Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple: Appliquer un policer aux interfaces gérées OVSDB

À partir Junos OS version 14.1X53-D30, vous pouvez créer des unités logiques (sous-interfaces) sur VXLAN interfaces gérées par un contrôleur family ethernet-switching Contrail. (Le contrôleur et le commutateur communiquent via la base de données de gestion Open vSwitch(OVSDB). Cette prise en charge vous permet d’appliquer des filtres de pare-feu avec l’action à ces sous-interfaces, ce qui signifie que vous pouvez appliquer des marqueurs à deux vitesses trois three-color-policer couleurs (policers) aux interfaces gérées par OVSDB.

Parce qu’un contrôleur Contrail peut créer des sous-interfaces de manière dynamique, vous devez appliquer des filtres de pare-feu de manière à ce que les filtres s’appliquent aux sous-interfaces dès que le contrôleur les crée. Pour ce faire, vous utilisez des groupes de configuration pour configurer et appliquer les filtres de pare-feu. (Vous devez utiliser des groupes de configuration à cet effet, autrement dit, vous ne pouvez pas appliquer un filtre de pare-feu directement à ces sous-facettes.)

Remarque :

Les filtres de pare-feu sont les seuls éléments de configuration pris en charge sur les family ethernet-switching sous-interfaces des interfaces gérées OVSDB. Les marqueurs à deux vitesses trois couleurs sont les seuls policers pris en charge.

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants:

  • Un QFX5100 de commuter

  • Junos OS version ultérieure 14.1X53-D30 ou ultérieure

Présentation

Cet exemple suppose que les interfaces xe-0/0/0 et xe-0/0/1 du commutateur soient des interfaces VXLAN gérées par un contrôleur Contrail, ce qui signifie que le contrôleur a appliqué les instructions et les instructions à ces flexible-vlan-taggingencapsulation extended-vlan-bridge interfaces. Pour appliquer un filtre de pare-feu de couche 2 (port) à un filtre de pare-feu avec une action de policer sur n’importe quelle sous-surface que le contrôleur crée de manière dynamique, vous devez créer et appliquer le filtre tel qu’indiqué dans cet exemple.

Remarque :

Comme illustré dans l’exemple, toutes les instructions doivent faire partie d’un groupe de configuration si vous souhaitez appliquer un filtre de pare-feu (et un policer) à une sous-facette gérée par OVSDB.

Configuration

Pour configurer un filtre de pare-feu avec une action de policer qui s’applique automatiquement aux sous-interfaces créées de manière dynamique par un contrôleur Contrail, exécutez ces tâches:

CLI configuration rapide

Procédure

Procédure étape par étape

  1. Créez des groupes de configuration pour appliquer un filtre de pare-feu à toute vxlan-policer-groupvxlan-filter sous-interface de l’interface xe-0/0/0. Le filtre s’applique à toute sous-surface, car vous unit <*> spécifiez:

  2. Créer la même configuration pour l’interface xe-0/0/1:

  3. Configurez le policer pour éliminer les paquets avec une priorité élevée en cas de perte. (Junos OS priorité élevée des pertes de paquets aux paquets qui dépassent les pics d’informations et la taille des pics d’informations.) Comme pour la configuration de l’interface, vous devez également configurer le policer pour faire partie d’un groupe de configuration.

  4. Configurez le policer pour qu’il ne soit pas incolore, ce qui signifie qu’il ignore toute préclassification des paquets et peut attribuer une priorité plus ou moins élevée à la perte de paquets.

  5. Configurez le policer pour permettre au trafic entrant d’atteindre un maximum de 2 Mo au-dessus du taux d’informations indiqué et d’être marqué avec une faible priorité en cas de perte de paquets (verte).

  6. Configurez le policer pour garantir une bande passante garantie de 100 Mo dans des conditions de ligne normales. Il s’agit du seuil de hausse du taux moyen sur lequel les paquets sont marqués avec une faible priorité de perte de paquets (verte).

  7. Configurez le système de policer afin de permettre aux paquets entrants d’atteindre un maximum de 4 Mo au-dessus du taux d’informations de pointe et d’être marqués de priorité de perte de paquets moyenne à élevée (jaune). Les paquets qui dépassent la taille de la rafale maximale sont marqués avec une priorité élevée en cas de perte de paquets (rouge).

  8. Configurez le policer pour permettre un taux maximal réalisable de 100 Mo. Les paquets qui dépassent le taux d’informations indiqué mais se trouverez en-dessous du taux d’information maximum sont marqués avec une priorité de perte de paquets moyenne à élevée (jaune). Les paquets qui dépassent le taux d’information maximum sont marqués avec une priorité élevée en cas de perte de paquets (rouge).

  9. Configurez le filtre de pare-feu pour envoyer les paquets correspondants (tous les paquets, car il n’y a aucune vxlan-filterfrom instruction) au policer:

  10. Appliquer le groupe pour activer sa configuration: