Mécanismes de contrôle des interfaces physiques bicolores et tricolores
Vue d’ensemble du mécanisme de contrôle d’interface physique
Un mécanisme de contrôle d’interface physique est un mécanisme de contrôle bicolore ou tricolore qui définit une limitation du débit de trafic que vous pouvez appliquer au trafic d’entrée ou de sortie pour toutes les interfaces logiques et familles de protocoles configurées sur une interface physique, même si les interfaces logiques appartiennent à des instances de routage différentes. Cette fonctionnalité est utile lorsque vous souhaitez effectuer un contrôle agrégé pour différentes familles de protocoles et différentes interfaces logiques sur la même interface physique.
Par exemple, supposons qu’un routeur Provider Edge (PE) possède de nombreuses interfaces logiques, chacune correspondant à un client différent, configurées sur la même liaison vers un périphérique CE (Customer Edge). Supposons maintenant qu’un client souhaite appliquer un ensemble de limites de débit agrégées pour certains types de trafic sur une seule interface physique. Pour ce faire, vous pouvez appliquer un mécanisme de contrôle d’interface physique unique à l’interface physique, ce qui limite le débit de toutes les interfaces logiques configurées sur l’interface et de toutes les instances de routage auxquelles ces interfaces appartiennent.
Pour configurer un mécanisme de contrôle d’interface physique bicolore à débit unique, incluez l’instruction physical-interface-policer à l’un des niveaux hiérarchiques suivants :
[edit logical-system logical-system-name firewall policer policer-name][edit routing-instances routing-instance-name firewall policer policer-name][edit logical-systems logical-system-name routing-instances routing-instance-name firewall policer policer-name]
Pour configurer un mécanisme de contrôle d’interface physique tricolore à débit unique ou à deux débits, incluez l’instruction physical-interface-policer à l’un des niveaux hiérarchiques suivants :
[edit firewall three-color-policer policer-name][edit logical-system logical-system-name firewall three-color-policer policer-name][edit routing-instances routing-instance-name firewall three-color-policer policer-name][edit logical-systems logical-system-name routing-instances routing-instance-name firewall three-color-policer policer-name]
Vous appliquez un mécanisme de contrôle d’interface physique au trafic de couche 3 en le référençant à partir d’un terme de filtre de pare-feu sans état, puis en appliquant le filtre à une interface logique. Il n’est pas possible d’appliquer une interface physique au trafic de couche 3 directement dans la configuration de l’interface.
Pour référencer un mécanisme de contrôle bicolore à débit unique à partir d’un terme de filtre de pare-feu sans état, utilisez l’action policer non terminale. Pour référencer un mécanisme de contrôle tricolore à débit unique ou à deux taux à partir d’un terme de filtre de pare-feu sans état, utilisez l’action three-color-policer non terminaison.
Les exigences suivantes s’appliquent à un filtre de pare-feu sans état qui fait référence à un mécanisme de contrôle d’interface physique :
Vous devez configurer le filtre de pare-feu pour une famille de protocoles spécifique et prise en charge :
ipv4,ipv6,mpls,vplsou connexion croisée de circuit (ccc), mais pas pourfamily any.Vous devez configurer le filtre de pare-feu en tant que filtre d’interface physique en incluant l’instruction
physical-interface-filterau niveau de la[edit firewall family family-name filter filter-name]hiérarchie.Un filtre de pare-feu défini comme filtre d’interface physique peut uniquement faire référence à un mécanisme de contrôle d’interface physique.
Un filtre de pare-feu défini sur le système global (non logique) ne peut pas être utilisé dans un système logique pour les instances de filtre spécifiques à l’interface. Plus précisément, vous ne pouvez pas utiliser un modèle pour un physical-interface-filter qui a été créé sur le système global avec une pièce jointe de filtre qui a été créée sur le système logique. Le modèle et la pièce jointe doivent tous deux résider sur le système logique pour que le filtrage fonctionne correctement. En effet, pour les systèmes logiques, le nom des instances de filtre est dérivé de l’interface physique, mais il n’en va pas de même pour les instances de filtre spécifiques à l’interface.
Un filtre de pare-feu défini comme un filtre d’interface physique ne peut pas référencer un mécanisme de contrôle configuré avec l’instruction
interface-specific.Vous ne pouvez pas configurer un filtre de pare-feu à la fois en tant que filtre d’interface physique et en tant que filtre d’interface logique qui inclut également l’instruction
interface-specific.
Voir également
Exemple : Configuration d’un mécanisme de contrôle d’interface physique pour le trafic agrégé au niveau d’une interface physique
Cet exemple montre comment configurer un mécanisme de contrôle bicolore à débit unique en tant que mécanisme de contrôle d’interface physique.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Un mécanisme de contrôle des interfaces physiques spécifie la limitation du débit pour le trafic agrégé, qui englobe toutes les familles de protocoles et les interfaces logiques configurées sur une interface physique, même si les interfaces appartiennent à des instances de routage différentes.
Vous pouvez appliquer un mécanisme de contrôle d’interface physique au trafic d’entrée ou de sortie de couche 3 uniquement en le référençant à partir d’un filtre de pare-feu sans état configuré pour une famille de protocoles spécifique (et non pour family any) et configuré en tant que filtre d’interface physique. Vous configurez les termes de filtrage avec des conditions de correspondance qui sélectionnent les types de paquets que vous souhaitez limiter et vous spécifiez le mécanisme de contrôle de l’interface physique en tant qu’action à appliquer aux paquets correspondants.
Les mécanismes de contrôle/filtres d’interface physique ne sont pas pris en charge pour les filtres de liste.
Topologie
Dans cet exemple, shared-policer-Ale mécanisme de contrôle de l’interface physique limite le débit à 10 000 000 bits/s et autorise une rafale de trafic maximale de 500 000 octets. Vous configurez le mécanisme de contrôle pour qu’il rejette les paquets dans les flux non conformes, mais vous pouvez le configurer pour qu’il marque à nouveau le trafic non conforme avec une classe de transfert, un niveau de priorité de perte de paquets (PLP), ou les deux.
Pour pouvoir utiliser le mécanisme de contrôle afin de limiter le débit du trafic IPv4, vous devez le référencer à partir d’un filtre d’interface physique IPv4. Pour cet exemple, vous configurez le filtre pour qu’il transmette aux paquets IPv4 du mécanisme de contrôle qui répondent à l’une des conditions de correspondance suivantes :
-
Paquets reçus via TCP et avec les champs
critical-ecpde priorité IP (0xa0),immediate(0x40) oupriority(0x20) -
Paquets reçus via TCP et avec les champs
internet-controlde priorité IP (0xc0) ouroutine(0x00)
Vous pouvez également référencer le mécanisme de contrôle à partir de filtres d’interface physique pour d’autres familles de protocoles.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configuration des interfaces logiques sur l’interface physique
- Configuration d’un mécanisme de contrôle d’interface physique
- Configuration d’un filtre d’interface physique IPv4
- Application du filtre d’interface physique IPv4 pour référencer les mécanismes de contrôle de l’interface physique
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set interfaces so-1/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces so-1/0/0 unit 0 family vpls set interfaces so-1/0/0 unit 1 family mpls set firewall policer shared-policer-A physical-interface-policer set firewall policer shared-policer-A if-exceeding bandwidth-limit 100m burst-size-limit 500k set firewall policer shared-policer-A then discard set firewall family inet filter ipv4-filter physical-interface-filter set firewall family inet filter ipv4-filter term tcp-police-1 from precedence [ critical-ecp immediate priority ] set firewall family inet filter ipv4-filter term tcp-police-1 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-1 then policer shared-policer-A set firewall family inet filter ipv4-filter term tcp-police-2 from precedence [ internet-control routine ] set firewall family inet filter ipv4-filter term tcp-police-2 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-2 then policer shared-policer-A set interfaces so-1/0/0 unit 0 family inet filter input ipv4-filter
Configuration des interfaces logiques sur l’interface physique
Procédure étape par étape
Pour configurer les interfaces logiques sur l’interface physique :
Activez la configuration des interfaces logiques.
[edit] user@host# edit interfaces so-1/0/0
Configurez les familles de protocoles sur l’unité logique 0.
[edit interfaces so-1/0/0] user@host# set unit 0 family inet address 192.168.1.1/24 user@host# set unit 0 family vpls
Configurez les familles de protocoles sur l’unité logique 1.
[edit interfaces so-1/0/0] user@host# set unit 1 family mpls
Résultats
Confirmez la configuration du filtre de pare-feu en entrant la show interfaces commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show interfaces
so-1/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
family vpls;
}
unit 1 {
family mpls;
}
}
Configuration d’un mécanisme de contrôle d’interface physique
Procédure étape par étape
Pour configurer un mécanisme de contrôle d’interface physique :
Activez la configuration du mécanisme de contrôle bicolore.
[edit] user@host# edit firewall policer shared-policer-A
Configurez le type de mécanisme de contrôle bicolore.
[edit firewall policer shared-policer-A] user@host# set physical-interface-policer
Configurez les limites de trafic et l’action pour les paquets dans un flux de trafic non conforme.
[edit firewall policer shared-policer-A] user@host# set if-exceeding bandwidth-limit 100m burst-size-limit 500k user@host# set then discard
Pour un filtre d’interface physique, les actions que vous pouvez configurer pour les paquets d’un flux de trafic non conforme consistent à ignorer les paquets, à affecter une classe de transfert, à affecter une valeur PLP ou à affecter à la fois une classe de transfert et une valeur PLP.
Résultats
Confirmez la configuration du mécanisme de contrôle en entrant la show firewall commande de mode de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show firewall
policer shared-policer-A {
physical-interface-policer;
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 500k;
}
then discard;
}
Configuration d’un filtre d’interface physique IPv4
Procédure étape par étape
Pour configurer un mécanisme de contrôle d’interface physique en tant qu’action pour les termes d’un mécanisme de contrôle d’interface physique IPv4 :
Configurez un filtre de pare-feu sans état standard sous une famille de protocoles spécifique.
[edit] user@host# edit firewall family inet filter ipv4-filter
Vous ne pouvez pas configurer un filtre de pare-feu d’interface physique pour
family any.Configurez le filtre en tant que filtre d’interface physique afin de pouvoir appliquer le mécanisme de contrôle de l’interface physique en tant qu’action.
[edit firewall family inet filter ipv4-filter] user@host# set physical-interface-filter
Configurez le premier terme pour qu’il fasse correspondre les paquets IPv4 reçus via TCP avec les champs
critical-ecpde priorité IP ,immediateoupriorityet pour appliquer le mécanisme de contrôle de l’interface physique en tant qu’action de filtre.[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-1 from precedence [ critical-ecp immediate priority ] user@host# set term tcp-police-1 from protocol tcp user@host# set term tcp-police-1 then policer shared-policer-A
Configurez le premier terme pour qu’il fasse correspondre les paquets IPv4 reçus via TCP avec les champs
internet-controlde priorité IP ouroutinepour appliquer le mécanisme de contrôle de l’interface physique en tant qu’action de filtre.[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-2 from precedence [ internet-control routine ] user@host# set term tcp-police-2 from protocol tcp user@host# set term tcp-police-2 then policer shared-policer-A
Résultats
Confirmez la configuration du filtre de pare-feu en entrant la show firewall commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show firewall
family inet {
filter ipv4-filter {
physical-interface-filter;
term tcp-police-1 {
from {
precedence [ critical-ecp immediate priority ];
protocol tcp;
}
then policer shared-policer-A;
}
term tcp-police-2 {
from {
precedence [ internet-control routine ];
protocol tcp;
}
then policer shared-policer-A;
}
}
}
policer shared-policer-A {
physical-interface-policer;
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 500k;
}
then discard;
}
Application du filtre d’interface physique IPv4 pour référencer les mécanismes de contrôle de l’interface physique
Procédure étape par étape
Pour appliquer le filtre d’interface physique afin qu’il référence les mécanismes de contrôle de l’interface physique :
Activez la configuration d’IPv4 sur l’interface logique.
[edit] user@host# edit interfaces so-1/0/0 unit 0 family inet
Appliquez le filtre d’interface physique IPv4 dans le sens d’entrée.
[edit interfaces so-1/0/0 unit 0 family inet] user@host# set filter input ipv4-filter
Résultats
Confirmez la configuration du filtre de pare-feu en entrant la show interfaces commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show interfaces
so-1/0/0 {
unit 0 {
family inet {
filter {
input ipv4-filter;
}
address 192.168.1.1/24;
}
family vpls;
}
unit 1 {
family mpls;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Affichage des filtres de pare-feu appliqués à une interface
- Affichage du nombre de paquets traités par le mécanisme de contrôle au niveau de l’interface logique
Affichage des filtres de pare-feu appliqués à une interface
But
Vérifiez que le filtre ipv4-filter de pare-feu est appliqué au trafic d’entrée IPv4 au niveau de l’interface so-1/0/0.0logique .
Action
Utilisez la commande mode opérationnel pour l’interface show interfaces statisticsso-1/0/0.0logique et incluez l’option detail . Dans la Protocol inet section de sortie de la commande, le Input Filters champ indique que le filtre ipv4-filter de pare-feu est appliqué dans le sens d’entrée.
user@host> show interfaces statistics so-1/0/0 detail
Logical interface so-1/0/0.0 (Index 79) (SNMP ifIndex 510) (Generation 149)
Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP
Protocol inet, MTU: 4470, Generation: 173, Route table: 0
Flags: Sendbcast-pkt-to-re, Protocol-Down
Input Filters: ipv4-filter
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
Affichage du nombre de paquets traités par le mécanisme de contrôle au niveau de l’interface logique
But
Vérifiez que le flux de trafic passe par l’interface logique et que le mécanisme de contrôle est évalué lorsque des paquets sont reçus sur l’interface logique.
Action
Utilisez la show firewall commande mode opérationnel pour le filtre que vous avez appliqué à l’interface logique.
user@host> show firewall filter ipv4-filter Filter: ipv4-filter Policers: Name Packets shared-policer-A-tcp-police-1 32863 shared-policer-A-tcp-police-2 3870
La sortie de la commande affiche le nom du mécanisme de contrôle (shared-policer-A), le nom du terme de filtre (police-1) sous lequel l’action du mécanisme de contrôle est spécifiée et le nombre de paquets correspondant au terme de filtrage. Il s’agit uniquement du nombre de paquets hors spécifications (hors spécifications), et non de tous les paquets contrôlés par le mécanisme de contrôle.