Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Aplicación de un agente de policía a interfaces administradas por OVSDB

A partir de Junos OS versión 14.1X53-D30, puede crear family ethernet-switching unidades lógicas (subinterfaces) en interfaces VXLAN administradas por un controlador Contrail. (El controlador y el conmutador se comunican a través del protocolo de administración Open vSwitch Database (OVSDB). Esta compatibilidad le permite aplicar filtros de firewall con la acción three-color-policer a estas subinterfaces, lo que significa que puede aplicar marcadores (policias) de tres colores de dos velocidades a interfaces administradas por OVSDB.

Dado que un controlador Contrail puede crear subinterfaces dinámicamente, debe aplicar filtros de firewall de manera que los filtros se apliquen a las subinterfaces cada vez que el controlador los crea. Esto se logra mediante el uso de grupos de configuración para configurar y aplicar los filtros de firewall. (Debe usar grupos de configuración para este propósito, es decir, no puede aplicar un filtro de firewall directamente a estas subinterfaces.)

Nota:

Los filtros de firewall son los únicos elementos de configuración compatibles en family ethernet-switching subinterfaces de interfaces administradas por OVSDB. Los únicos marcadores de tres colores de dos velocidades son los únicos policías compatibles.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un conmutador QFX5100

  • Junos OS versión 14.1X53-D30 o posterior

Descripción general

En este ejemplo, se supone que las interfaces xe-0/0/0 y xe-0/0/1 en el conmutador son interfaces VXLAN administradas por un controlador Contrail, lo que significa que el controlador ha aplicado las flexible-vlan-tagging instrucciones y encapsulation extended-vlan-bridge a estas interfaces. Para aplicar un filtro de firewall de capa 2 (puerto) con una acción de policía a cualquier subinterface que el controlador cree dinámicamente, debe crear y aplicar el filtro como se muestra en este ejemplo.

Nota:

Como se muestra en el ejemplo, todas las instrucciones deben formar parte de un grupo de configuración cuando desee aplicar un filtro de firewall (y un agente de policía) a una subinterface administrada por OVSDB.

Configuración

Para configurar un filtro de firewall con una acción de policía que se aplicará automáticamente a subinterfaces creadas dinámicamente por un controlador Contrail, realice estas tareas:

Configuración rápida de CLI

Procedimiento

Procedimiento paso a paso

  1. Cree un grupo de vxlan-policer-group configuración para aplicar el filtro vxlan-filter de firewall a cualquier subinterface de la interfaz xe-0/0/0. El filtro se aplica a cualquier subinterface porque se especifica unit <*>:

  2. Cree la misma configuración para la interfaz xe-0/0/1:

  3. Configure el agente de policía para descartar paquetes con alta prioridad de pérdida. (Junos OS asigna una alta prioridad de pérdida a los paquetes que superan la velocidad máxima de información y el tamaño máximo de ráfaga).) Al igual que con la configuración de interfaz, también debe configurar el agente de policía para que forme parte de un grupo de configuración.

  4. Configure el agente de policía para que sea daltónicos, lo que significa que ignora cualquier preclasificación de paquetes y puede asignar una prioridad de pérdida de paquetes mayor o menor.

  5. Configure el agente de policía para permitir que el tráfico entrante rompa un máximo de 2 megabytes por encima de la velocidad de información comprometida y siga marcado con prioridad baja de pérdida de paquetes (verde).

  6. Configure el agente de policía para permitir un ancho de banda garantizado de 100 megabytes en condiciones normales de línea. Este es el umbral promedio de velocidad ascendente bajo el cual los paquetes se marcan con prioridad baja de pérdida de paquetes (verde).

  7. Configure el agente de policía para permitir que los paquetes entrantes reventen un máximo de 4 megabytes por encima de la velocidad máxima de información y sigan marcados con prioridad de pérdida de paquetes medio-alto (amarillo). Los paquetes que superan el tamaño máximo de ráfaga se marcan con alta prioridad de pérdida de paquetes (rojo).

  8. Configure el agente de policía para permitir una velocidad máxima alcanzable de 100 megabytes. Los paquetes que superan la velocidad de información comprometida pero están por debajo de la velocidad máxima de información se marcan con prioridad de pérdida de paquetes media-alta (amarillo). Los paquetes que superan la velocidad máxima de información se marcan con alta prioridad de pérdida de paquetes (rojo).

  9. Configure el filtro vxlan-filter de firewall para que envíe paquetes coincidentes (todos los paquetes, porque no hay ninguna from instrucción) al agente de policía:

  10. Aplique el grupo para habilitar su configuración: