Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Exemple : Application d’un mécanisme de contrôle aux interfaces gérées par OVSDB

À partir de Junos OS version 14.1X53-D30, vous pouvez créer family ethernet-switching des unités logiques (sous-interfaces) sur des interfaces VXLAN gérées par un contrôleur Contrail. (Le contrôleur et le commutateur communiquent via le protocole de gestion OVSDB (Open vSwitch Database). Cette prise en charge vous permet d’appliquer des filtres de pare-feu avec l’action three-color-policer à ces sous-interfaces, ce qui signifie que vous pouvez appliquer des marqueurs à deux taux et trois couleurs (mécanismes de contrôle) aux interfaces gérées par OVSDB.

Étant donné qu’un contrôleur Contrail peut créer des sous-interfaces de manière dynamique, vous devez appliquer des filtres de pare-feu de manière à ce qu’ils s’appliquent aux sous-interfaces chaque fois que le contrôleur les crée. Pour ce faire, utilisez des groupes de configuration pour configurer et appliquer les filtres de pare-feu. (Pour cela, vous devez utiliser des groupes de configuration, c’est-à-dire que vous ne pouvez pas appliquer de filtre de pare-feu directement à ces sous-interfaces.)

REMARQUE :

Les filtres de pare-feu sont les seuls éléments de configuration pris en charge sur family ethernet-switching les sous-interfaces des interfaces gérées par OVSDB. Les marqueurs tricolores à deux taux sont les seuls mécanismes de contrôle pris en charge.

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Un commutateur QFX5100

  • Junos OS version 14.1X53-D30 ou ultérieure

Présentation

Cet exemple suppose que les interfaces xe-0/0/0 et xe-0/0/1 sur le commutateur sont des interfaces VXLAN gérées par un contrôleur Contrail, ce qui signifie que le contrôleur a appliqué les flexible-vlan-tagging instructions et encapsulation extended-vlan-bridge à ces interfaces. Pour appliquer un filtre de pare-feu de couche 2 (port) avec une action de contrôle à toutes les sous-interfaces créées dynamiquement par le contrôleur, vous devez créer et appliquer le filtre comme illustré dans cet exemple.

REMARQUE :

Comme illustré dans l’exemple, toutes les instructions doivent faire partie d’un groupe de configuration lorsque vous souhaitez appliquer un filtre de pare-feu (et un mécanisme de contrôle) à une sous-interface gérée par OVSDB.

Configuration

Pour configurer un filtre de pare-feu avec une action de contrôle à appliquer automatiquement aux sous-interfaces créées dynamiquement par un contrôleur Contrail, effectuez les tâches suivantes :

Configuration rapide de l’interface de ligne de commande

Procédure

Procédure étape par étape

  1. Créez un groupe vxlan-policer-group de configuration pour appliquer un filtre vxlan-filter de pare-feu à n’importe quelle sous-interface de l’interface xe-0/0/0. Le filtre s’applique à n’importe quelle sous-interface car vous spécifiez unit <*>:

  2. Créez la même configuration pour l’interface xe-0/0/1 :

  3. Configurez le mécanisme de contrôle pour qu’il rejette les paquets ayant une priorité de perte élevée. (Junos OS attribue une priorité de perte élevée aux paquets qui dépassent le débit d’information maximal et la taille de pointe en rafale.) Comme pour la configuration de l’interface, vous devez également configurer le mécanisme de contrôle pour qu’il fasse partie d’un groupe de configuration.

  4. Configurez le mécanisme de contrôle pour qu’il soit daltonien, ce qui signifie qu’il ignore toute préclassification des paquets et peut attribuer une priorité de perte de paquets plus ou moins élevée.

  5. Configurez le mécanisme de contrôle pour autoriser le trafic entrant à dépasser de 2 mégaoctets maximum le débit d’informations garanti tout en conservant la priorité verte (faible perte de paquets).

  6. Configurez le mécanisme de contrôle pour autoriser une bande passante garantie de 100 mégaoctets dans des conditions de ligne normales. Il s’agit du seuil moyen d’augmentation du débit en dessous duquel les paquets sont marqués avec une priorité de perte de paquets faible (vert).

  7. Configurez le mécanisme de contrôle pour permettre aux paquets entrants d’atteindre un maximum de 4 mégaoctets au-dessus du débit d’information maximal tout en étant marqués avec une priorité de perte de paquets moyenne-élevée (jaune). Les paquets qui dépassent la taille maximale en rafale sont marqués d’une priorité de perte de paquets élevée (rouge).

  8. Configurez le mécanisme de contrôle pour autoriser un débit maximal réalisable de 100 mégaoctets. Les paquets qui dépassent le débit d’information garanti mais qui sont inférieurs au débit d’information maximal sont marqués d’une priorité de perte de paquets moyenne-élevée (jaune). Les paquets qui dépassent le débit d’information maximal sont marqués d’une priorité de perte de paquets élevée (rouge).

  9. Configurez le filtre vxlan-filter de pare-feu pour qu’il envoie les paquets correspondants (tous les paquets, car il n’y a pas from d’instruction) au mécanisme de contrôle :

  10. Appliquez le groupe pour activer sa configuration :

Rubriques connexes