Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Polícias de interface física de duas cores e três cores

Visão geral do Physical Interface Policer

Um políciador de interface física é um policial de duas cores ou três cores que define a limitação da taxa de tráfego que você pode aplicar ao tráfego de entrada ou saída para todas as interfaces lógicas e famílias de protocolo configuradas em uma interface física, mesmo se as interfaces lógicas pertencem a diferentes instâncias de roteamento. Esse recurso é útil quando você deseja realizar um policiamento agregado para diferentes famílias de protocolo e diferentes interfaces lógicas na mesma interface física.

Por exemplo, imagine que um roteador de borda do provedor (PE) tenha várias interfaces lógicas, cada uma correspondente a um cliente diferente, configurada no mesmo enlace a um dispositivo de borda do cliente (CE). Imagine que um cliente queira aplicar um conjunto de limites de taxa agregados para determinados tipos de tráfego em uma única interface física. Para isso, você pode aplicar um único policial de interface física à interface física, que limita todas as interfaces lógicas configuradas na interface e todas as instâncias de roteamento às quais essas interfaces são.

Para configurar um policial de interface física de duas cores de uma única taxa, inclua a declaração em um dos seguintes níveis physical-interface-policer de hierarquia:

Para configurar um policial de interface física de três cores ou de duas taxas, inclua a declaração em um dos seguintes níveis physical-interface-policer de hierarquia:

Você aplica um policial de interface física ao tráfego da Camada 3 referenciando o policial a partir de um termo de filtro de firewall sem estado e aplicando o filtro a uma interface lógica. Você não pode aplicar uma interface física ao tráfego da Camada 3 diretamente à configuração da interface.

Para referenciar um policial de duas cores de uma única taxa a partir de um termo de filtro de firewall sem estado, use a policer ação não-termominera. Para referenciar um policial de três cores de taxa única ou de duas taxas a partir de um termo de filtro de firewall sem estado, use a ação three-color-policer nãoterminada.

Os seguintes requisitos aplicam-se a um filtro de firewall sem estado que faz referência a um policial de interface física:

  • Você deve configurar o filtro de firewall para uma família de protocolos com suporte específico: ipv4, ou uma conexão cruzada por ipv6 circuito ( ), mas não para mplsvplscccfamily any .

  • Você deve configurar o filtro de firewall como um filtro de interface física incluindo a physical-interface-filter instrução em nível de [edit firewall family family-name filter filter-name] hierarquia.

  • Um filtro de firewall definido como um filtro de interface física só pode referenciar um policial de interface física.

  • Um filtro de firewall definido no sistema global (não lógico) não pode ser usado em um sistema lógico para instâncias de filtro específicas da interface. Mais especificamente, você não pode usar um modelo para um que foi criado no sistema global com um anexo de filtro que physical-interface-filter foi criado no sistema lógico. O modelo e o anexo devem residir no sistema lógico para que a filtragem funcione corretamente. Isso acontece porque, para sistemas lógicos, a nomeação de instância de filtro é derivada da interface física, mas o mesmo não é verdadeiro para instâncias de filtro específicas da interface.

  • Um filtro de firewall que é definido como um filtro de interface física não pode referenciar um policial configurado com a interface-specific declaração.

  • Você não pode configurar um filtro de firewall como um filtro de interface física e como um filtro de interface lógico que também inclui a interface-specific declaração.

Exemplo: Configurando um Physical Interface Policer para tráfego agregado em uma interface física

Este exemplo mostra como configurar um policial de duas cores de uma única taxa como um policial de interface física.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Um policial de interface física especifica a limitação de taxa para tráfego agregado, que engloba todas as famílias de protocolo e interfaces lógicas configuradas em uma interface física, mesmo que as interfaces sejam de diferentes instâncias de roteamento.

Você pode aplicar um policial de interface física ao tráfego de entrada ou saída camada 3 apenas referenciando o policial de um filtro de firewall sem estado configurado para uma família de protocolo específica (não para) e configurado como um filtro de family any interface física. Você configura os termos do filtro com condições de combinação que selecionam os tipos de pacotes que deseja limitar a taxa e especifica o policer da interface física como a ação a aplicar a pacotes matched.

Topologia

O políciador de interface física neste exemplo, limita a taxa shared-policer-A a 10.000.000 bps e permite uma explosão máxima de tráfego de 500.000 bytes. Você configura o policial para descartar pacotes em fluxos não conformidades, mas você pode configurar o policial para re-marque o tráfego não conformidade com uma classe de encaminhamento, um nível de prioridade de perda de pacote (PLP) ou ambos.

Para poder usar o policial para limitar a taxa de tráfego IPv4, você referencia o policial de um filtro de interface física IPv4. Para este exemplo, você configura o filtro para passar os pacotes IPv4 da polícia que atendem a um dos seguintes termos de combinação:

  • Pacotes recebidos por meio de TCP e com os campos de precedência de IP critical-ecpimmediate (0xa0), (0x40) ou priority (0x20)

  • Pacotes recebidos por meio de TCP e com os campos de precedência de IP internet-control (0xc0) ou routine (0x00)

Você também pode referenciar o policial a partir de filtros de interface física para outras famílias de protocolo.

Configuração

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Usando o CLI Editor no modo de configuração .

Para configurar este exemplo, realize as seguintes tarefas:

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova quaisquer quebras de linha e, em seguida, confie os comandos na CLI no nível [edit] da hierarquia.

Configurando as interfaces lógicas na interface física

Procedimento passo a passo

Para configurar as interfaces lógicas na interface física:

  1. Habilitar a configuração de interfaces lógicas.

  2. Configure as famílias de protocolo na unidade lógica 0.

  3. Configure as famílias de protocolo na unidade lógica 1.

Resultados

Confirmar a configuração do filtro de firewall inserindo o comando show interfaces modo de configuração. Se a saída do comando não apresentar a configuração pretendido, repetirá as instruções deste procedimento para corrigir a configuração.

Configurando um Physical Interface Policer

Procedimento passo a passo

Para configurar um policial de interface física:

  1. Habilitar a configuração do policial de duas cores.

  2. Configure o tipo de policial de duas cores.

  3. Configure os limites de tráfego e a ação para pacotes em um fluxo de tráfego não conformidade.

    Para um filtro de interface física, as ações que você pode configurar para pacotes em um fluxo de tráfego sem conformidade são descartar os pacotes, designar uma classe de encaminhamento, atribuir um valor PLP ou designar uma classe de encaminhamento e um valor PLP.

Resultados

Confirmar a configuração do policial ao entrar no comando show firewall do modo de configuração. Se a saída do comando não apresentar a configuração pretendido, repetirá as instruções deste procedimento para corrigir a configuração.

Configurando um filtro de interface física IPv4

Procedimento passo a passo

Para configurar um policial de interface física como a ação de termos em um iPv4 physical interface policer:

  1. Configure um filtro de firewall sem estado padrão em uma família de protocolos específica.

    Não é possível configurar um filtro de firewall de interface física para family any .

  2. Configure o filtro como um filtro de interface física para que você possa aplicar o policer da interface física como uma ação.

  3. Configure o primeiro termo para combinar os pacotes IPv4 recebidos por TCP com os campos de precedência de IP, ou e aplicar o policer da interface física como uma ação critical-ecpimmediate de priority filtro.

  4. Configure o primeiro termo para combinar os pacotes IPv4 recebidos por TCP com os campos de precedência de IP ou e aplicar o policer da interface física como internet-controlroutine uma ação de filtro.

Resultados

Confirmar a configuração do filtro de firewall inserindo o comando show firewall modo de configuração. Se a saída do comando não apresentar a configuração pretendido, repetirá as instruções deste procedimento para corrigir a configuração.

Aplicação do filtro de interface física IPv4 para referenciar os agentes de interface física

Procedimento passo a passo

Para aplicar o filtro de interface física para referenciar os agentes de interface física:

  1. Habilitar a configuração do IPv4 na interface lógica.

  2. Aplique o filtro de interface física IPv4 na direção da entrada.

Resultados

Confirmar a configuração do filtro de firewall inserindo o comando show interfaces modo de configuração. Se a saída do comando não apresentar a configuração pretendido, repetirá as instruções deste procedimento para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Exibindo os filtros de firewall aplicados a uma interface

Propósito

Verificar se o filtro de firewall é aplicado ao tráfego de entrada ipv4-filter IPv4 na interface so-1/0/0.0 lógica.

Ação

Use o show interfaces statistics comando do modo operacional para interface lógica e inclua a so-1/0/0.0detail opção. Na seção da saída de comando, o campo mostra que o filtro de firewall é Protocol inet aplicado na direção da Input Filtersipv4-filter entrada.

Exibindo o número de pacotes processados pelo policial na interface lógica

Propósito

Verificar o fluxo de tráfego pela interface lógica e se o policial é avaliado quando os pacotes são recebidos na interface lógica.

Ação

Use o show firewall comando modo operacional para o filtro que você aplicou à interface lógica.

A saída de comando exibe o nome do policial ( ), o nome do termo do filtro ( ) no qual a ação do policial é especificada e o número de pacotes que combinaram o termo shared-policer-Apolice-1 do filtro. Esse é apenas o número de contagens de pacotes fora da especificação (fora da especificação), nem todos os pacotes são políciados pelo policial.