Nesta página
Exemplo: Configurando um policiador de três cores de duas categorias
Este exemplo mostra como configurar um policiador de três cores de duas categorias.
Requisitos
O suporte para policiais de três cores de duas categorias varia de acordo com o dispositivo. Ele inclui dispositivos de SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 e firewall SRX5800 executando uma versão compatível do Junos OS.
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Um policial de duas categorias de três cores metros de um fluxo de tráfego contra um limite de largura de banda e limite de tamanho de explosão para tráfego garantido, além de um limite de largura de banda e limite de tamanho de explosão para o tráfego máximo. O tráfego que está em conformidade com os limites para tráfego garantido é categorizado como verde, e o tráfego não conforme se encaixa em uma das duas categorias:
O tráfego sem conformidade que não excede os limites de tráfego máximos é categorizado como amarelo.
O tráfego sem conformidade que excede os limites de tráfego máximos é categorizado como vermelho.
Cada categoria está associada a uma ação. Para tráfego verde, os pacotes são implicitamente definidos com um valor de prioridade de low
perda e depois transmitidos. Para tráfego amarelo, os pacotes são implicitamente definidos com um valor de prioridade de medium-high
perda e depois transmitidos. Para tráfego vermelho, os pacotes são implicitamente definidos com um valor de prioridade de high
perda e depois transmitidos. Se a configuração do policiador incluir a declaração opcional action
(action loss-priority high then discard
), em seguida, os pacotes em um fluxo vermelho são descartados em vez disso.
Você pode aplicar um policiador de três cores ao tráfego de Camada 3 apenas como um policiador de filtro de firewall. Você faz referência ao policiador a partir de um termo de filtro de firewall sem estado e, em seguida, você aplica o filtro na entrada ou saída de uma interface lógica no nível de protocolo.
Topologia
Neste exemplo, você aplica um policial de três cores com reconhecimento de cores e duas categorias no tráfego IPv4 de entrada na interface fe-0/1/1.0
lógica. O termo filtro de firewall IPv4 que faz referência ao policiador não aplica nenhuma filtragem de pacotes. O filtro é usado apenas para aplicar o policiador de três cores na interface.
Você configura o policial para limitar o tráfego a um limite de largura de banda de 40 Mbps e um limite de tamanho estourado de 100 KB para tráfego verde, e configura o policiador para também permitir um limite de largura de banda máximo de 60 Mbps e um limite de tamanho máximo de explosão de 200 KB para tráfego amarelo. Apenas o tráfego sem conformidade que excede os limites de tráfego máximos é categorizado como vermelho. Neste exemplo, você configura a ação loss-priority high then discard
do policiador de três cores, que substitui a marcação implícita do tráfego vermelho para uma prioridade de high
perda.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configurando um policiador de três cores de duas categorias
- Configuração de um filtro de firewall stateless IPv4 que faz referência ao policiador
- Aplicar o filtro em uma interface lógica no nível da família de protocolo
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e depois colar os comandos na CLI no nível de [edit]
hierarquia e, em seguida, entrar no commit
modo de configuração.
set firewall three-color-policer trTCM1-ca two-rate color-aware set firewall three-color-policer trTCM1-ca two-rate committed-information-rate 40m set firewall three-color-policer trTCM1-ca two-rate committed-burst-size 100k set firewall three-color-policer trTCM1-ca two-rate peak-information-rate 60m set firewall three-color-policer trTCM1-ca two-rate peak-burst-size 200k set firewall three-color-policer trTCM1-ca action loss-priority high then discard set firewall family inet filter filter-trtcm1ca-all term 1 then three-color-policer two-rate trTCM1-ca set interfaces ge-2/0/5 unit 0 family inet address 10.10.10.1/30 set interfaces ge-2/0/5 unit 0 family inet filter input filter-trtcm1ca-all set class-of-service interfaces ge-2/0/5 forwarding-class af
Configurando um policiador de três cores de duas categorias
Procedimento passo a passo
Para configurar um policiador de três cores de duas categorias:
Habilite a configuração de um policiador de três cores.
[edit] user@host# set firewall three-color-policer trTCM1-ca
Configure o modo de cores do policiador de três cores de duas categorias.
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate color-aware
Configure os limites de tráfego garantidos de duas taxas.
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate committed-information-rate 40m user@host# set two-rate committed-burst-size 100k
O tráfego que não excede esses dois limites é categorizado como verde. Os pacotes em um fluxo verde são implicitamente definidos para a prioridade de
low
perda e depois transmitidos.Configure os limites de tráfego máximo de duas taxas.
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate peak-information-rate 60m user@host# set two-rate peak-burst-size 200k
O tráfego sem conformidade que não excede ambos os limites é categorizado como amarelo. Os pacotes em um fluxo amarelo são implícitos definidos para a prioridade de
medium-high
perda e depois transmitidos. O tráfego sem conformidade que excede ambos os limites é categorizado como vermelho. Os pacotes em um fluxo vermelho estão implícitos definidos para a prioridade dehigh
perda.(Opcional) Configure a ação do policial para o tráfego vermelho.
[edit firewall three-color-policer trTCM1-ca] user@host# set action loss-priority high then discard
Para policiais de três cores, a única ação configurável é descartar pacotes vermelhos. Os pacotes vermelhos são pacotes que receberam alta prioridade de perda porque excederam a taxa de informação de pico (PIR) e o tamanho de explosão máxima (PBS).
Resultados
Confirme a configuração do policiador inserindo o comando do show firewall
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit] user@host# show firewall three-color-policer trTCM1-ca { action { loss-priority high then discard; } two-rate { color-aware; committed-information-rate 40m; committed-burst-size 100k; peak-information-rate 60m; peak-burst-size 200k; } }
Configuração de um filtro de firewall stateless IPv4 que faz referência ao policiador
Procedimento passo a passo
Para configurar um filtro de firewall stateless IPv4 que faz referência ao policiador:
Habilite a configuração de um filtro de firewall sem estado padrão IPv4.
[edit] user@host# set firewall family inet filter filter-trtcm1ca-all
Especifique o termo filtro que faz referência ao policiador.
[edit firewall family inet filter filter-trtcm1ca-all] user@host# set term 1 then three-color-policer two-rate trTCM1-ca
Observe que o termo não especifica nenhuma condição de correspondência. O filtro de firewall passa todos os pacotes para o policiador.
Resultados
Confirme a configuração do filtro de firewall entrando no comando do show firewall
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit] user@host# show firewall family inet { filter filter-trtcm1ca-all { term 1 { then { three-color-policer { two-rate trTCM1-ca; } } } } } three-color-policer trTCM1-ca { action { loss-priority high then discard; } two-rate { color-aware; committed-information-rate 40m; committed-burst-size 100k; peak-information-rate 60m; peak-burst-size 200k; } }
Aplicar o filtro em uma interface lógica no nível da família de protocolo
Procedimento passo a passo
Aplicar o filtro na interface lógica no nível da família de protocolo:
Habilite a configuração de um filtro de firewall IPv4.
[edit] user@host# edit interfaces ge-2/0/5 unit 0 family inet
Aplique o policial na interface lógica no nível da família de protocolo.
[edit interfaces ge-2/0/5 unit 0 family inet] user@host# set address 10.10.10.1/30 user@host# set filter input filter-trtcm1ca-all
(Apenas roteadores da Série MX e switches da Série EX) (Opcional) Para os policiais de entrada, você pode configurar um classificador fixo. Um classificador fixo reclassifica todos os pacotes de entrada, independentemente de qualquer classificação preexistante.
Nota:O suporte da plataforma depende da versão do Junos OS em sua implementação.
[edit] user@host# set class-of-service interfaces ge-2/0/5 forwarding-class af
O nome do classificador pode ser um classificador configurado ou um dos classificadores padrão.
Resultados
Confirme a configuração da interface entrando no comando do show interfaces
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit] user@host# show interfaces ge-2/0/5 { unit 0 { family inet { address 10.10.10.1/30; filter { input filter-trtcm1ca-all; } } } }
Se você terminar de configurar o dispositivo, entre no commit
modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
Exibição dos filtros de firewall aplicados à interface lógica
Propósito
Verifique se o filtro de firewall é aplicado ao tráfego de entrada IPv4 na interface lógica.
Ação
Use o comando de show interfaces
modo operacional para a interface ge-2/0/5.0
lógica e especifique detail
o modo. A Protocol inet seção da saída de comando exibe informações IPv4 para a interface lógica. Nessa seção, o Input Filters campo exibe o nome dos filtros de firewall IPv4 associados à interface lógica.
user@host> show interfaces ge-2/0/5.0 detail Logical interface ge-2/0/5.0 (Index 105) (SNMP ifIndex 556) (Generation 170) Flags: Device-Down SNMP-Traps 0x4004000 Encapsulation: ENET2 Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 0 bps Output bytes : 0 0 bps Input packets: 0 0 pps Output packets: 0 0 pps Protocol inet, MTU: 1500, Generation: 242, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter-trtcm1ca-all Addresses, Flags: Dest-route-down Is-Preferred Is-Primary Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255, Generation: 171 Protocol multiservice, MTU: Unlimited, Generation: 243, Route table: 0 Policer: Input: __default_arp_policer__