Auf dieser Seite
Beispiel: Anwenden eines Policers auf OVSDB-verwaltete Schnittstellen
Ab Junos OS Version 14.1X53-D30 können Sie logische Einheiten (Subschnittstellen) auf VXLAN-Schnittstellen erstellen , die von einem Contrail-Controller verwaltet werden.family ethernet-switching
(Controller und Switch kommunizieren über das Verwaltungsprotokoll Open vSwitch Database (OVSDB). Diese Unterstützung ermöglicht es Ihnen, Firewall-Filter mit der Aktion auf diese Subschnittstellen anzuwenden, was bedeutet, dass Sie zweistufige, dreifarbige Markierungen (Policer) auf OVSDB-verwaltete Schnittstellen anwenden können.three-color-policer
Da ein Contrail-Controller Subschnittstellen dynamisch erstellen kann, müssen Sie Firewall-Filter so anwenden, dass die Filter auf Subschnittstellen angewendet werden, wenn der Controller sie erstellt. Dies erreichen Sie, indem Sie Konfigurationsgruppen verwenden, um die Firewallfilter zu konfigurieren und anzuwenden. (Zu diesem Zweck müssen Sie Konfigurationsgruppen verwenden, d. h., Sie können keinen Firewallfilter direkt auf diese Unterschnittstellen anwenden.)
Firewall-Filter sind die einzigen unterstützten Konfigurationselemente auf Subschnittstellen von OVSDB-verwalteten Schnittstellen.family ethernet-switching
Zweistufige, dreifarbige Marker sind die einzigen unterstützten Polizisten.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein QFX5100 Switch
Junos OS Version 14.1X53-D30 oder höher
Überblick
In diesem Beispiel wird davon ausgegangen, dass es sich bei den Schnittstellen xe-0/0/0 und xe-0/0/1 auf dem Switch um VXLAN-Schnittstellen handelt, die von einem Contrail-Controller verwaltet werden, was bedeutet, dass der Controller die Anweisungen and auf diese Schnittstellen angewendet hat.flexible-vlan-tagging
encapsulation extended-vlan-bridge
Um einen Firewallfilter-Layer-2-Firewallfilter (Port) mit einer Policer-Aktion auf Subschnittstellen anzuwenden, die der Controller dynamisch erstellt, müssen Sie den Filter wie in diesem Beispiel gezeigt erstellen und anwenden.
Wie im Beispiel gezeigt, müssen alle Anweisungen Teil einer Konfigurationsgruppe sein, wenn Sie einen Firewall-Filter (und einen Policer) auf eine von OVSDB verwaltete Subschnittstelle anwenden möchten.
Konfiguration
Gehen Sie folgendermaßen vor, um einen Firewall-Filter mit einer Policer-Aktion zu konfigurieren, die automatisch auf Subschnittstellen angewendet wird, die dynamisch von einem Contrail-Controller erstellt wurden:
CLI-Schnellkonfiguration
[edit] set groups vxlan-policer-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-policer-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-policer-group firewall three-color-policer vxlan-policer action loss-priority high then discard set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate color-blind set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-burst-size 2m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-information-rate 100m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-burst-size 4m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-information-rate 100m set groups vxlan-policer-group firewall family ethernet-switching filter vxlan-filter term t1 then three-color-policer two-rate vxlan-policer set apply-groups vxlan-policer-group
Verfahren
Schritt-für-Schritt-Anleitung
Erstellen Sie eine Konfigurationsgruppe , um den Firewall-Filter auf eine beliebige Subschnittstelle der Schnittstelle xe-0 /0/0 anzuwenden. Der Filter gilt für jede Subschnittstelle, da Sie Folgendes angeben :
vxlan-policer-group
vxlan-filter
unit <*>
[edit] user@switch# set groups vxlan-policer-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter
Erstellen Sie die gleiche Konfiguration für die Schnittstelle xe-0/0/1:
[edit] user@switch# set groups vxlan-policer-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter
Konfigurieren Sie den Policer so, dass Pakete mit hoher Verlustpriorität verworfen werden. (Junos OS weist Paketen, die die Spitzeninformationsrate und die Spitzen-Burst-Größe überschreiten, eine hohe Verlustpriorität zu.) Wie bei der Schnittstellenkonfiguration müssen Sie auch den Policer so konfigurieren, dass er Teil einer Konfigurationsgruppe ist.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer action loss-priority high then discard
Konfigurieren Sie den Policer so, dass er farbenblind ist, was bedeutet, dass er jede Vorklassifizierung von Paketen ignoriert und eine höhere oder niedrigere Paketverlustpriorität zuweisen kann.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate color-blind
Konfigurieren Sie den Policer so, dass eingehender Datenverkehr maximal 2 Megabyte über der zugesagten Informationsrate übersteigt und dennoch mit niedriger Paketverlustpriorität (grün) gekennzeichnet wird.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-burst-size 2m
Konfigurieren Sie den Policer so, dass eine garantierte Bandbreite von 100 Megabyte unter normalen Leitungsbedingungen zulässig ist. Dies ist der durchschnittliche Schwellenwert, unterhalb dessen Pakete mit niedriger Paketverlustpriorität (grün) markiert werden.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-information-rate 100m
Konfigurieren Sie den Policer so, dass eingehende Pakete maximal 4 Megabyte über der Spitzeninformationsrate liegen und dennoch mit mittlerer bis hoher Paketverlustpriorität (gelb) markiert werden. Pakete, die die maximale Burst-Größe überschreiten, werden mit hoher Paketverlustpriorität (rot) gekennzeichnet.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-burst-size 4m
Konfigurieren Sie den Policer so, dass eine maximal erreichbare Rate von 100 Megabyte zulässig ist. Pakete, die die zugesagte Informationsrate überschreiten, aber unter der maximalen Informationsrate liegen, werden mit einer mittleren bis hohen Paketverlustpriorität (gelb) gekennzeichnet. Pakete, die die Spitzeninformationsrate überschreiten, werden mit hoher Paketverlustpriorität (rot) gekennzeichnet.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-information-rate 100m
Konfigurieren Sie den Firewall-Filter so, dass übereinstimmende Pakete (alle Pakete, da keine Anweisung vorhanden ist) an den Policer gesendet werden:
vxlan-filter
from
[edit] user@switch# set groups vxlan-policer-group firewall family ethernet-switching filter vxlan-filter term t1 then three-color-policer two-rate vxlan-policer
Wenden Sie die Gruppe an, um ihre Konfiguration zu aktivieren:
[edit] user@switch# set apply-groups vxlan-policer-group