EN ESTA PÁGINA
Ejemplo: Configurar un agente de policía de interfaz física para agregar tráfico en una interfaz física
En este ejemplo, se muestra cómo configurar un policiador de dos colores de velocidad única como un agente de interfaz físico.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
Un agente de políticas de interfaz físico especifica la limitación de velocidad para el tráfico agregado, que abarca todas las familias de protocolos y las interfaces lógicas configuradas en una interfaz física, incluso si las interfaces pertenecen a instancias de enrutamiento diferentes.
Puede aplicar un agente de policía de interfaz física al tráfico de entrada o salida de capa 3 solo haciendo referencia al agente de policía desde un filtro de firewall sin estado que esté configurado para una familia de protocolos específica (no para family any) y configurado como un filtro de interfaz física. Configure los términos de filtro con condiciones de coincidencia que seleccionen los tipos de paquetes que desea limitar la velocidad y especifique el agente de política de interfaz físico como la acción que se aplicará a paquetes coincidentes.
Topología
El agente de policía de interfaz física de este ejemplo, shared-policer-A, limita la velocidad a 10 000 000 bps y permite una ráfaga máxima de tráfico de 500 000 bytes. Puede configurar el agente de policía para descartar paquetes en flujos no conformes, pero, en su lugar, puede configurar el agente de policía para que vuelva a marcar el tráfico no conforme con una clase de reenvío, un nivel de prioridad de pérdida de paquete (PLP) o ambos.
Para poder usar el agente de policía para limitar la velocidad del tráfico IPv4, haga referencia al agente de policía desde un filtro de interfaz física IPv4. En este ejemplo, configure el filtro para que pase los paquetes IPv4 de policía que cumplan con cualquiera de los siguientes términos de coincidencia:
Paquetes recibidos a través de TCP y con los campos
critical-ecpde prioridad IP (0xa0),immediate(0x40) opriority(0x20)Paquetes recibidos a través de TCP y con los campos
internet-controlde prioridad IP (0xc0) oroutine(0x00)
También puede hacer referencia al agente de policía desde filtros de interfaz física para otras familias de protocolos.
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configuración de interfaces lógicas en la interfaz física
- Configuración de una policía de interfaz física
- Configurar un filtro de interfaz física IPv4
- Aplicación del filtro de interfaz física IPv4 para hacer referencia a los policias de interfaz física
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set interfaces so-1/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces so-1/0/0 unit 0 family vpls set interfaces so-1/0/0 unit 1 family mpls set firewall policer shared-policer-A physical-interface-policer set firewall policer shared-policer-A if-exceeding bandwidth-limit 100m burst-size-limit 500k set firewall policer shared-policer-A then discard set firewall family inet filter ipv4-filter physical-interface-filter set firewall family inet filter ipv4-filter term tcp-police-1 from precedence [ critical-ecp immediate priority ] set firewall family inet filter ipv4-filter term tcp-police-1 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-1 then policer shared-policer-A set firewall family inet filter ipv4-filter term tcp-police-2 from precedence [ internet-control routine ] set firewall family inet filter ipv4-filter term tcp-police-2 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-2 then policer shared-policer-A set interfaces so-1/0/0 unit 0 family inet filter input ipv4-filter
Configuración de interfaces lógicas en la interfaz física
Procedimiento paso a paso
Para configurar las interfaces lógicas en la interfaz física:
Habilite la configuración de interfaces lógicas.
[edit] user@host# edit interfaces so-1/0/0
Configure familias de protocolos en la unidad lógica 0.
[edit interfaces so-1/0/0] user@host# set unit 0 family inet address 192.168.1.1/24 user@host# set unit 0 family vpls
Configure familias de protocolos en la unidad lógica 1.
[edit interfaces so-1/0/0] user@host# set unit 1 family mpls
Resultados
Para confirmar la configuración del filtro de firewall, ingrese el comando del modo de show interfaces configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show interfaces
so-1/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
family vpls;
}
unit 1 {
family mpls;
}
}
Configuración de una policía de interfaz física
Procedimiento paso a paso
Para configurar un agente de policía de interfaz físico:
Habilite la configuración del policiador de dos colores.
[edit] user@host# edit firewall policer shared-policer-A
Configure el tipo de policia de dos colores.
[edit firewall policer shared-policer-A] user@host# set physical-interface-policer
Configure los límites de tráfico y la acción para paquetes en un flujo de tráfico no conforme.
[edit firewall policer shared-policer-A] user@host# set if-exceeding bandwidth-limit 100m burst-size-limit 500k user@host# set then discard
Para un filtro de interfaz física, las acciones que puede configurar para paquetes en un flujo de tráfico no conforme son descartar los paquetes, asignar una clase de reenvío, asignar un valor PLP o asignar tanto una clase de reenvío como un valor PLP.
Resultados
Para confirmar la configuración del agente de policía, ingrese el comando del modo de show firewall configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
policer shared-policer-A {
physical-interface-policer;
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 500k;
}
then discard;
}
Configurar un filtro de interfaz física IPv4
Procedimiento paso a paso
Para configurar un agente de política de interfaz físico como la acción para términos en un agente de política de interfaz física IPv4:
Configure un filtro de firewall estándar sin estado bajo una familia de protocolos específica.
[edit] user@host# edit firewall family inet filter ipv4-filter
No puede configurar un filtro de firewall de interfaz física para
family any.Configure el filtro como un filtro de interfaz física para que pueda aplicar el agente de policía de interfaz física como una acción.
[edit firewall family inet filter ipv4-filter] user@host# set physical-interface-filter
Configure el primer término para que coincida con los paquetes IPv4 recibidos a través de TCP con los campos
critical-ecpde prioridad IP,immediateoprioritypara aplicar el agente de policía de interfaz física como una acción de filtro.[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-1 from precedence [ critical-ecp immediate priority ] user@host# set term tcp-police-1 from protocol tcp user@host# set term tcp-police-1 then policer shared-policer-A
Configure el primer término para que coincida con los paquetes IPv4 recibidos a través de TCP con los campos
internet-controlde prioridad IP oroutinepara aplicar el agente de policía de interfaz física como una acción de filtro.[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-2 from precedence [ internet-control routine ] user@host# set term tcp-police-2 from protocol tcp user@host# set term tcp-police-2 then policer shared-policer-A
Resultados
Para confirmar la configuración del filtro de firewall, ingrese el comando del modo de show firewall configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
family inet {
filter ipv4-filter {
physical-interface-filter;
term tcp-police-1 {
from {
precedence [ critical-ecp immediate priority ];
protocol tcp;
}
then policer shared-policer-A;
}
term tcp-police-2 {
from {
precedence [ internet-control routine ];
protocol tcp;
}
then policer shared-policer-A;
}
}
}
policer shared-policer-A {
physical-interface-policer;
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 500k;
}
then discard;
}
Aplicación del filtro de interfaz física IPv4 para hacer referencia a los policias de interfaz física
Procedimiento paso a paso
Para aplicar el filtro de interfaz física de modo que hace referencia a los policias físicas de interfaz:
Habilite la configuración de IPv4 en la interfaz lógica.
[edit] user@host# edit interfaces so-1/0/0 unit 0 family inet
Aplique el filtro de interfaz física IPv4 en la dirección de entrada.
[edit interfaces so-1/0/0 unit 0 family inet] user@host# set filter input ipv4-filter
Resultados
Para confirmar la configuración del filtro de firewall, ingrese el comando del modo de show interfaces configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show interfaces
so-1/0/0 {
unit 0 {
family inet {
filter {
input ipv4-filter;
}
address 192.168.1.1/24;
}
family vpls;
}
unit 1 {
family mpls;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Mostrar los filtros de firewall aplicados a una interfaz
- Mostrar la cantidad de paquetes procesados por el agente de policía en la interfaz lógica
Mostrar los filtros de firewall aplicados a una interfaz
Propósito
Compruebe que el filtro ipv4-filter de firewall se aplica al tráfico de entrada IPv4 en la interfaz so-1/0/0.0lógica.
Acción
Utilice el show interfaces statistics comando de modo operativo para la interfaz so-1/0/0.0lógica e incluya la detail opción. En la Protocol inet sección de la salida del comando, el Input Filters campo muestra que el filtro ipv4-filter de firewall se aplica en la dirección de entrada.
user@host> show interfaces statistics so-1/0/0 detail
Logical interface so-1/0/0.0 (Index 79) (SNMP ifIndex 510) (Generation 149)
Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP
Protocol inet, MTU: 4470, Generation: 173, Route table: 0
Flags: Sendbcast-pkt-to-re, Protocol-Down
Input Filters: ipv4-filter
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
Mostrar la cantidad de paquetes procesados por el agente de policía en la interfaz lógica
Propósito
Compruebe que el tráfico fluye a través de la interfaz lógica y que el agente de policía se evalúa cuando se reciben paquetes en la interfaz lógica.
Acción
Utilice el show firewall comando de modo operativo para el filtro que aplicó a la interfaz lógica.
user@host> show firewall filter ipv4-filter Filter: ipv4-filter Policers: Name Packets shared-policer-A-tcp-police-1 32863 shared-policer-A-tcp-police-2 3870
El resultado del comando muestra el nombre del agente de seguridad (shared-policer-A), el nombre del término de filtro (police-1) bajo el cual se especifica la acción de agente de policía y el número de paquetes que coinciden con el término de filtro. Este es solo el número de recuentos de paquetes fuera de especificación (fuera de especificación), no todos los paquetes vigilados por el agente de policía.