Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo de clasificadorde múltiples campos: Configuración de la clasificación de campos múltiples

Descripción general de la clasificación multicampo

Clases de envío y niveles PLP

Puede configurar las funciones de clase de servicio (CoS) de Junos OS para clasificar el tráfico entrante asociando cada paquete con una clase de reenvío, un nivel de prioridad de pérdida de paquetes (PLP) o ambos:

  • Según la clase de reenvío asociada, cada paquete se asigna a una cola de salida y el enrutador presta servicios a las colas de salida de acuerdo con la programación asociada que configure.

  • Según el PLP asociado, cada paquete tiene una probabilidad menor o mayor de que se caiga si se produce congestión. El proceso de detección temprana aleatoria (RED) de CoS utiliza la configuración de probabilidad de caída, el porcentaje de plenitud de la cola de salida y el PLP del paquete para descartar el paquete según sea necesario para controlar la congestión en la etapa de salida.

Clasificación multicampo y clasificación BA

Junos OS admite dos tipos generales de clasificación de paquetes: clasificación de agregados de comportamiento (BA) y clasificación multicampo:

  • La clasificación de BA, o clasificación de tráfico de valores CoS, se refiere a un método de clasificación de paquetes que utiliza una configuración de CoS para establecer la clase de reenvío o PLP de un paquete en función del valor de CoS en el encabezado del paquete IP. El valor CoS examinado para fines de clasificación BA puede ser el valor del punto de código de servicios diferenciados (DSCP), el valor IPv6 DSCP, el valor de prioridad IP, los bits EXP MPLS y el valor IEEE 802.1p. El clasificador predeterminado se basa en el valor de prioridad IP.

  • La clasificación multicampo se refiere a un método de clasificación de paquetes que utiliza una configuración estándar de filtro de firewall sin estado para establecer la clase de reenvío o PLP para cada paquete que entra o sale de la interfaz en función de varios campos en el encabezado del paquete IP, incluido el valor DSCP (solo para IPv4), el valor de prioridad IP, los bits EXP MPLS, y los bits IEEE 802.1p. La clasificación multicampo suele coincidir en los campos de dirección IP, el campo de tipo de protocolo IP o el número de puerto en el campo de pseudoencabezado UDP o TCP. Se usa la clasificación multicampo en lugar de la clasificación BA cuando necesita clasificar paquetes basándose en información del paquete distinta de los valores CoS solamente.

    Con la clasificación de varios campos, un término de filtro de firewall puede especificar las acciones de clasificación de paquetes para paquetes coincidentes mediante el uso de las forwarding-class class-nameloss-priority (high | medium-high | medium-low | low) acciones o de no terminación en la cláusula del then término.

Nota:

La clasificación BA de un paquete puede ser invalidada por las acciones forwarding-class de filtro de firewall sin estado y loss-priority.

Nota:

Clasificación errónea del tráfico a través del clasificador multicampo en QFX5k:

  • Si el tráfico BUM se ve obligado a tomar cola de unidifusión a través del clasificador MF, los paquetes se clasificarán en MCQ9. Junos lanza 21.4R3 y 22.1R3 y a partir de la versión 22.2 de Junos, estos paquetes se clasificarán en MCQ8.

  • Si el tráfico de unidifusión se ve obligado a tomar la cola de multidifusión a través del clasificador MF, los paquetes se clasificarán en MCQ9 y, a partir de la versión 19.1R3, se clasificarán en la cola de mejor esfuerzo.

Clasificación multicampo utilizada junto con los aplicadores

Para configurar la clasificación de varios campos junto con la limitación de velocidad, un término de filtro de firewall puede especificar las acciones de clasificación de paquetes para paquetes coincidentes mediante el uso de una policer acción de no terminación que hace referencia a un aplicador de dos colores de velocidad única.

Cuando la clasificación de varios campos está configurada para realizar la clasificación a través de un aplicador de política, los paquetes con filtros coincidentes en el flujo de tráfico se limitan a los límites de tráfico especificados por el aplicador de aplicación. Los paquetes en un flujo conforme de paquetes con filtro coincidente se establecen implícitamente en un low PLP. Los paquetes en un flujo de tráfico no conforme se pueden descartar, o los paquetes se pueden establecer en una clase de reenvío especificada, establecer en un nivel PLP especificado, o ambos, según el tipo de aplicador y cómo está configurado el policía para manejar el tráfico no conforme.

Nota:

Antes de aplicar un filtro de firewall que realice una clasificación de varios campos y también un controlador a la misma interfaz lógica y para la misma dirección de tráfico, asegúrese de tener en cuenta el orden de las operaciones de filtro de controlador y firewall.

Como ejemplo, considere el siguiente escenario:

  • Configure un filtro de firewall que realice una clasificación de varios campos (actúa sobre paquetes coincidentes estableciendo la clase de reenvío, el PLP o ambos) en función de la clase de reenvío o PLP existente del paquete. El filtro de firewall se aplica en la entrada de una interfaz lógica.

  • También puede configurar un aplicador de dos colores de velocidad única que actúa sobre un flujo de tráfico rojo volviendo a marcar (estableciendo la clase de reenvío, el PLP o ambos) en lugar de descartar esos paquetes. El aplicador se aplica como un aplicador de interfaz en la entrada de la misma interfaz lógica a la que se aplica el filtro de firewall.

Debido al orden de las operaciones de policía y firewall, el controlador de entrada se ejecuta antes que el filtro de firewall de entrada. Esto significa que la clasificación de varios campos especificada por el filtro de firewall se realiza en paquetes de entrada que ya se han vuelto a marcar una vez mediante acciones de vigilancia. En consecuencia, cualquier paquete de entrada que coincida con las condiciones especificadas en un término de filtro de firewall está sujeto a un segundo remarcado de acuerdo con las forwarding-class acciones de no terminación o loss-priority no especificadas también especificadas en ese término.

Requisitos y restricciones de clasificación de múltiples campos

Plataformas compatibles

La acción de loss-priority filtro de firewall solo se admite en las siguientes plataformas de enrutamiento:

  • Conmutadores de la serie EX

  • Enrutadores M7i y M10i con CFEB mejorado (CFEB-E)

  • Enrutadores M120 y M320

  • Enrutadores serie MX

  • Enrutadores de la serie T con concentradores PIC flexibles (FPC) II mejorados

  • Enrutadores de la serie PTX

Requisito de marcado tricolor CoS

La loss-priority acción de filtro del firewall tiene dependencias de requisitos específicos de la plataforma en la característica de marcado tricolor CoS, tal como se define en RFC 2698:

  • En un router M320, no puedes confirmar una configuración que incluya la acción de filtro del loss-priority firewall a menos que habilites la función de marcado tricolor CoS.

  • En todas las plataformas de enrutamiento que admiten la acción de filtro de loss-priority firewall, no puede establecer la acción de filtro de loss-priority firewall en medium-low o medium-high a menos que habilite la función de marcado tricolor CoS. .

Para habilitar la característica de marcado tricolor CoS, incluya la tri-color instrucción en el nivel de [edit class-of-service] jerarquía.

Restricciones

No puede configurar las loss-priority acciones y three-color-policer de no terminación para el mismo período de filtro de firewall. Estas dos acciones de no terminación son mutuamente excluyentes.

Nota:

En un enrutador de la serie PTX, debe configurar la policer acción en una regla independiente y no combinarla con la regla que configura las acciones , forwarding-classy loss-priority . Consulte Diferencias de firewall y políticas entre los enrutadores de transporte de paquetes de la serie PTX y los enrutadores de matriz de la serie T.

Limitaciones de clasificación de múltiples campos en enrutadores de la serie M

Problema: Coincidencia de filtros de salida en la clasificación de filtros de entrada

En los enrutadores serie M (excepto los enrutadores M120), no puede clasificar los paquetes con una coincidencia de filtro de salida según la clasificación de entrada establecida con un filtro de entrada aplicado a la misma interfaz lógica IPv4.

Por ejemplo, en la siguiente configuración, el filtro llamado ingress asigna todos los paquetes IPv4 entrantes a la expedited-forwarding clase. El filtro llamado egress cuenta todos los paquetes que se asignaron a la expedited-forwarding clase en el ingress filtro. Esta configuración no funciona en la mayoría de los enrutadores de la serie M. Funciona en todas las demás plataformas de enrutamiento, incluidos los enrutadores M120, los enrutadores serie MX y los enrutadores serie T.

Solución alternativa: Configurar todas las acciones del filtro de entrada

Como solución alternativa, puede configurar todas las acciones del filtro de entrada.

Ejemplo: Configuración de la clasificación de campos múltiples

En este ejemplo se muestra cómo configurar la clasificación multicampo del tráfico IPv4 mediante acciones de filtro de firewall y dos políticas de filtro de firewall.

Requisitos

Antes de comenzar, asegúrese de que su entorno admite las características que se muestran en este ejemplo:

  1. La loss-priority acción de filtro del firewall debe ser compatible con el enrutador y configurable para los cuatro valores.

    1. Para poder establecer una loss-priority acción de filtro de firewall, configure este ejemplo en la interfaz ge-1/2/0.0 lógica en una de las siguientes plataformas de enrutamiento:

      • Enrutador serie MX

      • Enrutador M120 o M320

      • Enrutador M7i o M10i con CFEB mejorado (CFEB-E)

      • Enrutador de la serie T con concentrador PIC flexible (FPC) II mejorado

    2. Para poder establecer una acción de loss-priority filtro de firewall en medium-low o medium-high, asegúrese de que la función de marcado tricolor CoS esté activada. Para habilitar la característica de marcado tricolor CoS, incluya la tri-color instrucción en el nivel de [edit class-of-service] jerarquía.

  2. Las expedited-forwarding clases de reenvío y assured-forwarding deben programarse en la interfaz ge-1/2/0física subyacente.

    1. Asegúrese de que las siguientes clases de reenvío están asignadas a las colas de salida:

      • expedited-forwarding

      • assured-forwarding

      Las asignaciones de clase de reenvío se configuran en el nivel jerárquico [edit class-of-service forwarding-classes queue queue-number] .

      Nota:

      No puede confirmar una configuración que asigne la misma clase de reenvío a dos colas diferentes.

    2. Asegúrese de que las colas de salida a las que están asignadas las clases de reenvío están asociadas a programadores. Un programador define la cantidad de ancho de banda de interfaz asignado a la cola, el tamaño del búfer de memoria asignado para almacenar paquetes, la prioridad de la cola y los perfiles de caída de detección temprana aleatoria (RED) asociados con la cola.

      • Los programadores de colas de salida se configuran en el nivel jerárquico [edit class-of-service schedulers] .

      • Los programadores de cola de salida se asocian a las clases de reenvío mediante una asignación de programador que se configura en el [edit class-of-service scheduler-maps map-name] nivel de jerarquía.

    3. Asegúrese de que la programación de la cola de salida se aplica a la interfaz ge-1/2/0física.

      Puede aplicar una asignación de programador a una interfaz física en el nivel jerárquico [edit class-of-service interfaces ge-1/2/0 scheduler-map map-name] .

Descripción general

En este ejemplo, se aplica la clasificación de varios campos al tráfico IPv4 de entrada en una interfaz lógica mediante acciones de filtro de firewall sin estado y dos políticas de filtro de firewall a las que se hace referencia desde el filtro de firewall. Según el campo de dirección de origen, los paquetes se establecen en la prioridad de low pérdida o se vigilan. Ninguno de los policías descarta el tráfico no conforme. Los paquetes en flujos no conformes se marcan para una clase de reenvío específica (expedited-forwarding o assured-forwarding), establecida en una prioridad de pérdida específica y luego se transmiten.

Nota:

Los aplicadores de dos colores de velocidad única siempre transmiten paquetes en un flujo de tráfico conforme después de establecer implícitamente una prioridad de low pérdida.

Topología

En este ejemplo, se aplica la clasificación de varios campos al tráfico IPv4 en la interfaz ge-1/2/0.0lógica. Las reglas de clasificación se especifican en el filtro mfc-filter de firewall sin estado IPv4 y en dos aplicadores de dos colores de velocidad única, ef-policer y af-policer.

El filtro mfc-filter de firewall sin estado estándar IPv4 define tres términos de filtro:

  • isp1-customers: el primer término de filtro hace coincidir los paquetes con la dirección de origen 10.1.1.0/24 o 10.1.2.0/24. Los paquetes coincidentes se asignan a la expedited-forwarding clase de reenvío y se establecen en la prioridad de low pérdida.

  • isp2-customers: el segundo término de filtro hace coincidir los paquetes con la dirección de origen 10.1.3.0/24 o 10.1.4.0/24. Los paquetes coincidentes se pasan a , un aplicador de políticas que limita la ef-policervelocidad del tráfico a un límite de ancho de banda de 300 Kbps con un límite de tamaño de ráfaga de 50 KB. Este aplicador de políticas especifica que los paquetes de un flujo no conforme se marcan para la expedited-forwarding clase de reenvío y se establecen en la prioridad de high pérdida.

  • other-customers: el tercer y último término de filtro pasa todos los demás paquetes a af-policer, un aplicador de políticas que limita la velocidad del tráfico a un límite de ancho de banda de 300 Kbps y un límite de tamaño de ráfaga de 50 KB (los mismos límites de tráfico definidos por ef-policer). Este aplicador de políticas especifica que los paquetes de un flujo no conforme se marcan para la assured-forwarding clase de reenvío y se establecen en la prioridad de medium-high pérdida.

Configuración

En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.

Para configurar este ejemplo, realice las siguientes tareas:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit] jerarquía.

Configuración de políticas para limitar la velocidad del tráfico de reenvío acelerado y reenvío asegurado

Procedimiento paso a paso

Para configurar los aplicadores de políticas para limitar la velocidad del tráfico de reenvío acelerado y reenvío asegurado:

  1. Defina los límites de tráfico para el tráfico de reenvío acelerado.

  2. Configure un aplicador de políticas para el tráfico de reenvío asegurado.

Resultados

Confirme la configuración del aplicador de políticas introduciendo el comando de show firewall modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Configuración de un filtro de clasificación de varios campos que también aplique vigilancia

Procedimiento paso a paso

Para configurar un filtro de clasificación de varios campos que aplique adicionalmente la vigilancia:

  1. Habilite la configuración de un término de filtro de firewall para el tráfico IPv4.

  2. Configure el primer término para que coincida en las direcciones de origen y, a continuación, clasifique los paquetes coincidentes.

  3. Configure el segundo término para que coincida en diferentes direcciones de origen y, a continuación, examine los paquetes coincidentes.

  4. Configure el tercer término para vigilar todos los demás paquetes en un conjunto diferente de límites de tráfico y acciones.

Resultados

Confirme la configuración del filtro introduciendo el comando de show firewall modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Aplicación del filtrado y la vigilancia de clasificación de varios campos a la interfaz lógica

Procedimiento paso a paso

Para aplicar el filtrado y la vigilancia de clasificación de varios campos a la interfaz lógica:

  1. Habilite la configuración de IPv4 en la interfaz lógica.

  2. Configure una dirección IP para la interfaz lógica.

  3. Aplique el filtro de firewall a la entrada de interfaz lógica.

    Nota:

    Dado que el controlador se ejecuta antes que el filtro, si también se configura un controlador de entrada en la interfaz lógica, no puede utilizar la clase de reenvío y el PLP de un clasificador de varios campos asociado a la interfaz.

Resultados

Confirme la configuración de la interfaz introduciendo el comando de show interfaces modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Visualización del número de paquetes procesados por el aplicador de políticas en la interfaz lógica

Propósito

Compruebe el flujo de tráfico a través de la interfaz lógica y que el aplicador de políticas se evalúa cuando se reciben paquetes en la interfaz lógica.

Acción

Utilice el comando de show firewall modo operativo para el filtro que aplicó a la interfaz lógica.

El resultado del comando enumera los aplicadores aplicados por el filtro rate-limit-inde firewall y el número de paquetes que coinciden con el término del filtro.

Nota:

El recuento de paquetes incluye el número de recuentos de paquetes fuera de especificación (fuera de especificación), no todos los paquetes vigilados por el aplicador de la ley.

El nombre del policía se muestra concatenado con el nombre del término del filtro de firewall en el que se hace referencia al aplicador como una acción.

Ejemplo: Configuración y aplicación de un filtro de firewall para un clasificador de varios campos

En este ejemplo se muestra cómo configurar un filtro de firewall para clasificar el tráfico mediante un clasificador de varios campos. El clasificador detecta paquetes de interés para la clase de servicio (CoS) a medida que llegan a una interfaz. Los clasificadores de múltiples campos se utilizan cuando un clasificador de agregado de comportamiento simple (BA) no es suficiente para clasificar un paquete, cuando los enrutadores de emparejamiento no tienen marcados los bits CoS o cuando el marcado del enrutador de emparejamiento no es de confianza.

Requisitos

Para comprobar este procedimiento, en este ejemplo se utiliza un generador de tráfico. El generador de tráfico puede estar basado en hardware o puede ser software que se ejecuta en un servidor o máquina host.

La funcionalidad de este procedimiento es ampliamente admitida en dispositivos que ejecutan Junos OS. El ejemplo que se muestra aquí se probó y verificó en enrutadores de la serie MX que ejecutan Junos OS versión 10.4.

Descripción general

Un clasificador es una operación de software que inspecciona un paquete a medida que ingresa al enrutador o conmutador. Se examina el contenido del encabezado del paquete, y este examen determina cómo se trata el paquete cuando la red está demasiado ocupada para manejar todos los paquetes y desea que los dispositivos descarten paquetes de forma inteligente, en lugar de descartarlos indiscriminadamente. Una forma común de detectar paquetes de interés es por número de puerto de origen. Los números de puerto TCP 80 y 12345 se utilizan en este ejemplo, pero muchos otros criterios coincidentes para la detección de paquetes están disponibles para los clasificadores de múltiples campos, utilizando condiciones de coincidencia de filtro de firewall. La configuración de este ejemplo especifica que los paquetes TCP con el puerto de origen 80 se clasifican en la clase de reenvío de datos BE y en el número de cola 0. Los paquetes TCP con el puerto de origen 12345 se clasifican en la clase de reenvío de datos Premium y el número de cola 1.

Los clasificadores multicampo se usan normalmente en el borde de la red cuando los paquetes entran en un sistema autónomo (AS).

En este ejemplo, configure el filtro de firewall mf-classifier y especifique algunas clases de reenvío personalizadas en el dispositivo R1. Al especificar las clases de reenvío personalizadas, también se asocia cada clase con una cola.

La operación del clasificador se muestra en Figura 1.

Figura 1: Clasificador de múltiples campos basado en puertos de origen TCPClasificador de múltiples campos basado en puertos de origen TCP

El filtro de firewall del clasificador de varios campos se aplica como filtro de entrada en cada interfaz orientada al cliente o al host que necesite el filtro. La interfaz entrante es ge-1/0/1 en el dispositivo R1. La clasificación y la asignación de colas se verifican en la interfaz de salida. La interfaz saliente es la interfaz ge-1/0/9 del dispositivo R1.

Topología

Figura 2 muestra la red de ejemplo.

Figura 2: Escenario de clasificador de múltiples camposEscenario de clasificador de múltiples campos

Configuración rápida de CLI muestra la configuración de todos los dispositivos de Juniper Networks en Figura 2.

Procedimiento paso a paso describe los pasos del dispositivo R1.

Los clasificadores se describen con más detalle en el siguiente video de Byte de aprendizaje de Juniper Networks.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Dispositivo R1

Dispositivo R2

Procedimiento paso a paso

El ejemplo siguiente requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.

Para configurar el dispositivo R1:

  1. Configure las interfaces del dispositivo.

  2. Configure las clases de reenvío personalizadas y los números de cola asociados.

  3. Configure el término de filtro de firewall que coloca el tráfico TCP con un puerto de origen de 80 (tráfico HTTP) en la clase de reenvío de datos BE, asociada a la cola 0.

  4. Configure el término de filtro de firewall que coloca el tráfico TCP con un puerto de origen de 12345 en la clase de reenvío de datos Premium, asociada a la cola 1.

  5. Al final del filtro de firewall, configure un término predeterminado que acepte el resto del tráfico.

    De lo contrario, se descartará todo el tráfico que llegue a la interfaz y que no sea aceptado explícitamente por el filtro del firewall.

  6. Aplique el filtro de firewall a la interfaz ge-1/0/1 como filtro de entrada.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfacescomandos , show class-of-service. show firewall Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Comprobación de la configuración del CoS

Propósito

Confirme que las clases de reenvío están configuradas correctamente.

Acción

Desde el dispositivo R1, ejecute el show class-of-service forwardng-classes comando.

Significado

El resultado muestra los valores del clasificador personalizado configurados.

Envío de tráfico TCP a la red y supervisión de la colocación de la cola

Propósito

Asegúrese de que el tráfico de interés se envía a la cola esperada.

Acción
  1. Borre las estadísticas de la interfaz en la interfaz saliente del dispositivo R1.

  2. Utilice un generador de tráfico para enviar 50 paquetes del puerto TCP 80 al dispositivo R2 o a algún otro dispositivo descendente.

  3. En el dispositivo R1, compruebe los contadores de cola.

    Observe que comprueba los contadores de cola en la interfaz de salida descendente, no en la interfaz entrante.

  4. Utilice un generador de tráfico para enviar 50 paquetes del puerto TCP 12345 al dispositivo R2 o a algún otro dispositivo descendente.

  5. En el dispositivo R1, compruebe los contadores de cola.

Significado

El resultado muestra que los paquetes están clasificados correctamente. Cuando se utiliza el puerto 80 en los paquetes TCP, se incrementa la cola 0. Cuando se utiliza el puerto 12345, se incrementa la cola 1.