Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Zwei- und dreifarbige Physical Interface Policer

Physical Interface Policer – Übersicht

Ein Physical Interface Policer ist ein Zwei-Farb- oder Drei-Farb-Policer, der die Begrenzung der Datenrate definiert, die Sie auf den Ein- und Ausgabedatenverkehr aller auf einer physischen Schnittstelle konfigurierten logischen Schnittstellen und Protokollfamilien anwenden können, auch wenn die logischen Schnittstellen zu verschiedenen Routinginstanzen gehören. Diese Funktion ist nützlich, wenn Sie aggregierte Policing für verschiedene Protokollfamilien und verschiedene logische Schnittstellen an der gleichen physischen Schnittstelle durchführen möchten.

Nehmen wir einmal an, dass ein Provider-Edge-Router (PE-Router) über zahlreiche logische Schnittstellen verfügt, die jeweils einem anderen Kunden entspricht und über dieselbe Verbindung zu einem Kunden-Edge-Gerät (CE) konfiguriert sind. Nehmen wir einmal an, ein Kunde möchte eine Gruppe von aggregierten Begrenzungen der Raten für bestimmte Datenverkehrstypen über eine einzige physische Schnittstelle anwenden. Um dies zu erreichen, können Sie einen einzelnen Physical Interface Policer auf die physische Schnittstelle anwenden. Dieser begrenzt die Geschwindigkeit aller an der Schnittstelle konfigurierten logischen Schnittstellen und aller Routing-Instanzen, zu denen diese Schnittstellen gehören.

Um einen Single-Rate-Two-Color Physical Interface Policer zu konfigurieren, include die Aussage in einer der physical-interface-policer folgenden Hierarchieebenen ein:

Um einen Single-Rate- oder Zwei-Rate-Drei-Farb-Physical Interface Policer zu konfigurieren, include die Anweisung in einer der physical-interface-policer folgenden Hierarchieebenen ein:

Sie wenden einen Physical Interface Policer auf Layer 3-Datenverkehr an, indem Sie den Policer aus einem zustandslosen Firewall-Filterbegriff verweisen und diesen Filter dann auf eine logische Schnittstelle anwenden. Sie können keine physische Schnittstelle auf Layer 3-Datenverkehr direkt auf die Schnittstellenkonfiguration anwenden.

Verwenden Sie die nichtterminierende Aktion, um einen Zwei-Farb-Single-Rate-Policer aus einem Zustandslosen Firewall-Filterbegriff policer zu referenzieren. Verwenden Sie die nicht deaktivierte Aktion, um einen Single-Rate- oder Zwei-Rate-Drei-Farb-Policer aus einem Zustandslosen Firewall-Filter three-color-policer zu referenzieren.

Für einen Stateless-Firewall-Filter, der auf einen Policer für die physische Schnittstelle referenziert, gelten folgende Anforderungen:

  • Sie müssen den Firewall-Filter für eine bestimmte, unterstützte Protokollfamilie konfigurieren: ipv4, ipv6mpls , oder Circuit vpls Cross-Connect ( ccc ), aber nicht für family any .

  • Sie müssen den Firewall-Filter als Filter für die physische Schnittstelle konfigurieren, indem Sie die physical-interface-filter Anweisung auf der [edit firewall family family-name filter filter-name] Hierarchieebene einschlingen.

  • Ein Firewall-Filter, der als physischer Schnittstellenfilter definiert ist, kann nur auf den Policer der physischen Schnittstelle verweisen.

  • Ein Firewall-Filter, der auf dem globalen (nicht logischen) System definiert ist, kann in einem logischen System nicht für schnittstellenspezifische Filterinstanzen verwendet werden. Genauer gesagt können Sie keine Vorlage für eine Vorlage verwenden, die im globalen System mit einem Filteranhänge erstellt wurde, der im physical-interface-filter logischen System erstellt wurde. Sowohl die Vorlage als auch der Anhang müssen sich im logischen System befinden, damit die Filter richtig funktionieren. Der Grund dafür ist, dass für logische Systeme der Name einer Filterinstanz von der physischen Schnittstelle stammt. Das Gleiche gilt jedoch nicht für schnittstellenspezifische Filterinstanzen.

  • Ein Firewall-Filter, der als physikalischer Schnittstellenfilter definiert ist, kann nicht auf einen mit der Anweisung konfigurierten Policer interface-specific verweisen.

  • Sie können keinen Firewall-Filter sowohl als physischer Schnittstellenfilter als auch als logischer Schnittstellenfilter konfigurieren, der auch die Aussage interface-specific enthält.

Beispiel: Konfigurieren eines Physical Interface Policer für aggregierten Datenverkehr an einer physischen Schnittstelle

In diesem Beispiel wird gezeigt, wie ein Single-Rate-Two-Color-Policer als Physical Interface Policer konfiguriert wird.

Anforderungen

Vor der Konfiguration dieses Beispiels ist keine besondere Konfiguration über die Gerätein initialisierung hinaus erforderlich.

Überblick

Ein Physical Interface Policer gibt die Begrenzung der Geschwindigkeit für aggregierten Datenverkehr an, der alle auf einer physischen Schnittstelle konfigurierten Protokollfamilien und logischen Schnittstellen umfasst, auch wenn die Schnittstellen zu verschiedenen Routinginstanzen gehören.

Sie können einen Physical Interface Policer auf den Ein- oder Ausgabedatenverkehr auf Layer 3 anwenden, indem Sie den Policer über einen zustandslosen Firewall-Filter verweisen, der für eine bestimmte Protokollfamilie (nicht für) konfiguriert und als Filter für die physische Schnittstelle konfiguriert family any ist. Sie konfigurieren die Filterkonditionen mit Bedingungen, die die Pakettypen, die Sie begrenzen möchten, und geben den physischen Schnittstellen-Policer als die aktion an, die auf die übereinstimmungen Pakete angewendet werden soll.

Topologie

Der Policer der physischen Schnittstelle in diesem Beispiel begrenzt die Raten auf shared-policer-A 10.000.000 Bps und ermöglicht eine maximale Überflussrate von 500.000 Bytes. Sie können den Policer konfigurieren, um Pakete in nicht-konformen Datenflüssen zu verwerfen. Sie können den Policer jedoch stattdessen so konfigurieren, dass nicht-konformer Datenverkehr mit einer Weiterleitungsklasse, einer PLP-Priorität (Packet Loss Priority) oder beidem neu markieren kann.

Um den Policer zum Begrenzen der Übertragungsrate von IPv4-Datenverkehr verwenden zu können, referenziert man den Policer aus einem IPv4-Filter für die physikalische Schnittstelle. In diesem Beispiel konfigurieren Sie den Filter, um die Policer-IPv4-Pakete zu bestehen, die eines der folgenden Bedingungen erfüllen:

  • Über TCP und mit den critical-ecp IP-Rangfolgefeldern immediate (0xa0), (0x40) oder (0x20) empfangene priority Pakete

  • Über TCP und mit den IP-Rangfolgefeldern internet-control (0xc0) oder (0x00) empfangene routine Pakete

Sie können den Policer auch von physischen Schnittstellenfiltern für andere Protokollfamilien referenziert werden.

Konfiguration

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Informationen zur Navigation in CLI finden Sie Verwenden des CLI Editors im Konfigurationsmodus unter.

Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Leitungsbrüche, und fügen Sie die Befehle dann CLI Hierarchieebene [edit] ein.

Konfigurieren der logischen Schnittstellen auf der physischen Schnittstelle

Schritt-für-Schritt-Verfahren

So konfigurieren Sie die logischen Schnittstellen an der physischen Schnittstelle:

  1. Aktivieren Sie die Konfiguration logischer Schnittstellen.

  2. Konfigurieren Sie Protokollfamilien auf logische Einheit 0.

  3. Konfigurieren Sie Protokollfamilien auf logische Einheit 1.

Ergebnisse

Bestätigen Sie die Konfiguration des Firewall-Filters, indem Sie den show interfaces Konfigurationsmodusbefehl eingeben. Wenn in der Befehlsausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.

Konfigurieren eines Physical Interface Policer

Schritt-für-Schritt-Verfahren

So konfigurieren Sie einen Physical Interface Policer:

  1. Aktivieren Sie die Konfiguration des Zwei-Farb-Policers.

  2. Konfigurieren Sie den Zwei-Farb-Policer.

  3. Konfigurieren Sie die Grenzen des Datenverkehrs und die Aktion für Pakete in einem nicht-konformen Datenverkehrsfluss.

    Bei einem Filter für die physische Schnittstelle müssen die Aktionen, die Sie für Pakete in einem nicht konverkonformen Datenverkehrsfluss konfigurieren können, die Pakete verwerfen, eine Weiterleitungsklasse zuweisen, einen PLP-Wert zuweisen oder sowohl eine Weiterleitungsklasse als auch einen PLP-Wert zuweisen.

Ergebnisse

Bestätigen Sie die Konfiguration des Policers, indem Sie den show firewall Konfigurationsmodusbefehl eingeben. Wenn in der Befehlsausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.

Konfigurieren eines IPv4-Filter für physikalische Schnittstellen

Schritt-für-Schritt-Verfahren

So konfigurieren Sie einen Physical Interface Policer als Aktion für Begriffe in einem IPv4 Physical Interface Policer:

  1. Konfigurieren Sie einen standardmäßigen zustandslosen Firewall-Filter unter einer bestimmten Protokollfamilie.

    Sie können keinen Firewall-Filter für die physische Schnittstelle family any konfigurieren.

  2. Konfigurieren Sie den Filter als Filter für die physische Schnittstelle, sodass Sie den Physical Interface Policer als Aktion anwenden können.

  3. Konfigurieren Sie den ersten Begriff so, dass über TCP empfangene IPv4-Pakete mit den IP-Rangfolgefeldern übereinstimmen, oder um den Physical Interface Policer als Filteraktion critical-ecpimmediatepriority anzuwenden.

  4. Konfigurieren Sie den ersten Begriff so, dass er über TCP empfangene IPv4-Pakete mit den IP-Rangfolgefeldern übereinstimmen kann, oder um den physischen Schnittstellen-Policer als internet-controlroutine Filteraktion anzuwenden.

Ergebnisse

Bestätigen Sie die Konfiguration des Firewall-Filters, indem Sie den show firewall Konfigurationsmodusbefehl eingeben. Wenn in der Befehlsausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.

Anwendung des Filters der IPv4-physikalischen Schnittstelle als Referenz auf die Physical Interface Policer

Schritt-für-Schritt-Verfahren

Um den Filter für die physische Schnittstelle anzuwenden, referenziert er die Policer der physischen Schnittstellen:

  1. Aktivieren der Konfiguration von IPv4 auf der logischen Schnittstelle.

  2. Wenden Sie den IPv4-Filter für die physische Schnittstelle in die Eingangsrichtung an.

Ergebnisse

Bestätigen Sie die Konfiguration des Firewall-Filters, indem Sie den show interfaces Konfigurationsmodusbefehl eingeben. Wenn in der Befehlsausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.

Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie commit sie im Konfigurationsmodus ein.

Überprüfung

Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.

Anzeige der auf eine Schnittstelle angewendeten Firewall-Filter

Zweck

Stellen Sie sicher, dass der Firewall-Filter ipv4-filter auf den IPv4-Eingangsdatenverkehr an der logischen Schnittstelle angewendet so-1/0/0.0 wird.

Aktion

Verwenden Sie show interfaces statistics den Befehl im Betriebsmodus für die logische so-1/0/0.0 Schnittstelle, und geben Sie die Option detail ein. Im Protocol inet Abschnitt der Befehlsausgabe zeigt das Feld, dass der Input Filters Firewall-Filter ipv4-filter in die Eingangsrichtung angewendet wird.

Anzeige der Anzahl der vom Policer verarbeiteten Pakete an der logischen Schnittstelle

Zweck

Überprüfen Sie den Datenverkehrsfluss über die logische Schnittstelle und ob der Policer ausgewertet wird, wenn Pakete an der logischen Schnittstelle empfangen werden.

Aktion

Verwenden Sie show firewall den Betriebsmodusbefehl für den Filter, den Sie an die logische Schnittstelle anwenden.

Die Befehlsausgabe zeigt den Namen des Policers ( ), den Namen des Filteraus begriffs ( ) an, unter dem die Policer-Aktion angegeben wird, sowie die Anzahl von Paketen, die dem Filteraus begriff shared-policer-Apolice-1 übereinstimmen. Das ist nur die Anzahl der Out-of-Specification-Pakete (out-of-spec), nicht alle vom Policer ge policenden Pakete.