Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de gigabit Ethernet Policers

Os policiais permitem que você realize um policiamento de tráfego simples em Interfaces Ethernet Gigabit sem configurar um filtro de firewall. Você pode usar este tópico para configurar um mapa de prioridade de entrada, um mapa de prioridade de saída e, em seguida, aplicar a política. Use este tópico para obter informações sobre como configurar um policial de duas cores e um policial tri-color.

Recursos de PICs Ethernet IQ gigabit e PICs Gigabit Ethernet com SFPs

Para PICs Gigabit Ethernet IQ e Gigabit Ethernet COM SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i), você pode configurar recursos granulares por classe de serviço (CoS) de VLAN e instrumentação e diagnósticos extensivos em uma base de endereço por VLAN e por MAC.

Reescrever, marcar e excluir VLAN permite que você use espaço de endereço VLAN para oferecer suporte a mais clientes e serviços.

O VPLS permite que você forneça uma LAN ponto a multiponto entre um conjunto de sites em uma VPN. PICs Ethernet IQ e Gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i) são combinados com VPLS para entregar serviços Metro Ethernet.

Para interfaces gigabit Ethernet IQ2 e IQ2-E e 10 Gigabit Ethernet IQ2 e IQ2-E, você pode aplicar o policiamento de Camada 2 a interfaces lógicas na direção de saída ou entrada. Os policiais de camada 2 estão configurados no nível de [edit firewall] hierarquia. Você também pode controlar a taxa de tráfego enviado ou recebido em uma interface configurando uma sobrecarga de policial no nível de [edit chassis fpc slot-number pic slot-number] hierarquia.

Tabela 1 lista os recursos dos PICs Gigabit Ethernet IQ e Gigabit Ethernet com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i).

Tabela 1: Recursos do Gigabit Ethernet IQ e Gigabit Ethernet com SFPs

Capacidade

Gigabit Ethernet IQ (SFP)

Gigabit Ethernet (SFP)

Camada 2

Agregação de enlace 802.3ad

Sim

Sim

VLANs máximos por porta

384

1023

Tamanho máximo da unidade de transmissão (MTU)

9192

9192

APRENDIZADO MAC

Sim

Sim

Contabilidade MAC

Sim

Sim

Filtragem de MAC

Sim

Sim

Destinos por porta

960

960

Fontes por porta

64

64

Policiais mac hierárquicos

Sim, premium e agregado

Não, somente agregado

Suporte a vários TPID e serviço IP para TPIDs não padrão

Sim

Sim

Vários encapsulamentos de Ethernet

Sim

Sim

Tags VLAN duplas

Sim

Não

Reescrita do VLAN

Sim

Não

VPNs de camada 2

VLAN CCC

Sim

Sim

CCC baseado em porta

Sim

Sim

Protocolo de tag VLAN CCC Virtual Metropolitan Area Network (VMAN) estendido

Sim

Sim

CoS

Filas de saída baseadas em PIC

Sim

Sim

VLANs na fila

Sim

Não

VPLS

Sim

Sim

Para obter mais informações sobre a configuração do VPLS, consulte a Biblioteca de VPNs do Junos OS para dispositivos de roteamento.

Você também pode configurar o CoS em interfaces lógicas de QQ. Para obter mais informações, consulte o guia de usuário da classe de serviços do Junos OS para dispositivos de roteamento.

Configuração de gigabit Ethernet Policers

Visão geral

No Gigabit Ethernet IQ e gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i), você pode definir limites de taxa para tráfego premium e agregado recebido na interface. Esses policiais permitem que você realize um policiamento de tráfego simples sem configurar um filtro de firewall. Primeiro você configura o perfil do policiador Ethernet, em seguida você classifica o tráfego de entrada e saída, em seguida, você pode aplicar o policial a uma interface lógica.

Para PICs Gigabit Ethernet com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i), as taxas de policiamento que você configura podem ser diferentes das taxas do Mecanismo de Encaminhamento de Pacotes. A diferença resulta da sobrecarga de Camada 2. O PIC é responsável por essa diferença.

Nota:

Nos roteadores da Série MX com Ethernet Gigabit ou PICs Fast Ethernet, as seguintes considerações se aplicam:

  • Os contadores de interface não contam o preâmbulo de 7 byte e o delimiter de quadros de 1 byte em quadros Ethernet.

  • Nas estatísticas mac, o tamanho do quadro inclui cabeçalho MAC e CRC antes que quaisquer regras de reescrita/imposição de VLAN sejam aplicadas.

  • Nas estatísticas de tráfego, o tamanho do quadro abrange o cabeçalho L2 sem CRC após qualquer regra de reescrita/imposição de VLAN.

Para obter informações sobre como entender as estatísticas do quadro Ethernet, consulte o Guia de configuração de Camada 2 da Série MX.

Configuração de um policial

Para configurar um perfil do policial Ethernet, inclua a ethernet-policer-profile declaração no nível de [edit interfaces interface-name gigether-options ethernet-switch-profile] hierarquia:

No perfil do policial da Ethernet, o policial de prioridade agregada é obrigatório; o policial de prioridade premium é opcional.

Para policiais agregados e premium, você especifica o limite de largura de banda em bits por segundo. Você pode especificar o valor como um número decimal completo ou como um número decimal seguido da abreviação k (1000), (1.000.000) ou g (1.000.000.000). Não há valor mínimo absoluto para o limite de largura de banda, mas qualquer valor abaixo de 61.040 bps resultará em uma taxa efetiva de 30.520 bps. O limite máximo de largura de banda é de 4,29 Gbps.

O tamanho máximo da explosão controla a quantidade de explosão de tráfego permitida. Para determinar o limite de tamanho estourado, você pode multiplicar a largura de banda da interface na qual você está aplicando o filtro pela quantidade de tempo que você permite que uma explosão de tráfego nessa largura de banda ocorra:

Se você não conhece a largura de banda da interface, pode multiplicar o MTU máximo do tráfego na interface por 10 para obter um valor. Por exemplo, o tamanho da explosão para um MTU de 4700 seria de 47.000 bytes. O tamanho da explosão deve ser de pelo menos 10 MTUs de interface. O valor máximo para o limite de tamanho estourado é de 100 MB.

Especificando um mapa de prioridade de entrada

Um mapa de prioridade de entrada identifica o tráfego de entrada com valores de prioridade especificados do IEEE 802.1p e classifica esse tráfego como premium.

Se você incluir um policial de prioridade premium, você pode especificar um mapa de prioridade de entrada, incluindo a ieee802.1 premium declaração no nível de [edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map] hierarquia:

Os valores de prioridade podem ser de 0 a 7. O tráfego restante é classificado como nãopremium (ou agregado). Para um exemplo de configuração, veja Example: Configuração de gigabit Ethernet Policers.

Nota:

Nas interfaces IQ2 e IQ2-E e interfaces da Série MX, quando uma tag VLAN é enviada, os bits VLAN IEEE 802.1p internos são copiados para os bits IEEE da VLAN ou VLANs sendo empurrados. Se o pacote original não for registrado, os bits IEEE da VLAN ou VLANs que estão sendo empurrados serão definidos para 0.

Especificando um mapa de prioridade de saída

Um mapa de prioridade de saída identifica o tráfego de saída com classificação de fila especificada e prioridade de perda de pacotes (PLP), e classifica esse tráfego como premium.

Se você incluir um policial de prioridade premium, você pode especificar um mapa de prioridade de saída, incluindo a classifier declaração no nível de [edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map] hierarquia:

Você pode definir uma classe de encaminhamento ou usar uma classe de encaminhamento predefinida. Tabela 2 mostra as classes de encaminhamento predefinidas e suas atribuições de fila associadas.

Tabela 2: Aulas de encaminhamento padrão

Nome da classe de encaminhamento

Fila

melhor esforço

Fila 0

encaminhamento acelerado

Fila 1

encaminhamento garantido

Fila 2

controle de rede

Fila 3

Para obter mais informações sobre as aulas de encaminhamento de CoS, consulte o Guia de Usuário da Classe de Serviços do Junos OS para dispositivos de roteamento. Para um exemplo de configuração, veja Example: Configuração de gigabit Ethernet Policers.

Aplicar um policial

Em todas as interfaces de roteador da Série MX, Gigabit Ethernet IQ, IQ2 e IQ2-E PICs, e PICs Gigabit Ethernet com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i), você pode aplicar policiais de entrada e saída que definem limites de taxa para tráfego premium e agregado recebido na interface lógica. Os policiais agregados são suportados em PICs Gigabit Ethernet com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i).

Esses policiais permitem que você realize um policiamento de tráfego simples sem configurar um filtro de firewall.

Para aplicar policiais a endereços MAC de origem específica, inclua a accept-source-mac declaração:

Você pode incluir essas declarações nos seguintes níveis de hierarquia:

  • [edit interfaces interface-name unit logical-unit-number ]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Você pode especificar o endereço MAC como nn:nn::nnnn:nn:nn ounnnn.nnnn.nnnn, onde n está um número hexadecimal. Você pode configurar até 64 endereços de origem. Para especificar mais de um endereço, inclua várias mac-address declarações na configuração lógica da interface.

Nota:

Em interfaces Ethernet Gigabit não registradas, você não deve configurar a source-address-filter declaração no nível de [edit interfaces ge-fpc/pic/port gigether-options] hierarquia e a accept-source-mac declaração no nível de [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] hierarquia simultaneamente. Se essas declarações estiverem configuradas para as mesmas interfaces ao mesmo tempo, uma mensagem de erro será exibida.

Em interfaces Ethernet Gigabit marcadas, você não deve configurar a source-address-filter declaração no nível de [edit interfaces ge-fpc/pic/port gigether-options] hierarquia e a accept-source-mac declaração no nível de [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] hierarquia com um endereço MAC idêntico especificado em ambos os filtros. Se essas declarações forem configuradas para as mesmas interfaces com um endereço MAC idêntico especificado, uma mensagem de erro será exibida.

Nota:

Se a placa Ethernet remota for alterada, a interface não aceita tráfego da nova placa porque a nova placa tem um endereço MAC diferente.

Os endereços MAC que você inclui na configuração são inseridos no banco de dados MAC do roteador. Para ver o banco de dados MAC do roteador, insira o show interfaces mac-database interface-name comando:

input No comunicado, liste o nome de um modelo de policial a ser avaliado quando os pacotes são recebidos na interface.

output No comunicado, liste o nome de um modelo de policial a ser avaliado quando os pacotes são transmitidos na interface.

Nota:

Nas interfaces IQ2 e IQ2-E PIC, o valor padrão para a retenção máxima de entradas na tabela de endereços MAC mudou, para casos em que a tabela não está completa. O novo tempo de espera é de 12 horas. O tempo de retenção anterior de 3 minutos ainda está em vigor quando a tabela estiver cheia.

Você pode usar o mesmo policial uma ou mais vezes.

Se você aplicar tanto policiais quanto filtros de firewall em uma interface, os policiais de entrada são avaliados antes que os filtros de firewall de entrada e os policiais de saída sejam avaliados após filtros de firewall de saída.

Configuração da filtragem de endereços MAC

Você não pode definir explicitamente o tráfego com endereços MAC de origem específicos a serem rejeitados; no entanto, para Gigabit Ethernet IQ e Gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i), e para DPCs Gigabit Ethernet em roteadores da Série MX, você pode bloquear todos os pacotes recebidos que não têm um endereço de origem especificado na accept-source-mac declaração. Para obter mais informações sobre a accept-source-mac declaração, consulte Aplicar um policial.

Para habilitar esse bloqueio, inclua a source-filtering declaração no nível de [edit interfaces interface-name gigether-options] hierarquia:

Para obter mais informações sobre a source-filtering declaração, consulte Configurar a filtragem de endereços MAC para interfaces Ethernet.

Para aceitar o tráfego, embora não tenha um endereço de origem especificado na accept-source-mac declaração, inclua a no-source-filtering declaração no nível da [edit interfaces interface-name gigether-options] hierarquia:

Example: Configuração de gigabit Ethernet Policers

Exemplo

Este exemplo ilustra o seguinte:

  • Configure a interface ge-6/0/0 para tratar os valores de prioridade 2 e 3 como premium. Na entrada, isso significa que os valores de prioridade do IEEE 802.1p são tratados 23 como premium. Na saída, significa que o tráfego classificado na fila 0 ou 1 com PLP de baixa e fila 2 ou 3 com PLP de alta, é tratado como premium.

  • Defina um policial que limita a largura de banda premium a 100 Mbps e tamanho de explosão a 3 k, e a largura de banda agregada a 200 Mbps e tamanho de explosão a 3 k.

  • Especifique que os quadros recebidos do endereço 00:01:02:03:04:05 MAC e do ID 600 VLAN estão sujeitos ao policial na entrada e saída. Na entrada, isso significa que os quadros recebidos com o endereço 00:01:02:03:04:05 MAC de origem e o VLAN ID 600 estão sujeitos ao policial. Na saída, isso significa que os quadros transmitidos do roteador com o endereço 00:01:02:03:04:05 MAC de destino e o ID 600 VLAN estão sujeitos ao policial.

Configuração de exemplo

Configuração do Gigabit Ethernet de duas cores e policiais tricolores

Visão geral

Para interfaces Gigabit Ethernet e Ethernet IQ2 e IQ2-E de 10 Gigabits em roteadores da Série M e série T, você pode configurar policiais de marcação tricolor e de duas cores e aplicá-los em interfaces lógicas para impedir que o tráfego na interface consuma largura de banda de maneira inadequada.

As redes policiam o tráfego limitando a taxa de transmissão de entrada ou saída de uma classe de tráfego com base em critérios definidos pelo usuário. O policiamento de tráfego permite controlar a taxa máxima de tráfego enviado ou recebido em uma interface e dividir uma rede em vários níveis de prioridade ou classes de serviço.

Os policiais exigem que você aplique um limite de tamanho e largura de banda de explosão ao fluxo de tráfego e estabeleça uma consequência para pacotes que excedem esses limites — geralmente uma prioridade de perda maior, para que os pacotes que excedem os limites do policial sejam descartados primeiro.

As arquiteturas de roteador da Juniper Networks oferecem suporte a três tipos de policiador:

  • Policiador de duas cores — um policial de duas cores (ou "policial" quando usado sem qualificação) mediu o fluxo de tráfego e classifica os pacotes em duas categorias de prioridade de perda de pacotes (PLP) de acordo com uma largura de banda configurada e limite de tamanho estourado. Você pode marcar pacotes que excedem a largura de banda e o limite de tamanho estourado de alguma forma, ou simplesmente desnudá-los. Um policial é mais útil para medir o tráfego no nível da porta (interface física).

  • Marcação tricolor de taxa única (TCM de taxa única)— Um policial de marcação tricolor de taxa única é definido em RFC 2697, um marcador de cor de taxa única três, como parte de um sistema de classificação de encaminhamento por comportamento de hop (PHB) garantido para um ambiente de Serviços Diferenciados (DiffServ). Esse tipo de policial metros de tráfego com base na taxa de informações comprometidas configurada (CIR), tamanho de explosão comprometido (CBS) e tamanho de explosão em excesso (EBS).

    A partir do Junos OS Release 13.1, o tráfego é classificado em três categorias: Verde, vermelho e amarelo. A lista a seguir descreve as categorias:

    • Verde — o tamanho dos pacotes que chegam é menor do que a soma do CIR e da CBS configurados.

    • Vermelho — o tamanho de explosão dos pacotes que chegam é maior do que a soma do CIR e do EBS configurados.

    • Amarelo — o tamanho de explosão dos pacotes que chegam é maior do que o CBS, mas menor que o EBS.

    O TCM de taxa única é mais útil quando um serviço é estruturado de acordo com o comprimento do pacote e não a taxa de chegada máxima.

  • Marcação Tricolor de duas categorias (TCM de duas taxas)— Esse tipo de policiador é definido em RFC 2698, A Two Rate Three Color Marker, como parte de um sistema de classificação de encaminhamento por comportamento por hop (PHB) garantido para um ambiente de Serviços Diferenciados (DiffServ). Esse tipo de policiador medidora tráfego com base no CIR configurado e na taxa de informações de pico (PIR), juntamente com seus tamanhos de explosão associados, o CBS e o EBS.

    O tráfego é classificado nas seguintes três categorias:

    • Verde — o tamanho dos pacotes que chegam é menor do que a soma do CIR e da CBS configurados.

    • Vermelho — o tamanho de explosão dos pacotes que chegam é maior do que a soma do PIR e do EBS configurados.

    • Amarelo — o tráfego não pertence nem à categoria verde nem vermelha.

    O TCM de duas taxas é mais útil quando um serviço é estruturado de acordo com as taxas de chegada e não necessariamente o comprimento do pacote.

Nota:

Ao contrário do policiamento (descrito na Configuração do Gigabit Ethernet Policers), a configuração de policiais de duas cores e policiais de marcação tricolor exige que você configure um filtro de firewall.

Configuração de um policial

Os policiais de marcação tricolor e de duas cores estão configurados no nível de [edit firewall] hierarquia.

Um policial de marcação tricolor policia o tráfego com base nas taxas de medição, incluindo o CIR, o PIR, seus tamanhos de explosão associados e quaisquer ações de policiamento configuradas para o tráfego.

Para configurar a marcação do policial tricolor, inclua a three-color-policer declaração com opções no nível de [edit firewall] hierarquia:

Para obter mais informações sobre a configuração de marcações de policiais tricolores, consulte as políticas de roteamento, filtros de firewall e guia de usuário dos policiais de tráfego e o guia de usuário da classe de serviços do Junos OS para dispositivos de roteamento.

Aplicar um policial

Aplique um policial de duas cores ou um policial tricolor em uma interface lógica para evitar que o tráfego na interface consuma a largura de banda de maneira inadequada. Para aplicar policiais tricolores ou de duas cores, inclua a layer2-policer declaração:

Você pode incluir essas declarações nos seguintes níveis de hierarquia:

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Use a input-policer declaração para aplicar um policial de duas cores para receber pacotes em uma interface lógica e a input-three-color declaração para aplicar um policial tricolor. Use a output-policer declaração para aplicar um policial de duas cores para transmitir pacotes em uma interface lógica e a output-three-color declaração para aplicar um policial tricolor. Os policiais especificados devem ser configurados no nível de [edit firewall] hierarquia. Para cada interface, você pode configurar um policial de três cores ou um policial de entrada de duas cores ou policiais de saída — você não pode configurar um policial de três cores e um policial de duas cores.

Example: Configuração e aplicação de um policial

Configure policiais tricolores e aplique-os em uma interface:

Configure um policial de duas cores e aplique-o a uma interface:

Tabela de histórico de liberação
Versão
Descrição
13.1
A partir do Junos OS Release 13.1, o tráfego é classificado em três categorias: Verde, vermelho e amarelo.