Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Policías de interfaz física de dos y tres colores

Descripción general del policía de interfaz física

Un agente de políticas de interfaz físico es un policiador de dos o tres colores que define la limitación de velocidad de tráfico que puede aplicar al tráfico de entrada o salida para todas las interfaces lógicas y familias de protocolos configuradas en una interfaz física, incluso si las interfaces lógicas pertenecen a instancias de enrutamiento diferentes. Esta característica es útil cuando desea realizar políticas agregadas para diferentes familias de protocolos e interfaces lógicas diferentes en la misma interfaz física.

Por ejemplo, suponga que un enrutador de borde de proveedor (PE) tiene numerosas interfaces lógicas, cada una correspondiente a un cliente diferente, configuradas en el mismo vínculo a un dispositivo de borde de cliente (CE). Ahora supongamos que un cliente desea aplicar un conjunto de límites de velocidad agregados para ciertos tipos de tráfico en una sola interfaz física. Para lograr esto, puede aplicar un único agente de políticas de interfaz física a la interfaz física, lo que limita la velocidad de todas las interfaces lógicas configuradas en la interfaz y todas las instancias de enrutamiento a las que pertenecen esas interfaces.

Para configurar un agente de interfaz física de dos colores de velocidad única, incluya la physical-interface-policer instrucción en uno de los siguientes niveles jerárquicos:

Para configurar un policiaco de interfaz física de tres colores con una velocidad o dos velocidades, incluya la physical-interface-policer instrucción en uno de los siguientes niveles jerárquicos:

Aplique un agente de policía de interfaz físico al tráfico de capa 3 haciendo referencia al agente de policía desde un término de filtro de firewall sin estado y, luego, aplique el filtro a una interfaz lógica. No puede aplicar una interfaz física al tráfico de capa 3 directamente a la configuración de interfaz.

Para hacer referencia a un policiar de dos colores de velocidad única a partir de un término de filtro de firewall sin estado, utilice la policer acción nominante. Para hacer referencia a un policiador de tres colores de una velocidad o dos velocidades a partir de un término de filtro de firewall sin estado, use la three-color-policer acción sin determinar.

Los siguientes requisitos se aplican a un filtro de firewall sin estado que hace referencia a un agente de policía de interfaz física:

  • Debe configurar el filtro de firewall para una familia de protocolos específica y compatible: ipv4, ipv6, mpls, vpls, o conexión cruzada de circuito (ccc), pero no para family any.

  • Debe configurar el filtro de firewall como un filtro de interfaz física incluyendo la physical-interface-filter instrucción en el [edit firewall family family-name filter filter-name] nivel de jerarquía.

  • Un filtro de firewall que se define como un filtro de interfaz física solo puede hacer referencia a un agente de policía de interfaz físico.

  • Un filtro de firewall definido en el sistema global (no lógico) no se puede usar en un sistema lógico para instancias de filtro específicas de interfaz. Más específicamente, no puede usar una plantilla para un physical-interface-filter que se creó en el sistema global con un archivo adjunto de filtro que se creó en el sistema lógico. Tanto la plantilla como los datos adjuntos deben residir en el sistema lógico para que el filtrado funcione correctamente. Esto se debe a que, en el caso de los sistemas lógicos, la nomenclatura de instancias de filtro se deriva de la interfaz física, pero no ocurre lo mismo para las instancias de filtro específicas de la interfaz.

  • Un filtro de firewall que se define como un filtro de interfaz física no puede hacer referencia a un agente de policía configurado con la interface-specific instrucción.

  • No puede configurar un filtro de firewall como filtro de interfaz física y como filtro de interfaz lógica que también incluya la interface-specific instrucción.

Consulte también

Ejemplo: Configurar un agente de policía de interfaz física para agregar tráfico en una interfaz física

En este ejemplo, se muestra cómo configurar un policiador de dos colores de velocidad única como un agente de interfaz físico.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

Un agente de políticas de interfaz físico especifica la limitación de velocidad para el tráfico agregado, que abarca todas las familias de protocolos y las interfaces lógicas configuradas en una interfaz física, incluso si las interfaces pertenecen a instancias de enrutamiento diferentes.

Puede aplicar un agente de policía de interfaz física al tráfico de entrada o salida de capa 3 solo haciendo referencia al agente de policía desde un filtro de firewall sin estado que esté configurado para una familia de protocolos específica (no para family any) y configurado como un filtro de interfaz física. Configure los términos de filtro con condiciones de coincidencia que seleccionen los tipos de paquetes que desea limitar la velocidad y especifique el agente de política de interfaz físico como la acción que se aplicará a paquetes coincidentes.

Topología

El agente de policía de interfaz física de este ejemplo, shared-policer-A, limita la velocidad a 10 000 000 bps y permite una ráfaga máxima de tráfico de 500 000 bytes. Puede configurar el agente de policía para descartar paquetes en flujos no conformes, pero, en su lugar, puede configurar el agente de policía para que vuelva a marcar el tráfico no conforme con una clase de reenvío, un nivel de prioridad de pérdida de paquete (PLP) o ambos.

Para poder usar el agente de policía para limitar la velocidad del tráfico IPv4, haga referencia al agente de policía desde un filtro de interfaz física IPv4. En este ejemplo, configure el filtro para que pase los paquetes IPv4 de policía que cumplan con cualquiera de los siguientes términos de coincidencia:

  • Paquetes recibidos a través de TCP y con los campos critical-ecp de prioridad IP (0xa0), immediate (0x40) o priority (0x20)

  • Paquetes recibidos a través de TCP y con los campos internet-control de prioridad IP (0xc0) o routine (0x00)

También puede hacer referencia al agente de policía desde filtros de interfaz física para otras familias de protocolos.

Configuración

El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.

Para configurar este ejemplo, realice las siguientes tareas:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Configuración de interfaces lógicas en la interfaz física

Procedimiento paso a paso

Para configurar las interfaces lógicas en la interfaz física:

  1. Habilite la configuración de interfaces lógicas.

  2. Configure familias de protocolos en la unidad lógica 0.

  3. Configure familias de protocolos en la unidad lógica 1.

Resultados

Para confirmar la configuración del filtro de firewall, ingrese el comando del modo de show interfaces configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.

Configuración de una policía de interfaz física

Procedimiento paso a paso

Para configurar un agente de policía de interfaz físico:

  1. Habilite la configuración del policiador de dos colores.

  2. Configure el tipo de policia de dos colores.

  3. Configure los límites de tráfico y la acción para paquetes en un flujo de tráfico no conforme.

    Para un filtro de interfaz física, las acciones que puede configurar para paquetes en un flujo de tráfico no conforme son descartar los paquetes, asignar una clase de reenvío, asignar un valor PLP o asignar tanto una clase de reenvío como un valor PLP.

Resultados

Para confirmar la configuración del agente de policía, ingrese el comando del modo de show firewall configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.

Configurar un filtro de interfaz física IPv4

Procedimiento paso a paso

Para configurar un agente de política de interfaz físico como la acción para términos en un agente de política de interfaz física IPv4:

  1. Configure un filtro de firewall estándar sin estado bajo una familia de protocolos específica.

    No puede configurar un filtro de firewall de interfaz física para family any.

  2. Configure el filtro como un filtro de interfaz física para que pueda aplicar el agente de policía de interfaz física como una acción.

  3. Configure el primer término para que coincida con los paquetes IPv4 recibidos a través de TCP con los campos critical-ecpde prioridad IP, immediateo priority para aplicar el agente de policía de interfaz física como una acción de filtro.

  4. Configure el primer término para que coincida con los paquetes IPv4 recibidos a través de TCP con los campos internet-control de prioridad IP o routine para aplicar el agente de policía de interfaz física como una acción de filtro.

Resultados

Para confirmar la configuración del filtro de firewall, ingrese el comando del modo de show firewall configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.

Aplicación del filtro de interfaz física IPv4 para hacer referencia a los policias de interfaz física

Procedimiento paso a paso

Para aplicar el filtro de interfaz física de modo que hace referencia a los policias físicas de interfaz:

  1. Habilite la configuración de IPv4 en la interfaz lógica.

  2. Aplique el filtro de interfaz física IPv4 en la dirección de entrada.

Resultados

Para confirmar la configuración del filtro de firewall, ingrese el comando del modo de show interfaces configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Mostrar los filtros de firewall aplicados a una interfaz

Propósito

Compruebe que el filtro ipv4-filter de firewall se aplica al tráfico de entrada IPv4 en la interfaz so-1/0/0.0lógica.

Acción

Utilice el show interfaces statistics comando de modo operativo para la interfaz so-1/0/0.0lógica e incluya la detail opción. En la Protocol inet sección de la salida del comando, el Input Filters campo muestra que el filtro ipv4-filter de firewall se aplica en la dirección de entrada.

Mostrar la cantidad de paquetes procesados por el agente de policía en la interfaz lógica

Propósito

Compruebe que el tráfico fluye a través de la interfaz lógica y que el agente de policía se evalúa cuando se reciben paquetes en la interfaz lógica.

Acción

Utilice el show firewall comando de modo operativo para el filtro que aplicó a la interfaz lógica.

El resultado del comando muestra el nombre del agente de seguridad (shared-policer-A), el nombre del término de filtro (police-1) bajo el cual se especifica la acción de agente de policía y el número de paquetes que coinciden con el término de filtro. Este es solo el número de recuentos de paquetes fuera de especificación (fuera de especificación), no todos los paquetes vigilados por el agente de policía.

Consulte también

Temas relacionados