Table des matières:
- Correspondance du trafic en fonction de l'adresse source
- Correspondance du trafic en fonction du port de destination
Vidéo: Traitement : Insuffisance Cardiaque symptomes et maladie cardiaque 2024
Classificateurs multifield (MF) examinent l'en-tête du paquet et en fonction du contenu, affectez le paquet à une classe d'expédition. Contrairement aux classificateurs d'agrégat de comportement (BA), les classificateurs MF examinent plus que les bits CoS dans l'en-tête.
Si vous acceptez la prémisse que vos réseaux voisins ne savent pas ou ne se soucient pas des bits CoS définis dans les paquets envoyés à votre réseau, vous devez trouver un moyen différent de faire correspondre le trafic. Vous pouvez le faire de deux façons simples:
-
Regardez d'où vient le trafic.
-
Regardez où se dirige le trafic.
Correspondance du trafic en fonction de l'adresse source
Dans de nombreux cas, l'adresse source d'un paquet vous indique le type de paquet. Par exemple, imaginez que vous avez un serveur d'application avec l'adresse 192. 168. 66. 77. Tout paquet qui a cette adresse source dans son en-tête peut être classé de la même manière. Dans ce cas, vous attribuez essentiellement ces paquets à la classe de transfert liée à cette application ou à ce jeu d'applications.
Pour ce scénario, supposons que le trafic entrant possède une adresse source de 192. 168. 66. 77 et que le trafic provenant de cet hôte soit classé avec les autres applications critiques de l'entreprise regroupées dans le classe de transfert cos-buscrit. Configurez un filtre de pare-feu qui correspond à l'adresse source:
[edit firewall] filtre mf-classifier {interface-specific; terme assuré-forwarding {from {source-address 192. 168. 66. 77;} puis {forwarding-class cos-buscrit; priorité à la perte faible;}}}
Cette configuration correspond à tout le trafic avec une adresse source correspondant à la source spécifiée. Tout trafic répondant à ces conditions est ensuite affecté à la classe de transfert cos-buscrit et son PLP est défini sur faible.
Vous devez ensuite appliquer le filtre à une interface. Comme vous faites correspondre le trafic entrant, vous souhaitez que la configuration soit un filtre d'entrée .
[éditer les interfaces] t1-0 / 0/1 {unité 0 {family inet {entrée de filtre mf-classifier;}}}
Tout le trafic entrant sur l'interface spécifiée sera mis en correspondance.
Au lieu d'utiliser l'instruction d'entrée de filtre, essayez d'utiliser l'instruction input-list:
[éditer les interfaces] t1-0 / 0/1 {unit 0 {family inet {filtrer l'entrée-liste mf-classifier;}} }
Si vous utilisez l'instruction input-list, vous pouvez ajouter plusieurs filtres de pare-feu à la même interface si vous en avez besoin. Sinon, vous ne pouvez configurer qu'un seul filtre par interface à la fois.
Correspondance du trafic en fonction du port de destination
En plus de pouvoir faire correspondre le trafic en fonction de son origine, vous pouvez souvent déterminer le type de paquet (et donc la classification de paquets appropriée) en fonction du port de destination.Par exemple, certaines applications utilisent des ports bien connus.
SIP est un excellent exemple. Le trafic SIP utilise le port 5060, vous devriez donc pouvoir faire correspondre les paquets en fonction de leur port de destination. Tout paquet avec un port de destination de 5060 peut être classé avec l'autre trafic SIP.
Dans cet exemple, tout le trafic voix (y compris la signalisation) est géré dans le cadre de la classe de transfert cos-voice.
[éditer le pare-feu] filter voice-mf-classifier {interface-specific; term expedited-forwarding {from {port de destination 5060;} puis {forwarding-class cos-voice; priorité de perte faible;}}} [edit interfaces] t1-0 / 0/0 {unité 0 {family inet {filtre entrée-liste voice-mf-classifier;} _}}
Cette configuration définit un autre filtre d'entrée correspond au port de destination. Le trafic correspondant au port spécifié est classé comme trafic vocal et utilise la classe de retransmission vocale définie précédemment.
