Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Anwenden eines Policers auf OVSDB-verwaltete Schnittstellen

Beginnen mit Junos OS Release 14.1X53-D30, können Sie logische Einheiten (Teilschnittstellen) auf Schnittstellen erstellen, VXLAN von einem family ethernet-switching Contrail-Controller verwaltet werden. (Der Controller und der Switch kommunizieren über die Open vSwitch Database – OVSDB – Management Protocol). Mithilfe dieser Unterstützung können Sie Firewall-Filter mit der Aktion auf diese Teilschnittstellen anwenden, was bedeutet, dass Sie three-color-policer Zwei-Rate-Three-Color-Marker (Policer) auf OVSDB-verwaltete Schnittstellen anwenden können.

Da ein Contrail-Controller Teil teilbasiert dynamisch erstellen kann, müssen Sie Firewall-Filter so anwenden, dass die Filter immer dann auf Untergeordneten angewendet werden, wenn der Controller sie erstellt. Sie erreichen dies mithilfe von Konfigurationsgruppen zur Konfiguration und Anwendung von Firewall-Filtern. (Sie müssen zu diesem Zweck Konfigurationsgruppen verwenden, d. h. Sie können einen Firewall-Filter nicht direkt auf diese Unterfaces anwenden.)

Anmerkung:

Firewall-Filter sind die einzigen unterstützten Konfigurationselemente in family ethernet-switching Teilschnittstellen von OVSDB-verwalteten Schnittstellen. Two-Rate Drei-Farb-Marker sind die einzigen unterstützten Policer.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Ein QFX5100 Switch

  • Junos OS Release 14.1X53-D30 oder höher

Überblick

In diesem Beispiel wird davon ausgegangen, dass die Schnittstellen xe-0/0/0 und xe-0/0/1 am Switch VXLAN Schnittstellen sind, die von einem Contrail-Controller verwaltet werden. Das bedeutet, dass der Controller die Anweisungen und Anweisungen auf diese Schnittstellen angewendet flexible-vlan-taggingencapsulation extended-vlan-bridge hat. Um einen Firewall-Filter Layer-2-Firewall-Filter (Port) mit einer Policer-Aktion auf alle Teil teilinterfaces anzuwenden, die der Controller dynamisch erstellt, müssen Sie den Filter wie in diesem Beispiel dargestellt erstellen und anwenden.

Anmerkung:

Wie in dem Beispiel dargestellt, müssen alle Anweisungen Teil einer Konfigurationsgruppe sein, wenn Sie einen Firewall-Filter (und Policer) auf eine von OVSDB verwaltete Teilinterface anwenden möchten.

Konfiguration

Führen Sie die folgenden Aufgaben aus, um einen Firewall-Filter mit einer Policer-Aktion zu konfigurieren, die automatisch auf von einem Contrail-Controller dynamisch erstellte Teilbereich angewendet wird:

CLI-Konfiguration

Verfahren

Schritt-für-Schritt-Verfahren

  1. Konfigurationsgruppe vxlan-policer-group erstellen, um den Firewall-Filter auf vxlan-filter alle Teilschnittstellen der Schnittstelle xe-0/0/0 anzuwenden. Der Filter gilt für alle Teilinterfaces, da Sie Folgendes unit <*> angeben:

  2. Gleiche Konfiguration für Schnittstelle xe-0/0/1 erstellen:

  3. Konfigurieren Sie den Policer, um Pakete mit hoher Verlustpriorität zu verwerfen. (Junos OS weist Paketen, die Die Spitzeninformationsrate und die Spitzengröße von Überlastung übersteigen, hohe Verlustpriorität zu.) Wie bei der Schnittstellenkonfiguration müssen Sie auch den Policer so konfigurieren, dass er Teil einer Konfigurationsgruppe ist.

  4. Konfigurieren Sie den Policer als farblos. Das bedeutet, dass alle Vorklassifizierungen von Paketen ignoriert und eine höhere oder niedrigere Priorität bei Paketverlusten zugewiesen werden kann.

  5. Konfigurieren Sie den Policer, um zu ermöglichen, dass eingehender Datenverkehr maximal 2 MB über der zugesagten Datenrate liegt und weiterhin mit niedriger Priorität bei Paketverlusten (grün) markiert wird.

  6. Konfigurieren Sie den Policer, um eine garantierte Bandbreite von 100 MB unter normalen Leitungsbedingungen zu ermöglichen. Dies ist der durchschnittliche Bis-Schwellenwert, unter dem Pakete mit niedriger Priorität bei Paketverlusten (grün) markiert werden.

  7. Konfigurieren Sie den Policer, damit eingehende Pakete maximal 4 MB über der Spitzenwertwert liegen und weiterhin mit einer mittleren bis hohen Priorität bei Paketverlusten (Gelb) markiert werden können. Pakete, die die Spitzengröße bei Überlastungen überschreiten, werden mit hoher Priorität bei Paketverlusten markiert (rot).

  8. Konfigurieren Sie den Policer, um eine maximale erreichbare Rate von 100 MB zu ermöglichen. Pakete, die die zugesagte Informationsrate überschreiten, aber unter der Spitzenrate liegen, werden mit einer mittelgroßen hohen Priorität bei Paketverlusten (Gelb) markiert. Pakete, die die Spitzendatenrate überschreiten, werden mit hoher Priorität bei Paketverlusten markiert (rot).

  9. Konfigurieren Sie den Firewall-Filter, um übereinstimmende Pakete (alle Pakete, da keine Aussage vxlan-filterfrom enthalten) an den Policer zu senden:

  10. Die Gruppe anwenden, um ihre Konfiguration zu aktivieren: