Cómo hacer coincidir el tráfico en función utilizando clasificadores multicampo en Junos
Multicampo (MF) clasificadores examinar la cabecera del paquete y en base a los contenidos del mismo, asignar el paquete a una clase de reenvío. A diferencia agregada comportamiento (BA) clasificadores, clasificadores MF examinan más que sólo los bits de CoS en el encabezado.
Conteúdo
Si acepta la premisa de que sus redes vecinos no saben o no les importa lo que los bits de CoS se encuentran en los paquetes que se envían a su red, usted tiene que encontrar una manera diferente para que coincida con el tráfico. Puede hacerlo de dos maneras fáciles:
Mira donde el tráfico es de.
Mira donde el tráfico se dirige.
El tráfico de ajuste basado en la dirección de origen
En muchos casos, la dirección de origen de un paquete te dice qué tipo de paquete que es. Por ejemplo, imagine que tiene un servidor de aplicaciones con la dirección 192.168.66.77. Cualquier paquete que tiene esa dirección de origen en su cabecera se puede clasificar de la misma manera. En este caso, básicamente asignar esos paquetes a la clase de reenvío atada a esa aplicación o conjunto de aplicaciones.
Para este escenario, se supone que el tráfico entrante tiene una dirección de origen de 192.168.66.77, y que el tráfico desde este host, se clasifica con las otras aplicaciones críticas de negocio agrupadas en la cos-buscrit clase de reenvío. Configurar un filtro de servidor de seguridad que coincide en la dirección de la fuente:
[editar firewall] Filtro mf-clasificador {-interfaz específica plazo asegurado el avance de {{fuente-dirección 192.168.66.77-} entonces {cos-buscrit pérdida de prioridad de clase baja reenvío}}}
Esta configuración coincide con todo el tráfico con una dirección de origen coincida con el origen especificado. Cualquier tráfico que satisface esas condiciones, entonces se asigna a la cos-buscrit expedición de clase, y su PLP se establece en bajo.
A continuación, debe aplicar el filtro a una interfaz. Porque estás a juego en el tráfico entrante, desea que la configuración sea un filtro de entrada.
[editar] interfaces de t1-0 / 0/1 {unidad 0 {inet familia {filtro de entrada mf-classifier-}}}
Todo el tráfico entrante en la interfaz especificada será igualada.
En lugar de utilizar la entrada del filtro declaración, pruebe a utilizar el entrada de lista declaración:
[editar] interfaces de t1-0 / 0/1 {unidad 0 {inet familia {filtro de entrada-list mf-classifier-}}}
Si utiliza el entrada de lista declaración, puede añadir varios filtros de cortafuegos para la misma interfaz, si alguna vez necesitas. De lo contrario, puede configurar sólo un filtro por interfaz a la vez.
El tráfico de ajuste basado en puerto de destino
Además de ser capaz de igualar el tráfico basándose en donde se origina, a menudo se puede determinar el tipo de paquete (y por lo tanto la correcta clasificación de paquetes) basado en el puerto de destino. Por ejemplo, algunas aplicaciones utilizan puertos conocidos.
SIP es un excelente ejemplo. Tráfico SIP utiliza el puerto 5060, por lo que debe ser capaz de igualar los paquetes en base a su puerto de destino. Cualquier paquete con un puerto de destino de 5060 puede clasificarse con el resto del tráfico SIP.
En este ejemplo, todo el tráfico de voz (incluyendo la señalización) está siendo manejado como parte de la cos-voz clase de reenvío.
[editar firewall] Filtro de voz-mf-clasificador {-interfaz específica plazo acelerado el avance de {{destination-port 5060-} entonces {clase expedición cos-voz-pérdida de prioridad baja -}}} [interfaces de editar] t1 -0/0/0 {unidad 0 {inet familia {filtro de entrada-lista de voces-mf-clasificador -} _}}
Esta configuración define otro filtro de entrada que coincide en el puerto de destino. El tráfico que coincida con el puerto especificado está clasificado como el tráfico de voz y utiliza el reenvío de voz clase definida anteriormente.