NESTA PÁGINA
Exemplo: configurando um policer (Agregado) de interface lógica de duas cores
A partir do Junos OS Release 15.1X49-D40 e do Junos OS Release 17.3R1, você pode configurar um policial de duas cores de taxa única como um políciador de interface lógica e aplicá-lo ao tráfego IPv4 recebido em uma interface lógica. Este exemplo mostra como fazer isso.
Requisitos
Antes de começar, certifique-se de que a interface lógica à qual você aplica o policer de interface lógica de duas cores está hospedada em uma interface Ethernet Gigabit () ou em uma interface Ethernet de ge- 10 Gigabits ( xe- ).
Visão geral
Neste exemplo, você configura o policial de duas cores de uma única taxa como um policial de interface lógica e o aplica ao tráfego IPv4 de entrada policer_IFL na interface ge-1/3/1.0 lógica.
Topologia
Se o tráfego de IPv4 de entrada na interface física exceder o limite de largura de banda igual a 90 por cento da taxa de mídia com um limite de tamanho de ruptura de 300 KB, a taxa do policer da interface lógica limita o tráfego de IPv4 de entrada na ge-1/3/1 policer_IFL interface ge-1/3/1.0 lógica. Configure o policial para marcar tráfego não conformidade definindo níveis de prioridade de perda de pacote (PLP) e classificando os pacotes high como best-effort .
Conforme a taxa de tráfego IPv4 de entrada na interface física diminui e se conforma aos limites configurados, o Junos OS para de marcar os pacotes IPv4 na interface lógica.
Configuração
O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Como usar o Editor de CLI no modo de configuração.
Para configurar este exemplo, realize as seguintes tarefas:
- Configuração rápida CLI
- Configuração das interfaces lógicas
- Configurando o polícial de duas cores de taxa única como um policer de interface lógica
- Aplicar o Logical Interface Policer à entrada de tráfego IPv4 em uma interface lógica
Configuração rápida CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar a configuração da rede, copie e copie e copie os comandos na CLI no nível da hierarquia e, em seguida, entre no modo de [edit] commit configuração.
set interfaces ge-1/3/1 vlan-tagging set interfaces ge-1/3/1 unit 0 vlan-id 100 set interfaces ge-1/3/1 unit 0 family inet address 10.10.10.1/30 set interfaces ge-1/3/1 unit 1 vlan-id 101 set interfaces ge-1/3/1 unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44 set firewall policer policer_IFL logical-interface-policer set firewall policer policer_IFL if-exceeding bandwidth-percent 90 set firewall policer policer_IFL if-exceeding burst-size-limit 300k set firewall policer policer_IFL then loss-priority high set firewall policer policer_IFL then forwarding-class best-effort set interfaces ge-1/3/1 unit 0 family inet policer input policer_IFL
Configuração das interfaces lógicas
Procedimento passo a passo
Para configurar as interfaces lógicas:
Habilitar a configuração da interface.
[edit] user@host# edit interfaces ge-1/3/1
Configure uma única marcação.
[edit interfaces ge-1/3/1] user@host# set vlan-tagging
Configurar interface lógica
ge-1/3/1.0.[edit interfaces ge-1/3/1] user@host# set unit 0 vlan-id 100 user@host# set unit 0 family inet address 10.10.10.1/30
Configurar interface lógica
ge-1/3/1.0.[edit interfaces ge-1/3/1] user@host# set unit 1 vlan-id 101 user@host# set unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44
Resultados
Confirmar a configuração das interfaces lógicas ao entrar no comando show interfaces do modo de configuração. Se a saída do comando não apresentar a configuração pretendido, repetirá as instruções deste procedimento para corrigir a configuração.
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
Configurando o polícial de duas cores de taxa única como um policer de interface lógica
Procedimento passo a passo
Para configurar um policial de duas cores de uma única taxa como um policial de interface lógica:
Habilitar a configuração de um policial de duas cores de uma única taxa.
[edit] user@host# edit firewall policer policer_IFL
Especifique que o policial é um policial de interface lógica (agregado).
[edit firewall policer policer_IFL] user@host# set logical-interface-policer
Uma taxa de polícia de interface lógica limita o tráfego com base em uma porcentagem da taxa de mídia da interface física subjacente à interface lógica à qual o policial é aplicado. O policer é aplicado diretamente à interface, em vez de ser referenciado por um filtro de firewall.
Especifique os limites de tráfego do policial.
Especifique o limite de largura de banda.
Para especificar o limite de largura de banda como uma taxa absoluta, de 8.000 bits por segundo a 50.000.000.000 bits por segundo, inclua a
bandwidth-limit bpsdeclaração.Para especificar o limite de largura de banda como uma porcentagem da velocidade de porta física na interface, inclua a
bandwidth-percent percentdeclaração.
Neste exemplo, os comandos e a saída de CLI são baseados em um limite de largura de banda especificado como uma porcentagem, em vez de como uma taxa absoluta.
[edit firewall policer policer_IFL] user@host# set if-exceeding bandwidth-percent 90
Especifique o limite de tamanho estouro, de 1.500 bytes a 100.000.000.000 bytes, que é o tamanho máximo de pacote a ser permitido para rajadas de dados que superam o limite de largura de banda especificado.
[edit firewall policer policer_IFL] user@host# set if-exceeding burst-size-limit 300k
Especifique as ações de polícia a serem tomadas no tráfego que exceda os limites de taxa configurados.
Para descartar o pacote, inclua a
discarddeclaração.Para definir o valor de prioridade de perda do pacote, inclua a
loss-priority (low | medium-low | medium-high | high)declaração.Para classificar o pacote em uma classe de encaminhamento, inclua a
forwarding-class (forwarding-class | assured-forwarding | best-effort | expedited-forwarding | network-control)declaração.
Neste exemplo, os comandos e a saída de CLI são baseados na definição do nível de prioridade da perda de pacotes e na classificação do pacote.
[edit firewall policer policer_IFL] user@host# set then loss-priority high user@host# set then forwarding-class best-effort
Resultados
Confirmar a configuração do policial ao entrar no comando show firewall do modo de configuração. Se a saída do comando não apresentar a configuração pretendido, repetirá as instruções deste procedimento para corrigir a configuração.
[edit]
user@host# show firewall
policer policer_IFL {
logical-interface-policer;
if-exceeding {
bandwidth-percent 90;
burst-size-limit 300k;
}
then {
loss-priority high;
forwarding-class best-effort;
}
}
Aplicar o Logical Interface Policer à entrada de tráfego IPv4 em uma interface lógica
Procedimento passo a passo
Para aplicar o políciador de interface lógica de duas cores para inserir o tráfego IPv4 em uma interface lógica:
Habilitar a configuração da interface lógica.
[edit] user@host# edit interfaces ge-1/3/1 unit 0
Aplique o policial a todos os tipos de tráfego ou a um tipo de tráfego específico na interface lógica.
Para aplicar o policial a todos os tipos de tráfego, independentemente da família de protocolo, inclua a
policer (input | output) policer-namedeclaração em nível de[edit interfaces interface-name unit number]hierarquia.Para aplicar o policial ao tráfego de uma família de protocolos específica, inclua a
policer (input | output) policer-namedeclaração em nível de[edit interfaces interface-name unit unit-number family family-name]hierarquia.
Para aplicar o policer de interface lógica aos pacotes recebidos, use a
policer input policer-namedeclaração. Para aplicar o policer de interface lógica a pacotes de saída, use apolicer output policer-namedeclaração.Neste exemplo, os comandos e a saída de CLI são baseados na limitação da taxa do tráfego de entrada IPv4 na interface
ge-1/3/1.0lógica.[edit interfaces ge-1/3/1 unit 0] user@host# set family inet policer input policer_IFL
Resultados
Confirmar a configuração da interface inserindo o comando show interfaces modo de configuração. Se a saída do comando não apresentar a configuração pretendido, repetirá as instruções deste procedimento para corrigir a configuração.
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
policer input policer_IFL;
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
Caso você não configure o dispositivo, entre commit no modo de configuração.
Verificação
Confirmar se a configuração está funcionando corretamente.
- Exibindo estatísticas de tráfego e agentes de segurança para a interface lógica
- Exibição de estatísticas para o policial
Exibindo estatísticas de tráfego e agentes de segurança para a interface lógica
Propósito
Verificar o fluxo de tráfego pela interface lógica e se o policial está avaliando os pacotes recebidos na interface lógica.
Ação
Use o show interfaces comando do modo operacional para interface lógica e inclua a ou ge-1/3/1.0 detail extensive opção. A seção de saída de comando lista Traffic statistics o número de bytes e pacotes recebidos e transmitidos na interface lógica. A subseção contém um campo que listaria o policial como um políciador de interface lógica de entrada ou saída da Protocol inet Policer seguinte policer_IFL forma:
Input: policer_IFL-ge-1/3/1.0-log_int-i
Output: policer_IFL-ge-1/3/1.0-log_int-o
O sufixo denota um policial de interface lógica aplicado ao tráfego de entrada, enquanto o sufixo indica um políciador de interface lógica aplicado ao tráfego log_int-i log_int-o de saída. Neste exemplo, o policer de interface lógica é aplicado apenas a tráfego de entrada.
Exibição de estatísticas para o policial
Propósito
Verificar a quantidade de pacotes avaliados pelo policial.
Ação
Use o show policer comando do modo operacional e, opcionalmente, especifique o nome do agente de segurança. A saída de comando exibe o número de pacotes avaliados por cada policial configurado (ou o policial especificado), em cada direção. Para o policial, os nomes dos policiais de entrada e saída policer_IFL são exibidos da seguinte forma:
policer_IFL-ge-1/3/1.0-log_int-i
policer_IFL-ge-1/3/1.0-log_int-o
O sufixo denota um policial de interface lógica aplicado ao tráfego de entrada, enquanto o sufixo indica um políciador de interface lógica aplicado ao tráfego log_int-i log_int-o de saída. Neste exemplo, o policer de interface lógica é aplicado apenas a tráfego de entrada.