Cómo hacer coincidir el tráfico basado en el uso de clasificadores multicampo en junos

Multicampo (MF) clasificadores examinar el encabezamiento del paquete y en base a los contenidos del mismo, asignar el paquete a una clase de reenvío. A diferencia de comportamiento agregado clasificadores (BA), clasificadores MF examinan más que sólo los bits de COS en el encabezado.

Si acepta la premisa de que sus redes vecinas no saben o no les importa lo que los bits de CoS se establecen en los paquetes que se envían a la red, usted tiene que encontrar una manera diferente para que coincida con el tráfico. Puede hacerlo de dos formas sencillas:

  • Mira donde el tráfico es de.

  • Mira hacia dónde se dirige el tráfico.

el tráfico de ajuste basado en la dirección de origen

En muchos casos, la dirección de origen de un paquete le indica qué tipo de paquete que es. Por ejemplo, imagine que tiene un servidor de aplicaciones con la dirección 192.168.66.77. Cualquier paquete que tiene esa dirección de origen en su cabecera se puede clasificar de la misma manera. En este caso, básicamente asignar esos paquetes a la clase de reenvío ligada a la aplicación o conjunto de aplicaciones.

Para este escenario, se supone que el tráfico entrante tiene una dirección de origen de 192.168.66.77, y que el tráfico desde este host debe clasificarse con las demás aplicaciones críticas de negocios agrupados en el cos-buscrit clase de reenvío. Configurar un filtro de servidor de seguridad que coincide en la dirección de la fuente:

[Editar firewall] filtro mf-clasificador {-interfaz específica plazo asegurado de reenvío {de {source-dirección 192.168.66.77-} entonces {cos-buscrit de pérdida de prioridad de clase de reenvío de baja}}}

Esta configuración coincide con todo el tráfico con una dirección de origen que coincida con el origen especificado. Todo el tráfico que cumpla con esas condiciones se asigna a la cos-buscrit reenvío de clase, y su PLP se establece en bajo.

A continuación, debe aplicar el filtro a una interfaz. Debido a que está en juego el tráfico entrante, desea que la configuración sea una filtro de entrada.

[interfaces de editar] t1-0 / 0/1 {unidad 0 {inet familia {filtro de entrada mf-classifier-}}}

será igualado todo el tráfico entrante en la interfaz especificada.

En lugar de utilizar el entrada del filtro declaración, intente utilizar el entrada-lista declaración:

[interfaces de editar] t1-0 / 0/1 {unidad 0 {inet familia {filtro de entrada-lista mf-classifier-}}}

Si se utiliza el entrada-lista declaración, se puede añadir varios filtros de cortafuegos para la misma interfaz si alguna vez necesita. De lo contrario, puede configurar sólo un filtro por interfaz a la vez.

el tráfico de ajuste basado en puerto de destino

Además de ser capaz de igualar tráfico en función de donde se origina, a menudo se puede determinar el tipo de paquete (y por lo tanto la clasificación de paquetes adecuado) con base en el puerto de destino. Por ejemplo, algunas aplicaciones utilizan puertos conocidos.

SIP es un ejemplo excelente. el tráfico SIP utiliza el puerto 5060, por lo que debe ser capaz de filtrar paquetes en base a su puerto de destino. Cualquier paquete con un puerto de destino de 5060 se puede clasificar con el otro tráfico SIP.

En este ejemplo, todo el tráfico de voz (incluyendo la señalización) está siendo manejado como parte de la cos-voz clase de reenvío.

[Editar firewall] filtro de voz-mf-clasificador {-interfaz específica plazo acelerada de reenvío {de {destino-puerto 5060-} entonces {clase reenvío cos-voz-pérdida-baja prioridad -}}} [editar las interfaces] t1 -0/0/0 {{0 unidad familiar inet {filtro de entrada de voz-lista-mf-clasificador -}}} _

Esta configuración define otro filtro de entrada que coincida en el puerto de destino. Tráfico que coincide con el puerto especificado se clasifica como el tráfico de voz y utiliza el reenvío de voz clase definida anteriormente.

Artículos Relacionados
Usando el servidor de seguridad integrado en mac os x panther
Ssh control y el acceso a telnet a los routers junos
Clasificar el tráfico utilizando dscp en los routers junos
Configurar las interfaces de gestión y de bucle
Cómo asignar clases de reenvío a las colas en junos
Cómo configurar el nat en una srx junos
Cómo configurar la programación de prioridad en los routers junos
Como configurar el planificador en junos
Cómo diseñar un filtro de firewall junos
¿Cómo vincular clasificadores a los flujos de tráfico en junos
¿Cómo vincular clases de reenvío a los clasificadores en junos
Cómo limitar el tráfico en las interfaces del router junos
Cómo evitar el hambre de colas en los routers junos
Cómo proteger a los junos motor de enrutamiento
Cómo establecer los valores de dscp para el tránsito en los routers junos
Cómo configurar buffers de salida en los routers junos
Cómo ajustar el tráfico de salida en junos
Junos os: monitoreo de salida del comando show ruta
¿Cómo clasificar el tráfico entrante usando cos en los routers junos
Cómo administrar múltiples políticas de seguridad en la puerta de enlace de servicios srx