Zwei- und dreifarbige Polierer für physische Schnittstellen
Überblick über Physical Interface Policer
Ein Policer für physische Schnittstellen ist ein zwei- oder dreifarbiger Policer, der eine Begrenzung der Datenverkehrsrate definiert, die Sie auf den Eingabe- oder Ausgabedatenverkehr für alle logischen Schnittstellen und Protokollfamilien anwenden können, die auf einer physischen Schnittstelle konfiguriert sind, auch wenn die logischen Schnittstellen zu unterschiedlichen Routing-Instanzen gehören. Diese Funktion ist nützlich, wenn Sie aggregierte Überwachung für verschiedene Protokollfamilien und verschiedene logische Schnittstellen auf derselben physischen Schnittstelle durchführen möchten.
Angenommen, ein Provider-Edge-Router (PE) verfügt über zahlreiche logische Schnittstellen, die jeweils einem anderen Kunden entsprechen und auf derselben Verbindung zu einem Kunden-Edge-Gerät (CE) konfiguriert sind. Nehmen wir nun an, dass ein Kunde einen Satz aggregierter Ratenbegrenzungen für bestimmte Datenverkehrstypen auf einer einzelnen physischen Schnittstelle anwenden möchte. Um dies zu erreichen, können Sie einen einzelnen Policer für physische Schnittstellen auf die physische Schnittstelle anwenden, der die Rate für alle logischen Schnittstellen, die auf der Schnittstelle konfiguriert sind, und für alle Routing-Instanzen, zu denen diese Schnittstellen gehören, begrenzt.
Um einen zweifarbigen physischen Schnittstellen-Policer mit einem Tarif zu konfigurieren, schließen Sie die Anweisung auf einer der folgenden Hierarchieebenen ein:physical-interface-policer
[edit logical-system logical-system-name firewall policer policer-name]
[edit routing-instances routing-instance-name firewall policer policer-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name firewall policer policer-name]
Um einen ein- oder zweistufigen dreifarbigen physischen Schnittstellen-Policer zu konfigurieren, fügen Sie die Anweisung auf einer der folgenden Hierarchieebenen ein:physical-interface-policer
[edit firewall three-color-policer policer-name]
[edit logical-system logical-system-name firewall three-color-policer policer-name]
[edit routing-instances routing-instance-name firewall three-color-policer policer-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name firewall three-color-policer policer-name]
Sie wenden einen physischen Schnittstellen-Policer auf Layer-3-Datenverkehr an, indem Sie den Policer aus einem zustandslosen Firewall-Filterbegriff referenzieren und dann den Filter auf eine logische Schnittstelle anwenden. Es ist nicht möglich, eine physische Schnittstelle auf Layer-3-Datenverkehr direkt auf die Schnittstellenkonfiguration anzuwenden.
Verwenden Sie die nicht beendende Aktion, um aus einem zustandslosen Firewallfilterbegriff auf einen zweifarbigen Policer mit einer Rate zu verweisen.policer
Verwenden Sie die nicht beendende Aktion, um aus einem zustandslosen Firewallfilterbegriff auf einen einstufigen oder zweistufigen dreifarbigen Policer zu verweisen.three-color-policer
Die folgenden Anforderungen gelten für einen zustandslosen Firewallfilter, der auf einen physischen Schnittstellen-Policer verweist:
Sie müssen den Firewallfilter für eine bestimmte, unterstützte Protokollfamilie konfigurieren: , , , oder Circuit Cross-Connect (), aber nicht für .
ipv4
ipv6
mpls
vpls
ccc
family any
Sie müssen den Firewallfilter als physischen Schnittstellenfilter konfigurieren, indem Sie die Anweisung auf Hierarchieebene einschließen.
physical-interface-filter
[edit firewall family family-name filter filter-name]
Ein Firewallfilter, der als physischer Schnittstellenfilter definiert ist, kann nur auf einen physischen Schnittstellen-Policer verweisen.
Ein Firewall-Filter, der auf dem globalen (nicht-logischen) System definiert ist, kann in einem logischen System nicht für schnittstellenspezifische Filterinstanzen verwendet werden. Insbesondere können Sie keine Vorlage für eine Vorlage verwenden, die auf dem globalen System mit einem Filteranhang erstellt wurde, der auf dem logischen System erstellt wurde.physical-interface-filter Sowohl die Vorlage als auch die Anlage müssen sich im logischen System befinden, damit die Filterung ordnungsgemäß funktioniert. Dies liegt daran, dass bei logischen Systemen die Benennung von Filterinstanzen von der physischen Schnittstelle abgeleitet wird, dies jedoch nicht für schnittstellenspezifische Filterinstanzen gilt.
Ein Firewallfilter, der als physischer Schnittstellenfilter definiert ist, kann nicht auf einen mit der Anweisung konfigurierten Policer verweisen.
interface-specific
Sie können einen Firewallfilter nicht sowohl als physischen Schnittstellenfilter als auch als logischen Schnittstellenfilter konfigurieren, der auch die Anweisung enthält.
interface-specific
Siehe auch
Beispiel: Konfigurieren eines Policers für physische Schnittstellen für aggregierten Datenverkehr an einer physischen Schnittstelle
In diesem Beispiel wird gezeigt, wie ein zweifarbiger Policer mit einer Rate als Policer für physische Schnittstellen konfiguriert wird.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
Ein Policer für physische Schnittstellen gibt eine Ratenbegrenzung für aggregierten Datenverkehr an, der alle Protokollfamilien und logischen Schnittstellen umfasst, die auf einer physischen Schnittstelle konfiguriert sind, auch wenn die Schnittstellen zu unterschiedlichen Routing-Instanzen gehören.
Sie können einen physischen Schnittstellen-Policer nur dann auf Layer-3-Ein- oder -Ausgabedatenverkehr anwenden, wenn Sie den Policer von einem zustandslosen Firewallfilter aus referenzieren, der für eine bestimmte Protokollfamilie (nicht für ) und als physischer Schnittstellenfilter konfiguriert ist.family any
Sie konfigurieren die Filterbegriffe mit Übereinstimmungsbedingungen, die die Pakettypen auswählen, die Sie ratenbegrenzen möchten, und Sie geben den Policer der physischen Schnittstelle als Aktion an, die auf übereinstimmende Pakete angewendet werden soll.
Physikalische Schnittstellen-Policer/Filter werden für Listenfilter nicht unterstützt.
Topologie
Der Policer für die physische Schnittstelle in diesem Beispiel, , begrenzt die Rate auf 10.000.000 bps und lässt einen maximalen Datenverkehrsburst von 500.000 Byte zu.shared-policer-A
Sie konfigurieren den Policer so, dass Pakete in nicht konformen Datenströmen verworfen werden, aber Sie können den Policer stattdessen so konfigurieren, dass nicht konformer Datenverkehr mit einer Weiterleitungsklasse, einer Paketverlustpriorität (PLP) oder beidem neu markiert wird.
Um den Policer zur Ratenbegrenzung des IPv4-Datenverkehrs verwenden zu können, verweisen Sie über einen physischen IPv4-Schnittstellenfilter auf den Policer. In diesem Beispiel konfigurieren Sie den Filter so, dass die Policer-IPv4-Pakete übergeben werden, die eine der folgenden Übereinstimmungsbedingungen erfüllen:
-
Pakete, die über TCP und mit den IP-Rangfolgefeldern (0xa0), (0x40) oder (0x20) empfangen werden
critical-ecp
immediate
priority
-
Pakete, die über TCP und mit den IP-Rangfolgefeldern (0xc0) oder (0x00) empfangen wurden
internet-control
routine
Sie können auch über physische Schnittstellenfilter für andere Protokollfamilien auf den Policer verweisen.
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfiguration der logischen Schnittstellen auf der physischen Schnittstelle
- Konfigurieren eines physischen Schnittstellen-Policers
- Konfigurieren eines Filters für physische IPv4-Schnittstellen
- Anwenden des Filters für physische IPv4-Schnittstelle, um auf die Policer für die physische Schnittstelle zu verweisen
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set interfaces so-1/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces so-1/0/0 unit 0 family vpls set interfaces so-1/0/0 unit 1 family mpls set firewall policer shared-policer-A physical-interface-policer set firewall policer shared-policer-A if-exceeding bandwidth-limit 100m burst-size-limit 500k set firewall policer shared-policer-A then discard set firewall family inet filter ipv4-filter physical-interface-filter set firewall family inet filter ipv4-filter term tcp-police-1 from precedence [ critical-ecp immediate priority ] set firewall family inet filter ipv4-filter term tcp-police-1 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-1 then policer shared-policer-A set firewall family inet filter ipv4-filter term tcp-police-2 from precedence [ internet-control routine ] set firewall family inet filter ipv4-filter term tcp-police-2 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-2 then policer shared-policer-A set interfaces so-1/0/0 unit 0 family inet filter input ipv4-filter
Konfiguration der logischen Schnittstellen auf der physischen Schnittstelle
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die logischen Schnittstellen auf der physischen Schnittstelle:
Aktivieren Sie die Konfiguration logischer Schnittstellen.
[edit] user@host# edit interfaces so-1/0/0
Konfigurieren Sie die Protokollfamilien auf der logischen Einheit 0.
[edit interfaces so-1/0/0] user@host# set unit 0 family inet address 192.168.1.1/24 user@host# set unit 0 family vpls
Konfigurieren Sie die Protokollfamilien auf der logischen Einheit 1.
[edit interfaces so-1/0/0] user@host# set unit 1 family mpls
Ergebnisse
Bestätigen Sie die Konfiguration des Firewall-Filters, indem Sie den Befehl configuration mode eingeben.show interfaces
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show interfaces so-1/0/0 { unit 0 { family inet { address 192.168.1.1/24; } family vpls; } unit 1 { family mpls; } }
Konfigurieren eines physischen Schnittstellen-Policers
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen Policer für physische Schnittstellen:
Aktivieren Sie die Konfiguration des zweifarbigen Policers.
[edit] user@host# edit firewall policer shared-policer-A
Konfigurieren Sie den Typ des zweifarbigen Policers.
[edit firewall policer shared-policer-A] user@host# set physical-interface-policer
Konfigurieren Sie die Datenverkehrslimits und die Aktion für Pakete in einem nicht konformen Datenverkehrsfluss.
[edit firewall policer shared-policer-A] user@host# set if-exceeding bandwidth-limit 100m burst-size-limit 500k user@host# set then discard
Bei einem physischen Schnittstellenfilter können Sie Aktionen für Pakete in einem nicht konformen Datenverkehrsfluss konfigurieren, die Pakete verwerfen, eine Weiterleitungsklasse zuweisen, einen PLP-Wert zuweisen oder sowohl eine Weiterleitungsklasse als auch einen PLP-Wert zuweisen.
Ergebnisse
Bestätigen Sie die Konfiguration des Policers, indem Sie den Befehl Konfigurationsmodus eingeben.show firewall
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show firewall policer shared-policer-A { physical-interface-policer; if-exceeding { bandwidth-limit 100m; burst-size-limit 500k; } then discard; }
Konfigurieren eines Filters für physische IPv4-Schnittstellen
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen Policer für physische Schnittstellen als Aktion für Terme in einem Policer für physische IPv4-Schnittstellen:
Konfigurieren Sie einen standardmäßigen zustandslosen Firewallfilter unter einer bestimmten Protokollfamilie.
[edit] user@host# edit firewall family inet filter ipv4-filter
Sie können keinen Firewallfilter für physische Schnittstellen für konfigurieren.
family any
Konfigurieren Sie den Filter als physischen Schnittstellenfilter, damit Sie den Policer für die physische Schnittstelle als Aktion anwenden können.
[edit firewall family inet filter ipv4-filter] user@host# set physical-interface-filter
Konfigurieren Sie den ersten Begriff so, dass IPv4-Pakete, die über TCP empfangen werden, mit den IP-Rangfolgefeldern abgeglichen werden, oder wenden Sie den Policer für die physische Schnittstelle als Filteraktion an.
critical-ecp
immediate
priority
[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-1 from precedence [ critical-ecp immediate priority ] user@host# set term tcp-police-1 from protocol tcp user@host# set term tcp-police-1 then policer shared-policer-A
Konfigurieren Sie den ersten Begriff, um IPv4-Pakete, die über TCP empfangen werden, mit den IP-Rangfolgefeldern abzugleichen oder den Policer für die physische Schnittstelle als Filteraktion anzuwenden.
internet-control
routine
[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-2 from precedence [ internet-control routine ] user@host# set term tcp-police-2 from protocol tcp user@host# set term tcp-police-2 then policer shared-policer-A
Ergebnisse
Bestätigen Sie die Konfiguration des Firewall-Filters, indem Sie den Befehl configuration mode eingeben.show firewall
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show firewall family inet { filter ipv4-filter { physical-interface-filter; term tcp-police-1 { from { precedence [ critical-ecp immediate priority ]; protocol tcp; } then policer shared-policer-A; } term tcp-police-2 { from { precedence [ internet-control routine ]; protocol tcp; } then policer shared-policer-A; } } } policer shared-policer-A { physical-interface-policer; if-exceeding { bandwidth-limit 100m; burst-size-limit 500k; } then discard; }
Anwenden des Filters für physische IPv4-Schnittstelle, um auf die Policer für die physische Schnittstelle zu verweisen
Schritt-für-Schritt-Anleitung
So wenden Sie den Filter für die physische Schnittstelle so an, dass er auf die Policer der physischen Schnittstelle verweist:
Aktivieren Sie die Konfiguration von IPv4 auf der logischen Schnittstelle.
[edit] user@host# edit interfaces so-1/0/0 unit 0 family inet
Wenden Sie den Filter für die physische IPv4-Schnittstelle in Eingaberichtung an.
[edit interfaces so-1/0/0 unit 0 family inet] user@host# set filter input ipv4-filter
Ergebnisse
Bestätigen Sie die Konfiguration des Firewall-Filters, indem Sie den Befehl configuration mode eingeben.show interfaces
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show interfaces so-1/0/0 { unit 0 { family inet { filter { input ipv4-filter; } address 192.168.1.1/24; } family vpls; } unit 1 { family mpls; } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Anzeigen der Firewall-Filter, die auf eine Schnittstelle angewendet werden
- Anzeige der Anzahl der vom Policer verarbeiteten Pakete an der logischen Schnittstelle
Anzeigen der Firewall-Filter, die auf eine Schnittstelle angewendet werden
Zweck
Stellen Sie sicher, dass der Firewallfilter auf den IPv4-Eingabedatenverkehr an der logischen Schnittstelle angewendet wird.ipv4-filter
so-1/0/0.0
Was
Verwenden Sie den Befehl Betriebsmodus für die logische Schnittstelle und schließen Sie die Option ein.show interfaces statistics
so-1/0/0.0
detail
Im Abschnitt der Befehlsausgabe zeigt das Feld an, dass der Firewall-Filter in Eingaberichtung angewendet wird.Protocol inetInput Filtersipv4-filter
user@host> show interfaces statistics so-1/0/0 detail Logical interface so-1/0/0.0 (Index 79) (SNMP ifIndex 510) (Generation 149) Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP Protocol inet, MTU: 4470, Generation: 173, Route table: 0 Flags: Sendbcast-pkt-to-re, Protocol-Down Input Filters: ipv4-filter Addresses, Flags: Dest-route-down Is-Preferred Is-Primary Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
Anzeige der Anzahl der vom Policer verarbeiteten Pakete an der logischen Schnittstelle
Zweck
Überprüfen Sie, ob der Datenverkehr über die logische Schnittstelle fließt und ob der Policer ausgewertet wird, wenn Pakete auf der logischen Schnittstelle empfangen werden.
Was
Verwenden Sie den Befehl Betriebsmodus für den Filter, den Sie auf die logische Schnittstelle angewendet haben.show firewall
user@host> show firewall filter ipv4-filter Filter: ipv4-filter Policers: Name Packets shared-policer-A-tcp-police-1 32863 shared-policer-A-tcp-police-2 3870
Die Befehlsausgabe zeigt den Namen von policer (), den Namen des Filterbegriffs (), unter dem die policer-Aktion angegeben ist, und die Anzahl der Pakete an, die mit dem Filterbegriff übereinstimmen.shared-policer-A
police-1
Dies ist nur die Anzahl der Pakete, die außerhalb der Spezifikation (außerhalb der Spezifikationen) liegen, nicht alle Pakete, die vom Policer überwacht werden.