Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Aplicar um policiador em interfaces gerenciadas por OVSDB

A partir do Junos OS Release 14.1X53-D30, você pode criar family ethernet-switching unidades lógicas (subinterfaces) em interfaces VXLAN gerenciadas por um controlador Contrail. (O controlador e o switch se comunicam através do banco de dados open vSwitch — OVSDB — protocolo de gerenciamento). Esse suporte permite que você aplique filtros de firewall com a ação three-color-policer a essas subinterfaces, o que significa que você pode aplicar marcadores de três cores (policers) de duas taxas em interfaces gerenciadas por OVSDB.

Como um controlador Contrail pode criar subinterfaces dinamicamente, você precisa aplicar filtros de firewall de tal forma que os filtros se apliquem a subinterfaces sempre que o controlador os cria. Você realiza isso usando grupos de configuração para configurar e aplicar os filtros de firewall. (Você deve usar grupos de configuração para esta finalidade — ou seja, você não pode aplicar um filtro de firewall diretamente a essas subinterfaces.)

Nota:

Os filtros de firewall são os únicos itens de configuração suportados em family ethernet-switching subinterfaces de interfaces gerenciadas por OVSDB. Marcadores de três cores de duas categorias são os únicos policiais apoiados.

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Um switch de QFX5100

  • Versão Junos OS 14.1X53-D30 ou posterior

Visão geral

Este exemplo pressupõe que as interfaces xe-0/0/0 e xe-0/1 no switch são interfaces VXLAN gerenciadas por um controlador Contrail, o que significa que o controlador aplicou as declarações e encapsulation extended-vlan-bridge as flexible-vlan-tagging declarações a essas interfaces. Para aplicar um filtro de firewall de camada 2 (porta) com uma ação de policial a quaisquer subinterfaces que o controlador cria dinamicamente, você deve criar e aplicar o filtro conforme mostrado neste exemplo.

Nota:

Como mostrado no exemplo, todas as declarações devem fazer parte de um grupo de configuração quando você deseja aplicar um filtro de firewall (e policiador) a uma subinterface gerenciada por OVSDB.

Configuração

Para configurar um filtro de firewall com uma ação de policial a ser aplicada automaticamente a subinterfaces criadas dinamicamente por um controlador Contrail, execute essas tarefas:

Configuração rápida da CLI

Procedimento

Procedimento passo a passo

  1. Crie um grupo vxlan-policer-group de configuração para aplicar filtro de vxlan-filter firewall a qualquer subinterface da interface xe-0/0/0. O filtro se aplica a qualquer subinterface porque você especifica unit <*>:

  2. Crie a mesma configuração para interface xe-0/0/1:

  3. Configure o policial para descartar pacotes com prioridade de alta perda. (O Junos OS atribui alta prioridade de perda a pacotes que excedem a taxa de informação de pico e o tamanho máximo da explosão.) Assim como na configuração da interface, você também deve configurar o policiador para fazer parte de um grupo de configuração.

  4. Configure o policial para ser de cor cega, o que significa que ele ignora qualquer pré-classificação de pacotes e pode atribuir uma prioridade de perda de pacotes maior ou menor.

  5. Configure o policial para permitir que o tráfego de entrada estoure um máximo de 2 megabytes acima da taxa de informações comprometidas e ainda seja marcado com baixa prioridade de perda de pacotes (verde).

  6. Configure o policial para permitir uma largura de banda garantida de 100 megabytes em condições normais de linha. Esta é a taxa média até o limite sob a qual os pacotes são marcados com baixa prioridade de perda de pacotes (verde).

  7. Configure o policial para permitir que os pacotes de entrada estoulem um máximo de 4 megabytes acima da taxa de informação de pico e ainda sejam marcados com prioridade de perda de pacotes médio-alto (amarelo). Os pacotes que excedem o tamanho máximo da explosão são marcados com alta prioridade de perda de pacotes (vermelho).

  8. Configure o policiador para permitir uma taxa máxima de alcance de 100 megabytes. Pacotes que excedem a taxa de informações comprometidas, mas estão abaixo da taxa de informação de pico são marcados com prioridade de perda de pacotes médio-alto (amarelo). Os pacotes que excedem a taxa de informação de pico são marcados com alta prioridade de perda de pacotes (vermelho).

  9. Configure o filtro vxlan-filter de firewall para enviar pacotes correspondentes (todos os pacotes, porque não from há declaração) ao policiador:

  10. Aplique o grupo para habilitar sua configuração: