Policiais de interface física de duas cores e três cores
Visão geral do Physical Interface Policer
Um policiador de interface física é um policiador de duas cores ou três cores que define a limitação da taxa de tráfego que você pode aplicar ao tráfego de entrada ou saída para todas as interfaces lógicas e famílias de protocolo configuradas em uma interface física, mesmo que as interfaces lógicas pertençam a diferentes instâncias de roteamento. Esse recurso é útil quando você deseja realizar o policiamento agregado para diferentes famílias de protocolo e interfaces lógicas diferentes na mesma interface física.
Por exemplo, suponha que um roteador de borda de provedor (PE) tenha várias interfaces lógicas, cada uma correspondente a um cliente diferente, configurada no mesmo link para um dispositivo de borda do cliente (CE). Agora suponha que um cliente queira aplicar um conjunto de limites de taxa agregados para determinados tipos de tráfego em uma única interface física. Para isso, você pode aplicar um único policiador de interface física à interface física, que limita todas as interfaces lógicas configuradas na interface e todas as instâncias de roteamento às quais essas interfaces pertencem.
Para configurar um policiador de interface física de duas cores de taxa única, inclua a physical-interface-policer declaração em um dos seguintes níveis de hierarquia:
[edit logical-system logical-system-name firewall policer policer-name][edit routing-instances routing-instance-name firewall policer policer-name][edit logical-systems logical-system-name routing-instances routing-instance-name firewall policer policer-name]
Para configurar um policiador de interface física de três cores ou de taxa única, inclua a physical-interface-policer declaração em um dos seguintes níveis de hierarquia:
[edit firewall three-color-policer policer-name][edit logical-system logical-system-name firewall three-color-policer policer-name][edit routing-instances routing-instance-name firewall three-color-policer policer-name][edit logical-systems logical-system-name routing-instances routing-instance-name firewall three-color-policer policer-name]
Você aplica um policiador de interface física no tráfego de Camada 3 fazendo referência ao policiador a partir de um termo de filtro de firewall sem estado e, em seguida, aplicando o filtro em uma interface lógica. Você não pode aplicar uma interface física ao tráfego de Camada 3 diretamente na configuração da interface.
Para fazer referência a um policiador de duas cores de uma taxa única de um termo de filtro de firewall sem estado, use a ação policer não sufocante. Para fazer referência a um policial de três cores de taxa única ou de duas categorias a partir de um termo de filtro de firewall stateless, use a ação three-color-policer sem geração.
Os seguintes requisitos se aplicam a um filtro de firewall sem estado que faz referência a um policiador de interface física:
Você deve configurar o filtro de firewall para uma família de protocolo específica e suportada:
ipv4,ipv6,mplsouvplscircuito cross-connect (ccc), mas não parafamily any.Você deve configurar o filtro de firewall como um filtro de interface física , incluindo a
physical-interface-filterdeclaração no nível de[edit firewall family family-name filter filter-name]hierarquia.Um filtro de firewall definido como um filtro de interface física pode fazer referência apenas a um policiador de interface física.
Um filtro de firewall definido no sistema global (não lógico) não pode ser usado em um sistema lógico para instâncias de filtro específicas da interface. Mais especificamente, você não pode usar um modelo para um physical-interface-filter que foi criado no sistema global com um anexo de filtro que foi criado no sistema lógico. Tanto o modelo quanto o anexo devem residir no sistema lógico para que a filtragem funcione corretamente. Isso ocorre porque, para sistemas lógicos, a nomenclatura de instâncias de filtro é derivada da interface física, mas o mesmo não é verdade para instâncias de filtro específicas da interface.
Um filtro de firewall definido como um filtro de interface física não pode fazer referência a um policial configurado com a
interface-specificdeclaração.Você não pode configurar um filtro de firewall como um filtro de interface física e como um filtro de interface lógica que também inclui a
interface-specificdeclaração.
Consulte também
Exemplo: Configurando um policiador de interface física para agregar tráfego em uma interface física
Este exemplo mostra como configurar um policiador de duas cores de taxa única como um policiador de interface física.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Um policiador de interface física especifica o limite de taxa para tráfego agregado, que abrange todas as famílias de protocolo e interfaces lógicas configuradas em uma interface física, mesmo que as interfaces pertençam a diferentes instâncias de roteamento.
Você pode aplicar um policiador de interface física ao tráfego de entrada ou saída de Camada 3 apenas fazendo referência ao policiador a partir de um filtro de firewall apátrida configurado para uma família de protocolo específica (não para family any) e configurado como um filtro de interface física. Você configura os termos do filtro com condições de correspondência que selecionam os tipos de pacotes que deseja limitar a taxa, e especifica o policiador de interface física como a ação a ser aplicada a pacotes combinados.
Os policiais/filtros de interface física não têm suporte para filtros de lista.
Topologia
O policiador de interface física, neste exemplo, shared-policer-Alimita a taxa a 10.000.000 bps e permite uma explosão máxima de tráfego de 500.000 bytes. Você configura o policial para descartar pacotes em fluxos não conformes, mas pode configurar o policial para marcar novamente o tráfego não conformado com uma classe de encaminhamento, um nível de prioridade de perda de pacotes (PLP) ou ambos.
Para poder usar o policial para limitar a taxa de tráfego IPv4, você faz referência ao policial a partir de um filtro de interface física IPv4. Para este exemplo, você configura o filtro para passar os pacotes IPv4 do policiador que atendem a qualquer um dos seguintes termos de correspondência:
-
Pacotes recebidos por TCP e com os campos
critical-ecpde precedência de IP (0xa0),immediate(0x40) oupriority(0x20) -
Pacotes recebidos por TCP e com os campos
internet-controlde precedência de IP (0xc0) ouroutine(0x00)
Você também pode fazer referência ao policial a partir de filtros de interface física para outras famílias de protocolo.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configuração das interfaces lógicas na interface física
- Configurando um policiador de interface física
- Configuração de um filtro de interface física IPv4
- Aplicando o filtro de interface física IPv4 para fazer referência aos policiais de interface física
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit] hierarquia.
set interfaces so-1/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces so-1/0/0 unit 0 family vpls set interfaces so-1/0/0 unit 1 family mpls set firewall policer shared-policer-A physical-interface-policer set firewall policer shared-policer-A if-exceeding bandwidth-limit 100m burst-size-limit 500k set firewall policer shared-policer-A then discard set firewall family inet filter ipv4-filter physical-interface-filter set firewall family inet filter ipv4-filter term tcp-police-1 from precedence [ critical-ecp immediate priority ] set firewall family inet filter ipv4-filter term tcp-police-1 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-1 then policer shared-policer-A set firewall family inet filter ipv4-filter term tcp-police-2 from precedence [ internet-control routine ] set firewall family inet filter ipv4-filter term tcp-police-2 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-2 then policer shared-policer-A set interfaces so-1/0/0 unit 0 family inet filter input ipv4-filter
Configuração das interfaces lógicas na interface física
Procedimento passo a passo
Para configurar as interfaces lógicas na interface física:
Habilite a configuração de interfaces lógicas.
[edit] user@host# edit interfaces so-1/0/0
Configure famílias de protocolo na unidade lógica 0.
[edit interfaces so-1/0/0] user@host# set unit 0 family inet address 192.168.1.1/24 user@host# set unit 0 family vpls
Configure famílias de protocolo na unidade lógica 1.
[edit interfaces so-1/0/0] user@host# set unit 1 family mpls
Resultados
Confirme a configuração do filtro de firewall entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show interfaces
so-1/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
family vpls;
}
unit 1 {
family mpls;
}
}
Configurando um policiador de interface física
Procedimento passo a passo
Para configurar um policiador de interface física:
Habilite a configuração do policiador de duas cores.
[edit] user@host# edit firewall policer shared-policer-A
Configure o tipo de policiador de duas cores.
[edit firewall policer shared-policer-A] user@host# set physical-interface-policer
Configure os limites de tráfego e a ação para pacotes em um fluxo de tráfego sem conformidade.
[edit firewall policer shared-policer-A] user@host# set if-exceeding bandwidth-limit 100m burst-size-limit 500k user@host# set then discard
Para um filtro de interface física, as ações que você pode configurar para pacotes em um fluxo de tráfego não conformante são descartar os pacotes, atribuir uma classe de encaminhamento, atribuir um valor PLP ou atribuir uma classe de encaminhamento e um valor PLP.
Resultados
Confirme a configuração do policiador inserindo o comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show firewall
policer shared-policer-A {
physical-interface-policer;
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 500k;
}
then discard;
}
Configuração de um filtro de interface física IPv4
Procedimento passo a passo
Configurar um policiador de interface física como ação para termos em um policiador de interface física IPv4:
Configure um filtro de firewall sem estado padrão em uma família de protocolo específica.
[edit] user@host# edit firewall family inet filter ipv4-filter
Você não pode configurar um filtro de firewall de interface física para
family any.Configure o filtro como um filtro de interface física para que você possa aplicar o policiador de interface física como uma ação.
[edit firewall family inet filter ipv4-filter] user@host# set physical-interface-filter
Configure o primeiro termo para combinar pacotes IPv4 recebidos por TCP com os campos
critical-ecpde precedência de IP,immediateoupriorityaplicar o policiador de interface física como uma ação de filtro.[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-1 from precedence [ critical-ecp immediate priority ] user@host# set term tcp-police-1 from protocol tcp user@host# set term tcp-police-1 then policer shared-policer-A
Configure o primeiro termo para combinar pacotes IPv4 recebidos por TCP com os campos
internet-controlde precedência de IP ouroutineaplicar o policiador de interface física como uma ação de filtro.[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-2 from precedence [ internet-control routine ] user@host# set term tcp-police-2 from protocol tcp user@host# set term tcp-police-2 then policer shared-policer-A
Resultados
Confirme a configuração do filtro de firewall entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show firewall
family inet {
filter ipv4-filter {
physical-interface-filter;
term tcp-police-1 {
from {
precedence [ critical-ecp immediate priority ];
protocol tcp;
}
then policer shared-policer-A;
}
term tcp-police-2 {
from {
precedence [ internet-control routine ];
protocol tcp;
}
then policer shared-policer-A;
}
}
}
policer shared-policer-A {
physical-interface-policer;
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 500k;
}
then discard;
}
Aplicando o filtro de interface física IPv4 para fazer referência aos policiais de interface física
Procedimento passo a passo
Aplicar o filtro de interface física para fazer referência aos policiais de interface física:
Habilite a configuração do IPv4 na interface lógica.
[edit] user@host# edit interfaces so-1/0/0 unit 0 family inet
Aplique o filtro de interface física IPv4 na direção de entrada.
[edit interfaces so-1/0/0 unit 0 family inet] user@host# set filter input ipv4-filter
Resultados
Confirme a configuração do filtro de firewall entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show interfaces
so-1/0/0 {
unit 0 {
family inet {
filter {
input ipv4-filter;
}
address 192.168.1.1/24;
}
family vpls;
}
unit 1 {
family mpls;
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Exibição dos filtros de firewall aplicados a uma interface
- Exibindo o número de pacotes processados pelo policial na Interface Lógica
Exibição dos filtros de firewall aplicados a uma interface
Propósito
Verifique se o filtro ipv4-filter de firewall é aplicado ao tráfego de entrada IPv4 na interface so-1/0/0.0lógica.
Ação
Use o comando de show interfaces statistics modo operacional para interface so-1/0/0.0lógica e inclua a opção detail . Protocol inet Na seção da saída de comando, o Input Filters campo mostra que o filtro ipv4-filter de firewall é aplicado na direção de entrada.
user@host> show interfaces statistics so-1/0/0 detail
Logical interface so-1/0/0.0 (Index 79) (SNMP ifIndex 510) (Generation 149)
Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP
Protocol inet, MTU: 4470, Generation: 173, Route table: 0
Flags: Sendbcast-pkt-to-re, Protocol-Down
Input Filters: ipv4-filter
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
Exibindo o número de pacotes processados pelo policial na Interface Lógica
Propósito
Verifique o fluxo de tráfego através da interface lógica e se o policiador é avaliado quando os pacotes são recebidos na interface lógica.
Ação
Use o comando de show firewall modo operacional para o filtro que você aplicou à interface lógica.
user@host> show firewall filter ipv4-filter Filter: ipv4-filter Policers: Name Packets shared-policer-A-tcp-police-1 32863 shared-policer-A-tcp-police-2 3870
A saída de comando exibe o nome do policiador (shared-policer-A), o nome do termo filtro (police-1) sob o qual a ação do policiador é especificada e o número de pacotes que combinavam com o termo filtro. Este é apenas o número de contagens de pacotes fora de especificação (fora de especificação), nem todos os pacotes policiados pelo policial.