Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Políticas de interfaces físicas de dos colores y tres colores

Descripción general de la policía de la interfaz física

Una de estas interfaces es un policía de dos colores o tres colores que define el límite de velocidad de tráfico que puede aplicarse al tráfico de entrada o salida de todas las interfaces y familias de protocolo lógicas configuradas en una interfaz física, incluso si el operador lógico las interfaces pertenecen a instancias de enrutamiento diferentes. Esta característica resulta útil cuando se desea realizar políticas agregadas para diferentes familias de protocolos y distintas interfaces lógicas en la misma interfaz física.

Por ejemplo, suponga que un enrutador de borde de proveedores (PE) tiene numerosas interfaces lógicas, cada una correspondiente a un cliente diferente, configuradas en el mismo vínculo a un dispositivo de borde de cliente (CE). Suponga que un cliente desea aplicar un conjunto de límites de velocidad agregados para ciertos tipos de tráfico en una sola interfaz física. Para ello, puede aplicar una sola interfaz física de configuración a la interfaz física, lo que limita los índices de todas las interfaces configuradas en la interfaz y todas las instancias de enrutamiento a las que pertenecen dichas interfaces.

Para configurar un policía de interfaz física de dos colores de una sola clasificación, incluya physical-interface-policer la instrucción en uno de los niveles de jerarquía siguientes:

Para configurar un policía de interfaz física de tres colores o una o dos tasas, incluya la physical-interface-policer instrucción en uno de los niveles de jerarquía siguientes:

Para aplicar un agente de política de interfaz física al tráfico de capa 3, haga referencia al agente de policía desde un término de filtro de firewall sin estado y, luego, aplique el filtro a una interfaz lógica. No puede aplicar una interfaz física al tráfico de capa 3 directamente a la configuración de la interfaz.

Para hacer referencia a una sola clase de políticas de dos colores desde un término de filtro de cortafuegos sin policer estado, utilice la acción de no terminación. Para hacer referencia a políticas de tres colores a una sola o dos tasas desde un término de filtro de cortafuegos sin estado, three-color-policer utilice la acción de no terminación.

Los siguientes requisitos se aplican a un filtro de Firewall sin estado que hace referencia a un policía de interfaz física:

  • Debe configurar el filtro de Firewall para una familia de protocolos compatibles y específica: ipv4vplsccc,,, o conexión cruzada del circuito (), pero no para family any. ipv6mpls

  • Debe configurar el filtro de Firewall como un filtro de interfaz físico si incluye physical-interface-filter la instrucción en [edit firewall family family-name filter filter-name] el nivel jerárquico.

  • Un filtro de firewall que se define como un filtro de interfaz físico puede hacer referencia únicamente a un policía de interfaz física.

  • No se puede utilizar un filtro de firewall definido en el sistema global (no lógico) en un sistema lógico para instancias de filtro específicas de interfaz. En concreto, no puede usar una plantilla para una que se creó en el sistema global con un adjunto de filtro que se creó physical-interface-filter en el sistema lógico. Tanto la plantilla como el archivo adjunto deben residir en el sistema lógico para que el filtrado funcione correctamente. Esto se debe a que, para los sistemas lógicos, la nomenclatura de instancia de filtro se deriva de la interfaz física, pero no es lo mismo para instancias de filtro específicas de interfaz.

  • Un filtro de firewall que se define como un filtro de interfaz física no puede hacer referencia a una interface-specific policía configurada con la instrucción.

  • Un filtro de Firewall no se puede configurar como filtro de interfaz física y como filtro de interfaz lógica, lo que interface-specific también incluye la instrucción.

Ejemplo Configuración de una interfaz de políticas físicas para el tráfico agregado en una interfaz física

En este ejemplo se muestra cómo configurar una configuración de políticas de dos colores de una sola clasificación como un policía de interfaz física.

Aplicables

No es necesaria ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

Una operadora de interfaz física especifica la limitación de velocidad para el tráfico agregado, que engloba todas las familias de protocolos y las interfaces lógicas configuradas en una interfaz física, incluso si las interfaces pertenecen a instancias de enrutamiento diferentes.

Solo puede aplicar un agente de policía de interfaz física al tráfico de entrada o salida de capa 3 haciendo referencia al agente de policía desde un filtro de firewall sin estado configurado para una familia de protocolos específica (no para) y configurado como filtro de interfaz family any física. Configure los términos del filtro con condiciones de coincidencia que seleccionen los tipos de paquetes que desea limitar a límite, y especifique el usuario de la interfaz física como la acción que se va a aplicar a los paquetes coincidentes.

Topología

El agente de política de interfaz física de este ejemplo, limita la velocidad a 10 000 000 bps y permite una ráfaga máxima de tráfico de shared-policer-A 500 000 bytes. Configure la policía para descartar paquetes en flujos de no conformidad, pero puede configurar al policía para que vuelva a marcar el tráfico de no conformidad con una clase de reenvío, un nivel de prioridad de pérdida de paquetes (PLP) o ambos.

Para poder usar la policía para limitar el tráfico IPv4, debe hacer referencia al policial desde un filtro de interfaz física IPv4. Para este ejemplo, configure el filtro para que pase los paquetes IPv4 del policial que cumplan cualquiera de los siguientes términos de coincidencia:

  • Paquetes recibidos mediante TCP y con los campos de prioridad IP critical-ecp (0xa0), immediate (0x40) o priority (0x20)

  • Paquetes recibidos mediante TCP y con los campos de prioridad IP internet-control (0xc0) o routine (0x00)

También puede hacer referencia a la policía a partir de filtros de interfaz física para otras familias de protocolos.

Automática

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo CLI, consulte Uso del editor de CLI en el modo de configuración .

Para configurar este ejemplo, realice las tareas siguientes:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los comandos de configuración siguientes en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en [edit] la CLI en el nivel de la jerarquía.

Configuración de las interfaces lógicas de la interfaz física

Procedimiento paso a paso

Para configurar las interfaces lógicas en la interfaz física:

  1. Activar la configuración de interfaces lógicas.

  2. Configure familias de protocolos en la unidad lógica 0.

  3. Configure familias de protocolos en la unidad lógica 1.

Resultados

Confirme la configuración del filtro de cortafuegos mediante el show interfaces comando modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Configuración de una interfaz de políticas físicas

Procedimiento paso a paso

Para configurar un policía de interfaz física:

  1. Activar la configuración del políticas de dos colores.

  2. Configure el tipo de políticas de dos colores.

  3. Configure los límites de tráfico y la acción de los paquetes en un flujo de tráfico de no conformidad.

    En el caso de un filtro de interfaz física, las acciones que puede configurar para paquetes en un flujo de tráfico de no conformidad son descartando los paquetes, asignan una clase de reenvío, asignan un valor PLP o asignan una clase de reenvío y un valor PLP.

Resultados

Confirme la configuración de la policía mediante la introducción del show firewall comando de modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Configuración de un filtro de interfaz física IPv4

Procedimiento paso a paso

Para configurar una interfaz de políticas físicas como la acción de los términos de una interfaz física de IPv4:

  1. Configure un filtro de Firewall sin estado estándar bajo una familia de protocolos específica.

    No puede configurar un filtro de cortafuegos de family anyinterfaz física para.

  2. Configure el filtro como un filtro de interfaz física, de forma que pueda aplicar la aplicación de la interfaz de usuario física como una acción.

  3. Configure el primer término para que coincida con el de los paquetes IPv4 recibidos a través critical-ecpde immediateTCP con priority los campos de prioridad IP o y aplique el enformador de interfaz física como una acción de filtrado.

  4. Configure el primer término para que coincida con los paquetes IPv4 recibidos a través de TCP internet-control con routine los campos de precedencia IP o y para aplicar el enformador de interfaz física como una acción de filtrado.

Resultados

Confirme la configuración del filtro de cortafuegos mediante el show firewall comando modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Aplicación del filtro de interfaz física IPv4 para hacer referencia a las políticas de interfaces físicas

Procedimiento paso a paso

Para aplicar el filtro de interfaz físico para que haga referencia a las políticas de interfaces físicas:

  1. Activar la configuración de IPv4 en la interfaz lógica.

  2. Aplique el filtro de interfaz física IPv4 en la dirección de entrada.

Resultados

Confirme la configuración del filtro de cortafuegos mediante el show interfaces comando modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Visualización de los filtros de cortafuegos aplicados a una interfaz

Purpose

Compruebe que el filtro ipv4-filter de Firewall se aplica al tráfico de entrada IPv4 de la so-1/0/0.0interfaz lógica.

Intervención

Utilice el show interfaces statistics comando modo operativo para la interfaz so-1/0/0.0lógica e incluya la detail opción. En la Protocol inet sección de la salida del comando, el campo muestra que el filtro del firewall se aplica en la dirección de Input Filtersipv4-filter entrada.

Mostrar el número de paquetes procesados por la policía en la interfaz lógica

Purpose

Verificar el flujo de tráfico a través de la interfaz lógica y que la policía se evalúa cuando se reciben paquetes en la interfaz lógica.

Intervención

Utilice el show firewall comando modo operativo del filtro que haya aplicado a la interfaz lógica.

El comando Output muestra el nombre del objeto de lashared-policer-Apolicía (), el nombre del término depolice-1filtro () en el que se especifica la acción de policía, y el número de paquetes que coincidían con el término de filtro. Esto es sólo el número de paquetes fuera de la especificación (fuera de las especificaciones), no todos los paquetes superpuestos por el policía.