Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Beispiel: Anwenden eines Policers auf OVSDB-verwaltete Schnittstellen

Ab Junos OS Version 14.1X53-D30 können Sie logische Einheiten (Subschnittstellen) auf VXLAN-Schnittstellen erstellen , die von einem Contrail-Controller verwaltet werden.family ethernet-switching (Controller und Switch kommunizieren über das Verwaltungsprotokoll Open vSwitch Database (OVSDB). Diese Unterstützung ermöglicht es Ihnen, Firewall-Filter mit der Aktion auf diese Subschnittstellen anzuwenden, was bedeutet, dass Sie zweistufige, dreifarbige Markierungen (Policer) auf OVSDB-verwaltete Schnittstellen anwenden können.three-color-policer

Da ein Contrail-Controller Subschnittstellen dynamisch erstellen kann, müssen Sie Firewall-Filter so anwenden, dass die Filter auf Subschnittstellen angewendet werden, wenn der Controller sie erstellt. Dies erreichen Sie, indem Sie Konfigurationsgruppen verwenden, um die Firewallfilter zu konfigurieren und anzuwenden. (Zu diesem Zweck müssen Sie Konfigurationsgruppen verwenden, d. h., Sie können keinen Firewallfilter direkt auf diese Unterschnittstellen anwenden.)

HINWEIS:

Firewall-Filter sind die einzigen unterstützten Konfigurationselemente auf Subschnittstellen von OVSDB-verwalteten Schnittstellen.family ethernet-switching Zweistufige, dreifarbige Marker sind die einzigen unterstützten Polizisten.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Ein QFX5100 Switch

  • Junos OS Version 14.1X53-D30 oder höher

Überblick

In diesem Beispiel wird davon ausgegangen, dass es sich bei den Schnittstellen xe-0/0/0 und xe-0/0/1 auf dem Switch um VXLAN-Schnittstellen handelt, die von einem Contrail-Controller verwaltet werden, was bedeutet, dass der Controller die Anweisungen and auf diese Schnittstellen angewendet hat.flexible-vlan-taggingencapsulation extended-vlan-bridge Um einen Firewallfilter-Layer-2-Firewallfilter (Port) mit einer Policer-Aktion auf Subschnittstellen anzuwenden, die der Controller dynamisch erstellt, müssen Sie den Filter wie in diesem Beispiel gezeigt erstellen und anwenden.

HINWEIS:

Wie im Beispiel gezeigt, müssen alle Anweisungen Teil einer Konfigurationsgruppe sein, wenn Sie einen Firewall-Filter (und einen Policer) auf eine von OVSDB verwaltete Subschnittstelle anwenden möchten.

Konfiguration

Gehen Sie folgendermaßen vor, um einen Firewall-Filter mit einer Policer-Aktion zu konfigurieren, die automatisch auf Subschnittstellen angewendet wird, die dynamisch von einem Contrail-Controller erstellt wurden:

CLI-Schnellkonfiguration

Verfahren

Schritt-für-Schritt-Anleitung

  1. Erstellen Sie eine Konfigurationsgruppe , um den Firewall-Filter auf eine beliebige Subschnittstelle der Schnittstelle xe-0 /0/0 anzuwenden. Der Filter gilt für jede Subschnittstelle, da Sie Folgendes angeben :vxlan-policer-groupvxlan-filterunit <*>

  2. Erstellen Sie die gleiche Konfiguration für die Schnittstelle xe-0/0/1:

  3. Konfigurieren Sie den Policer so, dass Pakete mit hoher Verlustpriorität verworfen werden. (Junos OS weist Paketen, die die Spitzeninformationsrate und die Spitzen-Burst-Größe überschreiten, eine hohe Verlustpriorität zu.) Wie bei der Schnittstellenkonfiguration müssen Sie auch den Policer so konfigurieren, dass er Teil einer Konfigurationsgruppe ist.

  4. Konfigurieren Sie den Policer so, dass er farbenblind ist, was bedeutet, dass er jede Vorklassifizierung von Paketen ignoriert und eine höhere oder niedrigere Paketverlustpriorität zuweisen kann.

  5. Konfigurieren Sie den Policer so, dass eingehender Datenverkehr maximal 2 Megabyte über der zugesagten Informationsrate übersteigt und dennoch mit niedriger Paketverlustpriorität (grün) gekennzeichnet wird.

  6. Konfigurieren Sie den Policer so, dass eine garantierte Bandbreite von 100 Megabyte unter normalen Leitungsbedingungen zulässig ist. Dies ist der durchschnittliche Schwellenwert, unterhalb dessen Pakete mit niedriger Paketverlustpriorität (grün) markiert werden.

  7. Konfigurieren Sie den Policer so, dass eingehende Pakete maximal 4 Megabyte über der Spitzeninformationsrate liegen und dennoch mit mittlerer bis hoher Paketverlustpriorität (gelb) markiert werden. Pakete, die die maximale Burst-Größe überschreiten, werden mit hoher Paketverlustpriorität (rot) gekennzeichnet.

  8. Konfigurieren Sie den Policer so, dass eine maximal erreichbare Rate von 100 Megabyte zulässig ist. Pakete, die die zugesagte Informationsrate überschreiten, aber unter der maximalen Informationsrate liegen, werden mit einer mittleren bis hohen Paketverlustpriorität (gelb) gekennzeichnet. Pakete, die die Spitzeninformationsrate überschreiten, werden mit hoher Paketverlustpriorität (rot) gekennzeichnet.

  9. Konfigurieren Sie den Firewall-Filter so, dass übereinstimmende Pakete (alle Pakete, da keine Anweisung vorhanden ist) an den Policer gesendet werden:vxlan-filterfrom

  10. Wenden Sie die Gruppe an, um ihre Konfiguration zu aktivieren:

Verwandte Themen