EN ESTA PÁGINA
Ejemplo: Aplicación de un agente de policía a interfaces administradas por OVSDB
A partir de Junos OS versión 14.1X53-D30, puede crear family ethernet-switching
unidades lógicas (subinterfaces) en interfaces VXLAN administradas por un controlador Contrail. (El controlador y el conmutador se comunican a través del protocolo de administración Open vSwitch Database (OVSDB). Esta compatibilidad le permite aplicar filtros de firewall con la acción three-color-policer
a estas subinterfaces, lo que significa que puede aplicar marcadores (policias) de tres colores de dos velocidades a interfaces administradas por OVSDB.
Dado que un controlador Contrail puede crear subinterfaces dinámicamente, debe aplicar filtros de firewall de manera que los filtros se apliquen a las subinterfaces cada vez que el controlador los crea. Esto se logra mediante el uso de grupos de configuración para configurar y aplicar los filtros de firewall. (Debe usar grupos de configuración para este propósito, es decir, no puede aplicar un filtro de firewall directamente a estas subinterfaces.)
Los filtros de firewall son los únicos elementos de configuración compatibles en family ethernet-switching
subinterfaces de interfaces administradas por OVSDB. Los únicos marcadores de tres colores de dos velocidades son los únicos policías compatibles.
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Un conmutador QFX5100
Junos OS versión 14.1X53-D30 o posterior
Descripción general
En este ejemplo, se supone que las interfaces xe-0/0/0 y xe-0/0/1 en el conmutador son interfaces VXLAN administradas por un controlador Contrail, lo que significa que el controlador ha aplicado las flexible-vlan-tagging
instrucciones y encapsulation extended-vlan-bridge
a estas interfaces. Para aplicar un filtro de firewall de capa 2 (puerto) con una acción de policía a cualquier subinterface que el controlador cree dinámicamente, debe crear y aplicar el filtro como se muestra en este ejemplo.
Como se muestra en el ejemplo, todas las instrucciones deben formar parte de un grupo de configuración cuando desee aplicar un filtro de firewall (y un agente de policía) a una subinterface administrada por OVSDB.
Configuración
Para configurar un filtro de firewall con una acción de policía que se aplicará automáticamente a subinterfaces creadas dinámicamente por un controlador Contrail, realice estas tareas:
Configuración rápida de CLI
[edit] set groups vxlan-policer-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-policer-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter set groups vxlan-policer-group firewall three-color-policer vxlan-policer action loss-priority high then discard set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate color-blind set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-burst-size 2m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-information-rate 100m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-burst-size 4m set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-information-rate 100m set groups vxlan-policer-group firewall family ethernet-switching filter vxlan-filter term t1 then three-color-policer two-rate vxlan-policer set apply-groups vxlan-policer-group
Procedimiento
Procedimiento paso a paso
Cree un grupo de
vxlan-policer-group
configuración para aplicar el filtrovxlan-filter
de firewall a cualquier subinterface de la interfaz xe-0/0/0. El filtro se aplica a cualquier subinterface porque se especificaunit <*>
:[edit] user@switch# set groups vxlan-policer-group interfaces xe-0/0/0 unit <*> family ethernet-switching filter input vxlan-filter
Cree la misma configuración para la interfaz xe-0/0/1:
[edit] user@switch# set groups vxlan-policer-group interfaces xe-0/0/1 unit <*> family ethernet-switching filter input vxlan-filter
Configure el agente de policía para descartar paquetes con alta prioridad de pérdida. (Junos OS asigna una alta prioridad de pérdida a los paquetes que superan la velocidad máxima de información y el tamaño máximo de ráfaga).) Al igual que con la configuración de interfaz, también debe configurar el agente de policía para que forme parte de un grupo de configuración.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer action loss-priority high then discard
Configure el agente de policía para que sea daltónicos, lo que significa que ignora cualquier preclasificación de paquetes y puede asignar una prioridad de pérdida de paquetes mayor o menor.
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate color-blind
Configure el agente de policía para permitir que el tráfico entrante rompa un máximo de 2 megabytes por encima de la velocidad de información comprometida y siga marcado con prioridad baja de pérdida de paquetes (verde).
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-burst-size 2m
Configure el agente de policía para permitir un ancho de banda garantizado de 100 megabytes en condiciones normales de línea. Este es el umbral promedio de velocidad ascendente bajo el cual los paquetes se marcan con prioridad baja de pérdida de paquetes (verde).
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate committed-information-rate 100m
Configure el agente de policía para permitir que los paquetes entrantes reventen un máximo de 4 megabytes por encima de la velocidad máxima de información y sigan marcados con prioridad de pérdida de paquetes medio-alto (amarillo). Los paquetes que superan el tamaño máximo de ráfaga se marcan con alta prioridad de pérdida de paquetes (rojo).
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-burst-size 4m
Configure el agente de policía para permitir una velocidad máxima alcanzable de 100 megabytes. Los paquetes que superan la velocidad de información comprometida pero están por debajo de la velocidad máxima de información se marcan con prioridad de pérdida de paquetes media-alta (amarillo). Los paquetes que superan la velocidad máxima de información se marcan con alta prioridad de pérdida de paquetes (rojo).
[edit] user@switch# set groups vxlan-policer-group firewall three-color-policer vxlan-policer two-rate peak-information-rate 100m
Configure el filtro
vxlan-filter
de firewall para que envíe paquetes coincidentes (todos los paquetes, porque no hay ningunafrom
instrucción) al agente de policía:[edit] user@switch# set groups vxlan-policer-group firewall family ethernet-switching filter vxlan-filter term t1 then three-color-policer two-rate vxlan-policer
Aplique el grupo para habilitar su configuración:
[edit] user@switch# set apply-groups vxlan-policer-group