例:OVSDB 管理インターフェイスへのポリサーの適用
Junos OS リリース 14.1X53-D30 以降、Contrail コントローラによって管理される VXLAN インターフェイス上に family ethernet-switching 論理ユニット(サブインターフェイス)を作成できます。(コントローラとスイッチは、OVSDB(Open vSwitch Database)管理プロトコルを介して通信します)。このサポートにより、アクション three-color-policer を使用してファイアウォール フィルターをこれらのサブインターフェイスに適用できるため、OVSDB が管理するインターフェイスに 2 レート スリー カラー マーカー(ポリサー)を適用できます。
Contrail コントローラはサブインターフェイスを動的に作成できるため、コントローラがサブインターフェイスを作成するたびにフィルターがサブインターフェイスに適用されるようにファイアウォールフィルターを適用する必要があります。そのためには、設定グループを使用してファイアウォールフィルターを構成および適用します。(この目的には設定グループを使用する必要があります。つまり、これらのサブインターフェイスにファイアウォールフィルターを直接適用することはできません)。
ファイアウォールフィルターは、OVSDB 管理インターフェイスの family ethernet-switching サブインターフェイスでサポートされている唯一の設定項目です。ツー レート スリー カラー マーカーは、サポートされている唯一のポリサーです。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
QFX5100スイッチ
Junos OS リリース 14.1X53-D30 以降
概要
この例では、スイッチ上のインターフェイス xe-0/0/0 と xe-0/0/1 が Contrail コントローラによって管理される VXLAN インターフェイスであり、コントローラがこれらのインターフェイスに flexible-vlan-tagging ステートメントと encapsulation extended-vlan-bridge ステートメントを適用していると仮定しています。コントローラが動的に作成するサブインターフェイスに、ポリサーアクション付きのファイアウォールフィルターレイヤー2(ポート)ファイアウォールフィルターを適用するには、この例に示すようにフィルターを作成して適用する必要があります。
例で示すように、ファイアウォールフィルター(およびポリサー)を OVSDB が管理するサブインターフェイスに適用する場合は、すべてのステートメントが設定グループの一部である必要があります。
設定
Contrail コントローラによって動的に作成されたサブインターフェイスに自動的に適用されるポリサー アクションを持つファイアウォール フィルターを設定するには、次のタスクを実行します。
CLIクイック構成
[edit] set groups vxlan-policer-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-policer-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-policer-group firewall three-color-policer vxlan-policer action loss-priority high then discard set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate color-blind set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-burst-size 2m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-information-rate 100m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-burst-size 4m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-information-rate 100m set groups vxlan-policer-group firewall family ethernet-switching filter vxlan-filter term t1 then three-color-policer two-rate vxlan-policer set apply-groups vxlan-policer-group
手順
ステップバイステップでの手順
設定グループ
vxlan-policer-groupを作成して、ファイアウォールフィルターvxlan-filterインターフェイスxe-0/0/0のサブインターフェイスに適用します。フィルターは、次のunit <*>を指定するため、すべてのサブインターフェイスに適用されます。[edit] user@switch# set groups vxlan-policer-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter
インターフェイス xe-0/0/1 にも同じ設定を作成します。
[edit] user@switch# set groups vxlan-policer-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter
ポリサーを設定して、損失優先度の高いパケットを破棄します。(Junos OS では、ピーク情報レートとピーク バースト サイズを超えるパケットには、高い損失優先度が割り当てられます)。インターフェイス設定と同様に、ポリサーも設定グループの一部となるように設定する必要があります。
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer action loss-priority high then discard
ポリサーを色覚異常に設定することで、ポリサーはパケットの事前分類を無視し、より高いまたは低いパケット損失優先度を割り当てることができます。
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate color-blind
ポリサーを構成して、着信トラフィックがコミットされた情報レートより最大 2 メガバイト高い速度までバーストできるようにしても、低パケット損失優先度(緑)でマークされます。
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-burst-size 2m
通常の回線条件下で 100 メガバイトの保証帯域幅を許可するようにポリサーを構成します。これは、パケットが低パケット損失優先度(緑)でマークされる平均レートアップしきい値です。
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-information-rate 100m
受信パケットがピーク情報レートより最大 4 メガバイト高くバーストできるようにポリサーを構成し、それでも中から高のパケット損失優先度 (黄色) でマークします。ピーク バースト サイズを超えるパケットは、高パケット損失優先度(赤)でマークされます。
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-burst-size 4m
100 メガバイトの最大達成可能なレートを許可するようにポリサーを構成します。認定情報レートを超えているが、ピーク情報レートを下回っているパケットは、中から高のパケット損失優先度(黄色)でマークされます。ピーク情報レートを超えるパケットは、高パケット損失優先度(赤)でマークされます。
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-information-rate 100m
ファイアウォール フィルター
vxlan-filterを構成して、一致するパケット(fromステートメントがないため、すべてのパケット)をポリサーに送信します。[edit] user@switch# set groups vxlan-policer-group firewall family ethernet-switching filter vxlan-filter term t1 then three-color-policer two-rate vxlan-policer
グループを適用して、その構成を有効にします。
[edit] user@switch# set apply-groups vxlan-policer-group