Exemple : Configuration d’un mécanisme de contrôle d’interface physique pour le trafic agrégé au niveau d’une interface physique
Cet exemple montre comment configurer un mécanisme de contrôle bicolore à débit unique en tant que mécanisme de contrôle d’interface physique.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Un mécanisme de contrôle des interfaces physiques spécifie la limitation du débit pour le trafic agrégé, qui englobe toutes les familles de protocoles et les interfaces logiques configurées sur une interface physique, même si les interfaces appartiennent à des instances de routage différentes.
Vous pouvez appliquer un mécanisme de contrôle d’interface physique au trafic d’entrée ou de sortie de couche 3 uniquement en le référençant à partir d’un filtre de pare-feu sans état configuré pour une famille de protocoles spécifique (et non pour family any
) et configuré en tant que filtre d’interface physique . Vous configurez les termes de filtrage avec des conditions de correspondance qui sélectionnent les types de paquets que vous souhaitez limiter et vous spécifiez le mécanisme de contrôle de l’interface physique en tant qu’action à appliquer aux paquets correspondants.
Les mécanismes de contrôle/filtres d’interface physique ne sont pas pris en charge pour les filtres de liste.
Topologie
Dans cet exemple, shared-policer-A
le mécanisme de contrôle de l’interface physique limite le débit à 10 000 000 bits/s et autorise une rafale de trafic maximale de 500 000 octets. Vous configurez le mécanisme de contrôle pour qu’il rejette les paquets dans les flux non conformes, mais vous pouvez le configurer pour qu’il marque à nouveau le trafic non conforme avec une classe de transfert, un niveau de priorité de perte de paquets (PLP), ou les deux.
Pour pouvoir utiliser le mécanisme de contrôle afin de limiter le débit du trafic IPv4, vous devez le référencer à partir d’un filtre d’interface physique IPv4. Pour cet exemple, vous configurez le filtre pour qu’il transmette aux paquets IPv4 du mécanisme de contrôle qui répondent à l’une des conditions de correspondance suivantes :
-
Paquets reçus via TCP et avec les champs
critical-ecp
de priorité IP (0xa0),immediate
(0x40) oupriority
(0x20) -
Paquets reçus via TCP et avec les champs
internet-control
de priorité IP (0xc0) ouroutine
(0x00)
Vous pouvez également référencer le mécanisme de contrôle à partir de filtres d’interface physique pour d’autres familles de protocoles.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configuration des interfaces logiques sur l’interface physique
- Configuration d’un mécanisme de contrôle d’interface physique
- Configuration d’un filtre d’interface physique IPv4
- Application du filtre d’interface physique IPv4 pour référencer les mécanismes de contrôle de l’interface physique
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie.
set interfaces so-1/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces so-1/0/0 unit 0 family vpls set interfaces so-1/0/0 unit 1 family mpls set firewall policer shared-policer-A physical-interface-policer set firewall policer shared-policer-A if-exceeding bandwidth-limit 100m burst-size-limit 500k set firewall policer shared-policer-A then discard set firewall family inet filter ipv4-filter physical-interface-filter set firewall family inet filter ipv4-filter term tcp-police-1 from precedence [ critical-ecp immediate priority ] set firewall family inet filter ipv4-filter term tcp-police-1 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-1 then policer shared-policer-A set firewall family inet filter ipv4-filter term tcp-police-2 from precedence [ internet-control routine ] set firewall family inet filter ipv4-filter term tcp-police-2 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-2 then policer shared-policer-A set interfaces so-1/0/0 unit 0 family inet filter input ipv4-filter
Configuration des interfaces logiques sur l’interface physique
Procédure étape par étape
Pour configurer les interfaces logiques sur l’interface physique :
Activez la configuration des interfaces logiques.
[edit] user@host# edit interfaces so-1/0/0
Configurez les familles de protocoles sur l’unité logique 0.
[edit interfaces so-1/0/0] user@host# set unit 0 family inet address 192.168.1.1/24 user@host# set unit 0 family vpls
Configurez les familles de protocoles sur l’unité logique 1.
[edit interfaces so-1/0/0] user@host# set unit 1 family mpls
Résultats
Confirmez la configuration du filtre de pare-feu en entrant la show interfaces
commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit] user@host# show interfaces so-1/0/0 { unit 0 { family inet { address 192.168.1.1/24; } family vpls; } unit 1 { family mpls; } }
Configuration d’un mécanisme de contrôle d’interface physique
Procédure étape par étape
Pour configurer un mécanisme de contrôle d’interface physique :
Activez la configuration du mécanisme de contrôle bicolore.
[edit] user@host# edit firewall policer shared-policer-A
Configurez le type de mécanisme de contrôle bicolore.
[edit firewall policer shared-policer-A] user@host# set physical-interface-policer
Configurez les limites de trafic et l’action pour les paquets dans un flux de trafic non conforme.
[edit firewall policer shared-policer-A] user@host# set if-exceeding bandwidth-limit 100m burst-size-limit 500k user@host# set then discard
Pour un filtre d’interface physique, les actions que vous pouvez configurer pour les paquets d’un flux de trafic non conforme consistent à ignorer les paquets, à affecter une classe de transfert, à affecter une valeur PLP ou à affecter à la fois une classe de transfert et une valeur PLP.
Résultats
Confirmez la configuration du mécanisme de contrôle en entrant la show firewall
commande de mode de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit] user@host# show firewall policer shared-policer-A { physical-interface-policer; if-exceeding { bandwidth-limit 100m; burst-size-limit 500k; } then discard; }
Configuration d’un filtre d’interface physique IPv4
Procédure étape par étape
Pour configurer un mécanisme de contrôle d’interface physique en tant qu’action pour les termes d’un mécanisme de contrôle d’interface physique IPv4 :
Configurez un filtre de pare-feu sans état standard sous une famille de protocoles spécifique.
[edit] user@host# edit firewall family inet filter ipv4-filter
Vous ne pouvez pas configurer un filtre de pare-feu d’interface physique pour
family any
.Configurez le filtre en tant que filtre d’interface physique afin de pouvoir appliquer le mécanisme de contrôle de l’interface physique en tant qu’action.
[edit firewall family inet filter ipv4-filter] user@host# set physical-interface-filter
Configurez le premier terme pour qu’il fasse correspondre les paquets IPv4 reçus via TCP avec les champs
critical-ecp
de priorité IP ,immediate
oupriority
et pour appliquer le mécanisme de contrôle de l’interface physique en tant qu’action de filtre.[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-1 from precedence [ critical-ecp immediate priority ] user@host# set term tcp-police-1 from protocol tcp user@host# set term tcp-police-1 then policer shared-policer-A
Configurez le premier terme pour qu’il fasse correspondre les paquets IPv4 reçus via TCP avec les champs
internet-control
de priorité IP ouroutine
pour appliquer le mécanisme de contrôle de l’interface physique en tant qu’action de filtre.[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-2 from precedence [ internet-control routine ] user@host# set term tcp-police-2 from protocol tcp user@host# set term tcp-police-2 then policer shared-policer-A
Résultats
Confirmez la configuration du filtre de pare-feu en entrant la show firewall
commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit] user@host# show firewall family inet { filter ipv4-filter { physical-interface-filter; term tcp-police-1 { from { precedence [ critical-ecp immediate priority ]; protocol tcp; } then policer shared-policer-A; } term tcp-police-2 { from { precedence [ internet-control routine ]; protocol tcp; } then policer shared-policer-A; } } } policer shared-policer-A { physical-interface-policer; if-exceeding { bandwidth-limit 100m; burst-size-limit 500k; } then discard; }
Application du filtre d’interface physique IPv4 pour référencer les mécanismes de contrôle de l’interface physique
Procédure étape par étape
Pour appliquer le filtre d’interface physique afin qu’il référence les mécanismes de contrôle de l’interface physique :
Activez la configuration d’IPv4 sur l’interface logique.
[edit] user@host# edit interfaces so-1/0/0 unit 0 family inet
Appliquez le filtre d’interface physique IPv4 dans le sens d’entrée.
[edit interfaces so-1/0/0 unit 0 family inet] user@host# set filter input ipv4-filter
Résultats
Confirmez la configuration du filtre de pare-feu en entrant la show interfaces
commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit] user@host# show interfaces so-1/0/0 { unit 0 { family inet { filter { input ipv4-filter; } address 192.168.1.1/24; } family vpls; } unit 1 { family mpls; } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Affichage des filtres de pare-feu appliqués à une interface
- Affichage du nombre de paquets traités par le mécanisme de contrôle au niveau de l’interface logique
Affichage des filtres de pare-feu appliqués à une interface
But
Vérifiez que le filtre ipv4-filter
de pare-feu est appliqué au trafic d’entrée IPv4 au niveau de l’interface so-1/0/0.0
logique .
Action
Utilisez la commande mode opérationnel pour l’interface show interfaces statistics
so-1/0/0.0
logique et incluez l’option detail
. Dans la section de sortie de la Protocol inet commande, le champ indique que le filtre ipv4-filter
de pare-feu est appliqué dans le Input Filters sens d’entrée.
user@host> show interfaces statistics so-1/0/0 detail Logical interface so-1/0/0.0 (Index 79) (SNMP ifIndex 510) (Generation 149) Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP Protocol inet, MTU: 4470, Generation: 173, Route table: 0 Flags: Sendbcast-pkt-to-re, Protocol-Down Input Filters: ipv4-filter Addresses, Flags: Dest-route-down Is-Preferred Is-Primary Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
Affichage du nombre de paquets traités par le mécanisme de contrôle au niveau de l’interface logique
But
Vérifiez que le flux de trafic passe par l’interface logique et que le mécanisme de contrôle est évalué lorsque des paquets sont reçus sur l’interface logique.
Action
Utilisez la show firewall
commande mode opérationnel pour le filtre que vous avez appliqué à l’interface logique.
user@host> show firewall filter ipv4-filter Filter: ipv4-filter Policers: Name Packets shared-policer-A-tcp-police-1 32863 shared-policer-A-tcp-police-2 3870
La sortie de la commande affiche le nom du mécanisme de contrôle (), le nom du terme de filtre (shared-policer-A
police-1
) sous lequel l’action du mécanisme de contrôle est spécifiée et le nombre de paquets correspondant au terme de filtrage. Il s’agit uniquement du nombre de paquets hors spécifications (hors spécifications), et non de tous les paquets contrôlés par le mécanisme de contrôle.