Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Aplicación de un aplicador de políticas a interfaces administradas por OVSDB

A partir de Junos OS versión 14.1X53-D30, puede crear family ethernet-switching unidades lógicas (subinterfaces) en interfaces VXLAN administradas por un controlador Contrail. (El controlador y el conmutador se comunican a través del protocolo de administración Open vSwitch Database (OVSDB). Esta compatibilidad le permite aplicar filtros de firewall con la acción three-color-policer a estas subinterfaces, lo que significa que puede aplicar marcadores de tres colores (policers) de dos velocidades a las interfaces administradas por OVSDB.

Dado que un controlador Contrail puede crear subinterfaces dinámicamente, debe aplicar filtros de firewall de tal manera que los filtros se apliquen a las subinterfaces siempre que el controlador los cree. Esto se logra mediante el uso de grupos de configuración para configurar y aplicar los filtros de firewall. (Debe usar grupos de configuración para este propósito; es decir, no puede aplicar un filtro de firewall directamente a estas subinterfaces).

Nota:

Los filtros de firewall son los únicos elementos de configuración admitidos en family ethernet-switching las subinterfaces de las interfaces administradas por OVSDB. Los marcadores de tres colores de dos tasas son los únicos policías compatibles.

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Un conmutador QFX5100

  • Junos OS versión 14.1X53-D30 o posterior

Descripción general

En este ejemplo se supone que las interfaces xe-0/0/0 y xe-0/0/1 del conmutador son interfaces VXLAN administradas por un controlador Contrail, lo que significa que el controlador ha aplicado las flexible-vlan-tagging instrucciones y encapsulation extended-vlan-bridge a estas interfaces. Para aplicar un filtro de firewall de capa 2 (puerto) con una acción de aplicación a cualquier subinterfaz que el controlador cree dinámicamente, debe crear y aplicar el filtro como se muestra en este ejemplo.

Nota:

Como se muestra en el ejemplo, todas las instrucciones deben formar parte de un grupo de configuración cuando desee aplicar un filtro de firewall (y un aplicador de políticas) a una subinterfaz administrada por OVSDB.

Configuración

Para configurar un filtro de firewall con una acción policial para que se aplique automáticamente a las subinterfaces creadas dinámicamente por un controlador Contrail, realice estas tareas:

Configuración rápida de CLI

Procedimiento

Procedimiento paso a paso

  1. Cree un grupo vxlan-policer-group de configuración para aplicar el filtro vxlan-filter de firewall a cualquier subinterfaz de la interfaz xe-0/0/0. El filtro se aplica a cualquier subinterfaz porque se especifica unit <*>:

  2. Cree la misma configuración para la interfaz xe-0/0/1:

  3. Configure el aplicador de políticas para descartar paquetes con prioridad de pérdida alta. (Junos OS asigna prioridad de pérdida alta a los paquetes que superan la tasa de información máxima y el tamaño de ráfaga máxima). Al igual que con la configuración de la interfaz, también debe configurar el aplicador de políticas para que forme parte de un grupo de configuración.

  4. Configure el aplicador de control para que sea daltónico, lo que significa que ignora cualquier clasificación previa de paquetes y puede asignar una prioridad de pérdida de paquetes mayor o menor.

  5. Configure el aplicador de políticas para permitir que el tráfico entrante se dispare un máximo de 2 megabytes por encima de la velocidad de información confirmada y aún así se marque con prioridad baja de pérdida de paquetes (verde).

  6. Configure el aplicador de políticas para permitir un ancho de banda garantizado de 100 megabytes en condiciones normales de línea. Este es el umbral de velocidad promedio por debajo del cual los paquetes están marcados con baja prioridad de pérdida de paquetes (verde).

  7. Configure el aplicador de políticas para permitir que los paquetes entrantes se disparen un máximo de 4 megabytes por encima de la velocidad máxima de información y aún así se marquen con prioridad de pérdida de paquetes media-alta (amarillo). Los paquetes que superan el tamaño máximo de ráfaga se marcan con una prioridad de pérdida de paquetes alta (rojo).

  8. Configure el aplicador de políticas para permitir una velocidad máxima alcanzable de 100 megabytes. Los paquetes que exceden la tasa de información confirmada pero están por debajo de la tasa de información máxima se marcan con prioridad de pérdida de paquetes media-alta (amarillo). Los paquetes que superan la tasa máxima de información se marcan con una prioridad de pérdida de paquetes alta (rojo).

  9. Configure el filtro vxlan-filter del firewall para enviar paquetes coincidentes (todos los paquetes, porque no hay ninguna from instrucción) al aplicador de información:

  10. Aplique el grupo para habilitar su configuración: