Inhoudsopgave:
Video: Hoe wordt de koning door het verkeer begeleid? | Doen Ze Dat Zo? | Het Klokhuis 2024
Multifield (MF) classifiers de header van het pakket onderzoeken en op basis van de inhoud daarin het pakket toewijzen naar een doorstuurklasse. Anders dan gedragsaggregaat (BA) classificatoren, onderzoeken MF-classificeerders meer dan alleen de CoS-bits in de kop.
Als u het uitgangspunt accepteert dat uw naburige netwerken niet weten of zich er niet om bekommeren welke CoS-bits in pakketten worden ingesteld die naar uw netwerk worden verzonden, moet u een andere manier vinden om verkeer aan te passen. U kunt dit op twee eenvoudige manieren doen:
-
Kijk waar het verkeer vandaan komt.
-
Kijk waar het verkeer naartoe leidt.
Vergelijk verkeer op basis van het bronadres
In veel gevallen vertelt het bronadres van een pakket welk type pakket het is. Stel u bijvoorbeeld voor dat u een toepassingsserver heeft met het adres 192. 168. 66. 77. Elk pakket met dat bronadres in de koptekst kan op dezelfde manier worden geclassificeerd. In dit geval wijst u die pakketten in principe toe aan de doorstuurklasse die aan die toepassing of een reeks toepassingen is gekoppeld.
Neem voor dit scenario aan dat inkomend verkeer een bronadres heeft van 192. 168. 66. 77, en dat verkeer van deze host moet worden geclassificeerd met de andere bedrijfskritieke applicaties gegroepeerd in de cos-buscrit doorstuurklasse. Configureer een firewallfilter dat overeenkomt met op het bronadres:
[bewerk firewall] filter mf-classifier {interface-specifiek; term assured-forwarding {van {source-address 192. 168. 66. 77;} dan {forwardingklasse cos-buscrit; verliesprioriteit laag;}}}
Deze configuratie komt overeen met al het verkeer met een bronadres dat overeenkomt met de opgegeven bron. Alle verkeer dat aan die voorwaarden voldoet, wordt dan toegewezen aan de cos-buscrit doorstuurklasse en de PLP is ingesteld op laag.
U moet het filter vervolgens toepassen op een interface. Omdat u afstemt op inkomend verkeer, wilt u dat de configuratie een invoerfilter is.
[bewerk interfaces] t1-0 / 0/1 {eenheid 0 {familie inet {filterinvoer mf-classifier;}}}
Alle inkomend verkeer op de opgegeven interface zal worden vergeleken.
Probeer in plaats van de filterinvoerinstructie de invoerlijstinstructie te gebruiken:
[bewerk interfaces] t1-0 / 0/1 {eenheid 0 {familie inet {filterinvoerlijst mf-classifier;}} }
Als u de invoerlijstinstructie gebruikt, kunt u meerdere firewallfilters toevoegen aan dezelfde interface als dat nodig is. Anders kunt u per interface slechts één filter configureren.
Vergelijk verkeer op basis van de bestemmingspoort
Naast dat u verkeer kunt afstemmen op basis van waar het vandaan komt, kunt u vaak het type pakket bepalen (en dus de juiste pakketclassificatie) op basis van de bestemmingspoort.Sommige toepassingen gebruiken bijvoorbeeld bekende poorten.
SIP is een uitstekend voorbeeld. SIP-verkeer maakt gebruik van de poort 5060, dus u moet in staat zijn om pakketten aan te passen op basis van hun bestemmingspoort. Elk pakket met een bestemmingspoort van 5060 kan worden geclassificeerd met het andere SIP-verkeer.
In dit voorbeeld wordt al het spraakverkeer (inclusief signalering) afgehandeld als onderdeel van de cos-voice-doorstuurklasse.
[bewerk firewall] filter voice-mf-classifier {interface-specifiek; term expedited-forwarding {van {destination-port 5060;} then {forwarding-class cos-voice; verliesprioriteit laag;}}} [bewerk interfaces] t1-0 / 0/0 {unit 0 {family inet {filteringangslijst voice-mf-classifier;} _}}
Deze configuratie definieert een ander invoerfilter dat overeenkomt met de bestemmingspoort. Verkeer dat overeenkomt met de opgegeven poort, wordt geclassificeerd als spraakverkeer en maakt gebruik van de eerder gedefinieerde voice-forwardingklasse.