Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configurando um policiador de interface física para agregar tráfego em uma interface física

Este exemplo mostra como configurar um policiador de duas cores de taxa única como um policiador de interface física.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Um policiador de interface física especifica o limite de taxa para tráfego agregado, que abrange todas as famílias de protocolo e interfaces lógicas configuradas em uma interface física, mesmo que as interfaces pertençam a diferentes instâncias de roteamento.

Você pode aplicar um policiador de interface física ao tráfego de entrada ou saída de Camada 3 apenas fazendo referência ao policiador a partir de um filtro de firewall apátrida configurado para uma família de protocolo específica (não para family any) e configurado como um filtro de interface física. Você configura os termos do filtro com condições de correspondência que selecionam os tipos de pacotes que deseja limitar a taxa, e especifica o policiador de interface física como a ação a ser aplicada a pacotes combinados.

Nota:

Os policiais/filtros de interface física não têm suporte para filtros de lista.

Topologia

O policiador de interface física, neste exemplo, shared-policer-Alimita a taxa a 10.000.000 bps e permite uma explosão máxima de tráfego de 500.000 bytes. Você configura o policial para descartar pacotes em fluxos não conformes, mas pode configurar o policial para marcar novamente o tráfego não conformado com uma classe de encaminhamento, um nível de prioridade de perda de pacotes (PLP) ou ambos.

Para poder usar o policial para limitar a taxa de tráfego IPv4, você faz referência ao policial a partir de um filtro de interface física IPv4. Para este exemplo, você configura o filtro para passar os pacotes IPv4 do policiador que atendem a qualquer um dos seguintes termos de correspondência:

  • Pacotes recebidos por TCP e com os campos critical-ecp de precedência de IP (0xa0), immediate (0x40) ou priority (0x20)

  • Pacotes recebidos por TCP e com os campos internet-control de precedência de IP (0xc0) ou routine (0x00)

Você também pode fazer referência ao policial a partir de filtros de interface física para outras famílias de protocolo.

Configuração

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.

Para configurar este exemplo, execute as seguintes tarefas:

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit] hierarquia.

Configuração das interfaces lógicas na interface física

Procedimento passo a passo

Para configurar as interfaces lógicas na interface física:

  1. Habilite a configuração de interfaces lógicas.

  2. Configure famílias de protocolo na unidade lógica 0.

  3. Configure famílias de protocolo na unidade lógica 1.

Resultados

Confirme a configuração do filtro de firewall entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.

Configurando um policiador de interface física

Procedimento passo a passo

Para configurar um policiador de interface física:

  1. Habilite a configuração do policiador de duas cores.

  2. Configure o tipo de policiador de duas cores.

  3. Configure os limites de tráfego e a ação para pacotes em um fluxo de tráfego sem conformidade.

    Para um filtro de interface física, as ações que você pode configurar para pacotes em um fluxo de tráfego não conformante são descartar os pacotes, atribuir uma classe de encaminhamento, atribuir um valor PLP ou atribuir uma classe de encaminhamento e um valor PLP.

Resultados

Confirme a configuração do policiador inserindo o comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.

Configuração de um filtro de interface física IPv4

Procedimento passo a passo

Configurar um policiador de interface física como ação para termos em um policiador de interface física IPv4:

  1. Configure um filtro de firewall sem estado padrão em uma família de protocolo específica.

    Você não pode configurar um filtro de firewall de interface física para family any.

  2. Configure o filtro como um filtro de interface física para que você possa aplicar o policiador de interface física como uma ação.

  3. Configure o primeiro termo para combinar pacotes IPv4 recebidos por TCP com os campos critical-ecpde precedência de IP, immediateou priority aplicar o policiador de interface física como uma ação de filtro.

  4. Configure o primeiro termo para combinar pacotes IPv4 recebidos por TCP com os campos internet-control de precedência de IP ou routine aplicar o policiador de interface física como uma ação de filtro.

Resultados

Confirme a configuração do filtro de firewall entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.

Aplicando o filtro de interface física IPv4 para fazer referência aos policiais de interface física

Procedimento passo a passo

Aplicar o filtro de interface física para fazer referência aos policiais de interface física:

  1. Habilite a configuração do IPv4 na interface lógica.

  2. Aplique o filtro de interface física IPv4 na direção de entrada.

Resultados

Confirme a configuração do filtro de firewall entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Exibição dos filtros de firewall aplicados a uma interface

Propósito

Verifique se o filtro ipv4-filter de firewall é aplicado ao tráfego de entrada IPv4 na interface so-1/0/0.0lógica.

Ação

Use o comando de show interfaces statistics modo operacional para interface so-1/0/0.0lógica e inclua a opção detail . Protocol inet Na seção da saída de comando, o Input Filters campo mostra que o filtro ipv4-filter de firewall é aplicado na direção de entrada.

Exibindo o número de pacotes processados pelo policial na Interface Lógica

Propósito

Verifique o fluxo de tráfego através da interface lógica e se o policiador é avaliado quando os pacotes são recebidos na interface lógica.

Ação

Use o comando de show firewall modo operacional para o filtro que você aplicou à interface lógica.

A saída de comando exibe o nome do policiador (shared-policer-A), o nome do termo filtro (police-1) sob o qual a ação do policiador é especificada e o número de pacotes que combinavam com o termo filtro. Este é apenas o número de contagens de pacotes fora de especificação (fora de especificação), nem todos os pacotes policiados pelo policial.