Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:将监管器应用于 OVSDB 托管接口

从 Junos OS 14.1X53-D30 版本开始,您可以在 Contrail 控制器管理的 VXLAN 接口上创建 family ethernet-switching 逻辑单元(子接口)。(控制器和交换机通过 Open vSwitch Database — OVSDB — 管理协议进行通信)。借助此支持,您可以将防火墙过滤器应用于 three-color-policer 这些子接口,这意味着您可以将双速率三色标记(监管器)应用于 OVSDB 托管接口。

由于 Contrail 控制器可以动态创建子接口,因此您需要应用防火墙过滤器,以便在控制器创建时过滤器应用于子接口。您可通过使用配置组配置和应用防火墙过滤器来实现这一目标。(为此,您必须使用配置组—也就是说,不能将防火墙过滤器直接应用于这些子接口。)

注:

防火墙过滤器是 OVSDB 托管接口子接口上 family ethernet-switching 唯一支持的配置项目。双速率三色标记是唯一支持的监管器。

要求

此示例使用以下硬件和软件组件:

  • QFX5100 交换机

  • Junos OS 版本 14.1X53-D30 或更高版本

概述

此示例假设交换机上的 xe-0/0/0 和 xe-0/0/1 接口是由 Contrail 控制器管理的 VXLAN 接口,这意味着控制器已将和encapsulation extended-vlan-bridge语句应用于flexible-vlan-tagging这些接口。要将具有监管器操作的防火墙过滤器第 2 层(端口)防火墙过滤器应用于控制器动态创建的任何子接口,您必须创建并应用过滤器,如此示例中所示。

注:

如示例所示,如果您想将防火墙过滤器(和监管器)应用于 OVSDB 托管的子接口,则所有语句都必须是配置组的一部分。

配置

要使用监管器操作配置防火墙过滤器以自动应用于由 Contrail 控制器动态创建的子接口,请执行以下任务:

CLI 快速配置

程序

逐步过程

  1. 创建配置组 vxlan-policer-group ,将防火墙过滤器 vxlan-filter 应用到接口 xe-0/0/0 的任何子接口。过滤器适用于任何子接口,因为您指定 unit <*>

  2. 为接口 xe-0/0/1 创建相同的配置:

  3. 配置监管器以丢弃具有高丢失优先级的数据包。(Junos OS 将高丢失优先级分配给超过峰值信息速率和峰值突发大小的数据包。)与接口配置一样,您还必须将监管器配置为配置组的一部分。

  4. 将监管器配置为色盲,这意味着它会忽略数据包的任何预分类,并可分配更高或更低的数据包丢失优先级。

  5. 配置监管器,允许传入流量在承诺信息速率之上突发最多 2 兆字节,并且仍然标记为低数据包丢失优先级(绿色)。

  6. 配置监管器以在正常线路条件下允许保证带宽为 100 兆字节。这是数据包标记为低数据包丢失优先级(绿色)的平均速率上升阈值。

  7. 配置监管器,允许传入数据包在峰值信息速率之上突发最多 4 兆字节,并且仍然标记为中等高数据包丢失优先级(黄色)。超过峰值突发大小的数据包标记为高数据包丢失优先级(红色)。

  8. 配置监管器以允许最大可实现的速率为 100 兆字节。超过承诺信息速率但低于峰值信息速率的数据包标记为中等高数据包丢失优先级(黄色)。超过峰值信息速率的数据包标记为高数据包丢失优先级(红色)。

  9. 配置防火墙过滤器 vxlan-filter ,以便向监管器发送匹配的数据包(所有数据包,因为没有 from 语句):

  10. 应用组以启用其配置: