Nesta página
Exemplo: Aplicar um policiador em interfaces gerenciadas por OVSDB
A partir do Junos OS Release 14.1X53-D30, você pode criar family ethernet-switching
unidades lógicas (subinterfaces) em interfaces VXLAN gerenciadas por um controlador Contrail. (O controlador e o switch se comunicam através do banco de dados open vSwitch — OVSDB — protocolo de gerenciamento). Esse suporte permite que você aplique filtros de firewall com a ação three-color-policer
a essas subinterfaces, o que significa que você pode aplicar marcadores de três cores (policers) de duas taxas em interfaces gerenciadas por OVSDB.
Como um controlador Contrail pode criar subinterfaces dinamicamente, você precisa aplicar filtros de firewall de tal forma que os filtros se apliquem a subinterfaces sempre que o controlador os cria. Você realiza isso usando grupos de configuração para configurar e aplicar os filtros de firewall. (Você deve usar grupos de configuração para esta finalidade — ou seja, você não pode aplicar um filtro de firewall diretamente a essas subinterfaces.)
Os filtros de firewall são os únicos itens de configuração suportados em family ethernet-switching
subinterfaces de interfaces gerenciadas por OVSDB. Marcadores de três cores de duas categorias são os únicos policiais apoiados.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um switch de QFX5100
Versão Junos OS 14.1X53-D30 ou posterior
Visão geral
Este exemplo pressupõe que as interfaces xe-0/0/0 e xe-0/1 no switch são interfaces VXLAN gerenciadas por um controlador Contrail, o que significa que o controlador aplicou as declarações e encapsulation extended-vlan-bridge
as flexible-vlan-tagging
declarações a essas interfaces. Para aplicar um filtro de firewall de camada 2 (porta) com uma ação de policial a quaisquer subinterfaces que o controlador cria dinamicamente, você deve criar e aplicar o filtro conforme mostrado neste exemplo.
Como mostrado no exemplo, todas as declarações devem fazer parte de um grupo de configuração quando você deseja aplicar um filtro de firewall (e policiador) a uma subinterface gerenciada por OVSDB.
Configuração
Para configurar um filtro de firewall com uma ação de policial a ser aplicada automaticamente a subinterfaces criadas dinamicamente por um controlador Contrail, execute essas tarefas:
Configuração rápida da CLI
[edit] set groups vxlan-policer-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-policer-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-policer-group firewall three-color-policer vxlan-policer action loss-priority high then discard set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate color-blind set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-burst-size 2m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-information-rate 100m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-burst-size 4m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-information-rate 100m set groups vxlan-policer-group firewall family ethernet-switching filter vxlan-filter term t1 then three-color-policer two-rate vxlan-policer set apply-groups vxlan-policer-group
Procedimento
Procedimento passo a passo
Crie um grupo
vxlan-policer-group
de configuração para aplicar filtro devxlan-filter
firewall a qualquer subinterface da interface xe-0/0/0. O filtro se aplica a qualquer subinterface porque você especificaunit <*>
:[edit] user@switch# set groups vxlan-policer-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter
Crie a mesma configuração para interface xe-0/0/1:
[edit] user@switch# set groups vxlan-policer-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter
Configure o policial para descartar pacotes com prioridade de alta perda. (O Junos OS atribui alta prioridade de perda a pacotes que excedem a taxa de informação de pico e o tamanho máximo da explosão.) Assim como na configuração da interface, você também deve configurar o policiador para fazer parte de um grupo de configuração.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer action loss-priority high then discard
Configure o policial para ser de cor cega, o que significa que ele ignora qualquer pré-classificação de pacotes e pode atribuir uma prioridade de perda de pacotes maior ou menor.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate color-blind
Configure o policial para permitir que o tráfego de entrada estoure um máximo de 2 megabytes acima da taxa de informações comprometidas e ainda seja marcado com baixa prioridade de perda de pacotes (verde).
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-burst-size 2m
Configure o policial para permitir uma largura de banda garantida de 100 megabytes em condições normais de linha. Esta é a taxa média até o limite sob a qual os pacotes são marcados com baixa prioridade de perda de pacotes (verde).
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-information-rate 100m
Configure o policial para permitir que os pacotes de entrada estoulem um máximo de 4 megabytes acima da taxa de informação de pico e ainda sejam marcados com prioridade de perda de pacotes médio-alto (amarelo). Os pacotes que excedem o tamanho máximo da explosão são marcados com alta prioridade de perda de pacotes (vermelho).
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-burst-size 4m
Configure o policiador para permitir uma taxa máxima de alcance de 100 megabytes. Pacotes que excedem a taxa de informações comprometidas, mas estão abaixo da taxa de informação de pico são marcados com prioridade de perda de pacotes médio-alto (amarelo). Os pacotes que excedem a taxa de informação de pico são marcados com alta prioridade de perda de pacotes (vermelho).
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-information-rate 100m
Configure o filtro
vxlan-filter
de firewall para enviar pacotes correspondentes (todos os pacotes, porque nãofrom
há declaração) ao policiador:[edit] user@switch# set groups vxlan-policer-group firewall family ethernet-switching filter vxlan-filter term t1 then three-color-policer two-rate vxlan-policer
Aplique o grupo para habilitar sua configuração:
[edit] user@switch# set apply-groups vxlan-policer-group