Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Clasificación multicampo

Visión general de la clasificación multicampo

Clases de reenvío y niveles de PLP

Puede configurar las funciones de Junos OS clase de servicio (CoS) para clasificar el tráfico entrante mediante la asociación de cada paquete con una clase de reenvío, un nivel de prioridad de pérdida de paquetes (PLP) o ambos:

  • A partir de la clase de reenvío asociada, cada paquete se asigna a una cola de salida y el enrutador dirige las colas de salida según la programación asociada que configure.

  • De acuerdo con el PLP asociado, cada paquete tiene una probabilidad menor o mayor de ser descartada si se produce una congestión. El proceso de detección aleatoria a primera (rojo) CoS utiliza la configuración de probabilidad de caída, el porcentaje de llenado de la cola de salida y la PLP de paquetes para colocar el paquete según sea necesario para controlar la congestión en la etapa de salida.

Clasificación multicampo y clasificación de BA

El Junos OS admite dos tipos generales de clasificación de paquetes: clasificación de agregado de comportamiento (BA) y clasificación multicampo:

  • Clasificación de BA o clasificación de tráfico de valor de la CES hace referencia a un método de clasificación de paquetes que utiliza una configuración de CoS para configurar la clase de reenvío o PLP de un paquete basándose en el valor cos del encabezado de paquete IP. El valor de CoS examinado para los fines de la clasificación de BA puede ser el valor de punto de código de servicios diferenciados (DSCP), el valor IPv6 de DSCP, el valor de prioridad de IP MPLS los bits de EXP y el valor IEEE 802.1 p. El clasificador predeterminado se basa en el valor de prioridad IP.

  • La clasificación multicampo hace referencia a un método de clasificación de paquetes que utiliza una configuración estándar de filtro de Firewall sin estado para establecer la clase de reenvío o PLP para cada paquete que entra o sale de la interfaz basándose en varios campos de el encabezado del paquete IP, incluido el valor de DSCP (solo para IPv4), el valor de prioridad de IP, los bits de MPLS EXP y los bits de IEEE 802.1. Clasificación multicampo las coincidencias habituales con los campos de dirección IP, el campo de tipo de protocolo IP o el número de puerto en el campo pseudoheader o UDP. Se utiliza la clasificación multicampo en lugar de la clasificación de BA, cuando necesite clasificar paquetes basándose en la información de la información de paquetes que no sean únicamente los valores de la CES.

    Con la clasificación de varios campos, un término de filtro de firewall puede especificar las acciones de clasificación de paquetes para hacer coincidir paquetes a través del uso de las acciones o no determinativas en la cláusula forwarding-class class-nameloss-priority (high | medium-high | medium-low | low) del then término.

Nota:

BA la clasificación de un paquete puede ser anulada por las acciones forwarding-class de filtrado de cortafuegos sin estado y. loss-priority

Clasificación multicampo utilizada en conjunción con las políticas

Para configurar la clasificación multicampo junto con la limitación de velocidad, un término de filtro de Firewall puede especificar las acciones de clasificación de paquetes para los paquetes policer coincidentes mediante el uso de una acción de no terminación que hace referencia a una sola tasa de dos colores policiales.

Cuando se configura la clasificación multicampo para llevar a cabo la clasificación a través de una clase de policía, los paquetes con concordancia de filtro en el flujo de tráfico se limitan a los límites de tráfico especificados por la policía. Los paquetes de un flujo de conformación de paquetes con correspondencia de filtro se establecen implícitamente en un low PLP. Los paquetes de un flujo de tráfico de no conformidad pueden descartarse, o bien los paquetes pueden establecerse en una clase de reenvío especificada, establecerse en un nivel de PLP específico o en ambos, dependiendo del tipo de policía y de cómo se configure el policía para controlar el tráfico de no conformidad.

Nota:

Antes de aplicar un filtro de firewall que realice una clasificación de campos multicampo, y también una policía a la misma interfaz lógica y para la misma dirección de tráfico, asegúrese de tener en cuenta el orden de las operaciones de filtrado del firewall y del responsable de la policía.

Como ejemplo, considere el siguiente escenario:

  • Puede configurar un filtro de firewall que realice una clasificación de varios campos (actúa en paquetes coincidentes estableciendo la clase de reenvío, el PLP o ambos) según la clase de reenvío o PLP existentes del paquete. Aplique el filtro de cortafuegos en la entrada de una interfaz lógica.

  • También configurará una configuración de políticas de dos colores de una sola tasa que actúe en un flujo de tráfico rojo volviendo a marcar (configurando la clase de reenvío, el PLP, o ambos) en lugar de descartar dichos paquetes. La policía se aplica como un usuario de interfaz a la entrada de la misma interfaz lógica a la que se aplica el filtro de cortafuegos.

Debido al orden de las operaciones del cortafuegos y del policía, el policía se ejecuta antes que el filtro de entrada de cortafuegos. Esto significa que la clasificación multicampo especificada por el filtro del cortafuegos se realiza en paquetes de entrada que ya han sido marcados una vez por acciones de políticas. Por lo tanto, cualquier paquete de entrada que cumpla las condiciones especificadas en un término de filtro del cortafuegos se somete entonces a una segunda forwarding-class Remarcación de acuerdo con las acciones o loss-priority no terminaciones especificadas también en dicho término.

Restricciones y requisitos de clasificación multicampo

Plataformas compatibles

La acción de filtrado de Firewall solo se admite en las siguientes plataformas de enrutamiento: loss-priority

  • Conmutadores de la serie EX

  • Enrutadores M7i y M10i con el CFEB mejorado (CFEB-E)

  • Enrutadores M120 y M320

  • Enrutadores serie MX

  • serie T routers con concentradores de PIC flexibles (FPC) enhanced II

  • Enrutadores serie PTX

Marcado de tricolor CoS

La acción del filtro de firewall tiene dependencias de requisitos específicas de la plataforma en la función de marcado tricolor CoS, tal como se loss-priority define en la RFC 2698:

  • En un enrutador M320, no puede confirmar una configuración que loss-priority incluya la acción de filtrado del cortafuegos a menos que active la función de marcado de tricolor de CES.

  • En todas las plataformas de enrutamiento que loss-priority admiten la acción de filtro cortafuegos loss-priority , no puede definir medium-low la medium-high acción de filtrado del cortafuegos a o a menos que active la función de marcado de tricolor de CES. .

Para activar la función de marcado de tricolor de CES tri-color , incluya la [edit class-of-service] sentencia en el nivel de jerarquía.

Restricciones

No puede configurar las loss-priority acciones three-color-policer y no terminar para el mismo término de filtro de Firewall. Estas dos acciones de no terminación son mutuamente excluyentes.

Nota:

En un enrutador serie PTX, debe configurar policer la acción en una regla independiente y no combinarla con la regla configurar forwarding-classel y loss-priority las acciones. Consulte Diferencias de firewall y de políticas entre enrutadores de transporte de paquetes de serie PTX y enrutadores de matriz serie Tla.

Limitaciones de clasificación de varios campos M Series enrutadores de red

Relacionado Coincidencia de filtro de salida en la clasificación del filtro de entrada

En enrutadores M Series (excepto M120), no puede clasificar paquetes con una coincidencia de filtro de salida según la clasificación de entrada que se establece con un filtro de entrada aplicado a la misma interfaz lógica IPv4.

Por ejemplo, en la siguiente configuración, el filtro llamó ingress a la expedited-forwarding clase para asignar todos los paquetes IPv4 entrantes. El filtro llamado egress cuenta todos los paquetes que se asignaron a expedited-forwarding la clase en ingress el filtro. Esta configuración no funciona en la mayoría de M Series routers. Funciona en todas las otras plataformas de enrutamiento, incluidos M120, enrutadores serie MX y enrutadores serie T remoto.

Alternativa Configurar todas las acciones del filtro de entrada

Como solución, puede configurar todas las acciones en el filtro de entrada.

Ejemplo Configuración de la clasificación multicampo

En este ejemplo se muestra cómo configurar la clasificación multicampo del tráfico IPv4 mediante acciones de filtro de firewall y dos políticas de filtro de Firewall.

Aplicables

Antes de comenzar, asegúrese de que el entorno admite las características que se muestran en este ejemplo:

  1. La loss-priority acción de filtrado del firewall debe ser compatible con el enrutador y puede configurarse para los cuatro valores.

    1. Para poder establecer una loss-priority acción de filtro de firewall, configure este ejemplo en una ge-1/2/0.0 interfaz lógica en una de las plataformas de enrutamiento siguientes:

      • enrutador serie MX

      • Enrutador M120 o M320

      • M7i o enrutador de M10i con la CFEB mejorada (CFEB-E)

      • serie T con concentrador de PIC flexible enhanced II (FPC)

    2. Para poder definir una loss-priority acción de filtro de cortafuegos medium-low con medium-higho, asegúrese de que la función de marcado de tricolor de la CES está activada. Para activar la función de marcado de tricolor de CES tri-color , incluya la [edit class-of-service] sentencia en el nivel de jerarquía.

  2. Las expedited-forwarding clases assured-forwarding y el reenvío se deben programar en la interfaz ge-1/2/0física subyacente.

    1. Asegúrese de que las siguientes clases de reenvío están asignadas a las colas de salida:

      • expedited-forwarding

      • assured-forwarding

      Las asignaciones de clase de reenvío se configuran [edit class-of-service forwarding-classes queue queue-number] en el nivel de jerarquía.

      Nota:

      No puede confirmar una configuración que asigne la misma clase de reenvío a dos colas diferentes.

    2. Asegúrese de que las colas de salida a las que se asignan las clases de reenvío están asociadas con los programadores. Un programador define la cantidad de ancho de banda de interfaz asignado a la cola, el tamaño del búfer de memoria asignado para almacenar paquetes, la prioridad de la cola y los perfiles de colocación aleatoria de detección temprana (rojo) asociados con la cola.

      • Los programadores de cola de salida se [edit class-of-service schedulers] configuran en el nivel de jerarquía.

      • Los programadores de colas de salida se asocian con las clases de reenvío por medio de un mapa [edit class-of-service scheduler-maps map-name] del programador que se configura en el nivel de la jerarquía.

    3. Asegúrese de que la programación de la cola de salida se aplica a la ge-1/2/0interfaz física.

      Aplique un mapa del programador a una interfaz física en el [edit class-of-service interfaces ge-1/2/0 scheduler-map map-name] nivel de jerarquía.

Descripción general

En este ejemplo, puede aplicar una clasificación multicampo al tráfico IPv4 de entrada de una interfaz lógica utilizando acciones de filtro de Firewall sin estado y dos políticas de filtro de Firewall a las que se hace referencia desde el filtro Firewall. En función del campo de dirección de origen, los paquetes se establecen en low la prioridad de pérdida o en las políticas de la persona. Ninguna de las políticas descarta el tráfico de no conformidad. Los paquetes en flujos de no conformidad se marcan para una clase de reenvíoexpedited-forwarding específica assured-forwarding(o), se establecen con una prioridad de pérdida específica y, a continuación, se transmiten.

Nota:

Las políticas de dos colores de una sola tasa transmiten siempre los paquetes en un flujo de tráfico conforme, después de establecer low implícitamente una prioridad de pérdida.

Topología

En este ejemplo, se aplica una clasificación multicampo al tráfico IPv4 de la interfaz ge-1/2/0.0lógica. Las reglas de clasificación se especifican en el filtro mfc-filter Firewall sin estado de IPv4 y en dos políticas de dos colores de ef-policer una af-policersola tasa, y.

El filtro mfc-filter de Firewall estándar IPv4 define tres términos de filtro:

  • isp1-customers: el primer término del filtro hace juego los paquetes con la dirección de origen 10.1.1.0/24 o 10.1.2.0/24. Los paquetes coincidentes se asignan expedited-forwarding a la clase de reenvío y low se establecen en la prioridad de pérdida.

  • isp2-customers: el segundo término del filtro coincide con los paquetes con la dirección de origen 10.1.3.0/24 o 10.1.4.0/24. Los paquetes coincidentes se pasan a , un agente de policía que limita la velocidad del tráfico a un límite de ancho de banda de 300 Kbps con un límite de tamaño de ráfaga de ef-policer 50 KB. Esta policía especifica que los paquetes de un flujo de no conformidad se marcan para la expedited-forwarding clase de reenvío y se establecen high en la prioridad de pérdida.

  • other-customers: el tercer y último término de filtro pasa el resto de los paquetes a , un limitador de velocidad que limita el tráfico a un límite de ancho de banda de 300 Kbps y un límite de tamaño de ráfaga de af-policer 50 KB (los mismos límites de tráfico definidos por ef-policer ). Esta policía especifica que los paquetes de un flujo de no conformidad se marcan para la assured-forwarding clase de reenvío y se establecen medium-high en la prioridad de pérdida.

Automática

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo CLI, consulte Uso del editor de CLI en el modo de configuración .

Para configurar este ejemplo, realice las tareas siguientes:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los comandos de configuración siguientes en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en [edit] la CLI en el nivel de la jerarquía.

Configuración de los enrutadores para limitar el tráfico de reenvío acelerado y de reenvío garantizado

Procedimiento paso a paso

Para configurar las políticas a fin de limitar el reenvío acelerado y el tráfico de reenvío garantizado:

  1. Defina los límites de tráfico para agilizar el reenvío del tráfico.

  2. Configure una policía para garantizar el reenvío de tráfico.

Resultados

Confirme la configuración de la policía mediante la introducción del show firewall comando de modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Configuración de un filtro de clasificación multicampo que también aplica políticas

Procedimiento paso a paso

Para configurar un filtro de clasificación multicampo que aplique adicionalmente las políticas:

  1. Habilitar la configuración de un término de filtro de Firewall para el tráfico de IPv4.

  2. Configure el primer término para que coincida con las direcciones de origen y clasifique los paquetes coincidentes.

  3. Configure el segundo término para que coincida con distintas direcciones de origen y, a continuación, haga la policía de los paquetes coincidentes.

  4. Configure el tercer término para vigilar a los demás paquetes a un conjunto diferente de acciones y límites de tráfico.

Resultados

Confirme la configuración del filtro especificando el show firewall comando modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Aplicación de políticas y filtrado de clasificación multicampo a la interfaz lógica

Procedimiento paso a paso

Para aplicar filtrado y políticas de clasificación multicampo a la interfaz lógica:

  1. Activar la configuración de IPv4 en la interfaz lógica.

  2. Configure una dirección IP para la interfaz lógica.

  3. Aplique el filtro de Firewall a la entrada de interfaz lógica.

    Nota:

    Dado que la policía se ejecuta antes que el filtro, si también se configura un clasificador de entradas en la interfaz lógica, no puede utilizar la clase de reenvío y PLP de un Classifier de multicampo asociado con la interfaz.

Resultados

Para confirmar la configuración de la interfaz, escriba show interfaces el comando de modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Mostrar el número de paquetes procesados por la policía en la interfaz lógica

Purpose

Verificar el flujo de tráfico a través de la interfaz lógica y que la policía se evalúa cuando se reciben paquetes en la interfaz lógica.

Intervención

Utilice el show firewall comando modo operativo del filtro que haya aplicado a la interfaz lógica.

Los resultados del comando enumeran las políticas aplicadas por el rate-limit-infiltro firewall y el número de paquetes que coinciden con el término de filtro.

Nota:

El recuento de paquetes incluye el número de paquetes fuera de la especificación (no incluidos), pero no todos los paquetes superpuestos por el policía.

El nombre de la policía se muestra concatenado con el nombre del término del filtro de cortafuegos en el que se hace referencia a la policía como acción.

Ejemplo Configuración y aplicación de un filtro de Firewall para un clasificador multicampo

En este ejemplo se muestra cómo configurar un filtro de Firewall para clasificar el tráfico mediante un clasificador multicampo. El clasificador detecta paquetes de interés para la clase de servicio (CoS) a medida que llegan en una interfaz. Se utilizan clasificadores de varios campos cuando un clasificador de agregado de comportamiento simple (BA) no es suficiente para clasificar un paquete, cuando los enrutadores de emparejamiento no tienen bits CoS marcados o el marcado del enrutador de emparejamiento no es de confianza.

Aplicables

Para comprobar este procedimiento, en este ejemplo se utiliza un generador de tráfico. El generador de tráfico puede estar basado en hardware o puede ser software que se ejecuta en un servidor o en un equipo host.

La funcionalidad de este procedimiento está ampliamente admitida en los dispositivos que ejecutan Junos OS. El ejemplo que se muestra aquí fue probado y comprobado en enrutadores de la serie MX que ejecuta Junos OS versión 10,4.

Descripción general

Un clasificador es una operación de software que inspecciona un paquete a medida que entra en el enrutador o conmutador. El contenido del encabezado del paquete se examina y este examen determina cómo se trata el paquete cuando la red está demasiado ocupada para tratar todos los paquetes y desea que los dispositivos desechen los paquetes de forma inteligente, en lugar de descartar los paquetes de forma indiscriminada. Una forma común de detectar paquetes de interés es por número de puerto de origen. En este ejemplo se utilizan los números 80 y 12345 del puerto TCP, pero existen otros muchos criterios de coincidencia para la detección de paquetes disponibles para los clasificadores multicampo que utilizan condiciones de coincidencia de filtros de cortafuegos. La configuración de este ejemplo especifica que los paquetes TCP con el puerto de origen 80 se clasifican en la clase de reenvío de datos y el número de cola 0. Los paquetes TCP con el puerto de origen 12345 se clasifican en la clase de reenvío de datos de calidad y número de cola 1.

Los clasificadores multicampo se suelen utilizar en la periferia de la red, ya que los paquetes entran en un sistema autónomo (AS).

En este ejemplo, configurará el filtro MF-Classifier en el servidor y especificará algunas clases de reenvío personalizadas en el dispositivo R1. Al especificar las clases de reenvío personalizadas, también se asocia cada clase con una cola.

La operación de clasificador se Figura 1muestra en.

Figura 1: Clasificador multicampo basado en puertos de origen TCPClasificador multicampo basado en puertos de origen TCP

Puede aplicar el filtro de firewall del clasificador de varios campos como filtro de entrada en cada interfaz orientada al cliente o orientada al host que necesite el filtro. La interfaz de entrada es GE-1/0/1 en el dispositivo R1. Las asignaciones de clasificación y cola se comprueban en la interfaz de salida. La interfaz de salida es la interfaz ge-1/0/9 del dispositivo R1.

Topología

Figura 2muestra la red de ejemplo.

Figura 2: Escenario de clasificador multicampoEscenario de clasificador multicampo

Configuración rápida de CLImuestra la configuración de todos los dispositivos de Juniper Networks en Figura 2.

En la #d378e82__d378e177 sección se describen los pasos del dispositivo R1.

Los clasificadores se describen con más detalle en el siguiente vídeo Juniper Networks bytes de aprendizaje.

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Dispositivo R1

Dispositivo R2

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI de Junos os.

Para configurar el dispositivo R1:

  1. Configure las interfaces del dispositivo.

  2. Configure las clases de reenvío personalizado y los números de cola asociados.

  3. Configure el término de filtro de firewall que coloca el tráfico TCP con un puerto de origen 80 (tráfico HTTP) en la clase de reenvío de datos, asociada con la cola 0.

  4. Configure el término de filtro de firewall que coloca el tráfico TCP con un puerto de origen 12345 en la clase de reenvío de datos Premium, asociada a la cola 1.

  5. Al final del filtro de firewall, configure un término predeterminado que acepte el resto de tráfico.

    De lo contrario, se descarta todo el tráfico que llegue a la interfaz y que no sea aceptado de forma explícita por el filtro del firewall.

  6. Aplique el filtro Firewall a la interfaz GE-1/0/1 como filtro de entrada.

Resultados

En el modo de configuración, escriba el show interfaces, show class-of-serviceshow firewall comandos. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobación de los ajustes de Co

Purpose

Confirme que las clases de reenvío se han configurado correctamente.

Intervención

Desde el dispositivo R1, ejecute show class-of-service forwardng-classes el comando.

Efectos

El resultado muestra la configuración personalizada del clasificador configurada.

Envío de tráfico TCP a la red y supervisión de la ubicación de la cola

Purpose

Asegúrese de que el tráfico de interés se envía a la cola esperada.

Intervención
  1. Desactive las estadísticas de interfaz en la interfaz de salida del dispositivo R1.

  2. Utilice un generador de tráfico para enviar paquetes TCP del puerto 80 50 al dispositivo R2 o a algún otro dispositivo descendente.

  3. En el dispositivo R1, compruebe los contadores de cola.

    Observe que se comprueban los contadores de cola en la interfaz de salida downstream, no en la interfaz entrante.

  4. Utilice un generador de tráfico para enviar paquetes TCP del puerto 12345 50 al dispositivo R2 o a algún otro dispositivo descendente.

  5. En el dispositivo R1, compruebe los contadores de cola.

Efectos

El resultado muestra que los paquetes se clasifican correctamente. Cuando se utiliza el puerto 80 en los paquetes TCP, se incrementa la cola 0. Cuando se utiliza el puerto 12345, la cola 1 se incrementa.