Sur cette page
Exemple : Application d’un mécanisme de contrôle aux interfaces gérées par OVSDB
À partir de Junos OS version 14.1X53-D30, vous pouvez créer family ethernet-switching
des unités logiques (sous-interfaces) sur des interfaces VXLAN gérées par un contrôleur Contrail. (Le contrôleur et le commutateur communiquent via le protocole de gestion OVSDB (Open vSwitch Database). Cette prise en charge vous permet d’appliquer des filtres de pare-feu avec l’action three-color-policer
à ces sous-interfaces, ce qui signifie que vous pouvez appliquer des marqueurs à deux taux et trois couleurs (mécanismes de contrôle) aux interfaces gérées par OVSDB.
Étant donné qu’un contrôleur Contrail peut créer des sous-interfaces de manière dynamique, vous devez appliquer des filtres de pare-feu de manière à ce qu’ils s’appliquent aux sous-interfaces chaque fois que le contrôleur les crée. Pour ce faire, utilisez des groupes de configuration pour configurer et appliquer les filtres de pare-feu. (Pour cela, vous devez utiliser des groupes de configuration, c’est-à-dire que vous ne pouvez pas appliquer de filtre de pare-feu directement à ces sous-interfaces.)
Les filtres de pare-feu sont les seuls éléments de configuration pris en charge sur family ethernet-switching
les sous-interfaces des interfaces gérées par OVSDB. Les marqueurs tricolores à deux taux sont les seuls mécanismes de contrôle pris en charge.
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Un commutateur QFX5100
Junos OS version 14.1X53-D30 ou ultérieure
Présentation
Cet exemple suppose que les interfaces xe-0/0/0 et xe-0/0/1 sur le commutateur sont des interfaces VXLAN gérées par un contrôleur Contrail, ce qui signifie que le contrôleur a appliqué les flexible-vlan-tagging
instructions et encapsulation extended-vlan-bridge
à ces interfaces. Pour appliquer un filtre de pare-feu de couche 2 (port) avec une action de contrôle à toutes les sous-interfaces créées dynamiquement par le contrôleur, vous devez créer et appliquer le filtre comme illustré dans cet exemple.
Comme illustré dans l’exemple, toutes les instructions doivent faire partie d’un groupe de configuration lorsque vous souhaitez appliquer un filtre de pare-feu (et un mécanisme de contrôle) à une sous-interface gérée par OVSDB.
Configuration
Pour configurer un filtre de pare-feu avec une action de contrôle à appliquer automatiquement aux sous-interfaces créées dynamiquement par un contrôleur Contrail, effectuez les tâches suivantes :
Configuration rapide de l’interface de ligne de commande
[edit] set groups vxlan-policer-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-policer-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-policer-group firewall three-color-policer vxlan-policer action loss-priority high then discard set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate color-blind set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-burst-size 2m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-information-rate 100m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-burst-size 4m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-information-rate 100m set groups vxlan-policer-group firewall family ethernet-switching filter vxlan-filter term t1 then three-color-policer two-rate vxlan-policer set apply-groups vxlan-policer-group
Procédure
Procédure étape par étape
Créez un groupe
vxlan-policer-group
de configuration pour appliquer un filtrevxlan-filter
de pare-feu à n’importe quelle sous-interface de l’interface xe-0/0/0. Le filtre s’applique à n’importe quelle sous-interface car vous spécifiezunit <*>
:[edit] user@switch# set groups vxlan-policer-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter
Créez la même configuration pour l’interface xe-0/0/1 :
[edit] user@switch# set groups vxlan-policer-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter
Configurez le mécanisme de contrôle pour qu’il rejette les paquets ayant une priorité de perte élevée. (Junos OS attribue une priorité de perte élevée aux paquets qui dépassent le débit d’information maximal et la taille de pointe en rafale.) Comme pour la configuration de l’interface, vous devez également configurer le mécanisme de contrôle pour qu’il fasse partie d’un groupe de configuration.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer action loss-priority high then discard
Configurez le mécanisme de contrôle pour qu’il soit daltonien, ce qui signifie qu’il ignore toute préclassification des paquets et peut attribuer une priorité de perte de paquets plus ou moins élevée.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate color-blind
Configurez le mécanisme de contrôle pour autoriser le trafic entrant à dépasser de 2 mégaoctets maximum le débit d’informations garanti tout en conservant la priorité verte (faible perte de paquets).
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-burst-size 2m
Configurez le mécanisme de contrôle pour autoriser une bande passante garantie de 100 mégaoctets dans des conditions de ligne normales. Il s’agit du seuil moyen d’augmentation du débit en dessous duquel les paquets sont marqués avec une priorité de perte de paquets faible (vert).
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-information-rate 100m
Configurez le mécanisme de contrôle pour permettre aux paquets entrants d’atteindre un maximum de 4 mégaoctets au-dessus du débit d’information maximal tout en étant marqués avec une priorité de perte de paquets moyenne-élevée (jaune). Les paquets qui dépassent la taille maximale en rafale sont marqués d’une priorité de perte de paquets élevée (rouge).
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-burst-size 4m
Configurez le mécanisme de contrôle pour autoriser un débit maximal réalisable de 100 mégaoctets. Les paquets qui dépassent le débit d’information garanti mais qui sont inférieurs au débit d’information maximal sont marqués d’une priorité de perte de paquets moyenne-élevée (jaune). Les paquets qui dépassent le débit d’information maximal sont marqués d’une priorité de perte de paquets élevée (rouge).
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-information-rate 100m
Configurez le filtre
vxlan-filter
de pare-feu pour qu’il envoie les paquets correspondants (tous les paquets, car il n’y a pasfrom
d’instruction) au mécanisme de contrôle :[edit] user@switch# set groups vxlan-policer-group firewall family ethernet-switching filter vxlan-filter term t1 then three-color-policer two-rate vxlan-policer
Appliquez le groupe pour activer sa configuration :
[edit] user@switch# set apply-groups vxlan-policer-group