DSCP-Wert
Die Firewall kennzeichnet ausgehenden IPv4- oder IPv6-Datenverkehr lediglich mit dem in der Firewall-Regel konfigurierten DSCP-Wert (Differentiated Services Code Point), damit vorgelagerte Router den Datenverkehr priorisieren können. Sie klassifiziert den Datenverkehr nicht für die Priorisierung.
Verhalten
Das Verhalten der Firewall in Bezug auf DSCP-Werte ist wie folgt:
- Die Firewall markiert den DSCP-Wert des Antwortverkehrs nicht.
- Die Firewall kennzeichnet keinen Datenverkehr, der von der Firewall selbst kommt.
- Wenn eingehender Datenverkehr bereits einen DSCP-Wert aufweist, überschreibt die Firewall diesen mit dem in der Firewall-Regel konfigurierten DSCP-Wert.
DSCP-Werte
| Dezimal | DSCP | Beschreibung |
|---|---|---|
| 0 | Standard | Bestmögliche Anstrengung |
| 8 | CS1 | Klasse 1 (CS1) |
| 10 | AF11 | Klasse 1, Gold (AF11) |
| 12 | AF12 | Klasse 1, Silber (AF12) |
| 14 | AF13 | Klasse 1, Bronze (AF13) |
| 16 | CS2 | Klasse 2 (CS2) |
| 18 | AF21 | Klasse 2, Gold (AF21) |
| 20 | AF22 | Klasse 2, Silber (AF22) |
| 22 | AF23 | Klasse 2, Bronze (AF23) |
| 24 | CS3 | Klasse 3 (CS3) |
| 26 | AF31 | Klasse 3, Gold (AF31) |
| 28 | AF32 | Klasse 3, Silber (AF32) |
| 30 | AF33 | Klasse 3, Bronze (AF33) |
| 32 | CS4 | Klasse 4 (CS4) |
| 34 | AF41 | Klasse 4, Gold (AF41) |
| 36 | AF42 | Klasse 4, Silber (AF42) |
| 38 | AF43 | Klasse 4, Bronze (AF43) |
| 40 | CS5 | Klasse 5 (CS5) |
| 46 | WENN | Beschleunigter Weiterversand (EF) |
| 48 | CS6 | Steuerung (CS6) |
| 56 | CS7 | Steuerung (CS7) |
Beispiel
Eine ICMP-Echo-Anfrage wird von einem Host an einen öffentlichen DNS-Server mit der IP-Adresse gesendet. 8.8.8.8Eine Firewall-Regel mit einem DSCP-Wert von 26-Klasse 3, Gold (AF31) wird auf den ausgehenden Datenverkehr für den ICMP-Dienst angewendet.
Die Firewall-Regelkonfiguration sieht wie folgt aus:
- Quellzonen: UND
- Quellnetzwerke und Geräte: Beliebig
- Zielzonen: VAN
- Zielnetzwerke: Beliebig
- Dienstleistungen: ICMP
- DSCP-Markierung: 26-Klasse 3, Gold (AF31)
Verhalten
Die Firewall markiert das DSCP-Feld für den ausgehenden Datenverkehr. Eine Paketerfassung an der WAN-Schnittstelle der Firewall zeigt, dass der ausgehende Datenverkehr als DSCP markiert ist. DSCP: AF31Die vorgelagerten Router auf dem Pfad wenden dann den von der Firewall festgelegten DSCP-Wert an.
Eingehender Datenverkehr wird gekennzeichnet als DSCP: CS0 (Standardeinstellung). Dies ist das erwartete Verhalten, da die Firewall-Regel den DSCP-Wert nur für ausgehenden Datenverkehr und nicht für Antwortdatenverkehr festlegt.
