Polices d’interface physiques bicolores et tricolores
Présentation du policeur d’interface physique
Un policer d’interface physique est un policer bicolore ou trois couleurs qui définit une limitation du débit de trafic que vous pouvez appliquer au trafic d’entrée ou de sortie pour toutes les interfaces logiques et toutes les familles de protocoles configurées sur une interface physique, même si les interfaces logiques appartiennent à différentes instances de routage. Cette fonctionnalité est utile lorsque vous souhaitez effectuer un contrôle d’agrégation pour différentes familles de protocoles et différentes interfaces logiques sur la même interface physique.
Par exemple, supposons qu’un routeur de périphérie fournisseur (PE) dispose de nombreuses interfaces logiques, chacune correspondant à un client différent, configurées sur la même liaison vers un équipement de périphérie client (CE). Supposons maintenant qu’un client souhaite appliquer un ensemble de limites de débit agrégées pour certains types de trafic sur une interface physique unique. Pour ce faire, vous pouvez appliquer un seul policer d’interface physique à l’interface physique, ce qui limite le débit de toutes les interfaces logiques configurées sur l’interface et toutes les instances de routage auxquelles ces interfaces appartiennent.
Pour configurer un police d’interface physique bicolore à débit unique, incluez l’instruction à l’un physical-interface-policer
des niveaux hiérarchiques suivants :
[edit logical-system logical-system-name firewall policer policer-name]
[edit routing-instances routing-instance-name firewall policer policer-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name firewall policer policer-name]
Pour configurer un police d’interface physique à débit unique ou à deux débits, incluez l’instruction à l’un physical-interface-policer
des niveaux hiérarchiques suivants :
[edit firewall three-color-policer policer-name]
[edit logical-system logical-system-name firewall three-color-policer policer-name]
[edit routing-instances routing-instance-name firewall three-color-policer policer-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name firewall three-color-policer policer-name]
Vous appliquez un policer d’interface physique au trafic de couche 3 en faisant référence au policer à partir d’un terme de filtre de pare-feu sans état, puis en appliquant le filtre à une interface logique. Vous ne pouvez pas appliquer une interface physique au trafic de couche 3 directement à la configuration de l’interface.
Pour référencer un policer bicolore à débit unique à partir d’un terme de filtre de pare-feu sans état, utilisez l’action policer
non définie. Pour faire référence à un policer à débit unique ou à deux débits à trois couleurs à partir d’un terme de filtre de pare-feu sans état, utilisez l’action three-color-policer
non définie.
Les exigences suivantes s’appliquent à un filtre de pare-feu sans état qui fait référence à un policer d’interface physique :
Vous devez configurer le filtre de pare-feu pour une famille de protocoles spécifique et prise en charge :
ipv4
,ipv6
,mpls
, ouvpls
connexion croisée de circuit (ccc
), mais pas pourfamily any
.Vous devez configurer le filtre de pare-feu en tant que filtre d’interface physique en incluant l’instruction
physical-interface-filter
au niveau de la[edit firewall family family-name filter filter-name]
hiérarchie.Un filtre de pare-feu défini comme un filtre d’interface physique peut référencer un policer d’interface physique uniquement.
Un filtre de pare-feu défini sur le système global (non logique) ne peut pas être utilisé dans un système logique pour les instances de filtre spécifiques à l’interface. Plus précisément, vous ne pouvez pas utiliser de modèle pour un physical-interface-filter qui a été créé sur le système global avec une pièce jointe de filtre créée sur le système logique. Le modèle et la pièce jointe doivent tous deux résider sur le système logique pour que le filtrage fonctionne correctement. En effet, pour les systèmes logiques, le nom des instances de filtre est dérivé de l’interface physique, mais il n’en va pas de même pour les instances de filtre spécifiques à l’interface.
Un filtre de pare-feu défini comme un filtre d’interface physique ne peut pas référencer un policer configuré avec l’instruction
interface-specific
.Vous ne pouvez pas configurer un filtre de pare-feu en tant que filtre d’interface physique et comme filtre d’interface logique qui inclut également l’instruction
interface-specific
.
Voir également
Exemple : Configuration d’un policer d’interface physique pour le trafic agrégé sur une interface physique
Cet exemple montre comment configurer un policer bicolore à débit unique en tant que police d’interface physique.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire avant de configurer cet exemple.
Présentation
Un police d’interface physique spécifie la limitation de débit pour le trafic agrégé, qui englobe toutes les familles de protocoles et les interfaces logiques configurées sur une interface physique, même si les interfaces appartiennent à différentes instances de routage.
Vous pouvez appliquer un police d’interface physique au trafic d’entrée ou de sortie de couche 3 uniquement en faisant référence au policer à partir d’un filtre de pare-feu sans état configuré pour une famille de protocoles spécifique (et non pour family any
) et configuré comme filtre d’interface physique. Vous configurez les termes du filtre avec des conditions de correspondance qui sélectionnent les types de paquets à débit limité, et vous spécifiez le policer d’interface physique comme l’action à appliquer aux paquets correspondants.
topologie
Le contrôle d’interface physique dans cet exemple, shared-policer-A
limite le débit à 10 000 000 bps et permet un pic de trafic de 500 000 octets. Vous configurez le policer pour éliminer les paquets dans des flux non conformes, mais vous pouvez à la place le configurer pour qu’il marque à nouveau le trafic non conforme avec une classe de transfert, un niveau PLP (Packet Loss Priority) ou les deux.
Pour pouvoir utiliser le dispositif de contrôle pour limiter le trafic IPv4, vous pouvez le référencer à partir d’un filtre d’interface physique IPv4. Dans cet exemple, vous configurez le filtre pour transmettre les paquets IPv4 de police qui répondent à l’un des termes de correspondance suivants :
Paquets reçus via TCP et avec les champs
critical-ecp
de priorité IP (0xa0),immediate
(0x40) oupriority
(0x20)Paquets reçus via TCP et avec les champs
internet-control
de priorité IP (0xc0) ouroutine
(0x00)
Vous pouvez également référencer le policer à partir de filtres d’interface physiques pour d’autres familles de protocoles.
Configuration
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation sur la CLI, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide cli
- Configuration des interfaces logiques sur l’interface physique
- Configuration d’un policer d’interface physique
- Configuration d’un filtre d’interface physique IPv4
- Application du filtre d’interface physique IPv4 pour référencer les polices d’interface physique
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez les commandes dans la CLI au niveau de la [edit]
hiérarchie.
set interfaces so-1/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces so-1/0/0 unit 0 family vpls set interfaces so-1/0/0 unit 1 family mpls set firewall policer shared-policer-A physical-interface-policer set firewall policer shared-policer-A if-exceeding bandwidth-limit 100m burst-size-limit 500k set firewall policer shared-policer-A then discard set firewall family inet filter ipv4-filter physical-interface-filter set firewall family inet filter ipv4-filter term tcp-police-1 from precedence [ critical-ecp immediate priority ] set firewall family inet filter ipv4-filter term tcp-police-1 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-1 then policer shared-policer-A set firewall family inet filter ipv4-filter term tcp-police-2 from precedence [ internet-control routine ] set firewall family inet filter ipv4-filter term tcp-police-2 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-2 then policer shared-policer-A set interfaces so-1/0/0 unit 0 family inet filter input ipv4-filter
Configuration des interfaces logiques sur l’interface physique
Procédure étape par étape
Pour configurer les interfaces logiques sur l’interface physique :
Activez la configuration des interfaces logiques.
[edit] user@host# edit interfaces so-1/0/0
Configurez des familles de protocoles sur l’unité logique 0.
[edit interfaces so-1/0/0] user@host# set unit 0 family inet address 192.168.1.1/24 user@host# set unit 0 family vpls
Configurez des familles de protocoles sur l’unité logique 1.
[edit interfaces so-1/0/0] user@host# set unit 1 family mpls
Résultats
Confirmez la configuration du filtre de pare-feu en entrant la commande du mode de show interfaces
configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit] user@host# show interfaces so-1/0/0 { unit 0 { family inet { address 192.168.1.1/24; } family vpls; } unit 1 { family mpls; } }
Configuration d’un policer d’interface physique
Procédure étape par étape
Pour configurer un policer d’interface physique :
Activez la configuration du policer bicolore.
[edit] user@host# edit firewall policer shared-policer-A
Configurez le type de police bicolore.
[edit firewall policer shared-policer-A] user@host# set physical-interface-policer
Configurez les limites de trafic et l’action des paquets dans un flux de trafic non-conformant.
[edit firewall policer shared-policer-A] user@host# set if-exceeding bandwidth-limit 100m burst-size-limit 500k user@host# set then discard
Pour un filtre d’interface physique, les actions que vous pouvez configurer pour les paquets dans un flux de trafic non-conformité sont de rejeter les paquets, d’attribuer une classe de transfert, d’attribuer une valeur PLP ou d’affecter à la fois une classe de transfert et une valeur PLP.
Résultats
Confirmez la configuration du policer en entrant la commande du show firewall
mode de configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit] user@host# show firewall policer shared-policer-A { physical-interface-policer; if-exceeding { bandwidth-limit 100m; burst-size-limit 500k; } then discard; }
Configuration d’un filtre d’interface physique IPv4
Procédure étape par étape
Pour configurer un policer d’interface physique en tant qu’action pour les termes d’un policer d’interface physique IPv4 :
Configurez un filtre de pare-feu sans état standard dans une famille de protocoles spécifique.
[edit] user@host# edit firewall family inet filter ipv4-filter
Vous ne pouvez pas configurer un filtre de pare-feu d’interface physique pour
family any
.Configurez le filtre en tant que filtre d’interface physique afin que vous puissiez appliquer le policer d’interface physique en tant qu’action.
[edit firewall family inet filter ipv4-filter] user@host# set physical-interface-filter
Configurez le premier terme pour faire correspondre les paquets IPv4 reçus via TCP avec les champs
critical-ecp
de priorité IP ,immediate
oupriority
pour appliquer le policer d’interface physique en tant qu’action de filtre.[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-1 from precedence [ critical-ecp immediate priority ] user@host# set term tcp-police-1 from protocol tcp user@host# set term tcp-police-1 then policer shared-policer-A
Configurez le premier terme pour faire correspondre les paquets IPv4 reçus via TCP avec les champs
internet-control
de priorité IP ouroutine
pour appliquer le policer d’interface physique en tant qu’action de filtrage.[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-2 from precedence [ internet-control routine ] user@host# set term tcp-police-2 from protocol tcp user@host# set term tcp-police-2 then policer shared-policer-A
Résultats
Confirmez la configuration du filtre de pare-feu en entrant la commande du mode de show firewall
configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit] user@host# show firewall family inet { filter ipv4-filter { physical-interface-filter; term tcp-police-1 { from { precedence [ critical-ecp immediate priority ]; protocol tcp; } then policer shared-policer-A; } term tcp-police-2 { from { precedence [ internet-control routine ]; protocol tcp; } then policer shared-policer-A; } } } policer shared-policer-A { physical-interface-policer; if-exceeding { bandwidth-limit 100m; burst-size-limit 500k; } then discard; }
Application du filtre d’interface physique IPv4 pour référencer les polices d’interface physique
Procédure étape par étape
Pour appliquer le filtre d’interface physique afin qu’il fasse référence aux politiques d’interface physique :
Activez la configuration d’IPv4 sur l’interface logique.
[edit] user@host# edit interfaces so-1/0/0 unit 0 family inet
Appliquez le filtre d’interface physique IPv4 dans le sens d’entrée.
[edit interfaces so-1/0/0 unit 0 family inet] user@host# set filter input ipv4-filter
Résultats
Confirmez la configuration du filtre de pare-feu en entrant la commande du mode de show interfaces
configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit] user@host# show interfaces so-1/0/0 { unit 0 { family inet { filter { input ipv4-filter; } address 192.168.1.1/24; } family vpls; } unit 1 { family mpls; } }
Si vous avez fini de configurer l’équipement, saisissez commit
à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Affichage des filtres de pare-feu appliqués à une interface
- Affichage du nombre de paquets traités par le policer au niveau de l’interface logique
Affichage des filtres de pare-feu appliqués à une interface
But
Vérifiez que le filtre ipv4-filter
de pare-feu est appliqué au trafic d’entrée IPv4 au niveau de l’interface so-1/0/0.0
logique .
Action
Utilisez la commande du show interfaces statistics
mode opérationnel pour l’interface so-1/0/0.0
logique et incluez l’option detail
. Dans la Protocol inet section de la commande sortie, le Input Filters champ indique que le filtre ipv4-filter
de pare-feu est appliqué dans le sens d’entrée.
user@host> show interfaces statistics so-1/0/0 detail Logical interface so-1/0/0.0 (Index 79) (SNMP ifIndex 510) (Generation 149) Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP Protocol inet, MTU: 4470, Generation: 173, Route table: 0 Flags: Sendbcast-pkt-to-re, Protocol-Down Input Filters: ipv4-filter Addresses, Flags: Dest-route-down Is-Preferred Is-Primary Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
Affichage du nombre de paquets traités par le policer au niveau de l’interface logique
But
Vérifiez le flux de trafic via l’interface logique et que le policer est évalué lorsque les paquets sont reçus sur l’interface logique.
Action
Utilisez la show firewall
commande du mode opérationnel pour le filtre que vous avez appliqué à l’interface logique.
user@host> show firewall filter ipv4-filter Filter: ipv4-filter Policers: Name Packets shared-policer-A-tcp-police-1 32863 shared-policer-A-tcp-police-2 3870
La sortie de commande affiche le nom du policer (shared-policer-A
), le nom du terme de filtre (police-1
) sous lequel l’action de policer est spécifiée, ainsi que le nombre de paquets correspondant au terme de filtre. Il s’agit uniquement du nombre de paquets non spécifiés (hors spécification), et non de tous les paquets qui sont supervisés par le policier.