Auf dieser Seite
Beispiel: Konfigurieren eines Policers für physische Schnittstellen für aggregierten Datenverkehr an einer physischen Schnittstelle
In diesem Beispiel wird gezeigt, wie ein zweifarbiger Policer mit einer Rate als Policer für physische Schnittstellen konfiguriert wird.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
Ein Policer für physische Schnittstellen gibt eine Ratenbegrenzung für aggregierten Datenverkehr an, der alle Protokollfamilien und logischen Schnittstellen umfasst, die auf einer physischen Schnittstelle konfiguriert sind, auch wenn die Schnittstellen zu unterschiedlichen Routing-Instanzen gehören.
Sie können einen physischen Schnittstellen-Policer nur dann auf Layer-3-Ein- oder -Ausgabedatenverkehr anwenden, wenn Sie den Policer von einem zustandslosen Firewallfilter aus referenzieren, der für eine bestimmte Protokollfamilie (nicht für ) und als physischer Schnittstellenfilter konfiguriert ist.family any
Sie konfigurieren die Filterbegriffe mit Übereinstimmungsbedingungen, die die Pakettypen auswählen, die Sie ratenbegrenzen möchten, und Sie geben den Policer der physischen Schnittstelle als Aktion an, die auf übereinstimmende Pakete angewendet werden soll.
Physikalische Schnittstellen-Policer/Filter werden für Listenfilter nicht unterstützt.
Topologie
Der Policer für die physische Schnittstelle in diesem Beispiel, , begrenzt die Rate auf 10.000.000 bps und lässt einen maximalen Datenverkehrsburst von 500.000 Byte zu.shared-policer-A
Sie konfigurieren den Policer so, dass Pakete in nicht konformen Datenströmen verworfen werden, aber Sie können den Policer stattdessen so konfigurieren, dass nicht konformer Datenverkehr mit einer Weiterleitungsklasse, einer Paketverlustpriorität (PLP) oder beidem neu markiert wird.
Um den Policer zur Ratenbegrenzung des IPv4-Datenverkehrs verwenden zu können, verweisen Sie über einen physischen IPv4-Schnittstellenfilter auf den Policer. In diesem Beispiel konfigurieren Sie den Filter so, dass die Policer-IPv4-Pakete übergeben werden, die eine der folgenden Übereinstimmungsbedingungen erfüllen:
-
Pakete, die über TCP und mit den IP-Rangfolgefeldern (0xa0), (0x40) oder (0x20) empfangen werden
critical-ecp
immediate
priority
-
Pakete, die über TCP und mit den IP-Rangfolgefeldern (0xc0) oder (0x00) empfangen wurden
internet-control
routine
Sie können auch über physische Schnittstellenfilter für andere Protokollfamilien auf den Policer verweisen.
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfiguration der logischen Schnittstellen auf der physischen Schnittstelle
- Konfigurieren eines physischen Schnittstellen-Policers
- Konfigurieren eines Filters für physische IPv4-Schnittstellen
- Anwenden des Filters für physische IPv4-Schnittstelle, um auf die Policer für die physische Schnittstelle zu verweisen
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set interfaces so-1/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces so-1/0/0 unit 0 family vpls set interfaces so-1/0/0 unit 1 family mpls set firewall policer shared-policer-A physical-interface-policer set firewall policer shared-policer-A if-exceeding bandwidth-limit 100m burst-size-limit 500k set firewall policer shared-policer-A then discard set firewall family inet filter ipv4-filter physical-interface-filter set firewall family inet filter ipv4-filter term tcp-police-1 from precedence [ critical-ecp immediate priority ] set firewall family inet filter ipv4-filter term tcp-police-1 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-1 then policer shared-policer-A set firewall family inet filter ipv4-filter term tcp-police-2 from precedence [ internet-control routine ] set firewall family inet filter ipv4-filter term tcp-police-2 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-2 then policer shared-policer-A set interfaces so-1/0/0 unit 0 family inet filter input ipv4-filter
Konfiguration der logischen Schnittstellen auf der physischen Schnittstelle
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die logischen Schnittstellen auf der physischen Schnittstelle:
Aktivieren Sie die Konfiguration logischer Schnittstellen.
[edit] user@host# edit interfaces so-1/0/0
Konfigurieren Sie die Protokollfamilien auf der logischen Einheit 0.
[edit interfaces so-1/0/0] user@host# set unit 0 family inet address 192.168.1.1/24 user@host# set unit 0 family vpls
Konfigurieren Sie die Protokollfamilien auf der logischen Einheit 1.
[edit interfaces so-1/0/0] user@host# set unit 1 family mpls
Ergebnisse
Bestätigen Sie die Konfiguration des Firewall-Filters, indem Sie den Befehl configuration mode eingeben.show interfaces
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show interfaces so-1/0/0 { unit 0 { family inet { address 192.168.1.1/24; } family vpls; } unit 1 { family mpls; } }
Konfigurieren eines physischen Schnittstellen-Policers
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen Policer für physische Schnittstellen:
Aktivieren Sie die Konfiguration des zweifarbigen Policers.
[edit] user@host# edit firewall policer shared-policer-A
Konfigurieren Sie den Typ des zweifarbigen Policers.
[edit firewall policer shared-policer-A] user@host# set physical-interface-policer
Konfigurieren Sie die Datenverkehrslimits und die Aktion für Pakete in einem nicht konformen Datenverkehrsfluss.
[edit firewall policer shared-policer-A] user@host# set if-exceeding bandwidth-limit 100m burst-size-limit 500k user@host# set then discard
Bei einem physischen Schnittstellenfilter können Sie Aktionen für Pakete in einem nicht konformen Datenverkehrsfluss konfigurieren, die Pakete verwerfen, eine Weiterleitungsklasse zuweisen, einen PLP-Wert zuweisen oder sowohl eine Weiterleitungsklasse als auch einen PLP-Wert zuweisen.
Ergebnisse
Bestätigen Sie die Konfiguration des Policers, indem Sie den Befehl Konfigurationsmodus eingeben.show firewall
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show firewall policer shared-policer-A { physical-interface-policer; if-exceeding { bandwidth-limit 100m; burst-size-limit 500k; } then discard; }
Konfigurieren eines Filters für physische IPv4-Schnittstellen
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen Policer für physische Schnittstellen als Aktion für Terme in einem Policer für physische IPv4-Schnittstellen:
Konfigurieren Sie einen standardmäßigen zustandslosen Firewallfilter unter einer bestimmten Protokollfamilie.
[edit] user@host# edit firewall family inet filter ipv4-filter
Sie können keinen Firewallfilter für physische Schnittstellen für konfigurieren.
family any
Konfigurieren Sie den Filter als physischen Schnittstellenfilter, damit Sie den Policer für die physische Schnittstelle als Aktion anwenden können.
[edit firewall family inet filter ipv4-filter] user@host# set physical-interface-filter
Konfigurieren Sie den ersten Begriff so, dass IPv4-Pakete, die über TCP empfangen werden, mit den IP-Rangfolgefeldern abgeglichen werden, oder wenden Sie den Policer für die physische Schnittstelle als Filteraktion an.
critical-ecp
immediate
priority
[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-1 from precedence [ critical-ecp immediate priority ] user@host# set term tcp-police-1 from protocol tcp user@host# set term tcp-police-1 then policer shared-policer-A
Konfigurieren Sie den ersten Begriff, um IPv4-Pakete, die über TCP empfangen werden, mit den IP-Rangfolgefeldern abzugleichen oder den Policer für die physische Schnittstelle als Filteraktion anzuwenden.
internet-control
routine
[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-2 from precedence [ internet-control routine ] user@host# set term tcp-police-2 from protocol tcp user@host# set term tcp-police-2 then policer shared-policer-A
Ergebnisse
Bestätigen Sie die Konfiguration des Firewall-Filters, indem Sie den Befehl configuration mode eingeben.show firewall
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show firewall family inet { filter ipv4-filter { physical-interface-filter; term tcp-police-1 { from { precedence [ critical-ecp immediate priority ]; protocol tcp; } then policer shared-policer-A; } term tcp-police-2 { from { precedence [ internet-control routine ]; protocol tcp; } then policer shared-policer-A; } } } policer shared-policer-A { physical-interface-policer; if-exceeding { bandwidth-limit 100m; burst-size-limit 500k; } then discard; }
Anwenden des Filters für physische IPv4-Schnittstelle, um auf die Policer für die physische Schnittstelle zu verweisen
Schritt-für-Schritt-Anleitung
So wenden Sie den Filter für die physische Schnittstelle so an, dass er auf die Policer der physischen Schnittstelle verweist:
Aktivieren Sie die Konfiguration von IPv4 auf der logischen Schnittstelle.
[edit] user@host# edit interfaces so-1/0/0 unit 0 family inet
Wenden Sie den Filter für die physische IPv4-Schnittstelle in Eingaberichtung an.
[edit interfaces so-1/0/0 unit 0 family inet] user@host# set filter input ipv4-filter
Ergebnisse
Bestätigen Sie die Konfiguration des Firewall-Filters, indem Sie den Befehl configuration mode eingeben.show interfaces
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show interfaces so-1/0/0 { unit 0 { family inet { filter { input ipv4-filter; } address 192.168.1.1/24; } family vpls; } unit 1 { family mpls; } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Anzeigen der Firewall-Filter, die auf eine Schnittstelle angewendet werden
- Anzeige der Anzahl der vom Policer verarbeiteten Pakete an der logischen Schnittstelle
Anzeigen der Firewall-Filter, die auf eine Schnittstelle angewendet werden
Zweck
Stellen Sie sicher, dass der Firewallfilter auf den IPv4-Eingabedatenverkehr an der logischen Schnittstelle angewendet wird.ipv4-filter
so-1/0/0.0
Was
Verwenden Sie den Befehl Betriebsmodus für die logische Schnittstelle und schließen Sie die Option ein.show interfaces statistics
so-1/0/0.0
detail
Im Abschnitt der Befehlsausgabe zeigt das Feld an, dass der Firewall-Filter in Eingaberichtung angewendet wird.Protocol inetInput Filtersipv4-filter
user@host> show interfaces statistics so-1/0/0 detail Logical interface so-1/0/0.0 (Index 79) (SNMP ifIndex 510) (Generation 149) Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP Protocol inet, MTU: 4470, Generation: 173, Route table: 0 Flags: Sendbcast-pkt-to-re, Protocol-Down Input Filters: ipv4-filter Addresses, Flags: Dest-route-down Is-Preferred Is-Primary Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
Anzeige der Anzahl der vom Policer verarbeiteten Pakete an der logischen Schnittstelle
Zweck
Überprüfen Sie, ob der Datenverkehr über die logische Schnittstelle fließt und ob der Policer ausgewertet wird, wenn Pakete auf der logischen Schnittstelle empfangen werden.
Was
Verwenden Sie den Befehl Betriebsmodus für den Filter, den Sie auf die logische Schnittstelle angewendet haben.show firewall
user@host> show firewall filter ipv4-filter Filter: ipv4-filter Policers: Name Packets shared-policer-A-tcp-police-1 32863 shared-policer-A-tcp-police-2 3870
Die Befehlsausgabe zeigt den Namen von policer (), den Namen des Filterbegriffs (), unter dem die policer-Aktion angegeben ist, und die Anzahl der Pakete an, die mit dem Filterbegriff übereinstimmen.shared-policer-A
police-1
Dies ist nur die Anzahl der Pakete, die außerhalb der Spezifikation (außerhalb der Spezifikationen) liegen, nicht alle Pakete, die vom Policer überwacht werden.