Nesta página
Exemplo: Configurando um policiador de interface física para agregar tráfego em uma interface física
Este exemplo mostra como configurar um policiador de duas cores de taxa única como um policiador de interface física.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Um policiador de interface física especifica o limite de taxa para tráfego agregado, que abrange todas as famílias de protocolo e interfaces lógicas configuradas em uma interface física, mesmo que as interfaces pertençam a diferentes instâncias de roteamento.
Você pode aplicar um policiador de interface física ao tráfego de entrada ou saída de Camada 3 apenas fazendo referência ao policiador a partir de um filtro de firewall apátrida configurado para uma família de protocolo específica (não para family any
) e configurado como um filtro de interface física. Você configura os termos do filtro com condições de correspondência que selecionam os tipos de pacotes que deseja limitar a taxa, e especifica o policiador de interface física como a ação a ser aplicada a pacotes combinados.
Os policiais/filtros de interface física não têm suporte para filtros de lista.
Topologia
O policiador de interface física, neste exemplo, shared-policer-A
limita a taxa a 10.000.000 bps e permite uma explosão máxima de tráfego de 500.000 bytes. Você configura o policial para descartar pacotes em fluxos não conformes, mas pode configurar o policial para marcar novamente o tráfego não conformado com uma classe de encaminhamento, um nível de prioridade de perda de pacotes (PLP) ou ambos.
Para poder usar o policial para limitar a taxa de tráfego IPv4, você faz referência ao policial a partir de um filtro de interface física IPv4. Para este exemplo, você configura o filtro para passar os pacotes IPv4 do policiador que atendem a qualquer um dos seguintes termos de correspondência:
-
Pacotes recebidos por TCP e com os campos
critical-ecp
de precedência de IP (0xa0),immediate
(0x40) oupriority
(0x20) -
Pacotes recebidos por TCP e com os campos
internet-control
de precedência de IP (0xc0) ouroutine
(0x00)
Você também pode fazer referência ao policial a partir de filtros de interface física para outras famílias de protocolo.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configuração das interfaces lógicas na interface física
- Configurando um policiador de interface física
- Configuração de um filtro de interface física IPv4
- Aplicando o filtro de interface física IPv4 para fazer referência aos policiais de interface física
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit]
hierarquia.
set interfaces so-1/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces so-1/0/0 unit 0 family vpls set interfaces so-1/0/0 unit 1 family mpls set firewall policer shared-policer-A physical-interface-policer set firewall policer shared-policer-A if-exceeding bandwidth-limit 100m burst-size-limit 500k set firewall policer shared-policer-A then discard set firewall family inet filter ipv4-filter physical-interface-filter set firewall family inet filter ipv4-filter term tcp-police-1 from precedence [ critical-ecp immediate priority ] set firewall family inet filter ipv4-filter term tcp-police-1 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-1 then policer shared-policer-A set firewall family inet filter ipv4-filter term tcp-police-2 from precedence [ internet-control routine ] set firewall family inet filter ipv4-filter term tcp-police-2 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-2 then policer shared-policer-A set interfaces so-1/0/0 unit 0 family inet filter input ipv4-filter
Configuração das interfaces lógicas na interface física
Procedimento passo a passo
Para configurar as interfaces lógicas na interface física:
Habilite a configuração de interfaces lógicas.
[edit] user@host# edit interfaces so-1/0/0
Configure famílias de protocolo na unidade lógica 0.
[edit interfaces so-1/0/0] user@host# set unit 0 family inet address 192.168.1.1/24 user@host# set unit 0 family vpls
Configure famílias de protocolo na unidade lógica 1.
[edit interfaces so-1/0/0] user@host# set unit 1 family mpls
Resultados
Confirme a configuração do filtro de firewall entrando no comando do show interfaces
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit] user@host# show interfaces so-1/0/0 { unit 0 { family inet { address 192.168.1.1/24; } family vpls; } unit 1 { family mpls; } }
Configurando um policiador de interface física
Procedimento passo a passo
Para configurar um policiador de interface física:
Habilite a configuração do policiador de duas cores.
[edit] user@host# edit firewall policer shared-policer-A
Configure o tipo de policiador de duas cores.
[edit firewall policer shared-policer-A] user@host# set physical-interface-policer
Configure os limites de tráfego e a ação para pacotes em um fluxo de tráfego sem conformidade.
[edit firewall policer shared-policer-A] user@host# set if-exceeding bandwidth-limit 100m burst-size-limit 500k user@host# set then discard
Para um filtro de interface física, as ações que você pode configurar para pacotes em um fluxo de tráfego não conformante são descartar os pacotes, atribuir uma classe de encaminhamento, atribuir um valor PLP ou atribuir uma classe de encaminhamento e um valor PLP.
Resultados
Confirme a configuração do policiador inserindo o comando do show firewall
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit] user@host# show firewall policer shared-policer-A { physical-interface-policer; if-exceeding { bandwidth-limit 100m; burst-size-limit 500k; } then discard; }
Configuração de um filtro de interface física IPv4
Procedimento passo a passo
Configurar um policiador de interface física como ação para termos em um policiador de interface física IPv4:
Configure um filtro de firewall sem estado padrão em uma família de protocolo específica.
[edit] user@host# edit firewall family inet filter ipv4-filter
Você não pode configurar um filtro de firewall de interface física para
family any
.Configure o filtro como um filtro de interface física para que você possa aplicar o policiador de interface física como uma ação.
[edit firewall family inet filter ipv4-filter] user@host# set physical-interface-filter
Configure o primeiro termo para combinar pacotes IPv4 recebidos por TCP com os campos
critical-ecp
de precedência de IP,immediate
oupriority
aplicar o policiador de interface física como uma ação de filtro.[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-1 from precedence [ critical-ecp immediate priority ] user@host# set term tcp-police-1 from protocol tcp user@host# set term tcp-police-1 then policer shared-policer-A
Configure o primeiro termo para combinar pacotes IPv4 recebidos por TCP com os campos
internet-control
de precedência de IP ouroutine
aplicar o policiador de interface física como uma ação de filtro.[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-2 from precedence [ internet-control routine ] user@host# set term tcp-police-2 from protocol tcp user@host# set term tcp-police-2 then policer shared-policer-A
Resultados
Confirme a configuração do filtro de firewall entrando no comando do show firewall
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit] user@host# show firewall family inet { filter ipv4-filter { physical-interface-filter; term tcp-police-1 { from { precedence [ critical-ecp immediate priority ]; protocol tcp; } then policer shared-policer-A; } term tcp-police-2 { from { precedence [ internet-control routine ]; protocol tcp; } then policer shared-policer-A; } } } policer shared-policer-A { physical-interface-policer; if-exceeding { bandwidth-limit 100m; burst-size-limit 500k; } then discard; }
Aplicando o filtro de interface física IPv4 para fazer referência aos policiais de interface física
Procedimento passo a passo
Aplicar o filtro de interface física para fazer referência aos policiais de interface física:
Habilite a configuração do IPv4 na interface lógica.
[edit] user@host# edit interfaces so-1/0/0 unit 0 family inet
Aplique o filtro de interface física IPv4 na direção de entrada.
[edit interfaces so-1/0/0 unit 0 family inet] user@host# set filter input ipv4-filter
Resultados
Confirme a configuração do filtro de firewall entrando no comando do show interfaces
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit] user@host# show interfaces so-1/0/0 { unit 0 { family inet { filter { input ipv4-filter; } address 192.168.1.1/24; } family vpls; } unit 1 { family mpls; } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Exibição dos filtros de firewall aplicados a uma interface
- Exibindo o número de pacotes processados pelo policial na Interface Lógica
Exibição dos filtros de firewall aplicados a uma interface
Propósito
Verifique se o filtro ipv4-filter
de firewall é aplicado ao tráfego de entrada IPv4 na interface so-1/0/0.0
lógica.
Ação
Use o comando de show interfaces statistics
modo operacional para interface so-1/0/0.0
lógica e inclua a opção detail
. Protocol inet Na seção da saída de comando, o Input Filters campo mostra que o filtro ipv4-filter
de firewall é aplicado na direção de entrada.
user@host> show interfaces statistics so-1/0/0 detail Logical interface so-1/0/0.0 (Index 79) (SNMP ifIndex 510) (Generation 149) Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP Protocol inet, MTU: 4470, Generation: 173, Route table: 0 Flags: Sendbcast-pkt-to-re, Protocol-Down Input Filters: ipv4-filter Addresses, Flags: Dest-route-down Is-Preferred Is-Primary Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
Exibindo o número de pacotes processados pelo policial na Interface Lógica
Propósito
Verifique o fluxo de tráfego através da interface lógica e se o policiador é avaliado quando os pacotes são recebidos na interface lógica.
Ação
Use o comando de show firewall
modo operacional para o filtro que você aplicou à interface lógica.
user@host> show firewall filter ipv4-filter Filter: ipv4-filter Policers: Name Packets shared-policer-A-tcp-police-1 32863 shared-policer-A-tcp-police-2 3870
A saída de comando exibe o nome do policiador (shared-policer-A
), o nome do termo filtro (police-1
) sob o qual a ação do policiador é especificada e o número de pacotes que combinavam com o termo filtro. Este é apenas o número de contagens de pacotes fora de especificação (fora de especificação), nem todos os pacotes policiados pelo policial.