Comment faire correspondre le trafic en fonction en utilisant des classificateurs multichamps dans junos

Multifield (MF) classificateurs examiner l'en-tête du paquet et sur la base des contenus qui y sont, attribuer le paquet à une classe de transfert. Contrairement comportement global (BA) classificateurs, classificateurs MF examinent plus que les bits CoS dans l'en-tête.

Si vous acceptez le principe que vos réseaux voisins ne savent pas ou ne se soucient pas ce que les bits CoS sont mis en paquets qui sont envoyés à votre réseau, vous devez trouver une façon différente de faire correspondre le trafic. Vous pouvez le faire de deux façons simples:

• Regardez où le trafic est de.

• Regardez où le trafic se dirige.

Le trafic de match basé sur l'adresse source

Dans de nombreux cas, l'adresse source d'un paquet vous dit quel type de paquet qu'il est. Par exemple, imaginez que vous avez un serveur d'application avec l'adresse 192.168.66.77. Tout paquet qui a cette adresse source dans l'en-tête peuvent être classées de la même façon. Dans ce cas, vous affectez essentiellement ces paquets à la classe de transfert liée à cette application ou un ensemble d'applications.

Pour ce scénario, on suppose que le trafic entrant dispose d'une adresse source de 192.168.66.77, et que le trafic de cet hôte est à classer avec les autres applications critiques de l'entreprise regroupés dans le cos-buscrit classe expédition. Configurez un filtre de pare-feu qui correspond à l'adresse de la source:

[modifier pare-feu] filtre mf-classificateur {spécifique à l'interface terme assuré-forwarding {{d'adresse source 192.168.66.77-} {puis cos-buscrit perte priorité renvoi classe faible}}}

Cette configuration correspond à l'ensemble du trafic avec une adresse source correspondant à la source spécifiée. Tout trafic qui répond à ces conditions est ensuite affecté à la cos-buscrit expédition classe, et son PLP est réglé sur faible.

Vous devez ensuite appliquer le filtre à une interface. Parce que vous êtes correspondant sur le trafic entrant, vous souhaitez que la configuration soit un filtre d'entrée.

[modifier] interfaces t1-0 / 0/1 0 {{unité inet famille {filtre entrée mf-classifier-}}}

Tout le trafic entrant sur l'interface spécifiée sera égalé.

Au lieu d'utiliser le entrée de filtre déclaration, essayez d'utiliser le entrée-liste déclaration:

[modifier] interfaces t1-0 / 0/1 0 {{unité inet famille {filtre entrée liste mf-classifier-}}}

Si vous utilisez le entrée-liste déclaration, vous pouvez ajouter plusieurs filtres de pare-feu à la même interface si jamais vous en avez besoin. Sinon, vous pouvez configurer un seul filtre par interface à la fois.

Le trafic de match en fonction du port de destination

En plus d'être capable de faire correspondre le trafic en fonction de l'endroit où il est originaire, vous pouvez souvent déterminer le type de paquet (et donc la classification appropriée de paquets) sur la base du port de destination. Par exemple, certaines applications utilisent des ports bien connus.

SIP est un excellent exemple. Le trafic SIP utilise le port 5060, de sorte que vous devriez être en mesure de sélectionner les paquets basés sur leur port de destination. Tout paquet avec un port de destination 5060 peuvent être classés à l'autre trafic SIP.

Dans cet exemple, tout le trafic de voix (y compris la signalisation) est traitée dans le cadre de la cos-voix classe expédition.

[modifier pare-feu] filtre voix-mf-classificateur {spécifique à l'interface terme accélérée-forwarding {de {destination port 5060-} puis {classe expédition cos-voix-perte-faible priorité -}}} [interfaces modifier] t1 -0/0/0 {{unité 0 inet famille {filtre entrée liste voix-mf-classificateur -} _}}

Cette configuration définit un autre filtre d'entrée qui correspond au port de destination. Le trafic correspondant le port spécifié est classé comme le trafic voix et utilise le forwarding voix classe défini précédemment.