Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de Gigabit Ethernet Policers

Os policiais permitem que você realize um simples policiamento de tráfego em interfaces Ethernet Gigabit sem configurar um filtro de firewall. Você pode usar esse tópico para configurar um mapa de prioridade de entrada, um mapa de prioridade de saída e aplicar a política. Use este tópico para obter informações sobre como configurar um policial de duas cores e um policial tri-color.

Recursos de PICs Gigabit Ethernet IQ e PICs Gigabit Ethernet com SFPs

Para PICs Gigabit Ethernet IQ e PICs Gigabit Ethernet com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrado no roteador M7i), você pode configurar recursos granulares de classe de serviço (CoS) por VLAN e instrumentação e diagnósticos extensos em uma base de endereço por VLAN e por MAC.

Reescrever, etiquetar e excluir VLAN permite que você use espaço de endereço VLAN para dar suporte a mais clientes e serviços.

O VPLS permite que você forneça uma LAN point-to-multipoint entre um conjunto de sites em uma VPN. PICs Ethernet IQ e PICs Gigabit Ethernet com SFPs (exceto o PIC Ethernet de 10 portas Gigabit e a porta Ethernet Gigabit integrados no roteador M7i) são combinados com VPLS para fornecer serviço metro Ethernet.

Para interfaces Gigabit Ethernet IQ2 e IQ2-E e Ethernet de 10 Gigabits e IQ2-E, você pode aplicar o policiamento de Camada 2 a interfaces lógicas na direção de saída ou entrada. Os policiais de Camada 2 estão configurados em nível [edit firewall] de hierarquia. Você também pode controlar a taxa de tráfego enviado ou recebido em uma interface configurando uma sobrecarga de polícia em nível [edit chassis fpc slot-number pic slot-number] de hierarquia.

Tabela 1 lista os recursos de PICs Gigabit Ethernet IQ e PICs Gigabit Ethernet com SFPs (exceto o Ethernet PIC de 10 portas Gigabit e a porta Ethernet Gigabit integrado no M7i roteador).

Tabela 1: Recursos de Gigabit Ethernet IQ e Gigabit Ethernet com SFPs

Capacidade

Gigabit Ethernet IQ (SFP)

Gigabit Ethernet (SFP)

Camada 2

Agregação de enlace 802.3ad

Sim

Sim

VLANs máximas por porta

384

1023

Tamanho máximo da unidade de transmissão (MTU)

9192

9192

aprendizado de MAC

Sim

Sim

Contabilidade MAC

Sim

Sim

filtragem DE MAC

Sim

Sim

Destinos por porta

960

960

Fontes por porta

64

64

Polícias MAC hierárquicos

Sim, premium e agregado

Não, somente agregados

Múltiplos serviços de TPID e IP para TPIDs não padrão

Sim

Sim

Vários encapsulamentos de Ethernet

Sim

Sim

Tags VLAN duplas

Sim

Não

Reescrito de VLAN

Sim

Não

VPNs de Camada 2

VLAN CCC

Sim

Sim

CCC baseado em porta

Sim

Sim

Protocolo de tags VLAN CCC Virtual Metropolitan Area Network (VMAN) estendido

Sim

Sim

CoS

Filas de saída baseadas em PIC

Sim

Sim

VLANs em fila

Sim

Não

VPLS

Sim

Sim

Para obter mais informações sobre a configuração de VPLS, consulte a Biblioteca de VPNs do Junos OS para dispositivos de roteamento.

Você também pode configurar a CoS em interfaces de IQ lógicas. Para obter mais informações, consulte o Guia de Usuário da Classe de Serviço do Junos OS para dispositivos de roteamento.

Configuração de Gigabit Ethernet Policers

Visão geral

No Gigabit Ethernet IQ e PICs Ethernet Gigabit com SFPs (exceto o PIC Ethernet de 10 portas Gigabit e a porta Ethernet Gigabit integrado no roteador M7i), você pode definir limites de taxa para tráfego premium e agregado recebido na interface. Esses policiais permitem que você realize um simples policiamento de tráfego sem configurar um filtro de firewall. Primeiro você configura o perfil do policial Ethernet, em seguida classifica a entrada e o tráfego de saída e depois aplica o policial a uma interface lógica.

Para PICs Gigabit Ethernet com SFPs (exceto o PIC Gigabit Ethernet de 10 portas e a porta Gigabit Ethernet interna no roteador M7i), as taxas de polícia configuradas por você podem ser diferentes das taxas do Mecanismo de Encaminhamento de Pacotes. A diferença é resultado da sobrecarga da Camada 2. O PIC explica essa diferença.

Nota:

Nos roteadores da Série MX com PICs Gigabit Ethernet ou Fast Ethernet, as seguintes considerações são aplicadas:

  • Os contadores de interface não contam o delimiter de quadros de 7 byte e 1 byte em quadros Ethernet.

  • Nas estatísticas mac, o tamanho do quadro inclui o header MAC e o CRC antes de aplicar qualquer regra de reescrita/imposição de VLAN.

  • Nas estatísticas de tráfego, o tamanho do quadro abrange o header L2 sem CRC depois de qualquer regra de reescrita/imposição de VLAN.

Para obter informações sobre como entender as estatísticas de quadro de Ethernet, consulte o Guia de Configuração de Camada 2 da Série MX.

Configuração de um Policer

Para configurar um perfil de policial Ethernet, inclua a ethernet-policer-profile declaração em nível de [edit interfaces interface-name gigether-options ethernet-switch-profile] hierarquia:

No perfil do policial Ethernet, o policial com prioridade agregada é obrigatório; o policial de prioridade premium é opcional.

Para policiais agregados e premium, você especifica o limite de largura de banda em bits por segundo. Você pode especificar o valor como um número decimal completo ou como um número decimal seguido pela abreviação k (1000), (1.000.000) ou g (1.000.000). Não existe valor mínimo absoluto para o limite de largura de banda, mas qualquer valor abaixo de 61.040 bps resultará em uma taxa eficaz de 30.520 bps. O limite de largura de banda máximo é de 4,29 Gbps.

O tamanho máximo de ruptura controla a quantidade de tráfego permitido. Para determinar o limite de tamanho de ruptura, você pode multiplicar a largura de banda da interface na qual você está aplicando o filtro pela quantidade de tempo que permite que ocorra um estouro de tráfego nessa largura de banda:

Caso você não conheça a largura de banda da interface, você pode multiplicá-lo MTU máximo do tráfego na interface por 10 para obter um valor. Por exemplo, o tamanho da explosão para uma MTU de 4.700 seria de 47.000 bytes. O tamanho da explosão deve ser de pelo menos 10 MTUs de interface. O valor máximo para o limite de tamanho de ruptura é de 100 MB.

Especificando um mapa de prioridade de entrada

Um mapa de prioridade de entrada identifica o tráfego de entrada com valores de prioridade IEEE 802.1p especificados e classifica esse tráfego como premium.

Se você incluir um policial com prioridade premium, você pode especificar um mapa de prioridade de entrada incluindo a ieee802.1 premium instrução no nível [edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map] da hierarquia:

Os valores de prioridade podem ser de 0 a 7. O tráfego restante é classificado como não-premium (ou agregado). Para um exemplo de configuração, consulte Exemplo: Configuração de Gigabit Ethernet Policers .

Nota:

Nas interfaces IQ2 e IQ2-E e série MX, quando uma etiqueta VLAN é empurrada, os bits VLAN internos IEEE 802.1p são copiados para IEEE bits das VLAN ou VLANs sendo empurrados. Caso o pacote original não seja conectado, os bits IEEE VLAN ou VLANs sendo empurrados estão definidos como 0.

Especificando um mapa de prioridade de saída

Um mapa de prioridade de saída identifica o tráfego de saída com classificação de fila especificada e prioridade de perda de pacote (PLP), e classifica esse tráfego como premium.

Se você incluir um policial com prioridade premium, você pode especificar um mapa de prioridade de saída incluindo a classifier instrução no nível [edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map] da hierarquia:

Você pode definir uma classe de encaminhamento ou usar uma classe de encaminhamento predefinida. Tabela 2 mostra as classes de encaminhamento predefinidas e as atribuições de fila associadas.

Tabela 2: Classes de encaminhamento padrão

Nome da classe de encaminhamento

Fila

de maior esforço

Fila 0

encaminhamento acelerado

Fila 1

encaminhamento garantido

Fila 2

controle de rede

Fila 3

Para obter mais informações sobre CoS de encaminhamento, consulte o Guia de Usuário da Classe de Serviço do Junos OS para dispositivos de roteamento. Para um exemplo de configuração, consulte Exemplo: Configuração de Gigabit Ethernet Policers .

Aplicação de um Policer

Em todas as interfaces do Roteador da Série MX, Gigabit Ethernet IQ, IQ2 e PICs IQ2-E, e PICs Ethernet Gigabit com SFPs (exceto o PIC Ethernet de Gigabit de 10 portas e a porta Ethernet Gigabit integrado no roteador M7i), você pode aplicar polícias de entrada e saída que definem limites de taxa para tráfego premium e agregado recebido na interface lógica. Os policiais agregados são suportados em PICs Ethernet Gigabit com SFPs (exceto o PIC Ethernet de 10 portas Gigabit e a porta Ethernet Gigabit integrado no M7i roteador).

Esses policiais permitem que você realize um simples policiamento de tráfego sem configurar um filtro de firewall.

Para aplicar agentes de polícia a endereços MAC de origem específica, inclua a accept-source-mac declaração:

Você pode incluir essas declarações nos seguintes níveis de hierarquia:

  • [edit interfaces interface-name unit logical-unit-number ]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Você pode especificar o endereço MAC como nn:nn:nn:nn:nnounnnn.nnnn.nnnn,onde está um número n hexadecimal. Você pode configurar até 64 endereços de origem. Para especificar mais de um endereço, inclua várias mac-address declarações na configuração da interface lógica.

Nota:

Em interfaces Ethernet Gigabit não registradas, você não deve configurar a instrução no nível da hierarquia e a instrução no nível source-address-filter[edit interfaces ge-fpc/pic/port gigether-options] da hierarquia accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] simultaneamente. Se essas declarações estão configuradas para as mesmas interfaces ao mesmo tempo, uma mensagem de erro é exibida.

Nas interfaces Gigabit Ethernet marcadas, você não deve configurar a instrução no nível da hierarquia e a instrução em nível de hierarquia com um endereço MAC idêntico especificado em source-address-filter[edit interfaces ge-fpc/pic/port gigether-options] ambos os accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] filtros. Se essas declarações estão configuradas para as mesmas interfaces com um endereço MAC idêntico especificado, uma mensagem de erro é exibida.

Nota:

Se a placa Ethernet remota for mudada, a interface não aceita o tráfego da nova placa porque a nova placa tem um endereço MAC diferente.

Os endereços MAC que você inclui na configuração são inseridos no banco de dados MAC do roteador. Para exibir o banco de dados MAC do roteador, insira o show interfaces mac-database interface-name comando:

Na declaração, liste o nome de um modelo de polícia a ser avaliado quando os pacotes são input recebidos na interface.

Na declaração, liste o nome de um modelo de polícia a ser avaliado quando os pacotes output são transmitidos na interface.

Nota:

Nas interfaces IQ2 e IQ2-E PIC, o valor padrão para retenção máxima de entradas na tabela de endereços MAC mudou, para casos em que a tabela não está completa. O novo tempo de espera é de 12 horas. O tempo de retenção anterior de 3 minutos ainda está em vigor quando a tabela estiver cheia.

Você pode usar o mesmo policial uma ou mais vezes.

Se você aplicar filtros de firewall e polícias a uma interface, os policiais de entrada serão avaliados antes de inserir filtros de firewall e os policiais de saída serão avaliados após filtros de firewall de saída.

Configuração da filtragem de endereços MAC

Você não pode definir explicitamente o tráfego com endereços MAC de origem específico a serem recusados; no entanto, para PICs Gigabit Ethernet IQ e Gigabit Ethernet com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit interna no roteador M7i), e para DPCs Ethernet Gigabit em roteadores da série MX, você pode bloquear todos os pacotes de entrada que não tenham um endereço de origem especificado na accept-source-mac declaração. Para obter mais informações sobre a accept-source-mac declaração, consulte Aplicação de um Policer .

Para habilitar esse bloqueio, inclua source-filtering a instrução em nível [edit interfaces interface-name gigether-options] de hierarquia:

Para obter mais informações sobre a source-filtering declaração, consulte Configurar a filtragem de endereços MAC para interfaces Ethernet.

Para aceitar o tráfego, embora ele não tenha um endereço de origem especificado na declaração, inclua a accept-source-macno-source-filtering instrução no nível [edit interfaces interface-name gigether-options] da hierarquia:

Exemplo: Configuração de Gigabit Ethernet Policers

Exemplo

Este exemplo ilustra os seguintes exemplos:

  • Configure a interface ge-6/0/0 para tratar os valores de prioridade 2 e 3 como premium. Na entrada, isso significa que IEEE valores de prioridade de 802,1p 2 e 3 são tratados como premium. Na saída, o tráfego classificado na fila 0 ou 1 com PLP de baixa e fila 2 ou 3 com PLP de alta qualidade é tratado como premium.

  • Defina um policial que limita a largura de banda premium a 100 Mbps e o tamanho do burst para 3k, e a largura de banda agregada a 200 Mbps e o tamanho do burst para 3k.

  • Especifique que os quadros recebidos do endereço MAC e a ID VLAN estão sujeitos ao 00:01:02:03:04:05 agente de polícia na entrada e na 600 saída. Na entrada, isso significa que os quadros recebidos com o endereço MAC de origem e a 00:01:02:03:04:05 ID 600 VLAN estão sujeitos ao agente de polícia. Na saída, isso significa que os quadros transmitidos do roteador com o endereço MAC de destino e a 00:01:02:03:04:05 ID VLAN 600 estão sujeitos ao agente de polícia.

Configuração de exemplo

Configurando Gigabit Ethernet Two-Color e Tricolor Policers

Visão geral

Para interfaces Gigabit Ethernet e Ethernet de 10 Gigabit e IQ2-E em roteadores Série M e Série T, você pode configurar políciadores de marcação de duas cores e tricolor e aplicá-los a interfaces lógicas para impedir que o tráfego na interface consuma largura de banda de maneira indevida.

As redes fiscalizam o tráfego limitando a taxa de transmissão de entrada ou saída de uma classe de tráfego com base em critérios definidos pelo usuário. O tráfego de policiamento permite controlar a taxa máxima de tráfego enviado ou recebido em uma interface e particionar uma rede em vários níveis ou classes de serviço prioritariamente.

Os policiais exigem que você aplique um limite de largura de banda e tamanho de explosão ao fluxo de tráfego e desempacar uma consequência para pacotes que superem esses limites — geralmente uma prioridade de perda maior, para que pacotes que superem os limites do policer sejam eliminados primeiro.

Juniper Networks de roteador tem suporte para três tipos de polícia:

  • Um policial de duas cores — um policial de duas cores (ou "policial" quando usado sem qualificação) medem o fluxo de tráfego e classificam os pacotes em duas categorias de prioridade de perda de pacote (PLP) de acordo com uma largura de banda configurada e limite de tamanho estouro. Você pode marcar pacotes que superam a largura de banda e o limite de tamanho estouro de alguma forma ou simplesmente os descartam. Um policial é mais útil para medição do tráfego em nível de porta (interface física).

  • Marcação tricolor de taxa única (TCM de taxa única)— Um policial tricolor de taxa única é definido em RFC 2697, UmMarcador de Cores de Três Taxas Única , como parte de um sistema de classificação de encaminhamento garantido por comportamento de hop (PHB) para um ambiente de serviços diferenciados (DiffServ). Esse tipo de tráfego de medição de polícias com base na taxa de informações comprometidas configurada (CIR), no tamanho de ruptura comprometido (CBS) e no tamanho do estouro em excesso (EBS).

    A partir da versão 13.1 do Junos OS, o tráfego é classificado em três categorias: Verde, vermelho e amarelo. A lista a seguir descreve as categorias:

    • Verde — o tamanho dos pacotes que chegam é inferior à soma das CIR e do CBS configurados.

    • Vermelho — O tamanho dos pacotes que chegam é maior do que a soma das CIR e EBS configuradas.

    • Amarelo — O tamanho dos pacotes que chegam é maior do que o CBS, mas menos do que o EBS.

    O TCM de taxa única é mais útil quando um serviço é estruturado de acordo com o comprimento do pacote e não a taxa de chegada máxima.

  • Marcação Tricolor de duas taxas (TCM de duas taxas)— Esse tipo de policial é definido no RFC 2698, UmMarcador de Cores de Três Taxas de Duas Taxas , como parte de um sistema de classificação de encaminhamento por comportamento de hop (PHB) para um ambiente de serviços diferenciados (DiffServ). Esse tipo de tráfego de taxímetros com base na CIR configurada e na taxa de informações de pico (PIR), junto com seus tamanhos de ruptura associados, o CBS e o EBS.

    O tráfego é classificado nas três categorias a seguir:

    • Verde — o tamanho dos pacotes que chegam é inferior à soma das CIR e do CBS configurados.

    • Red — O tamanho dos pacotes que chegam é maior do que a soma dos PIR e EBS configurados.

    • Amarelo — o tráfego não pertence à categoria verde ou vermelha.

    O TCM de duas taxas é mais útil quando um serviço é estruturado de acordo com as taxas de chegada e não necessariamente o comprimento do pacote.

Nota:

Ao contrário do policiamento (descrito na configuração de Gigabit Ethernet Policers),a configuração de policiais de duas cores e os policiais de marcação tricolor exigem que você configure um filtro de firewall.

Configuração de um Policer

Os policiais de marcação de duas cores e tricolores estão configurados em nível [edit firewall] de hierarquia.

Um políciador tricolor que marca o tráfego policial com base nas taxas de medição, incluindo a CIR, a PIR, seus tamanhos de rajadas associados e quaisquer ações de policiamento configuradas para o tráfego.

Para configurar a marcação do policer tricolor, inclua a three-color-policer declaração com opções em nível de [edit firewall] hierarquia:

Para obter mais informações sobre a configuração de marcas de polícia tricolor, consulte as Políticas de Roteamento, Filtros de Firewall e Guia de Usuário dos Políciadores de Tráfego e o Guia de Usuário da Classe OS do Junos OSpara Dispositivos de Roteamento.

Aplicação de um Policer

Aplique um policial de duas cores ou um policial tricolor a uma interface lógica para evitar que o tráfego na interface consuma largura de banda de maneira indevida. Para aplicar agentes de polícia de duas cores ou tricolores, inclua a layer2-policer declaração:

Você pode incluir essas declarações nos seguintes níveis de hierarquia:

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Use a declaração para aplicar um policial de duas cores a pacotes recebidos em uma interface lógica e a declaração para input-policerinput-three-color aplicar um policial tricolor. Use a declaração para aplicar um policial de duas cores a pacotes transmitidos em uma interface lógica e a declaração para output-policeroutput-three-color aplicar um policial tricolor. Os policiais especificados precisam estar configurados em nível [edit firewall] de hierarquia. Para cada interface, você pode configurar um políciador de três cores ou um políciador de entrada ou saída de duas cores— você não pode configurar um policial de três cores e um policial de duas cores.

Exemplo: Configuração e aplicação de um Policer

Configure os policiais tricolores e aplique-os a uma interface:

Configure um policial de duas cores e aplique-o a uma interface:

Tabela de histórico de liberação
Versão
Descrição
13.1
A partir da versão 13.1 do Junos OS, o tráfego é classificado em três categorias: Verde, vermelho e amarelo.