Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Policers d’interface physique deux couleurs et trois couleurs

Présentation du policeur d’interface physique

Un policer d’interface physique est un policer en deux couleurs ou trois couleurs qui définit la limitation du débit du trafic que vous pouvez appliquer au trafic d’entrée ou de sortie pour toutes les interfaces logiques et les familles de protocoles configurées sur une interface physique, même si les interfaces logiques appartiennent à différentes instances de routage. Cette fonctionnalité est utile lorsque vous souhaitez effectuer un contrôle agrégé pour différentes familles de protocoles et différentes interfaces logiques sur la même interface physique.

Par exemple, imaginons qu’un routeur de périphérie fournisseur (PE) dispose de nombreuses interfaces logiques, chacune correspondant à un client différent, configurée sur le même lien vers un équipement de périphérie client (CE). Imaginons maintenant qu’un client souhaite appliquer une seule série de limites de tarif agrégées pour certains types de trafic sur une interface physique unique. Pour ce faire, vous pouvez appliquer un seul policeur d’interface physique à l’interface physique, ce qui limite le taux de toutes les interfaces logiques configurées sur l’interface et toutes les instances de routage à laquelle appartiennent ces interfaces.

Pour configurer un policeur d’interface physique à deux couleurs à vitesse unique, inclure l’instruction à l’un des niveaux hiérarchiques physical-interface-policer suivants:

Pour configurer un policeur d’interface physique trois couleurs à un ou deux taux, inclure l’instruction à l’un des niveaux hiérarchiques physical-interface-policer suivants:

Vous appliquez un policeur d’interface physique au trafic de couche 3 en faisant référence au policer à partir d’un terme de filtre de pare-feu sans état, puis en appliquant le filtre à une interface logique. Vous ne pouvez pas appliquer une interface physique au trafic de couche 3 directement à la configuration de l’interface.

Pour vous référencé à un policer à double couleur à un seul taux à partir d’un terme filtre de pare-feu sans état, utilisez policer l’action non filtrée. Pour vous référencé à un policer trois couleurs à un taux unique ou à deux vitesses à partir d’un terme filtre de pare-feu sans état, utilisez three-color-policer l’action non filtrée.

Les exigences suivantes s’appliquent à un filtre de pare-feu sans état qui fait référence à un policer d’interface physique:

  • Vous devez configurer le filtre de pare-feu pour une famille de protocoles prise en charge spécifique: ipv4ipv6, , ou circuit mplsvpls cross-connect ( ccc ), mais pas pour family any .

  • Vous devez configurer le filtre de pare-feu comme filtre d’interface physique en incluant l’instruction au niveau de physical-interface-filter la [edit firewall family family-name filter filter-name] hiérarchie.

  • Un filtre de pare-feu défini comme un filtre d’interface physique peut uniquement faire référence à un policer d’interface physique.

  • Un filtre de pare-feu défini sur le système global (non logique) ne peut pas être utilisé dans un système logique pour les instances de filtre spécifiques à l’interface. Plus précisément, vous ne pouvez pas utiliser de modèle pour un modèle créé sur le système global avec une pièce jointe de filtre créée physical-interface-filter sur le système logique. Le modèle et la pièce jointe doivent résider sur le système logique pour que le filtrage fonctionne correctement. Cela est dû au fait que, pour les systèmes logiques, le nom des instances de filtre est dérivée de l’interface physique, mais il en va de même pour les instances de filtres spécifiques à l’interface.

  • Un filtre de pare-feu défini comme un filtre d’interface physique ne peut pas faire référence à un policer configuré avec interface-specific l’énoncé.

  • Vous ne pouvez pas configurer un filtre de pare-feu à la fois comme filtre d’interface physique et comme filtre d’interface logique qui inclut également interface-specific l’instruction.

Exemple: Configuration d’un policer d’interface physique pour le trafic agrégé à une interface physique

Cet exemple montre comment configurer un policeur double couleur à vitesse unique en tant que policer d’interface physique.

Conditions préalables

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cet exemple.

Présentation

Un policeur d’interface physique spécifie la limitation du taux pour le trafic agrégé, qui couvre toutes les familles de protocoles et les interfaces logiques configurées sur une interface physique, même si les interfaces appartiennent à différentes instances de routage.

Vous pouvez appliquer un policeur d’interface physique au trafic d’entrée ou de sortie de couche 3 uniquement en faisant référence au policer à partir d’un filtre de pare-feu sans état qui est configuré pour une famille de protocoles spécifique (non pour) et configuré en tant que filtre family any d’interface physique. Vous configurez les termes du filtre avec les conditions de correspondance qui sélectionnent les types de paquets que vous souhaitez limiter le nombre de paquets, et vous spécifiez le policer d’interface physique comme action à appliquer aux paquets assortis.

Topologie

Ici, le policer de l’interface physique limite le trafic à 10 000 000 b/s et permet une rafale de trafic maximale de shared-policer-A 500 000 octets. Vous configurez le système de contrôle pour éliminer les paquets dans des flux nonformants, mais vous pouvez à la place configurer le policer pour marquer à nouveau le trafic non-formé avec une classe de forwarding, un niveau PLP (Packet Loss Priority) ou les deux.

Pour pouvoir utiliser le policer pour limiter le trafic IPv4, vous vous référez au système de contrôle à partir d’un filtre d’interface physique IPv4. Pour cet exemple, vous configurez le filtre pour passer les paquets IPv4 de policer qui répondent à l’une des conditions de correspondance suivantes:

  • Paquets reçus via TCP et avec les champs de préséance IP critical-ecp (0xa0), immediate (0x40) ou priority (0x20)

  • Paquets reçus via TCP et dans les champs de préséance IP internet-control (0xc0) ou routine (0x00)

Vous pouvez également vous référencé au système de policer à partir des filtres d’interface physiques pour les autres familles de protocoles.

Configuration

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la CLI, consultez Nous, éditeurs CLI dans le mode configuration .

Pour configurer cet exemple, exécutez les tâches suivantes:

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les interruptions de ligne, puis collez les commandes dans le CLI au niveau de la [edit] hiérarchie.

Configuration des interfaces logiques sur l’interface physique

Procédure étape par étape

Pour configurer les interfaces logiques sur l’interface physique:

  1. Activer la configuration d’interfaces logiques.

  2. Configurez les familles de protocoles sur l’unité logique 0.

  3. Configurez les familles de protocoles sur l’unité logique 1.

Résultats

Confirmez la configuration du filtre de pare-feu en entrant la show interfaces commande du mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration d’un policeur d’interface physique

Procédure étape par étape

Pour configurer un policer d’interface physique:

  1. Activez la configuration du policer en deux couleurs.

  2. Configurez le type de policer en deux couleurs.

  3. Configurez les limites du trafic et l’action des paquets dans un flux de trafic nonformant.

    Pour un filtre d’interface physique, les actions que vous pouvez configurer pour les paquets dans un flux de trafic nonformant sont de jeter les paquets, d’attribuer une classe de forwarding, d’attribuer une valeur PLP ou d’attribuer à la fois une classe de forwarding et une valeur PLP.

Résultats

Confirmez la configuration du policer en entrant la commande show firewall mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration d’un filtre d’interface physique IPv4

Procédure étape par étape

Pour configurer un policer d’interface physique comme action des termes dans un policer d’interface physique IPv4:

  1. Configurez un filtre de pare-feu sans état standard sous une famille de protocoles spécifique.

    Vous ne pouvez pas configurer de filtre de pare-feu d’interface physique pour family any .

  2. Configurez le filtre en tant que filtre d’interface physique pour que vous pouvez appliquer le policer d’interface physique en tant qu’action.

  3. Configurez le premier terme pour correspondre aux paquets IPv4 reçus via TCP avec les champs de préséance IP, ou pour appliquer le policer d’interface physique en tant critical-ecpimmediate qu’action de priority filtre.

  4. Configurez le premier terme pour correspondre aux paquets IPv4 reçus via TCP avec les champs de préséance IP ou pour appliquer le policer d’interface physique en tant internet-controlroutine qu’action de filtre.

Résultats

Confirmez la configuration du filtre de pare-feu en entrant la show firewall commande du mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Application du filtre d’interface physique IPv4 pour la référence des policers d’interface physique

Procédure étape par étape

Pour appliquer le filtre d’interface physique de sorte qu’il se référe aux policeurs d’interface physiques:

  1. Activer la configuration d’IPv4 sur l’interface logique.

  2. Appliquez le filtre d’interface physique IPv4 dans la direction d’entrée.

Résultats

Confirmez la configuration du filtre de pare-feu en entrant la show interfaces commande du mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Vérification

Vérifier que la configuration fonctionne correctement.

Affichage des filtres de pare-feu appliqués à une interface

But

Vérifiez que le filtre de pare-feu est appliqué au trafic d’entrée ipv4-filter IPv4 à l’interface logique so-1/0/0.0 .

Action

Utilisez la show interfaces statistics commande du mode opérationnel pour l’interface logique et utilisez so-1/0/0.0detail l’option. Dans la section du résultat de commande, le champ indique que le filtre de pare-feu Protocol inet est appliqué dans la direction Input Filtersipv4-filter d’entrée.

Affichage du nombre de paquets traitées par le policer sur l’interface logique

But

Vérifier le flux de trafic via l’interface logique et évaluer le système de contrôle lors de la réception des paquets sur l’interface logique.

Action

Utilisez la show firewall commande du mode opérationnel pour le filtre que vous avez appliqué à l’interface logique.

La sortie de commande affiche le nom de policer ( ), le nom du terme de filtre ( ) sous lequel l’action du policer est spécifiée, ainsi que le nombre de paquets qui correspondent au terme de shared-policer-Apolice-1 filtre. Il s’agit uniquement du nombre de paquets hors spécification (hors spécifications), et tous les paquets ne sont pas l’un des critères du policer.