Ejemplo de clase multicampo: Configuración de la clasificación de varios campos
Descripción general de la clasificación de varios campos
- Clases de reenvío y niveles de PLP
- Clasificación de varios campos y clasificación de BA
- Clasificación multicampo utilizada junto con los agentes de policía
Clases de reenvío y niveles de PLP
Puede configurar las funciones de clase de servicio (CoS) de Junos OS para clasificar el tráfico entrante asociando cada paquete con una clase de reenvío, un nivel de prioridad de pérdida de paquete (PLP) o ambos:
Según la clase de reenvío asociada, cada paquete se asigna a una cola de salida y el enrutador presta servicios a las colas de salida según la programación asociada que configure.
Según el PLP asociado, cada paquete tiene una probabilidad menor o mayor de ser caído si se produce congestión. El proceso de detección temprana aleatoria de CoS (RED) utiliza la configuración de probabilidad de caída, el porcentaje de plenitud de la cola de salida y el PLP del paquete para soltar paquete según sea necesario para controlar la congestión en la etapa de salida.
Clasificación de varios campos y clasificación de BA
Junos OS admite dos tipos generales de clasificación de paquetes: clasificación de agregado de comportamiento (BA) y clasificación de varios campos:
-
La clasificación BA, o clasificación de tráfico de valor CoS, hace referencia a un método de clasificación de paquetes que utiliza una configuración de CoS para establecer la clase de reenvío o PLP de un paquete según el valor CoS en el encabezado del paquete IP. El valor de CoS examinado para fines de clasificación de BA puede ser el valor del punto de código de servicios diferenciados (DSCP), el valor IPv6 de DSCP, el valor de prioridad IP, los bits EXP de MPLS y el valor IEEE 802.1p. El clasificador predeterminado se basa en el valor de prioridad IP.
-
La clasificación multicampo hace referencia a un método de clasificación de paquetes que utiliza una configuración estándar de filtro de firewall sin estado para establecer la clase de reenvío o PLP para cada paquete que entra o sale de la interfaz según varios campos en el encabezado del paquete IP, incluido el valor DSCP (solo para IPv4), el valor de prioridad IP, los bits EXP MPLS, y los bits IEEE 802.1p. La clasificación de varios campos suele coincidir en los campos de dirección IP, el campo de tipo de protocolo IP o el número de puerto en el campo pseudoheader UDP o TCP. La clasificación de varios campos se utiliza en lugar de la clasificación de BA cuando necesita clasificar paquetes en función de la información de paquete que no sea solo los valores CoS.
Con la clasificación de varios campos, un término de filtro de firewall puede especificar las acciones de clasificación de paquetes para hacer coincidir paquetes mediante el
forwarding-class class-nameuso de las acciones oloss-priority (high | medium-high | medium-low | low)no determinación en la cláusula delthentérmino.
La clasificación BA de un paquete puede ser anulada por las acciones forwarding-class de filtro de firewall sin estado y loss-priority.
Clasificación errónea del tráfico a través del clasificador multicampo en QFX5k:
-
Si el tráfico BUM se ve obligado a tomar cola de unidifusión a través del clasificador MF, los paquetes se clasificarán a MCQ9. Junos versiones 21.4R3, 22.1R3 y desde junos versión 22.2, estos paquetes se clasificarán a MCQ8.
-
Si el tráfico de unidifusión se ve obligado a tomar cola de multidifusión a través del clasificador MF, los paquetes se clasificarán a MCQ9 y desde la versión 19.1R3 se clasificarán a la cola del mejor esfuerzo.
Clasificación multicampo utilizada junto con los agentes de policía
Para configurar la clasificación de varios campos junto con la limitación de velocidad, un término de filtro de firewall puede especificar las acciones de clasificación de paquetes para hacer coincidir paquetes mediante el uso de una policer acción nominativa que haga referencia a un policiador de dos colores de velocidad única.
Cuando se configura la clasificación de varios campos para realizar la clasificación mediante un agente de policía, los paquetes coincidentes con filtros en el flujo de tráfico están limitados a la velocidad de los límites de tráfico especificados por el agente de policía. Los paquetes en un flujo conforme de paquetes coincidentes con filtros se establecen implícitamente en un low PLP. Los paquetes en un flujo de tráfico no conforme se pueden descartar o los paquetes se pueden establecer en una clase de reenvío especificada, establecerse en un nivel PLP especificado o ambos, dependiendo del tipo de agente de policía y de cómo esté configurado para controlar el tráfico no conforme.
Antes de aplicar un filtro de firewall que realice la clasificación de varios campos y también un agente de policía a la misma interfaz lógica y para la misma dirección de tráfico, asegúrese de tener en cuenta el orden de las operaciones del agente de policía y del filtro de firewall.
Como ejemplo, considere la siguiente situación:
Configure un filtro de firewall que realice la clasificación de varios campos (actúa sobre paquetes coincidentes estableciendo la clase de reenvío, el PLP o ambos) según la clase de reenvío o PLP existente del paquete. Aplique el filtro de firewall en la entrada de una interfaz lógica.
También configura un policiador de dos colores de velocidad única que actúa en un flujo de tráfico rojo remarcando (estableciendo la clase de reenvío, el PLP o ambos) en lugar de descartar esos paquetes. Se aplica el agente de policía como un agente de policía de interfaz en la entrada de la misma interfaz lógica a la que se aplica el filtro de firewall.
Debido al orden de las operaciones de policía y firewall, el agente de policía de entrada se ejecuta antes del filtro de firewall de entrada. Esto significa que la clasificación de varios campos especificada por el filtro de firewall se realiza en paquetes de entrada que ya se han vuelto a marcar una vez mediante acciones de vigilancia. En consecuencia, cualquier paquete de entrada que coincida con las condiciones especificadas en un término de filtro de firewall está sujeto a un segundo marcado de acuerdo con las forwarding-class acciones o loss-priority no de identificación también especificadas en ese término.
Consulte también
Requisitos y restricciones de clasificación multicampo
Plataformas compatibles
La acción loss-priority de filtro de firewall solo se admite en las siguientes plataformas de enrutamiento:
Conmutadores de la serie EX
Enrutadores M7i y M10i con cfEB mejorado (CFEB-E)
Enrutadores M120 y M320
Enrutadores serie MX
Enrutadores serie T con concentradores de PIC flexibles (FPC) mejorados ii
Enrutadores serie PTX
Requisito de marca tricolor CoS
La loss-priority acción de filtro de firewall tiene dependencias de requisitos específicos de la plataforma en la función de marcado tricolor CoS, como se define en RFC 2698:
En un enrutador M320, no puede confirmar una configuración que incluya la acción de filtro de
loss-priorityfirewall, a menos que habilite la función de marcado tricolor CoS.En todas las plataformas de enrutamiento que admitan la
loss-priorityacción de filtro de firewall, no puede establecer la acción de filtro deloss-priorityfirewall en omedium-highamedium-lowmenos que habilite la función de marcado tricolor CoS. .
Para habilitar la función de marcado tricolor de CoS, incluya la tri-color instrucción en el [edit class-of-service] nivel de jerarquía.
Restricciones
No puede configurar acciones loss-priority y three-color-policer nominativas para el mismo término de filtro de firewall. Estas dos acciones nominativas son mutuamente excluyentes.
En un enrutador de la serie PTX, debe configurar la policer acción en una regla independiente y no combinarla con la regla que configura las acciones yloss-priority.forwarding-class Consulte Diferencias de firewall y políticas entre los enrutadores de transporte de paquetes serie PTX y los enrutadores de matriz serie T.
Consulte también
Limitaciones de clasificación multicampo en enrutadores serie M
- Problema: Coincidencia de filtro de salida en la clasificación entrada-filtro
- Solución: Configurar todas las acciones en el filtro de entrada
Problema: Coincidencia de filtro de salida en la clasificación entrada-filtro
En enrutadores serie M (excepto los enrutadores M120), no puede clasificar paquetes con una coincidencia de filtro de salida según la clasificación de entrada que se establece con un filtro de entrada aplicado a la misma interfaz lógica IPv4.
Por ejemplo, en la siguiente configuración, el filtro llamado ingress asigna todos los paquetes IPv4 entrantes a la expedited-forwarding clase. El filtro llamado egress cuenta todos los paquetes que se asignaron a la expedited-forwarding clase del ingress filtro. Esta configuración no funciona en la mayoría de los enrutadores serie M. Funciona en todas las demás plataformas de enrutamiento, incluidos los enrutadores M120, los enrutadores serie MX y los enrutadores serie T.
[edit]
user@host # show firewall
family inet {
filter ingress {
term 1 {
then {
forwarding-class expedited-forwarding;
accept;
}
}
term 2 {
then accept;
}
}
filter egress {
term 1 {
from {
forwarding-class expedited-forwarding;
}
then count ef;
}
term 2 {
then accept;
}
}
}
[edit]
user@host# show interfaces
ge-1/2/0 {
unit 0 {
family inet {
filter {
input ingress;
output egress;
}
}
}
}
Solución: Configurar todas las acciones en el filtro de entrada
Como solución alternativa, puede configurar todas las acciones en el filtro de entrada.
user@host # show firewall
family inet {
filter ingress {
term 1 {
then {
forwarding-class expedited-forwarding;
accept;
count ef;
}
}
term 2 {
then accept;
}
}
}
[edit]
user@host# show interfaces
ge-1/2/0 {
unit 0 {
family inet {
filter {
input ingress;
}
}
}
}
Consulte también
Ejemplo: Configuración de la clasificación de varios campos
En este ejemplo, se muestra cómo configurar la clasificación de varios campos del tráfico IPv4 mediante acciones de filtro de firewall y dos policias de filtro de firewall.
Requisitos
Antes de comenzar, asegúrese de que su entorno admita las funciones que se muestran en este ejemplo:
La
loss-priorityacción del filtro de firewall debe ser compatible con el enrutador y configurarse para los cuatro valores.Para poder establecer una
loss-priorityacción de filtro de firewall, configure este ejemplo en una interfazge-1/2/0.0lógica en una de las siguientes plataformas de enrutamiento:enrutador serie MX
Enrutador M120 o M320
Enrutador M7i o M10i con cfEB mejorado (CFEB-E)
Enrutador serie T con concentrador de PIC flexible mejorado II (FPC)
Para poder establecer una
loss-priorityacción de filtro de firewall enmedium-lowomedium-high, asegúrese de que la función de marcado tricolor CoS esté habilitada. Para habilitar la función de marcado tricolor de CoS, incluya latri-colorinstrucción en el[edit class-of-service]nivel de jerarquía.
Las
expedited-forwardingclases de reenvío yassured-forwardingse deben programar en la interfazge-1/2/0física subyacente.Asegúrese de que las siguientes clases de reenvío estén asignadas a las colas de salida:
expedited-forwardingassured-forwarding
Las asignaciones de clase de reenvío se configuran en el
[edit class-of-service forwarding-classes queue queue-number]nivel jerárquico.Nota:No puede confirmar una configuración que asigne la misma clase de reenvío a dos colas diferentes.
Asegúrese de que las colas de salida a las que se asignan las clases de reenvío estén asociadas con los programadores. Un programador define la cantidad de ancho de banda de interfaz asignado a la cola, el tamaño del búfer de memoria asignado para almacenar paquetes, la prioridad de la cola y los perfiles de caída de detección temprana aleatoria (RED) asociados con la cola.
Puede configurar los programadores de cola de salida en el
[edit class-of-service schedulers]nivel de jerarquía.Puede asociar programadores de colas de salida con clases de reenvío mediante una asignación de programador que configure en el
[edit class-of-service scheduler-maps map-name]nivel jerárquico.
Asegúrese de que la programación de colas de salida se aplica a la interfaz
ge-1/2/0física.Aplique una asignación de programador a una interfaz física en el
[edit class-of-service interfaces ge-1/2/0 scheduler-map map-name]nivel jerárquico.
Descripción general
En este ejemplo, se aplica la clasificación de varios campos al tráfico IPv4 de entrada en una interfaz lógica mediante el uso de acciones de filtro de firewall sin estado y dos agentes de políticas de filtro de firewall a los que se hace referencia desde el filtro de firewall. Según el campo de dirección de origen, los paquetes se establecen con la low prioridad de pérdida o, de lo contrario, se ordena. Ninguno de los policías descarta el tráfico no conformante. Los paquetes en flujos de no conformidad se marcan para una clase de reenvío específica (expedited-forwarding o assured-forwarding), se establecen en una prioridad de pérdida específica y, luego, se transmiten.
Los policiadores de dos colores de velocidad única siempre transmiten paquetes en un flujo de tráfico conforme después de establecer implícitamente una low prioridad de pérdida.
Topología
En este ejemplo, se aplica la clasificación de varios campos al tráfico IPv4 en la interfaz ge-1/2/0.0lógica. Las reglas de clasificación se especifican en el filtro mfc-filter de firewall sin estado IPv4 y en dos policias de dos colores de velocidad única, ef-policer y af-policer.
El filtro mfc-filter de firewall sin estado IPv4 estándar define tres términos de filtro:
isp1-customers— El primer término de filtro hace coincidir los paquetes con la dirección de origen 10.1.1.0/24 o 10.1.2.0/24. Los paquetes coincidentes se asignan a la clase deexpedited-forwardingreenvío y se establecen con lalowprioridad de pérdida.isp2-customers— El segundo término de filtro coincide con los paquetes con la dirección de origen 10.1.3.0/24 o 10.1.4.0/24. Los paquetes coincidentes se pasan aef-policer, un agente de política que limita la velocidad del tráfico a un límite de ancho de banda de 300 Kbps con un límite de tamaño de ráfaga de 50 KB. Este policiar especifica que los paquetes en un flujo de no conformidad se marcan para la clase deexpedited-forwardingreenvío y se establecen en lahighprioridad de pérdida.other-customers— El tercer y último término de filtro pasa todos los demás paquetes aaf-policer, un agente de política que limita la velocidad del tráfico a un límite de ancho de banda de 300 Kbps y un límite de tamaño de ráfaga de 50 KB (los mismos límites de tráfico definidos poref-policer). Este policiar especifica que los paquetes en un flujo de no conformidad se marcan para la clase deassured-forwardingreenvío y se establecen en lamedium-highprioridad de pérdida.
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configuración de policias para limitar el tráfico de reenvío acelerado y de reenvío seguro
- Configurar un filtro de clasificación multicampo que también aplica políticas
- Aplicación de filtros y políticas de clasificación multicampo a la interfaz lógica
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set firewall policer ef-policer if-exceeding bandwidth-limit 300k set firewall policer ef-policer if-exceeding burst-size-limit 50k set firewall policer ef-policer then loss-priority high set firewall policer ef-policer then forwarding-class expedited-forwarding set firewall policer af-policer if-exceeding bandwidth-limit 300k set firewall policer af-policer if-exceeding burst-size-limit 50k set firewall policer af-policer then loss-priority high set firewall policer af-policer then forwarding-class assured-forwarding set firewall family inet filter mfc-filter term isp1-customers from source-address 10.1.1.0/24 set firewall family inet filter mfc-filter term isp1-customers from source-address 10.1.2.0/24 set firewall family inet filter mfc-filter term isp1-customers then loss-priority low set firewall family inet filter mfc-filter term isp1-customers then forwarding-class expedited-forwarding set firewall family inet filter mfc-filter term isp2-customers from source-address 10.1.3.0/24 set firewall family inet filter mfc-filter term isp2-customers from source-address 10.1.4.0/24 set firewall family inet filter mfc-filter term isp2-customers then policer ef-policer set firewall family inet filter mfc-filter term other-customers then policer af-policer set interfaces ge-1/2/0 unit 0 family inet address 192.168.1.1/24 set interfaces ge-1/2/0 unit 0 family inet filter input mfc-filter
Configuración de policias para limitar el tráfico de reenvío acelerado y de reenvío seguro
Procedimiento paso a paso
Para configurar los policías para limitar la velocidad del tráfico de reenvío acelerado y de reenvío garantizado:
Defina los límites de tráfico para el tráfico de reenvío acelerado.
[edit] user@host# edit firewall policer ef-policer [edit firewall policer ef-policer] user@host# set if-exceeding bandwidth-limit 300k user@host# set if-exceeding burst-size-limit 50k user@host# set then loss-priority high user@host# set then forwarding-class expedited-forwarding
Configure un agente de policía para el tráfico de reenvío seguro.
[edit firewall policer ef-policer] user@host# up [edit firewall] user@host# edit policer af-policer [edit firewall policer af-policer] user@host# set if-exceeding bandwidth-limit 300k user@host# set if-exceeding burst-size-limit 50k user@host# set then loss-priority high user@host# set then forwarding-class assured-forwarding
Resultados
Para confirmar la configuración del agente de policía, ingrese el comando del modo de show firewall configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
policer af-policer {
if-exceeding {
bandwidth-limit 300k;
burst-size-limit 50k;
}
then {
loss-priority high;
forwarding-class assured-forwarding;
}
}
policer ef-policer {
if-exceeding {
bandwidth-limit 300k;
burst-size-limit 50k;
}
then {
loss-priority high;
forwarding-class expedited-forwarding;
}
}
Configurar un filtro de clasificación multicampo que también aplica políticas
Procedimiento paso a paso
Para configurar un filtro de clasificación de varios campos que, además, aplique políticas:
Habilite la configuración de un término de filtro de firewall para el tráfico IPv4.
[edit] user@host# edit firewall family inet filter mfc-filter
Configure el primer término para que coincida en las direcciones de origen y, luego, clasifique los paquetes coincidentes.
[edit firewall family inet filter mfc-filter] user@host# set term isp1-customers from source-address 10.1.1.0/24 user@host# set term isp1-customers from source-address 10.1.2.0/24 user@host# set term isp1-customers then loss-priority low user@host# set term isp1-customers then forwarding-class expedited-forwarding
Configure el segundo término para que coincida en diferentes direcciones de origen y, luego, establezca la policía de los paquetes coincidentes.
[edit firewall family inet filter mfc-filter] user@host# set term isp2-customers from source-address 10.1.3.0/24 user@host# set term isp2-customers from source-address 10.1.4.0/24 user@host# set term isp2-customers then policer ef-policer
Configure el tercer término para que todos los demás paquetes se apliquen a un conjunto diferente de acciones y límites de tráfico.
[edit firewall family inet filter mfc-filter] user@host# set term other-customers then policer af-policer
Resultados
Para confirmar la configuración del filtro, ingrese el comando del modo de show firewall configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
family inet {
filter mfc-filter {
term isp1-customers {
from {
source-address 10.1.1.0/24;
source-address 10.1.2.0/24;
}
then {
loss-priority low;
forwarding-class expedited-forwarding;
}
}
term isp2-customers {
from {
source-address 10.1.3.0/24;
source-address 10.1.4.0/24;
}
then {
policer ef-policer;
}
}
term other-customers {
then {
policer af-policer;
}
}
}
}
policer af-policer {
if-exceeding {
bandwidth-limit 300k;
burst-size-limit 50k;
}
then discard;
}
policer ef-policer {
if-exceeding {
bandwidth-limit 200k;
burst-size-limit 50k;
}
then {
loss-priority high;
forwarding-class expedited-forwarding;
}
}
Aplicación de filtros y políticas de clasificación multicampo a la interfaz lógica
Procedimiento paso a paso
Para aplicar filtros y políticas de clasificación de varios campos a la interfaz lógica:
Habilite la configuración de IPv4 en la interfaz lógica.
[edit] user@host# edit interfaces ge-1/2/0 unit 0 family inet
Configure una dirección IP para la interfaz lógica.
[edit interfaces ge-1/2/0 unit 0 family inet ] user@host# set address 192.168.1.1/24
Aplique el filtro de firewall a la entrada de interfaz lógica.
[edit interfaces ge-1/2/0 unit 0 family inet ] user@host# set filter input mfc-filter
Nota:Dado que el agente de policía se ejecuta antes del filtro, si un agente de policía de entrada también está configurado en la interfaz lógica, no puede usar la clase de reenvío y el PLP de un clasificador de varios campos asociado con la interfaz.
Resultados
Confirme la configuración de la interfaz ingresando el comando de modo de show interfaces configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show interfaces
ge-1/2/0 {
unit 0 {
family inet {
filter {
input mfc-filter;
}
address 192.168.1.1/24;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
Mostrar la cantidad de paquetes procesados por el agente de policía en la interfaz lógica
Propósito
Compruebe que el tráfico fluye a través de la interfaz lógica y que el agente de policía se evalúa cuando se reciben paquetes en la interfaz lógica.
Acción
Utilice el show firewall comando de modo operativo para el filtro que aplicó a la interfaz lógica.
user@host> show firewall filter rate-limit-in Filter: rate-limit-in Policers: Name Packets ef-policer-isp2-customers 32863 af-policer-other-customers 3870
El resultado del comando enumera los policiares aplicados por el filtro rate-limit-inde firewall y la cantidad de paquetes que coinciden con el término de filtro.
El recuento de paquetes incluye la cantidad de recuentos de paquetes fuera de especificación (fuera de especificación), no todos los paquetes vigilados por el agente de policía.
El nombre del agente de policía se muestra concatenado con el nombre del término del filtro de firewall en el que se hace referencia al agente de policía como una acción.
Ejemplo: Configuración y aplicación de un filtro de firewall para un clasificador de varios campos
En este ejemplo, se muestra cómo configurar un filtro de firewall para clasificar el tráfico mediante un clasificador de varios campos. El clasificador detecta paquetes de interés para la clase de servicio (CoS) a medida que llegan a una interfaz. Los clasificadores de varios campos se utilizan cuando un clasificador de agregado de comportamiento simple (BA) no es suficiente para clasificar un paquete, cuando los enrutadores de emparejamiento no tienen marcados bits CoS o cuando el marcado del enrutador de emparejamiento no es de confianza.
Requisitos
Para comprobar este procedimiento, en este ejemplo se utiliza un generador de tráfico. El generador de tráfico puede estar basado en hardware o puede ser software que se ejecuta en un servidor o máquina host.
La funcionalidad de este procedimiento es ampliamente compatible con dispositivos que ejecutan Junos OS. El ejemplo que se muestra aquí fue probado y verificado en enrutadores serie MX que ejecutan Junos OS versión 10.4.
Descripción general
Un clasificador es una operación de software que inspecciona un paquete a medida que entra en el enrutador o conmutador. Se examina el contenido del encabezado del paquete, y este examen determina cómo se trata el paquete cuando la red se vuelve demasiado ocupada para manejar todos los paquetes y desea que sus dispositivos caigan paquetes de forma inteligente, en lugar de soltar paquetes de forma indiscriminada. Una forma común de detectar paquetes de interés es mediante el número de puerto de origen. Los números de puerto TCP 80 y 12345 se utilizan en este ejemplo, pero muchos otros criterios de coincidencia para la detección de paquetes están disponibles para los clasificadores de varios campos, mediante el uso de condiciones de coincidencia de filtro de firewall. La configuración de este ejemplo especifica que los paquetes TCP con el puerto de origen 80 se clasifican en la clase de reenvío de datos BE y en el número de cola 0. Los paquetes TCP con el puerto de origen 12345 se clasifican en la clase de reenvío de datos Premium y el número de cola 1.
Los clasificadores de varios campos suelen usarse en el borde de la red a medida que los paquetes ingresan a un sistema autónomo (AS).
En este ejemplo, configure el clasificador mf-classifier del filtro de firewall y especifique algunas clases de reenvío personalizadas en el dispositivo R1. Al especificar las clases de reenvío personalizadas, también asocia cada clase a una cola.
La operación del clasificador se muestra en Figura 1.
Aplique el filtro de firewall del clasificador de varios campos como un filtro de entrada en cada interfaz orientada al cliente o al host que necesite el filtro. La interfaz entrante es ge-1/0/1 en el dispositivo R1. La clasificación y la asignación de colas se verifican en la interfaz de salida. La interfaz de salida es la interfaz ge-1/0/9 del dispositivo R1.
Topología
Figura 2 muestra la red de ejemplo.
Configuración rápida de CLI muestra la configuración de todos los dispositivos Juniper Networks en Figura 2.
Procedimiento paso a paso describe los pasos en el dispositivo R1.
Los clasificadores se describen con más detalle en el siguiente video de Byte de aprendizaje de Juniper Networks.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía y, luego, ingrese commit desde el modo de configuración.
Dispositivo R1
set interfaces ge-1/0/1 description to-host set interfaces ge-1/0/1 unit 0 family inet filter input mf-classifier set interfaces ge-1/0/1 unit 0 family inet address 172.16.50.2/30 set interfaces ge-1/0/9 description to-R2 set interfaces ge-1/0/9 unit 0 family inet address 10.30.0.1/30 set class-of-service forwarding-classes class BE-data queue-num 0 set class-of-service forwarding-classes class Premium-data queue-num 1 set class-of-service forwarding-classes class Voice queue-num 2 set class-of-service forwarding-classes class NC queue-num 3 set firewall family inet filter mf-classifier term BE-data from protocol tcp set firewall family inet filter mf-classifier term BE-data from port 80 set firewall family inet filter mf-classifier term BE-data then forwarding-class BE-data set firewall family inet filter mf-classifier term Premium-data from protocol tcp set firewall family inet filter mf-classifier term Premium-data from port 12345 set firewall family inet filter mf-classifier term Premium-data then forwarding-class Premium-data set firewall family inet filter mf-classifier term accept-all-else then accept
Dispositivo R2
set interfaces ge-1/0/9 description to-R1 set interfaces ge-1/0/9 unit 0 family inet address 10.30.0.2/30
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.
Para configurar el dispositivo R1:
-
Configure las interfaces del dispositivo.
[edit interfaces] user@R1# set ge-1/0/1 description to-host user@R1# set ge-1/0/1 unit 0 family inet address 172.16.50.2/30 user@R1# set ge-1/0/9 description to-R2 user@R1# set ge-1/0/9 unit 0 family inet address 10.30.0.1/30
-
Configure las clases de reenvío personalizadas y los números de cola asociados.
[edit class-of-service forwarding-classes] user@R1# set BE-data queue-num 0 user@R1# set Premium-data queue-num 1 user@R1# set Voice queue-num 2 user@R1# set NC queue-num 3
-
Configure el término de filtro de firewall que coloca el tráfico TCP con un puerto de origen de 80 (tráfico HTTP) en la clase de reenvío de datos BE, asociada con la cola 0.
[edit firewall family inet filter mf-classifier] user@R1# set term BE-data from protocol tcp user@R1# set term BE-data from port 80 user@R1# set term BE-data then forwarding-class BE-data
-
Configure el término de filtro de firewall que coloca el tráfico TCP con un puerto de origen 12345 en la clase premium de reenvío de datos, asociada con la cola 1.
[edit firewall family inet filter mf-classifier] user@R1# set term Premium-data from protocol tcp user@R1# set term Premium-data from port 12345 user@R1# set term Premium-data then forwarding-class Premium-data
-
Al final del filtro de firewall, configure un término predeterminado que acepte todo el resto del tráfico.
De lo contrario, se descarta todo el tráfico que llega a la interfaz y no es explícitamente aceptado por el filtro de firewall.
[edit firewall family inet filter mf-classifier] user@R1# set term accept-all-else then accept
-
Aplique el filtro de firewall a la interfaz ge-1/0/1 como filtro de entrada.
[edit interfaces] user@R1# set ge-1/0/1 unit 0 family inet filter input mf-classifier
Resultados
Desde el modo de configuración, ingrese los comandos , , show class-of-serviceshow firewall para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@R1# show interfaces
ge-1/0/1 {
description to-host;
unit 0 {
family inet {
filter {
input mf-classifier;
}
address 172.16.50.2/30;
}
}
}
ge-1/0/9 {
description to-R2;
unit 0 {
family inet {
address 10.30.0.1/30;
}
}
}
user@R1# show class-of-service
forwarding-classes {
class BE-data queue-num 0;
class Premium-data queue-num 1;
class Voice queue-num 2;
class NC queue-num 3;
}
user@R1# show firewall
family inet {
filter mf-classifier {
term BE-data {
from {
protocol tcp;
port 80;
}
then forwarding-class BE-data;
}
term Premium-data {
from {
protocol tcp;
port 12345;
}
then forwarding-class Premium-data;
}
term accept-all-else {
then accept;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Comprobar la configuración de CoS
- Envío de tráfico TCP a la red y supervisión de la colocación de la cola
Comprobar la configuración de CoS
Propósito
Confirme que las clases de reenvío están configuradas correctamente.
Acción
Desde el dispositivo R1, ejecute el show class-of-service forwardng-classes comando.
user@R1> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority BE-data 0 0 0 low normal low Premium-data 1 1 1 low normal low Voice 2 2 2 low normal low NC 3 3 3 low normal low
Significado
El resultado muestra la configuración del clasificador personalizado configurado.
Envío de tráfico TCP a la red y supervisión de la colocación de la cola
Propósito
Asegúrese de que el tráfico de interés se envía fuera de la cola esperada.
Acción
Desactive las estadísticas de interfaz en la interfaz de salida del dispositivo R1.
user@R1> clear interfaces statistics ge-1/0/9
Utilice un generador de tráfico para enviar 50 paquetes del puerto TCP 80 al dispositivo R2 o a otro dispositivo descendente.
En el dispositivo R1, compruebe los contadores de cola.
Observe que compruebe los contadores de cola en la interfaz de salida descendente, no en la interfaz de entrada.
user@R1> show interfaces extensive ge-1/0/9 | find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 50 50 0 1 0 57 0 2 0 0 0 3 0 0 0Utilice un generador de tráfico para enviar 50 paquetes del puerto TCP 12345 al dispositivo R2 o a otro dispositivo descendente.
[root@host]# hping 172.16.60.1 -c 50 -s 12345 -k
En el dispositivo R1, compruebe los contadores de cola.
user@R1> show interfaces extensive ge-1/0/9 | find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 50 50 0 1 50 57 0 2 0 0 0 3 0 0 0
Significado
El resultado muestra que los paquetes están correctamente clasificados. Cuando se utiliza el puerto 80 en los paquetes TCP, se incrementa la cola 0. Cuando se utiliza el puerto 12345, se incrementa la cola 1.