Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Beispiel: Anwenden eines Policers auf OVSDB-verwaltete Schnittstellen

Ab Junos OS Version 14.1X53-D30 können Sie logische Einheiten (Subschnittstellen) auf VXLAN-Schnittstellen erstellen family ethernet-switching , die von einem Contrail-Controller verwaltet werden. (Controller und Switch kommunizieren über das Verwaltungsprotokoll Open vSwitch Database (OVSDB). Diese Unterstützung ermöglicht es Ihnen, Firewall-Filter mit der Aktion three-color-policer auf diese Subschnittstellen anzuwenden, was bedeutet, dass Sie zweistufige, dreifarbige Markierungen (Policer) auf OVSDB-verwaltete Schnittstellen anwenden können.

Da ein Contrail-Controller Subschnittstellen dynamisch erstellen kann, müssen Sie Firewall-Filter so anwenden, dass die Filter auf Subschnittstellen angewendet werden, wenn der Controller sie erstellt. Dies erreichen Sie, indem Sie Konfigurationsgruppen verwenden, um die Firewallfilter zu konfigurieren und anzuwenden. (Zu diesem Zweck müssen Sie Konfigurationsgruppen verwenden, d. h., Sie können keinen Firewallfilter direkt auf diese Unterschnittstellen anwenden.)

HINWEIS:

Firewall-Filter sind die einzigen unterstützten Konfigurationselemente auf family ethernet-switching Subschnittstellen von OVSDB-verwalteten Schnittstellen. Zweistufige, dreifarbige Marker sind die einzigen unterstützten Polizisten.

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Ein QFX5100 Switch

  • Junos OS Version 14.1X53-D30 oder höher

Überblick

In diesem Beispiel wird davon ausgegangen, dass es sich bei den Schnittstellen xe-0/0/0 und xe-0/0/1 auf dem Switch um VXLAN-Schnittstellen handelt, die von einem Contrail-Controller verwaltet werden, was bedeutet, dass der Controller die flexible-vlan-tagging Anweisungen and encapsulation extended-vlan-bridge auf diese Schnittstellen angewendet hat. Um einen Firewallfilter-Layer-2-Firewallfilter (Port) mit einer Policer-Aktion auf Subschnittstellen anzuwenden, die der Controller dynamisch erstellt, müssen Sie den Filter wie in diesem Beispiel gezeigt erstellen und anwenden.

HINWEIS:

Wie im Beispiel gezeigt, müssen alle Anweisungen Teil einer Konfigurationsgruppe sein, wenn Sie einen Firewall-Filter (und einen Policer) auf eine von OVSDB verwaltete Subschnittstelle anwenden möchten.

Konfiguration

Gehen Sie folgendermaßen vor, um einen Firewall-Filter mit einer Policer-Aktion zu konfigurieren, die automatisch auf Subschnittstellen angewendet wird, die dynamisch von einem Contrail-Controller erstellt wurden:

CLI-Schnellkonfiguration

Verfahren

Schritt-für-Schritt-Anleitung

  1. Erstellen Sie eine Konfigurationsgruppe vxlan-policer-group , um den Firewall-Filter vxlan-filter auf eine beliebige Subschnittstelle der Schnittstelle xe-0/0/0 anzuwenden. Der Filter gilt für jede Subschnittstelle, da Sie Folgendes angeben unit <*>:

  2. Erstellen Sie die gleiche Konfiguration für die Schnittstelle xe-0/0/1:

  3. Konfigurieren Sie den Policer so, dass Pakete mit hoher Verlustpriorität verworfen werden. (Junos OS weist Paketen, die die Spitzeninformationsrate und die Spitzen-Burst-Größe überschreiten, eine hohe Verlustpriorität zu.) Wie bei der Schnittstellenkonfiguration müssen Sie auch den Policer so konfigurieren, dass er Teil einer Konfigurationsgruppe ist.

  4. Konfigurieren Sie den Policer so, dass er farbenblind ist, was bedeutet, dass er jede Vorklassifizierung von Paketen ignoriert und eine höhere oder niedrigere Paketverlustpriorität zuweisen kann.

  5. Konfigurieren Sie den Policer so, dass eingehender Datenverkehr maximal 2 Megabyte über der zugesagten Informationsrate übersteigt und dennoch mit niedriger Paketverlustpriorität (grün) gekennzeichnet wird.

  6. Konfigurieren Sie den Policer so, dass eine garantierte Bandbreite von 100 Megabyte unter normalen Leitungsbedingungen zulässig ist. Dies ist der durchschnittliche Schwellenwert, unterhalb dessen Pakete mit niedriger Paketverlustpriorität (grün) markiert werden.

  7. Konfigurieren Sie den Policer so, dass eingehende Pakete maximal 4 Megabyte über der Spitzeninformationsrate liegen und dennoch mit mittlerer bis hoher Paketverlustpriorität (gelb) markiert werden. Pakete, die die maximale Burst-Größe überschreiten, werden mit hoher Paketverlustpriorität (rot) gekennzeichnet.

  8. Konfigurieren Sie den Policer so, dass eine maximal erreichbare Rate von 100 Megabyte zulässig ist. Pakete, die die zugesagte Informationsrate überschreiten, aber unter der maximalen Informationsrate liegen, werden mit einer mittleren bis hohen Paketverlustpriorität (gelb) gekennzeichnet. Pakete, die die Spitzeninformationsrate überschreiten, werden mit hoher Paketverlustpriorität (rot) gekennzeichnet.

  9. Konfigurieren Sie den Firewall-Filter vxlan-filter so, dass übereinstimmende Pakete (alle Pakete, da keine from Anweisung vorhanden ist) an den Policer gesendet werden:

  10. Wenden Sie die Gruppe an, um ihre Konfiguration zu aktivieren:

Verwandte Themen