EN ESTA PÁGINA
Ejemplo: Configuración de un analizador de interfaz física para el tráfico agregado en una interfaz física
En este ejemplo se muestra cómo configurar un aplicador de dos colores de velocidad única como un controlador de interfaz física.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
Un aplicador de políticas de interfaz física especifica la limitación de velocidad para el tráfico agregado, que abarca todas las familias de protocolos e interfaces lógicas configuradas en una interfaz física, incluso si las interfaces pertenecen a instancias de enrutamiento diferentes.
Puede aplicar un aplicador de controlador de interfaz física al tráfico de entrada o salida de capa 3 solo haciendo referencia al aplicador desde un filtro de firewall sin estado configurado para una familia de protocolos específica (no para family any
) y configurado como filtro de interfaz física. Puede configurar los términos de filtro con condiciones de coincidencia que seleccionan los tipos de paquetes que desea limitar la velocidad y especificar el aplicador de control de interfaz física como la acción que se aplicará a los paquetes coincidentes.
Los filtros o aplicadores de interfaz física no son compatibles con los filtros de lista.
Topología
El controlador de interfaz física de este ejemplo, shared-policer-A
, limita la velocidad a 10.000.000 bps y permite una ráfaga máxima de tráfico de 500.000 bytes. Puede configurar el aplicador de políticas para descartar paquetes en flujos no conformes, pero en su lugar podría configurarlo para volver a marcar el tráfico no conforme con una clase de reenvío, un nivel de prioridad de pérdida de paquetes (PLP) o ambos.
Para poder usar el aplicador de políticas para limitar la velocidad del tráfico IPv4, haga referencia al aplicador desde un filtro de interfaz física IPv4. En este ejemplo, configure el filtro para pasar los paquetes IPv4 de policer que cumplan cualquiera de los siguientes términos de coincidencia:
-
Paquetes recibidos a través de TCP y con los campos
critical-ecp
de prioridad IP (0xa0),immediate
(0x40) opriority
(0x20) -
Paquetes recibidos a través de TCP y con los campos
internet-control
de prioridad IP (0xc0) oroutine
(0x00)
También puede hacer referencia al aplicador de políticas desde filtros de interfaz física para otras familias de protocolos.
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configuración de las interfaces lógicas en la interfaz física
- Configuración de un controlador de interfaz física
- Configuración de un filtro de interfaz física IPv4
- Aplicación del filtro de interfaz física IPv4 para hacer referencia a los aplicadores de políticas de interfaz física
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit]
jerarquía.
set interfaces so-1/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces so-1/0/0 unit 0 family vpls set interfaces so-1/0/0 unit 1 family mpls set firewall policer shared-policer-A physical-interface-policer set firewall policer shared-policer-A if-exceeding bandwidth-limit 100m burst-size-limit 500k set firewall policer shared-policer-A then discard set firewall family inet filter ipv4-filter physical-interface-filter set firewall family inet filter ipv4-filter term tcp-police-1 from precedence [ critical-ecp immediate priority ] set firewall family inet filter ipv4-filter term tcp-police-1 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-1 then policer shared-policer-A set firewall family inet filter ipv4-filter term tcp-police-2 from precedence [ internet-control routine ] set firewall family inet filter ipv4-filter term tcp-police-2 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-2 then policer shared-policer-A set interfaces so-1/0/0 unit 0 family inet filter input ipv4-filter
Configuración de las interfaces lógicas en la interfaz física
Procedimiento paso a paso
Para configurar las interfaces lógicas en la interfaz física:
Habilite la configuración de interfaces lógicas.
[edit] user@host# edit interfaces so-1/0/0
Configure las familias de protocolos en la unidad lógica 0.
[edit interfaces so-1/0/0] user@host# set unit 0 family inet address 192.168.1.1/24 user@host# set unit 0 family vpls
Configurar familias de protocolos en la unidad lógica 1.
[edit interfaces so-1/0/0] user@host# set unit 1 family mpls
Resultados
Confirme la configuración del filtro de firewall introduciendo el comando de show interfaces
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit] user@host# show interfaces so-1/0/0 { unit 0 { family inet { address 192.168.1.1/24; } family vpls; } unit 1 { family mpls; } }
Configuración de un controlador de interfaz física
Procedimiento paso a paso
Para configurar un aplicador de control de interfaz física:
Habilite la configuración del controlador de control de dos colores.
[edit] user@host# edit firewall policer shared-policer-A
Configure el tipo de aplicador de dos colores.
[edit firewall policer shared-policer-A] user@host# set physical-interface-policer
Configure los límites de tráfico y la acción para paquetes en un flujo de tráfico no conforme.
[edit firewall policer shared-policer-A] user@host# set if-exceeding bandwidth-limit 100m burst-size-limit 500k user@host# set then discard
Para un filtro de interfaz física, las acciones que puede configurar para paquetes en un flujo de tráfico no conforme son descartar los paquetes, asignar una clase de reenvío, asignar un valor PLP o asignar una clase de reenvío y un valor PLP.
Resultados
Confirme la configuración del aplicador de políticas introduciendo el comando de show firewall
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit] user@host# show firewall policer shared-policer-A { physical-interface-policer; if-exceeding { bandwidth-limit 100m; burst-size-limit 500k; } then discard; }
Configuración de un filtro de interfaz física IPv4
Procedimiento paso a paso
Para configurar un controlador de controlador de interfaz física como la acción para términos en un controlador de interfaz física IPv4:
Configure un filtro de firewall sin estado estándar en una familia de protocolos específica.
[edit] user@host# edit firewall family inet filter ipv4-filter
No puede configurar un filtro de firewall de interfaz física para
family any
.Configure el filtro como un filtro de interfaz física para que pueda aplicar el aplicador de política de interfaz física como una acción.
[edit firewall family inet filter ipv4-filter] user@host# set physical-interface-filter
Configure el primer término para que coincida con los paquetes IPv4 recibidos a través de TCP con los campos
critical-ecp
de prioridad IP ,immediate
opriority
y para aplicar el aplicador de política de interfaz física como una acción de filtro.[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-1 from precedence [ critical-ecp immediate priority ] user@host# set term tcp-police-1 from protocol tcp user@host# set term tcp-police-1 then policer shared-policer-A
Configure el primer término para que coincida con los paquetes IPv4 recibidos a través de TCP con los campos
internet-control
de prioridad IP oroutine
para aplicar el aplicador de política de interfaz física como una acción de filtro.[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-2 from precedence [ internet-control routine ] user@host# set term tcp-police-2 from protocol tcp user@host# set term tcp-police-2 then policer shared-policer-A
Resultados
Confirme la configuración del filtro de firewall introduciendo el comando de show firewall
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit] user@host# show firewall family inet { filter ipv4-filter { physical-interface-filter; term tcp-police-1 { from { precedence [ critical-ecp immediate priority ]; protocol tcp; } then policer shared-policer-A; } term tcp-police-2 { from { precedence [ internet-control routine ]; protocol tcp; } then policer shared-policer-A; } } } policer shared-policer-A { physical-interface-policer; if-exceeding { bandwidth-limit 100m; burst-size-limit 500k; } then discard; }
Aplicación del filtro de interfaz física IPv4 para hacer referencia a los aplicadores de políticas de interfaz física
Procedimiento paso a paso
Para aplicar el filtro de interfaz física de modo que haga referencia a los aplicadores de políticas de interfaz física:
Habilite la configuración de IPv4 en la interfaz lógica.
[edit] user@host# edit interfaces so-1/0/0 unit 0 family inet
Aplique el filtro de interfaz física IPv4 en la dirección de entrada.
[edit interfaces so-1/0/0 unit 0 family inet] user@host# set filter input ipv4-filter
Resultados
Confirme la configuración del filtro de firewall introduciendo el comando de show interfaces
modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit] user@host# show interfaces so-1/0/0 { unit 0 { family inet { filter { input ipv4-filter; } address 192.168.1.1/24; } family vpls; } unit 1 { family mpls; } }
Cuando termine de configurar el dispositivo, ingrese commit
en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Visualización de los filtros de firewall aplicados a una interfaz
- Visualización del número de paquetes procesados por el aplicador de políticas en la interfaz lógica
Visualización de los filtros de firewall aplicados a una interfaz
Propósito
Compruebe que el filtro ipv4-filter
de firewall se aplica al tráfico de entrada IPv4 en la interfaz so-1/0/0.0
lógica.
Acción
Utilice el comando de modo operativo para la show interfaces statistics
interfaz so-1/0/0.0
lógica e incluya la detail
opción. En la Protocol inet sección de la salida del comando, el Input Filters campo muestra que el filtro ipv4-filter
del firewall se aplica en la dirección de entrada.
user@host> show interfaces statistics so-1/0/0 detail Logical interface so-1/0/0.0 (Index 79) (SNMP ifIndex 510) (Generation 149) Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP Protocol inet, MTU: 4470, Generation: 173, Route table: 0 Flags: Sendbcast-pkt-to-re, Protocol-Down Input Filters: ipv4-filter Addresses, Flags: Dest-route-down Is-Preferred Is-Primary Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
Visualización del número de paquetes procesados por el aplicador de políticas en la interfaz lógica
Propósito
Compruebe el flujo de tráfico a través de la interfaz lógica y que el aplicador de políticas se evalúa cuando se reciben paquetes en la interfaz lógica.
Acción
Utilice el comando de show firewall
modo operativo para el filtro que aplicó a la interfaz lógica.
user@host> show firewall filter ipv4-filter Filter: ipv4-filter Policers: Name Packets shared-policer-A-tcp-police-1 32863 shared-policer-A-tcp-police-2 3870
El resultado del comando muestra el nombre de policer (shared-policer-A
), el nombre del término filter (police-1
) bajo el cual se especifica la acción policer y el número de paquetes que coincidieron con el término filter. Esto es solo el número de recuentos de paquetes fuera de especificación (fuera de especificación), no todos los paquetes vigilados por el policía.