Indholdsfortegnelse:
Video: Sådan passer du ind – uden på nogen måde at stikke ud | Guiden | DR3 2024
Multifield (MF) klassifikatorer undersøger pakkeoverskriften og på basis af indholdet deri, tildeler pakken til en videresendelse klasse. I modsætning til adfærdsmængde (BA) klassificerer MF-klassificerer mere end blot CoS-bitene i overskriften.
Hvis du accepterer forudsætningen om, at dine nærliggende netværk ikke ved eller er ligeglad med, hvilke CoS-bits der er angivet i pakker, der sendes til dit netværk, skal du finde en anden måde at matche trafikken på. Det kan du gøre på to nemme måder:
-
Se, hvor trafikken kommer fra.
-
Se på, hvor trafikken er på vej.
Match trafik baseret på kildeadressen
I mange tilfælde fortæller kilden til en pakke dig hvilken type pakke den er. For eksempel forestil dig, at du har en applikationsserver med adressen 192. 168. 66. 77. Enhver pakke, der har denne kildeadresse i sin overskrift, kan klassificeres på samme måde. I dette tilfælde tildeler du i grunden disse pakker til viderestillingsklassen bundet til det pågældende program eller sæt af applikationer.
For dette scenario antager, at indgående trafik har en kildeadresse på 192. 168. 66. 77, og at trafikken fra denne vært skal klassificeres med de øvrige forretningskritiske applikationer grupperet i cos-buscrit videresendelse klasse. Konfigurer et firewallfilter, der matcher på kildeadressen:
[rediger firewall] filter mf-classifier {interface-specific; tidsbegrænset fremsendelse {fra {source-adresse 192. 168. 66. 77;} derefter {forwarding-class cos-buscrit; tab-prioritet lav;}}}
Denne konfiguration matcher al trafik med en kildeadresse, der matcher den angivne kilde. Enhver trafik, der opfylder disse betingelser, tildeles derefter til cos-buscrit videresendelsesklassen, og dens PLP er indstillet til lav.
Du skal derefter anvende filteret på en grænseflade. Fordi du matcher indgående trafik, vil du have konfigurationen til at være et indgangsfilter .
[rediger grænseflader] t1-0 / 0/1 {enhed 0 {family inet {filter input mf-classifier;}}}
Alle indgående trafik på den angivne grænseflade vil blive matchet.
I stedet for at bruge filterindgangsopgørelsen skal du prøve at bruge inputlistedannelsen:
[rediger grænseflader] t1-0 / 0/1 {enhed 0 {family inet {filter input-list mf-classifier}}} }
Hvis du bruger input-list-sætningen, kan du tilføje flere firewall-filtre til samme interface, hvis du nogensinde har brug for det. Ellers kan du konfigurere kun ét filter pr. Grænseflade ad gangen.
Match trafik baseret på destinationsport
Ud over at kunne sammenligne trafik baseret på hvor den stammer fra, kan du ofte bestemme typen af pakke (og dermed den rigtige pakke klassifikation) baseret på destinationsporten.For eksempel bruger nogle applikationer velkendte porte.
SIP er et glimrende eksempel. SIP-trafik bruger port 5060, så du skal kunne matche pakker baseret på deres destinationsport. Enhver pakke med en destinationshavn på 5060 kan klassificeres med den anden SIP-trafik.
I dette eksempel håndteres alle taletrafik (inklusive signalering) som en del af cos-voice forwarding-klassen.
[rediger firewall] filter voice-mf-classifier {interface-specific; termisk fremskyndet-fremsendelse {fra {destinations-port 5060;} derefter {forwarding-class cos-voice; tab-prioritet lav;}}} [redigér grænseflader] t1-0 / 0/0 {enhed 0 {familie inet {filter input-list voice-mf-classifier;} _}}
Denne konfiguration definerer et andet inputfilter kampe på destinationsporten. Trafik, der matcher den angivne port, klassificeres som taletrafik, og bruger den tidligere definerede stemmeoverførselsklasse.
