Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : Configuration d’un mécanisme de contrôle d’interface physique pour le trafic agrégé au niveau d’une interface physique

Cet exemple montre comment configurer un mécanisme de contrôle bicolore à débit unique en tant que mécanisme de contrôle d’interface physique.

Conditions préalables

Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.

Présentation

Un mécanisme de contrôle des interfaces physiques spécifie la limitation du débit pour le trafic agrégé, qui englobe toutes les familles de protocoles et les interfaces logiques configurées sur une interface physique, même si les interfaces appartiennent à des instances de routage différentes.

Vous pouvez appliquer un mécanisme de contrôle d’interface physique au trafic d’entrée ou de sortie de couche 3 uniquement en le référençant à partir d’un filtre de pare-feu sans état configuré pour une famille de protocoles spécifique (et non pour family any) et configuré en tant que filtre d’interface physique . Vous configurez les termes de filtrage avec des conditions de correspondance qui sélectionnent les types de paquets que vous souhaitez limiter et vous spécifiez le mécanisme de contrôle de l’interface physique en tant qu’action à appliquer aux paquets correspondants.

REMARQUE :

Les mécanismes de contrôle/filtres d’interface physique ne sont pas pris en charge pour les filtres de liste.

Topologie

Dans cet exemple, shared-policer-Ale mécanisme de contrôle de l’interface physique limite le débit à 10 000 000 bits/s et autorise une rafale de trafic maximale de 500 000 octets. Vous configurez le mécanisme de contrôle pour qu’il rejette les paquets dans les flux non conformes, mais vous pouvez le configurer pour qu’il marque à nouveau le trafic non conforme avec une classe de transfert, un niveau de priorité de perte de paquets (PLP), ou les deux.

Pour pouvoir utiliser le mécanisme de contrôle afin de limiter le débit du trafic IPv4, vous devez le référencer à partir d’un filtre d’interface physique IPv4. Pour cet exemple, vous configurez le filtre pour qu’il transmette aux paquets IPv4 du mécanisme de contrôle qui répondent à l’une des conditions de correspondance suivantes :

  • Paquets reçus via TCP et avec les champs critical-ecp de priorité IP (0xa0), immediate (0x40) ou priority (0x20)

  • Paquets reçus via TCP et avec les champs internet-control de priorité IP (0xc0) ou routine (0x00)

Vous pouvez également référencer le mécanisme de contrôle à partir de filtres d’interface physique pour d’autres familles de protocoles.

Configuration

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.

Pour configurer cet exemple, effectuez les tâches suivantes :

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.

Configuration des interfaces logiques sur l’interface physique

Procédure étape par étape

Pour configurer les interfaces logiques sur l’interface physique :

  1. Activez la configuration des interfaces logiques.

  2. Configurez les familles de protocoles sur l’unité logique 0.

  3. Configurez les familles de protocoles sur l’unité logique 1.

Résultats

Confirmez la configuration du filtre de pare-feu en entrant la show interfaces commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration d’un mécanisme de contrôle d’interface physique

Procédure étape par étape

Pour configurer un mécanisme de contrôle d’interface physique :

  1. Activez la configuration du mécanisme de contrôle bicolore.

  2. Configurez le type de mécanisme de contrôle bicolore.

  3. Configurez les limites de trafic et l’action pour les paquets dans un flux de trafic non conforme.

    Pour un filtre d’interface physique, les actions que vous pouvez configurer pour les paquets d’un flux de trafic non conforme consistent à ignorer les paquets, à affecter une classe de transfert, à affecter une valeur PLP ou à affecter à la fois une classe de transfert et une valeur PLP.

Résultats

Confirmez la configuration du mécanisme de contrôle en entrant la show firewall commande de mode de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration d’un filtre d’interface physique IPv4

Procédure étape par étape

Pour configurer un mécanisme de contrôle d’interface physique en tant qu’action pour les termes d’un mécanisme de contrôle d’interface physique IPv4 :

  1. Configurez un filtre de pare-feu sans état standard sous une famille de protocoles spécifique.

    Vous ne pouvez pas configurer un filtre de pare-feu d’interface physique pour family any.

  2. Configurez le filtre en tant que filtre d’interface physique afin de pouvoir appliquer le mécanisme de contrôle de l’interface physique en tant qu’action.

  3. Configurez le premier terme pour qu’il fasse correspondre les paquets IPv4 reçus via TCP avec les champs critical-ecpde priorité IP , immediateou priority et pour appliquer le mécanisme de contrôle de l’interface physique en tant qu’action de filtre.

  4. Configurez le premier terme pour qu’il fasse correspondre les paquets IPv4 reçus via TCP avec les champs internet-control de priorité IP ou routine pour appliquer le mécanisme de contrôle de l’interface physique en tant qu’action de filtre.

Résultats

Confirmez la configuration du filtre de pare-feu en entrant la show firewall commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Application du filtre d’interface physique IPv4 pour référencer les mécanismes de contrôle de l’interface physique

Procédure étape par étape

Pour appliquer le filtre d’interface physique afin qu’il référence les mécanismes de contrôle de l’interface physique :

  1. Activez la configuration d’IPv4 sur l’interface logique.

  2. Appliquez le filtre d’interface physique IPv4 dans le sens d’entrée.

Résultats

Confirmez la configuration du filtre de pare-feu en entrant la show interfaces commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Affichage des filtres de pare-feu appliqués à une interface

But

Vérifiez que le filtre ipv4-filter de pare-feu est appliqué au trafic d’entrée IPv4 au niveau de l’interface so-1/0/0.0logique .

Action

Utilisez la commande mode opérationnel pour l’interface show interfaces statisticsso-1/0/0.0logique et incluez l’option detail . Dans la section de sortie de la Protocol inet commande, le champ indique que le filtre ipv4-filter de pare-feu est appliqué dans le Input Filters sens d’entrée.

Affichage du nombre de paquets traités par le mécanisme de contrôle au niveau de l’interface logique

But

Vérifiez que le flux de trafic passe par l’interface logique et que le mécanisme de contrôle est évalué lorsque des paquets sont reçus sur l’interface logique.

Action

Utilisez la show firewall commande mode opérationnel pour le filtre que vous avez appliqué à l’interface logique.

La sortie de la commande affiche le nom du mécanisme de contrôle (), le nom du terme de filtre (shared-policer-Apolice-1) sous lequel l’action du mécanisme de contrôle est spécifiée et le nombre de paquets correspondant au terme de filtrage. Il s’agit uniquement du nombre de paquets hors spécifications (hors spécifications), et non de tous les paquets contrôlés par le mécanisme de contrôle.