Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Polices d’interface physiques bicolores et tricolores

Présentation du policeur d’interface physique

Un policer d’interface physique est un policer bicolore ou trois couleurs qui définit une limitation du débit de trafic que vous pouvez appliquer au trafic d’entrée ou de sortie pour toutes les interfaces logiques et toutes les familles de protocoles configurées sur une interface physique, même si les interfaces logiques appartiennent à différentes instances de routage. Cette fonctionnalité est utile lorsque vous souhaitez effectuer un contrôle d’agrégation pour différentes familles de protocoles et différentes interfaces logiques sur la même interface physique.

Par exemple, supposons qu’un routeur de périphérie fournisseur (PE) dispose de nombreuses interfaces logiques, chacune correspondant à un client différent, configurées sur la même liaison vers un équipement de périphérie client (CE). Supposons maintenant qu’un client souhaite appliquer un ensemble de limites de débit agrégées pour certains types de trafic sur une interface physique unique. Pour ce faire, vous pouvez appliquer un seul policer d’interface physique à l’interface physique, ce qui limite le débit de toutes les interfaces logiques configurées sur l’interface et toutes les instances de routage auxquelles ces interfaces appartiennent.

Pour configurer un police d’interface physique bicolore à débit unique, incluez l’instruction à l’un physical-interface-policer des niveaux hiérarchiques suivants :

Pour configurer un police d’interface physique à débit unique ou à deux débits, incluez l’instruction à l’un physical-interface-policer des niveaux hiérarchiques suivants :

Vous appliquez un policer d’interface physique au trafic de couche 3 en faisant référence au policer à partir d’un terme de filtre de pare-feu sans état, puis en appliquant le filtre à une interface logique. Vous ne pouvez pas appliquer une interface physique au trafic de couche 3 directement à la configuration de l’interface.

Pour référencer un policer bicolore à débit unique à partir d’un terme de filtre de pare-feu sans état, utilisez l’action policer non définie. Pour faire référence à un policer à débit unique ou à deux débits à trois couleurs à partir d’un terme de filtre de pare-feu sans état, utilisez l’action three-color-policer non définie.

Les exigences suivantes s’appliquent à un filtre de pare-feu sans état qui fait référence à un policer d’interface physique :

  • Vous devez configurer le filtre de pare-feu pour une famille de protocoles spécifique et prise en charge : ipv4, ipv6, mpls, ou vplsconnexion croisée de circuit (ccc), mais pas pour family any.

  • Vous devez configurer le filtre de pare-feu en tant que filtre d’interface physique en incluant l’instruction physical-interface-filter au niveau de la [edit firewall family family-name filter filter-name] hiérarchie.

  • Un filtre de pare-feu défini comme un filtre d’interface physique peut référencer un policer d’interface physique uniquement.

  • Un filtre de pare-feu défini sur le système global (non logique) ne peut pas être utilisé dans un système logique pour les instances de filtre spécifiques à l’interface. Plus précisément, vous ne pouvez pas utiliser de modèle pour un physical-interface-filter qui a été créé sur le système global avec une pièce jointe de filtre créée sur le système logique. Le modèle et la pièce jointe doivent tous deux résider sur le système logique pour que le filtrage fonctionne correctement. En effet, pour les systèmes logiques, le nom des instances de filtre est dérivé de l’interface physique, mais il n’en va pas de même pour les instances de filtre spécifiques à l’interface.

  • Un filtre de pare-feu défini comme un filtre d’interface physique ne peut pas référencer un policer configuré avec l’instruction interface-specific .

  • Vous ne pouvez pas configurer un filtre de pare-feu en tant que filtre d’interface physique et comme filtre d’interface logique qui inclut également l’instruction interface-specific .

Exemple : Configuration d’un policer d’interface physique pour le trafic agrégé sur une interface physique

Cet exemple montre comment configurer un policer bicolore à débit unique en tant que police d’interface physique.

Conditions préalables

Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire avant de configurer cet exemple.

Présentation

Un police d’interface physique spécifie la limitation de débit pour le trafic agrégé, qui englobe toutes les familles de protocoles et les interfaces logiques configurées sur une interface physique, même si les interfaces appartiennent à différentes instances de routage.

Vous pouvez appliquer un police d’interface physique au trafic d’entrée ou de sortie de couche 3 uniquement en faisant référence au policer à partir d’un filtre de pare-feu sans état configuré pour une famille de protocoles spécifique (et non pour family any) et configuré comme filtre d’interface physique. Vous configurez les termes du filtre avec des conditions de correspondance qui sélectionnent les types de paquets à débit limité, et vous spécifiez le policer d’interface physique comme l’action à appliquer aux paquets correspondants.

topologie

Le contrôle d’interface physique dans cet exemple, shared-policer-Alimite le débit à 10 000 000 bps et permet un pic de trafic de 500 000 octets. Vous configurez le policer pour éliminer les paquets dans des flux non conformes, mais vous pouvez à la place le configurer pour qu’il marque à nouveau le trafic non conforme avec une classe de transfert, un niveau PLP (Packet Loss Priority) ou les deux.

Pour pouvoir utiliser le dispositif de contrôle pour limiter le trafic IPv4, vous pouvez le référencer à partir d’un filtre d’interface physique IPv4. Dans cet exemple, vous configurez le filtre pour transmettre les paquets IPv4 de police qui répondent à l’un des termes de correspondance suivants :

  • Paquets reçus via TCP et avec les champs critical-ecp de priorité IP (0xa0), immediate (0x40) ou priority (0x20)

  • Paquets reçus via TCP et avec les champs internet-control de priorité IP (0xc0) ou routine (0x00)

Vous pouvez également référencer le policer à partir de filtres d’interface physiques pour d’autres familles de protocoles.

Configuration

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation sur la CLI, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.

Pour configurer cet exemple, effectuez les tâches suivantes :

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez les commandes dans la CLI au niveau de la [edit] hiérarchie.

Configuration des interfaces logiques sur l’interface physique

Procédure étape par étape

Pour configurer les interfaces logiques sur l’interface physique :

  1. Activez la configuration des interfaces logiques.

  2. Configurez des familles de protocoles sur l’unité logique 0.

  3. Configurez des familles de protocoles sur l’unité logique 1.

Résultats

Confirmez la configuration du filtre de pare-feu en entrant la commande du mode de show interfaces configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration d’un policer d’interface physique

Procédure étape par étape

Pour configurer un policer d’interface physique :

  1. Activez la configuration du policer bicolore.

  2. Configurez le type de police bicolore.

  3. Configurez les limites de trafic et l’action des paquets dans un flux de trafic non-conformant.

    Pour un filtre d’interface physique, les actions que vous pouvez configurer pour les paquets dans un flux de trafic non-conformité sont de rejeter les paquets, d’attribuer une classe de transfert, d’attribuer une valeur PLP ou d’affecter à la fois une classe de transfert et une valeur PLP.

Résultats

Confirmez la configuration du policer en entrant la commande du show firewall mode de configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration d’un filtre d’interface physique IPv4

Procédure étape par étape

Pour configurer un policer d’interface physique en tant qu’action pour les termes d’un policer d’interface physique IPv4 :

  1. Configurez un filtre de pare-feu sans état standard dans une famille de protocoles spécifique.

    Vous ne pouvez pas configurer un filtre de pare-feu d’interface physique pour family any.

  2. Configurez le filtre en tant que filtre d’interface physique afin que vous puissiez appliquer le policer d’interface physique en tant qu’action.

  3. Configurez le premier terme pour faire correspondre les paquets IPv4 reçus via TCP avec les champs critical-ecpde priorité IP , immediateou priority pour appliquer le policer d’interface physique en tant qu’action de filtre.

  4. Configurez le premier terme pour faire correspondre les paquets IPv4 reçus via TCP avec les champs internet-control de priorité IP ou routine pour appliquer le policer d’interface physique en tant qu’action de filtrage.

Résultats

Confirmez la configuration du filtre de pare-feu en entrant la commande du mode de show firewall configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Application du filtre d’interface physique IPv4 pour référencer les polices d’interface physique

Procédure étape par étape

Pour appliquer le filtre d’interface physique afin qu’il fasse référence aux politiques d’interface physique :

  1. Activez la configuration d’IPv4 sur l’interface logique.

  2. Appliquez le filtre d’interface physique IPv4 dans le sens d’entrée.

Résultats

Confirmez la configuration du filtre de pare-feu en entrant la commande du mode de show interfaces configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Affichage des filtres de pare-feu appliqués à une interface

But

Vérifiez que le filtre ipv4-filter de pare-feu est appliqué au trafic d’entrée IPv4 au niveau de l’interface so-1/0/0.0logique .

Action

Utilisez la commande du show interfaces statistics mode opérationnel pour l’interface so-1/0/0.0logique et incluez l’option detail . Dans la Protocol inet section de la commande sortie, le Input Filters champ indique que le filtre ipv4-filter de pare-feu est appliqué dans le sens d’entrée.

Affichage du nombre de paquets traités par le policer au niveau de l’interface logique

But

Vérifiez le flux de trafic via l’interface logique et que le policer est évalué lorsque les paquets sont reçus sur l’interface logique.

Action

Utilisez la show firewall commande du mode opérationnel pour le filtre que vous avez appliqué à l’interface logique.

La sortie de commande affiche le nom du policer (shared-policer-A), le nom du terme de filtre (police-1) sous lequel l’action de policer est spécifiée, ainsi que le nombre de paquets correspondant au terme de filtre. Il s’agit uniquement du nombre de paquets non spécifiés (hors spécification), et non de tous les paquets qui sont supervisés par le policier.