EN ESTA PÁGINA
Ejemplo: Aplicación de un aplicador de políticas a interfaces administradas por OVSDB
A partir de Junos OS versión 14.1X53-D30, puede crear family ethernet-switching
unidades lógicas (subinterfaces) en interfaces VXLAN administradas por un controlador Contrail. (El controlador y el conmutador se comunican a través del protocolo de administración Open vSwitch Database (OVSDB). Esta compatibilidad le permite aplicar filtros de firewall con la acción three-color-policer
a estas subinterfaces, lo que significa que puede aplicar marcadores de tres colores (policers) de dos velocidades a las interfaces administradas por OVSDB.
Dado que un controlador Contrail puede crear subinterfaces dinámicamente, debe aplicar filtros de firewall de tal manera que los filtros se apliquen a las subinterfaces siempre que el controlador los cree. Esto se logra mediante el uso de grupos de configuración para configurar y aplicar los filtros de firewall. (Debe usar grupos de configuración para este propósito; es decir, no puede aplicar un filtro de firewall directamente a estas subinterfaces).
Los filtros de firewall son los únicos elementos de configuración admitidos en family ethernet-switching
las subinterfaces de las interfaces administradas por OVSDB. Los marcadores de tres colores de dos tasas son los únicos policías compatibles.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador QFX5100
Junos OS versión 14.1X53-D30 o posterior
Descripción general
En este ejemplo se supone que las interfaces xe-0/0/0 y xe-0/0/1 del conmutador son interfaces VXLAN administradas por un controlador Contrail, lo que significa que el controlador ha aplicado las flexible-vlan-tagging
instrucciones y encapsulation extended-vlan-bridge
a estas interfaces. Para aplicar un filtro de firewall de capa 2 (puerto) con una acción de aplicación a cualquier subinterfaz que el controlador cree dinámicamente, debe crear y aplicar el filtro como se muestra en este ejemplo.
Como se muestra en el ejemplo, todas las instrucciones deben formar parte de un grupo de configuración cuando desee aplicar un filtro de firewall (y un aplicador de políticas) a una subinterfaz administrada por OVSDB.
Configuración
Para configurar un filtro de firewall con una acción policial para que se aplique automáticamente a las subinterfaces creadas dinámicamente por un controlador Contrail, realice estas tareas:
Configuración rápida de CLI
[edit] set groups vxlan-policer-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-policer-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-policer-group firewall three-color-policer vxlan-policer action loss-priority high then discard set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate color-blind set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-burst-size 2m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-information-rate 100m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-burst-size 4m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-information-rate 100m set groups vxlan-policer-group firewall family ethernet-switching filter vxlan-filter term t1 then three-color-policer two-rate vxlan-policer set apply-groups vxlan-policer-group
Procedimiento
Procedimiento paso a paso
Cree un grupo
vxlan-policer-group
de configuración para aplicar el filtrovxlan-filter
de firewall a cualquier subinterfaz de la interfaz xe-0/0/0. El filtro se aplica a cualquier subinterfaz porque se especificaunit <*>
:[edit] user@switch# set groups vxlan-policer-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter
Cree la misma configuración para la interfaz xe-0/0/1:
[edit] user@switch# set groups vxlan-policer-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter
Configure el aplicador de políticas para descartar paquetes con prioridad de pérdida alta. (Junos OS asigna prioridad de pérdida alta a los paquetes que superan la tasa de información máxima y el tamaño de ráfaga máxima). Al igual que con la configuración de la interfaz, también debe configurar el aplicador de políticas para que forme parte de un grupo de configuración.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer action loss-priority high then discard
Configure el aplicador de control para que sea daltónico, lo que significa que ignora cualquier clasificación previa de paquetes y puede asignar una prioridad de pérdida de paquetes mayor o menor.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate color-blind
Configure el aplicador de políticas para permitir que el tráfico entrante se dispare un máximo de 2 megabytes por encima de la velocidad de información confirmada y aún así se marque con prioridad baja de pérdida de paquetes (verde).
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-burst-size 2m
Configure el aplicador de políticas para permitir un ancho de banda garantizado de 100 megabytes en condiciones normales de línea. Este es el umbral de velocidad promedio por debajo del cual los paquetes están marcados con baja prioridad de pérdida de paquetes (verde).
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-information-rate 100m
Configure el aplicador de políticas para permitir que los paquetes entrantes se disparen un máximo de 4 megabytes por encima de la velocidad máxima de información y aún así se marquen con prioridad de pérdida de paquetes media-alta (amarillo). Los paquetes que superan el tamaño máximo de ráfaga se marcan con una prioridad de pérdida de paquetes alta (rojo).
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-burst-size 4m
Configure el aplicador de políticas para permitir una velocidad máxima alcanzable de 100 megabytes. Los paquetes que exceden la tasa de información confirmada pero están por debajo de la tasa de información máxima se marcan con prioridad de pérdida de paquetes media-alta (amarillo). Los paquetes que superan la tasa máxima de información se marcan con una prioridad de pérdida de paquetes alta (rojo).
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-information-rate 100m
Configure el filtro
vxlan-filter
del firewall para enviar paquetes coincidentes (todos los paquetes, porque no hay ningunafrom
instrucción) al aplicador de información:[edit] user@switch# set groups vxlan-policer-group firewall family ethernet-switching filter vxlan-filter term t1 then three-color-policer two-rate vxlan-policer
Aplique el grupo para habilitar su configuración:
[edit] user@switch# set apply-groups vxlan-policer-group