Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Policiais de interface física de duas cores e três cores

Visão geral do Physical Interface Policer

Um policiador de interface física é um policiador de duas cores ou três cores que define a limitação da taxa de tráfego que você pode aplicar ao tráfego de entrada ou saída para todas as interfaces lógicas e famílias de protocolo configuradas em uma interface física, mesmo que as interfaces lógicas pertençam a diferentes instâncias de roteamento. Esse recurso é útil quando você deseja realizar o policiamento agregado para diferentes famílias de protocolo e interfaces lógicas diferentes na mesma interface física.

Por exemplo, suponha que um roteador de borda de provedor (PE) tenha várias interfaces lógicas, cada uma correspondente a um cliente diferente, configurada no mesmo link para um dispositivo de borda do cliente (CE). Agora suponha que um cliente queira aplicar um conjunto de limites de taxa agregados para determinados tipos de tráfego em uma única interface física. Para isso, você pode aplicar um único policiador de interface física à interface física, que limita todas as interfaces lógicas configuradas na interface e todas as instâncias de roteamento às quais essas interfaces pertencem.

Para configurar um policiador de interface física de duas cores de taxa única, inclua a physical-interface-policer declaração em um dos seguintes níveis de hierarquia:

Para configurar um policiador de interface física de três cores ou de taxa única, inclua a physical-interface-policer declaração em um dos seguintes níveis de hierarquia:

Você aplica um policiador de interface física no tráfego de Camada 3 fazendo referência ao policiador a partir de um termo de filtro de firewall sem estado e, em seguida, aplicando o filtro em uma interface lógica. Você não pode aplicar uma interface física ao tráfego de Camada 3 diretamente na configuração da interface.

Para fazer referência a um policiador de duas cores de uma taxa única de um termo de filtro de firewall sem estado, use a ação policer não sufocante. Para fazer referência a um policial de três cores de taxa única ou de duas categorias a partir de um termo de filtro de firewall stateless, use a ação three-color-policer sem geração.

Os seguintes requisitos se aplicam a um filtro de firewall sem estado que faz referência a um policiador de interface física:

  • Você deve configurar o filtro de firewall para uma família de protocolo específica e suportada: ipv4, ipv6, mplsou vplscircuito cross-connect (ccc), mas não para family any.

  • Você deve configurar o filtro de firewall como um filtro de interface física , incluindo a physical-interface-filter declaração no nível de [edit firewall family family-name filter filter-name] hierarquia.

  • Um filtro de firewall definido como um filtro de interface física pode fazer referência apenas a um policiador de interface física.

  • Um filtro de firewall definido no sistema global (não lógico) não pode ser usado em um sistema lógico para instâncias de filtro específicas da interface. Mais especificamente, você não pode usar um modelo para um physical-interface-filter que foi criado no sistema global com um anexo de filtro que foi criado no sistema lógico. Tanto o modelo quanto o anexo devem residir no sistema lógico para que a filtragem funcione corretamente. Isso ocorre porque, para sistemas lógicos, a nomenclatura de instâncias de filtro é derivada da interface física, mas o mesmo não é verdade para instâncias de filtro específicas da interface.

  • Um filtro de firewall definido como um filtro de interface física não pode fazer referência a um policial configurado com a interface-specific declaração.

  • Você não pode configurar um filtro de firewall como um filtro de interface física e como um filtro de interface lógica que também inclui a interface-specific declaração.

Exemplo: Configurando um policiador de interface física para agregar tráfego em uma interface física

Este exemplo mostra como configurar um policiador de duas cores de taxa única como um policiador de interface física.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Um policiador de interface física especifica o limite de taxa para tráfego agregado, que abrange todas as famílias de protocolo e interfaces lógicas configuradas em uma interface física, mesmo que as interfaces pertençam a diferentes instâncias de roteamento.

Você pode aplicar um policiador de interface física ao tráfego de entrada ou saída de Camada 3 apenas fazendo referência ao policiador a partir de um filtro de firewall apátrida configurado para uma família de protocolo específica (não para family any) e configurado como um filtro de interface física. Você configura os termos do filtro com condições de correspondência que selecionam os tipos de pacotes que deseja limitar a taxa, e especifica o policiador de interface física como a ação a ser aplicada a pacotes combinados.

Nota:

Os policiais/filtros de interface física não têm suporte para filtros de lista.

Topologia

O policiador de interface física, neste exemplo, shared-policer-Alimita a taxa a 10.000.000 bps e permite uma explosão máxima de tráfego de 500.000 bytes. Você configura o policial para descartar pacotes em fluxos não conformes, mas pode configurar o policial para marcar novamente o tráfego não conformado com uma classe de encaminhamento, um nível de prioridade de perda de pacotes (PLP) ou ambos.

Para poder usar o policial para limitar a taxa de tráfego IPv4, você faz referência ao policial a partir de um filtro de interface física IPv4. Para este exemplo, você configura o filtro para passar os pacotes IPv4 do policiador que atendem a qualquer um dos seguintes termos de correspondência:

  • Pacotes recebidos por TCP e com os campos critical-ecp de precedência de IP (0xa0), immediate (0x40) ou priority (0x20)

  • Pacotes recebidos por TCP e com os campos internet-control de precedência de IP (0xc0) ou routine (0x00)

Você também pode fazer referência ao policial a partir de filtros de interface física para outras famílias de protocolo.

Configuração

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.

Para configurar este exemplo, execute as seguintes tarefas:

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit] hierarquia.

Configuração das interfaces lógicas na interface física

Procedimento passo a passo

Para configurar as interfaces lógicas na interface física:

  1. Habilite a configuração de interfaces lógicas.

  2. Configure famílias de protocolo na unidade lógica 0.

  3. Configure famílias de protocolo na unidade lógica 1.

Resultados

Confirme a configuração do filtro de firewall entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.

Configurando um policiador de interface física

Procedimento passo a passo

Para configurar um policiador de interface física:

  1. Habilite a configuração do policiador de duas cores.

  2. Configure o tipo de policiador de duas cores.

  3. Configure os limites de tráfego e a ação para pacotes em um fluxo de tráfego sem conformidade.

    Para um filtro de interface física, as ações que você pode configurar para pacotes em um fluxo de tráfego não conformante são descartar os pacotes, atribuir uma classe de encaminhamento, atribuir um valor PLP ou atribuir uma classe de encaminhamento e um valor PLP.

Resultados

Confirme a configuração do policiador inserindo o comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.

Configuração de um filtro de interface física IPv4

Procedimento passo a passo

Configurar um policiador de interface física como ação para termos em um policiador de interface física IPv4:

  1. Configure um filtro de firewall sem estado padrão em uma família de protocolo específica.

    Você não pode configurar um filtro de firewall de interface física para family any.

  2. Configure o filtro como um filtro de interface física para que você possa aplicar o policiador de interface física como uma ação.

  3. Configure o primeiro termo para combinar pacotes IPv4 recebidos por TCP com os campos critical-ecpde precedência de IP, immediateou priority aplicar o policiador de interface física como uma ação de filtro.

  4. Configure o primeiro termo para combinar pacotes IPv4 recebidos por TCP com os campos internet-control de precedência de IP ou routine aplicar o policiador de interface física como uma ação de filtro.

Resultados

Confirme a configuração do filtro de firewall entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.

Aplicando o filtro de interface física IPv4 para fazer referência aos policiais de interface física

Procedimento passo a passo

Aplicar o filtro de interface física para fazer referência aos policiais de interface física:

  1. Habilite a configuração do IPv4 na interface lógica.

  2. Aplique o filtro de interface física IPv4 na direção de entrada.

Resultados

Confirme a configuração do filtro de firewall entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Exibição dos filtros de firewall aplicados a uma interface

Propósito

Verifique se o filtro ipv4-filter de firewall é aplicado ao tráfego de entrada IPv4 na interface so-1/0/0.0lógica.

Ação

Use o comando de show interfaces statistics modo operacional para interface so-1/0/0.0lógica e inclua a opção detail . Protocol inet Na seção da saída de comando, o Input Filters campo mostra que o filtro ipv4-filter de firewall é aplicado na direção de entrada.

Exibindo o número de pacotes processados pelo policial na Interface Lógica

Propósito

Verifique o fluxo de tráfego através da interface lógica e se o policiador é avaliado quando os pacotes são recebidos na interface lógica.

Ação

Use o comando de show firewall modo operacional para o filtro que você aplicou à interface lógica.

A saída de comando exibe o nome do policiador (shared-policer-A), o nome do termo filtro (police-1) sob o qual a ação do policiador é especificada e o número de pacotes que combinavam com o termo filtro. Este é apenas o número de contagens de pacotes fora de especificação (fora de especificação), nem todos os pacotes policiados pelo policial.