de cola 1.
Los clasificadores multicampo se usan normalmente en el borde de la red cuando los paquetes entran en un sistema autónomo (AS).
En este ejemplo, configure el filtro de firewall mf-classifier y especifique algunas clases de reenvío personalizadas en el dispositivo R1. Al especificar las clases de reenvío personalizadas, también se asocia cada clase con una cola.
La operación del clasificador se muestra en Figura 1.
El filtro de firewall del clasificador de varios campos se aplica como filtro de entrada en cada interfaz orientada al cliente o al host que necesite el filtro. La interfaz entrante es ge-1/0/1 en el dispositivo R1. La clasificación y la asignación de colas se verifican en la interfaz de salida. La interfaz saliente es la interfaz ge-1/0/9 del dispositivo R1.
Topología
Figura 2 muestra la red de ejemplo.
Configuración rápida de CLI muestra la configuración de todos los dispositivos de Juniper Networks en Figura 2.
Procedimiento paso a paso describe los pasos del dispositivo R1.
Los clasificadores se describen con más detalle en el siguiente video de Byte de aprendizaje de Juniper Networks.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit]
y, luego, ingrese commit
desde el modo de configuración.
Dispositivo R1
set interfaces ge-1/0/1 description to-host set interfaces ge-1/0/1 unit 0 family inet filter input mf-classifier set interfaces ge-1/0/1 unit 0 family inet address 172.16.50.2/30 set interfaces ge-1/0/9 description to-R2 set interfaces ge-1/0/9 unit 0 family inet address 10.30.0.1/30 set class-of-service forwarding-classes class BE-data queue-num 0 set class-of-service forwarding-classes class Premium-data queue-num 1 set class-of-service forwarding-classes class Voice queue-num 2 set class-of-service forwarding-classes class NC queue-num 3 set firewall family inet filter mf-classifier term BE-data from protocol tcp set firewall family inet filter mf-classifier term BE-data from port 80 set firewall family inet filter mf-classifier term BE-data then forwarding-class BE-data set firewall family inet filter mf-classifier term Premium-data from protocol tcp set firewall family inet filter mf-classifier term Premium-data from port 12345 set firewall family inet filter mf-classifier term Premium-data then forwarding-class Premium-data set firewall family inet filter mf-classifier term accept-all-else then accept
Dispositivo R2
set interfaces ge-1/0/9 description to-R1 set interfaces ge-1/0/9 unit 0 family inet address 10.30.0.2/30
Procedimiento paso a paso
El ejemplo siguiente requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar el dispositivo R1:
-
Configure las interfaces del dispositivo.
[edit interfaces] user@R1# set ge-1/0/1 description to-host user@R1# set ge-1/0/1 unit 0 family inet address 172.16.50.2/30 user@R1# set ge-1/0/9 description to-R2 user@R1# set ge-1/0/9 unit 0 family inet address 10.30.0.1/30
-
Configure las clases de reenvío personalizadas y los números de cola asociados.
[edit class-of-service forwarding-classes] user@R1# set BE-data queue-num 0 user@R1# set Premium-data queue-num 1 user@R1# set Voice queue-num 2 user@R1# set NC queue-num 3
-
Configure el término de filtro de firewall que coloca el tráfico TCP con un puerto de origen de 80 (tráfico HTTP) en la clase de reenvío de datos BE, asociada a la cola 0.
[edit firewall family inet filter mf-classifier] user@R1# set term BE-data from protocol tcp user@R1# set term BE-data from port 80 user@R1# set term BE-data then forwarding-class BE-data
-
Configure el término de filtro de firewall que coloca el tráfico TCP con un puerto de origen de 12345 en la clase de reenvío de datos Premium, asociada a la cola 1.
[edit firewall family inet filter mf-classifier] user@R1# set term Premium-data from protocol tcp user@R1# set term Premium-data from port 12345 user@R1# set term Premium-data then forwarding-class Premium-data
-
Al final del filtro de firewall, configure un término predeterminado que acepte el resto del tráfico.
De lo contrario, se descartará todo el tráfico que llegue a la interfaz y que no sea aceptado explícitamente por el filtro del firewall.
[edit firewall family inet filter mf-classifier] user@R1# set term accept-all-else then accept
-
Aplique el filtro de firewall a la interfaz ge-1/0/1 como filtro de entrada.
[edit interfaces] user@R1# set ge-1/0/1 unit 0 family inet filter input mf-classifier
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show interfaces
comandos , show class-of-service
. show firewall
Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@R1# show interfaces ge-1/0/1 { description to-host; unit 0 { family inet { filter { input mf-classifier; } address 172.16.50.2/30; } } } ge-1/0/9 { description to-R2; unit 0 { family inet { address 10.30.0.1/30; } } }
user@R1# show class-of-service forwarding-classes { class BE-data queue-num 0; class Premium-data queue-num 1; class Voice queue-num 2; class NC queue-num 3; }
user@R1# show firewall family inet { filter mf-classifier { term BE-data { from { protocol tcp; port 80; } then forwarding-class BE-data; } term Premium-data { from { protocol tcp; port 12345; } then forwarding-class Premium-data; } term accept-all-else { then accept; } } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Comprobación de la configuración del CoS
- Envío de tráfico TCP a la red y supervisión de la colocación de la cola
Comprobación de la configuración del CoS
Propósito
Confirme que las clases de reenvío están configuradas correctamente.
Acción
Desde el dispositivo R1, ejecute el show class-of-service forwardng-classes
comando.
user@R1> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority BE-data 0 0 0 low normal low Premium-data 1 1 1 low normal low Voice 2 2 2 low normal low NC 3 3 3 low normal low
Significado
El resultado muestra los valores del clasificador personalizado configurados.
Envío de tráfico TCP a la red y supervisión de la colocación de la cola
Propósito
Asegúrese de que el tráfico de interés se envía a la cola esperada.
Acción
Borre las estadísticas de la interfaz en la interfaz saliente del dispositivo R1.
user@R1> clear interfaces statistics ge-1/0/9
Utilice un generador de tráfico para enviar 50 paquetes del puerto TCP 80 al dispositivo R2 o a algún otro dispositivo descendente.
En el dispositivo R1, compruebe los contadores de cola.
Observe que comprueba los contadores de cola en la interfaz de salida descendente, no en la interfaz entrante.
user@R1> show interfaces extensive ge-1/0/9 | find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 50 50 0 1 0 57 0 2 0 0 0 3 0 0 0
Utilice un generador de tráfico para enviar 50 paquetes del puerto TCP 12345 al dispositivo R2 o a algún otro dispositivo descendente.
[root@host]# hping 172.16.60.1 -c 50 -s 12345 -k
En el dispositivo R1, compruebe los contadores de cola.
user@R1> show interfaces extensive ge-1/0/9 | find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 50 50 0 1 50 57 0 2 0 0 0 3 0 0 0
Significado
El resultado muestra que los paquetes están clasificados correctamente. Cuando se utiliza el puerto 80 en los paquetes TCP, se incrementa la cola 0. Cuando se utiliza el puerto 12345, se incrementa la cola 1.