Filtro de fila de entrada com funcionalidade de policiamento
Começando com o Junos OS Release 18.1R1, em MPCs que oferecem suporte a filas de entrada, você pode implementar ações de policiamento, juntamente com outras ações de filtro, no tráfego antes que o tráfego seja atribuído a filas de entrada. Os filtros de policiamento de fila de entrada permitem que você classifique o tráfego limitado, bem como conte e defina a prioridade de classe de encaminhamento e perda de pacotes para pacotes antes da seleção da fila de entrada. Os comandos de classe de serviço (CoS) podem então ser usados para selecionar parâmetros de fila de entrada.
Entendendo o filtro de policiamento de fila de entrada
O filtro de policiamento de fila de entrada (iq-policing-filter) funciona de forma semelhante e no mesmo ponto que o filtro de policiamento de entrada (ingress-queuing-filter), que foi introduzido no Junos OS Release 16.1, mas oferece o benefício adicional de aceitar quase todas as ações de filtro, incluindo policiamento e ações de contagem. O filtro de policiamento de fila de entrada também é mais eficiente, exigindo menos recursos do sistema.
Os filtros de fila de entrada só ficam disponíveis quando o modo gerenciador de tráfego estiver definido ingress-and-egress no nível de [edit chassis fpc fpc-id pic pic-id traffic-manager mode] hierarquia.
A iq-policing-filter declaração de configuração é usada no nível de [edit interfaces interface-name unit unit-number family family-name] hierarquia para designar um filtro de firewall configurado anteriormente para ser usado como um filtro de policiamento de fila de entrada. A lista a seguir mostra quais famílias de protocolo são compatíveis com a iq-policing-filter declaração:
bridgeinetvpls
Veja também
Exemplo: configuração de um filtro para uso como filtro de policiamento de fila de entrada
Este exemplo mostra como configurar um filtro de firewall para uso como um filtro de policiamento de fila de entrada. O filtro de fila de entrada auxilia nas operações de policiamento de tráfego de entrada, permitindo que você ratee o tráfego limitado antes da seleção da fila de entrada. O filtro de firewall deve ser configurado em uma das seguintes famílias de protocolo: bridge, inetou vpls.
O filtro de policiamento de fila de entrada só pode ser usado em roteadores da Série MX com MPCs que oferecem suporte a filas de entrada. Um erro é gerado no commit se o filtro de fila de entrada for aplicado a uma interface em qualquer outro tipo de concentrador de porta.
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Um roteador da Série MX com um MPC que oferece suporte a enfileiramento de entrada
Para que os filtros de fila de entrada funcionem, ingress-and-egress deve ser configurado como o traffic-manager modo no nível de [edit chassis fpc slot pic slot traffic-manager mode] hierarquia.
Visão geral
Neste exemplo, você cria um filtro de firewall indicado vpls_iqp_filter na família de vpls protocolo que conta e policia voz e tráfego de melhor esforço. Em seguida, você aplica o vpls_iqp_filter filtro na interface lógica xe-0/0.0 como um filtro de policiamento de fila de entrada.
Configurar um filtro de firewall e aplicá-lo para uso como um filtro de fila de entrada envolve:
Criação de um filtro de firewall indicado
vpls_iqp_filterna família devplsprotocolo com as seguintes ações:counteforwarding- classpolicer.Aplicar o filtro de firewall na interface xe-0/0/0.0 como um filtro de policiamento de fila de entrada.
Configuração
- Configuração rápida da CLI
- Configurando o filtro de firewall e aplicando-o em uma interface como um filtro de policiamento de fila de entrada
- Resultados
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
set firewall family vpls filter vpls_iqp_filter interface-specific set firewall family vpls filter vpls_iqp_filter term VoiceSum from learn-vlan-1p-priority 5 set firewall family vpls filter vpls_iqp_filter term VoiceSum then count VoiceSum set firewall family vpls filter vpls_iqp_filter term VoiceSum then forwarding-class Voice set firewall family vpls filter vpls_iqp_filter term VoiceSum then next term set firewall family vpls filter vpls_iqp_filter term Voice from learn-vlan-1p-priority 5 set firewall family vpls filter vpls_iqp_filter term Voice then policer Voice-IN set firewall family vpls filter vpls_iqp_filter term Voice then count Voice set firewall family vpls filter vpls_iqp_filter term Voice then accept set firewall family vpls filter vpls_iqp_filter term BestEffortSum then count BestEffortSum set firewall family vpls filter vpls_iqp_filter term BestEffortSum then next term set firewall family vpls filter vpls_iqp_filter term BestEffort then policer BestEffort-IN set firewall family vpls filter vpls_iqp_filter term BestEffort then count BestEffort set firewall family vpls filter vpls_iqp_filter term BestEffort then accept set firewall family vpls filter vpls_iqp_filter policer pol-vpls if-exceeding bandwidth-limit 400m set firewall family vpls filter vpls_iqp_filter policer pol-vpls if-exceeding burst-size-limit 40m set firewall family vpls filter vpls_iqp_filter policer pol-vpls then discard set firewall family vpls filter vpls_iqp_filter policer Voice-IN if-exceeding bandwidth-limit 100m set firewall family vpls filter vpls_iqp_filter policer Voice-IN if-exceeding burst-size-limit 10m set firewall family vpls filter vpls_iqp_filter policer Voice-IN then loss-priority high set firewall family vpls filter vpls_iqp_filter policer BestEffort-IN if-exceeding bandwidth-limit 350m set firewall family vpls filter vpls_iqp_filter policer BestEffort-IN if-exceeding burst-size-limit 30m set firewall family vpls filter vpls_iqp_filter policer BestEffort-IN then loss-priority high set interfaces xe-0/0/0 unit 0 family vpls iq-policing-filter vpls_iqp_filter
Configurando o filtro de firewall e aplicando-o em uma interface como um filtro de policiamento de fila de entrada
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar o filtro vpls_iqp_filterde firewall e aplicá-lo à interface lógica xe-0/0/0 unidade 0:
Crie um filtro de firewall chamado
vpls_iqp_filter.[edit firewall family vpls filter vpls_iqp_filter]user@router# set interface-specific user@router# set term VoiceSum from learn-vlan-1p-priority 5 user@router# set term VoiceSum then count VoiceSum user@router# set term VoiceSum then forwarding-class Voice user@router# set term VoiceSum then next term user@router# set term Voice from learn-vlan-1p-priority 5 user@router# set term Voice then policer Voice-IN user@router# set term Voice then count Voice user@router# set term Voice then accept user@router# set term BestEffortSum then count BestEffortSum user@router# set term BestEffortSum then next term user@router# set term BestEffort then policer BestEffort-IN user@router# set term BestEffort then count BestEffort user@router# set term BestEffort then accept user@router# set policer pol-vpls if-exceeding bandwidth-limit 400m user@router# set policer pol-vpls if-exceeding burst-size-limit 40m user@router# set policer pol-vpls then discard user@router# set policer Voice-IN if-exceeding bandwidth-limit 100m user@router# set policer Voice-IN if-exceeding burst-size-limit 10m user@router# set policer Voice-IN then loss-priority high user@router# set policer BestEffort-IN if-exceeding bandwidth-limit 350m user@router# set policer BestEffort-IN if-exceeding burst-size-limit 30m user@router# set policer BestEffort-IN then loss-priority highAplique o filtro de firewall na interface lógica.
[edit interfaces xe-0/0/0]user@router# set unit 0 family vpls iq-policing-filter vpls_iqp_filter
Resultados
A partir do modo de configuração, confirme sua configuração inserindo o show firewall e os show interfaces xe-0/0/0.0 comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@router# show firewall family vpls filter vpls_iqp_filter
interface-specific;
term VoiceSum {
from {
learn-vlan-1p-priority 5;
}
then {
count VoiceSum;
forwarding-class Voice;
next term;
}
}
term Voice {
from {
learn-vlan-1p-priority 5;
}
then {
policer Voice-IN;
count Voice;
accept;
}
}
term BestEffortSum {
then {
count BestEffortSum;
next term;
}
}
term BestEffort {
then {
policer BestEffort-IN;
count BestEffort;
accept;
}
}
policer pol_vpls {
if-exceeding {
bandwidth-limit 400m;
burst-size-limit 40m;
}
then discard;
}
policer Voice-IN {
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 10m;
}
then loss-priority high;
}
policer BestEffort-IN {
if-exceeding {
bandwidth-limit 350m;
burst-size-limit 30m;
}
then loss-priority high;
}
user@router# show interfaces xe-0/0/0 unit 0
family vpls {
iq-policing-filter vpls_iqp_filter;
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
user@router# commit