예: OVSDB 관리 인터페이스에 폴리서 적용
Junos OS 릴리스 14.1X53-D30부터 Contrail 컨트롤러가 관리하는 VXLAN 인터페이스에 논리적 유닛(하위 인터페이스)을 생성할 수 있습니다.family ethernet-switching 컨트롤러와 스위치는 Open vSwitch Database(OVSDB) 관리 프로토콜을 통해 통신합니다. 이 지원을 통해 이러한 하위 인터페이스에 작업이 포함된 방화벽 필터를 적용할 수 있으며, 이는 OVSDB 관리 인터페이스에 2레이트 3색 마커(폴리서)를 적용할 수 있음을 의미합니다.three-color-policer
Contrail 컨트롤러는 하위 인터페이스를 동적으로 생성할 수 있으므로, 컨트롤러가 하위 인터페이스를 생성할 때마다 필터가 하위 인터페이스에 적용되도록 방화벽 필터를 적용해야 합니다. 구성 그룹을 사용하여 방화벽 필터를 구성하고 적용하면 됩니다. (이를 위해 구성 그룹을 사용해야 합니다. 즉, 이러한 하위 인터페이스에 방화벽 필터를 직접 적용할 수 없습니다.)
방화벽 필터는 OVSDB 관리 인터페이스의 하위 인터페이스에서 유일하게 지원되는 구성 항목 입니다.family ethernet-switching 2레이트 3색 마커가 유일하게 지원되는 폴리서입니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
QFX5100 스위치
Junos OS 릴리스 14.1X53-D30 이상
개요
이 예에서는 스위치의 인터페이스 xe-0/0/0 및 xe-0/0/1이 Contrail 컨트롤러에 의해 관리되는 VXLAN 인터페이스라고 가정합니다. 이는 컨트롤러가 이러한 인터페이스에 및 문을 적용 했음을 의미합니다.flexible-vlan-taggingencapsulation extended-vlan-bridge 폴리서 작업이 포함된 방화벽 필터 레이어 2(포트) 방화벽 필터를 컨트롤러가 동적으로 생성하는 모든 하위 인터페이스에 적용하려면 이 예와 같이 필터를 생성하고 적용해야 합니다.
예제에서 볼 수 있듯이 방화벽 필터(및 폴리서)를 OVSDB 관리 하위 인터페이스에 적용하려면 모든 문이 구성 그룹의 일부여야 합니다.
구성
Contrail 컨트롤러에 의해 동적으로 생성된 하위 인터페이스에 자동으로 적용되도록 폴리서 작업이 있는 방화벽 필터를 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
[edit] set groups vxlan-policer-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-policer-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-policer-group firewall three-color-policer vxlan-policer action loss-priority high then discard set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate color-blind set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-burst-size 2m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-information-rate 100m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-burst-size 4m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-information-rate 100m set groups vxlan-policer-group firewall family ethernet-switching filter vxlan-filter term t1 then three-color-policer two-rate vxlan-policer set apply-groups vxlan-policer-group
절차
단계별 절차
인터페이스 xe-0/0/0의 모든 하위 인터페이스에 방화벽 필터를 적용할 구성 그룹을 생성합니다. 필터는 다음을 지정하므로 모든 하위 인터페이스에 적용됩니다.
vxlan-policer-groupvxlan-filterunit <*>[edit] user@switch# set groups vxlan-policer-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter
인터페이스 xe-0/0/1에 대해 동일한 구성을 생성합니다.
[edit] user@switch# set groups vxlan-policer-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter
손실 우선순위가 높은 패킷을 폐기하도록 폴리서를 구성합니다. (Junos OS는 피크 정보 속도 및 피크 버스트 크기를 초과하는 패킷에 높은 손실 우선순위를 할당합니다.) 인터페이스 구성과 마찬가지로 폴리서도 구성 그룹의 일부가 되도록 구성해야 합니다.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer action loss-priority high then discard
폴리서를 색맹으로 구성하면 패킷의 사전 분류를 무시하고 더 높거나 낮은 패킷 손실 우선순위를 할당할 수 있습니다.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate color-blind
수신 트래픽이 커밋된 정보 속도보다 최대 2MB 더 높게 버스트되면서도 낮은 패킷 손실 우선순위(녹색)로 표시되도록 폴리서를 구성합니다.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-burst-size 2m
일반 회선 조건에서 100MB의 대역폭을 보장하도록 폴리서를 구성합니다. 이는 패킷이 낮은 패킷 손실 우선순위(녹색)로 표시되는 평균 속도 상승 임계값입니다.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-information-rate 100m
수신 패킷이 최고 정보 속도보다 최대 4MB 더 높게 버스트되고 여전히 중간-높은 패킷 손실 우선순위(노란색)로 표시될 수 있도록 폴리서를 구성합니다. 최대 버스트 크기를 초과하는 패킷은 높은 패킷 손실 우선순위(빨간색)로 표시됩니다.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-burst-size 4m
100MB의 최대 달성 속도를 허용하도록 폴리서를 구성합니다. 커밋된 정보 속도를 초과하지만 최고 정보 속도보다 낮은 패킷은 중간-높은 패킷 손실 우선 순위(노란색)로 표시됩니다. 최대 정보 속도를 초과하는 패킷은 높은 패킷 손실 우선순위(빨간색)로 표시됩니다.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-information-rate 100m
폴리서에 일치하는 패킷(문이 없으므로 모든 패킷)을 전송하도록 방화벽 필터를 구성합니다.
vxlan-filterfrom[edit] user@switch# set groups vxlan-policer-group firewall family ethernet-switching filter vxlan-filter term t1 then three-color-policer two-rate vxlan-policer
그룹을 적용하여 구성을 활성화합니다.
[edit] user@switch# set apply-groups vxlan-policer-group