Configuração de gigabit Ethernet Policers
Os policiais permitem que você realize um policiamento de tráfego simples em Interfaces Ethernet Gigabit sem configurar um filtro de firewall. Você pode usar este tópico para configurar um mapa de prioridade de entrada, um mapa de prioridade de saída e, em seguida, aplicar a política. Use este tópico para obter informações sobre como configurar um policial de duas cores e um policial tri-color.
Recursos de PICs Ethernet IQ gigabit e PICs Gigabit Ethernet com SFPs
Para PICs Gigabit Ethernet IQ e Gigabit Ethernet COM SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i), você pode configurar recursos granulares por classe de serviço (CoS) de VLAN e instrumentação e diagnósticos extensivos em uma base de endereço por VLAN e por MAC.
Reescrever, marcar e excluir VLAN permite que você use espaço de endereço VLAN para oferecer suporte a mais clientes e serviços.
O VPLS permite que você forneça uma LAN ponto a multiponto entre um conjunto de sites em uma VPN. PICs Ethernet IQ e Gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i) são combinados com VPLS para entregar serviços Metro Ethernet.
Para interfaces gigabit Ethernet IQ2 e IQ2-E e 10 Gigabit Ethernet IQ2 e IQ2-E, você pode aplicar o policiamento de Camada 2 a interfaces lógicas na direção de saída ou entrada. Os policiais de camada 2 estão configurados no nível de [edit firewall]
hierarquia. Você também pode controlar a taxa de tráfego enviado ou recebido em uma interface configurando uma sobrecarga de policial no nível de [edit chassis fpc slot-number pic slot-number]
hierarquia.
Tabela 1 lista os recursos dos PICs Gigabit Ethernet IQ e Gigabit Ethernet com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i).
Capacidade |
Gigabit Ethernet IQ (SFP) |
Gigabit Ethernet (SFP) |
---|---|---|
Camada 2 | ||
Agregação de enlace 802.3ad |
Sim |
Sim |
VLANs máximos por porta |
384 |
1023 |
Tamanho máximo da unidade de transmissão (MTU) |
9192 |
9192 |
APRENDIZADO MAC |
Sim |
Sim |
Contabilidade MAC |
Sim |
Sim |
Filtragem de MAC |
Sim |
Sim |
Destinos por porta |
960 |
960 |
Fontes por porta |
64 |
64 |
Policiais mac hierárquicos |
Sim, premium e agregado |
Não, somente agregado |
Suporte a vários TPID e serviço IP para TPIDs não padrão |
Sim |
Sim |
Vários encapsulamentos de Ethernet |
Sim |
Sim |
Tags VLAN duplas |
Sim |
Não |
Reescrita do VLAN |
Sim |
Não |
VPNs de camada 2 | ||
VLAN CCC |
Sim |
Sim |
CCC baseado em porta |
Sim |
Sim |
Protocolo de tag VLAN CCC Virtual Metropolitan Area Network (VMAN) estendido |
Sim |
Sim |
CoS | ||
Filas de saída baseadas em PIC |
Sim |
Sim |
VLANs na fila |
Sim |
Não |
VPLS |
Sim |
Sim |
Para obter mais informações sobre a configuração do VPLS, consulte a Biblioteca de VPNs do Junos OS para dispositivos de roteamento.
Você também pode configurar o CoS em interfaces lógicas de QQ. Para obter mais informações, consulte o guia de usuário da classe de serviços do Junos OS para dispositivos de roteamento.
Consulte também
Configuração de gigabit Ethernet Policers
- Visão geral
- Configuração de um policial
- Especificando um mapa de prioridade de entrada
- Especificando um mapa de prioridade de saída
- Aplicar um policial
- Configuração da filtragem de endereços MAC
- Example: Configuração de gigabit Ethernet Policers
Visão geral
No Gigabit Ethernet IQ e gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i), você pode definir limites de taxa para tráfego premium e agregado recebido na interface. Esses policiais permitem que você realize um policiamento de tráfego simples sem configurar um filtro de firewall. Primeiro você configura o perfil do policiador Ethernet, em seguida você classifica o tráfego de entrada e saída, em seguida, você pode aplicar o policial a uma interface lógica.
Para PICs Gigabit Ethernet com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i), as taxas de policiamento que você configura podem ser diferentes das taxas do Mecanismo de Encaminhamento de Pacotes. A diferença resulta da sobrecarga de Camada 2. O PIC é responsável por essa diferença.
Nos roteadores da Série MX com Ethernet Gigabit ou PICs Fast Ethernet, as seguintes considerações se aplicam:
Os contadores de interface não contam o preâmbulo de 7 byte e o delimiter de quadros de 1 byte em quadros Ethernet.
Nas estatísticas mac, o tamanho do quadro inclui cabeçalho MAC e CRC antes que quaisquer regras de reescrita/imposição de VLAN sejam aplicadas.
Nas estatísticas de tráfego, o tamanho do quadro abrange o cabeçalho L2 sem CRC após qualquer regra de reescrita/imposição de VLAN.
Para obter informações sobre como entender as estatísticas do quadro Ethernet, consulte o Guia de configuração de Camada 2 da Série MX.
Configuração de um policial
Para configurar um perfil do policial Ethernet, inclua a ethernet-policer-profile
declaração no nível de [edit interfaces interface-name gigether-options ethernet-switch-profile]
hierarquia:
[edit interfaces interface-name gigether-options ethernet-switch-profile] ethernet-policer-profile { policer cos-policer-name { aggregate { bandwidth-limit bps; burst-size-limit bytes; } premium { bandwidth-limit bps; burst-size-limit bytes; } } }
No perfil do policial da Ethernet, o policial de prioridade agregada é obrigatório; o policial de prioridade premium é opcional.
Para policiais agregados e premium, você especifica o limite de largura de banda em bits por segundo. Você pode especificar o valor como um número decimal completo ou como um número decimal seguido da abreviação k
(1000), m
(1.000.000) ou g
(1.000.000.000). Não há valor mínimo absoluto para o limite de largura de banda, mas qualquer valor abaixo de 61.040 bps resultará em uma taxa efetiva de 30.520 bps. O limite máximo de largura de banda é de 4,29 Gbps.
O tamanho máximo da explosão controla a quantidade de explosão de tráfego permitida. Para determinar o limite de tamanho estourado, você pode multiplicar a largura de banda da interface na qual você está aplicando o filtro pela quantidade de tempo que você permite que uma explosão de tráfego nessa largura de banda ocorra:
burst size = bandwidth x allowable time for burst traffic
Se você não conhece a largura de banda da interface, pode multiplicar o MTU máximo do tráfego na interface por 10 para obter um valor. Por exemplo, o tamanho da explosão para um MTU de 4700 seria de 47.000 bytes. O tamanho da explosão deve ser de pelo menos 10 MTUs de interface. O valor máximo para o limite de tamanho estourado é de 100 MB.
Especificando um mapa de prioridade de entrada
Um mapa de prioridade de entrada identifica o tráfego de entrada com valores de prioridade especificados do IEEE 802.1p e classifica esse tráfego como premium.
Se você incluir um policial de prioridade premium, você pode especificar um mapa de prioridade de entrada, incluindo a ieee802.1 premium
declaração no nível de [edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map]
hierarquia:
[edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map] ieee802.1p premium [ values ];
Os valores de prioridade podem ser de 0 a 7. O tráfego restante é classificado como nãopremium (ou agregado). Para um exemplo de configuração, veja Example: Configuração de gigabit Ethernet Policers.
Nas interfaces IQ2 e IQ2-E e interfaces da Série MX, quando uma tag VLAN é enviada, os bits VLAN IEEE 802.1p internos são copiados para os bits IEEE da VLAN ou VLANs sendo empurrados. Se o pacote original não for registrado, os bits IEEE da VLAN ou VLANs que estão sendo empurrados serão definidos para 0.
Especificando um mapa de prioridade de saída
Um mapa de prioridade de saída identifica o tráfego de saída com classificação de fila especificada e prioridade de perda de pacotes (PLP), e classifica esse tráfego como premium.
Se você incluir um policial de prioridade premium, você pode especificar um mapa de prioridade de saída, incluindo a classifier
declaração no nível de [edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map]
hierarquia:
[edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map] classifier { premium { forwarding-class class-name { loss-priority (high | low); } } }
Você pode definir uma classe de encaminhamento ou usar uma classe de encaminhamento predefinida. Tabela 2 mostra as classes de encaminhamento predefinidas e suas atribuições de fila associadas.
Nome da classe de encaminhamento |
Fila |
---|---|
melhor esforço |
Fila 0 |
encaminhamento acelerado |
Fila 1 |
encaminhamento garantido |
Fila 2 |
controle de rede |
Fila 3 |
Para obter mais informações sobre as aulas de encaminhamento de CoS, consulte o Guia de Usuário da Classe de Serviços do Junos OS para dispositivos de roteamento. Para um exemplo de configuração, veja Example: Configuração de gigabit Ethernet Policers.
Aplicar um policial
Em todas as interfaces de roteador da Série MX, Gigabit Ethernet IQ, IQ2 e IQ2-E PICs, e PICs Gigabit Ethernet com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i), você pode aplicar policiais de entrada e saída que definem limites de taxa para tráfego premium e agregado recebido na interface lógica. Os policiais agregados são suportados em PICs Gigabit Ethernet com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i).
Esses policiais permitem que você realize um policiamento de tráfego simples sem configurar um filtro de firewall.
Para aplicar policiais a endereços MAC de origem específica, inclua a accept-source-mac
declaração:
accept-source-mac { mac-address mac-address { policer { input cos-policer-name; output cos-policer-name; } } }
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit interfaces interface-name unit logical-unit-number ]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Você pode especificar o endereço MAC como nn:nn::nnnn:nn:nn ounnnn.
nnnn.
nnnn, onde n
está um número hexadecimal. Você pode configurar até 64 endereços de origem. Para especificar mais de um endereço, inclua várias mac-address
declarações na configuração lógica da interface.
Em interfaces Ethernet Gigabit não registradas, você não deve configurar a source-address-filter
declaração no nível de [edit interfaces ge-fpc/pic/port gigether-options]
hierarquia e a accept-source-mac
declaração no nível de [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number]
hierarquia simultaneamente. Se essas declarações estiverem configuradas para as mesmas interfaces ao mesmo tempo, uma mensagem de erro será exibida.
Em interfaces Ethernet Gigabit marcadas, você não deve configurar a source-address-filter
declaração no nível de [edit interfaces ge-fpc/pic/port gigether-options]
hierarquia e a accept-source-mac
declaração no nível de [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number]
hierarquia com um endereço MAC idêntico especificado em ambos os filtros. Se essas declarações forem configuradas para as mesmas interfaces com um endereço MAC idêntico especificado, uma mensagem de erro será exibida.
Se a placa Ethernet remota for alterada, a interface não aceita tráfego da nova placa porque a nova placa tem um endereço MAC diferente.
Os endereços MAC que você inclui na configuração são inseridos no banco de dados MAC do roteador. Para ver o banco de dados MAC do roteador, insira o show interfaces mac-database interface-name
comando:
user@host> show interfaces mac-database interface-name
input
No comunicado, liste o nome de um modelo de policial a ser avaliado quando os pacotes são recebidos na interface.
output
No comunicado, liste o nome de um modelo de policial a ser avaliado quando os pacotes são transmitidos na interface.
Nas interfaces IQ2 e IQ2-E PIC, o valor padrão para a retenção máxima de entradas na tabela de endereços MAC mudou, para casos em que a tabela não está completa. O novo tempo de espera é de 12 horas. O tempo de retenção anterior de 3 minutos ainda está em vigor quando a tabela estiver cheia.
Você pode usar o mesmo policial uma ou mais vezes.
Se você aplicar tanto policiais quanto filtros de firewall em uma interface, os policiais de entrada são avaliados antes que os filtros de firewall de entrada e os policiais de saída sejam avaliados após filtros de firewall de saída.
Configuração da filtragem de endereços MAC
Você não pode definir explicitamente o tráfego com endereços MAC de origem específicos a serem rejeitados; no entanto, para Gigabit Ethernet IQ e Gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i), e para DPCs Gigabit Ethernet em roteadores da Série MX, você pode bloquear todos os pacotes recebidos que não têm um endereço de origem especificado na accept-source-mac
declaração. Para obter mais informações sobre a accept-source-mac
declaração, consulte Aplicar um policial.
Para habilitar esse bloqueio, inclua a source-filtering
declaração no nível de [edit interfaces interface-name gigether-options]
hierarquia:
[edit interfaces interface-name gigether-options] source-filtering;
Para obter mais informações sobre a source-filtering
declaração, consulte Configurar a filtragem de endereços MAC para interfaces Ethernet.
Para aceitar o tráfego, embora não tenha um endereço de origem especificado na accept-source-mac
declaração, inclua a no-source-filtering
declaração no nível da [edit interfaces interface-name gigether-options]
hierarquia:
[edit interfaces interface-name gigether-options] no-source-filtering;
Example: Configuração de gigabit Ethernet Policers
Exemplo
Este exemplo ilustra o seguinte:
Configure a interface
ge-6/0/0
para tratar os valores de prioridade 2 e 3 como premium. Na entrada, isso significa que os valores de prioridade do IEEE 802.1p são tratados2
3
como premium. Na saída, significa que o tráfego classificado na fila 0 ou 1 com PLP de baixa e fila 2 ou 3 com PLP de alta, é tratado como premium.Defina um policial que limita a largura de banda premium a 100 Mbps e tamanho de explosão a 3 k, e a largura de banda agregada a 200 Mbps e tamanho de explosão a 3 k.
Especifique que os quadros recebidos do endereço
00:01:02:03:04:05
MAC e do ID600
VLAN estão sujeitos ao policial na entrada e saída. Na entrada, isso significa que os quadros recebidos com o endereço00:01:02:03:04:05
MAC de origem e o VLAN ID 600 estão sujeitos ao policial. Na saída, isso significa que os quadros transmitidos do roteador com o endereço00:01:02:03:04:05
MAC de destino e o ID600
VLAN estão sujeitos ao policial.
Configuração de exemplo
[edit interfaces] ge-6/0/0 { gigether-options { ether-switch-profile { ether-policer-profile { input-priority-map { ieee-802.1p { premium [ 2 3 ]; } } output-priority-map { classifier { premium { forwarding-class best-effort { loss-priority low; } forwarding-class expedited-forwarding { loss-priority low; } forwarding-class assured-forwarding { loss-priority high; } forwarding-class network-control { loss-priority high; } } } } policer policer-1 { premium { bandwidth-limit 100m; burst-size-limit 3k; } aggregate { bandwidth-limit 200m; burst-size-limit 3k; } } } } } unit 0 { accept-source-mac { mac-address 00:01:02:03:04:05 { policer { input policer-1; output policer-1; } } } } }
Configuração do Gigabit Ethernet de duas cores e policiais tricolores
- Visão geral
- Configuração de um policial
- Aplicar um policial
- Example: Configuração e aplicação de um policial
Visão geral
Para interfaces Gigabit Ethernet e Ethernet IQ2 e IQ2-E de 10 Gigabits em roteadores da Série M e série T, você pode configurar policiais de marcação tricolor e de duas cores e aplicá-los em interfaces lógicas para impedir que o tráfego na interface consuma largura de banda de maneira inadequada.
As redes policiam o tráfego limitando a taxa de transmissão de entrada ou saída de uma classe de tráfego com base em critérios definidos pelo usuário. O policiamento de tráfego permite controlar a taxa máxima de tráfego enviado ou recebido em uma interface e dividir uma rede em vários níveis de prioridade ou classes de serviço.
Os policiais exigem que você aplique um limite de tamanho e largura de banda de explosão ao fluxo de tráfego e estabeleça uma consequência para pacotes que excedem esses limites — geralmente uma prioridade de perda maior, para que os pacotes que excedem os limites do policial sejam descartados primeiro.
As arquiteturas de roteador da Juniper Networks oferecem suporte a três tipos de policiador:
Policiador de duas cores — um policial de duas cores (ou "policial" quando usado sem qualificação) mediu o fluxo de tráfego e classifica os pacotes em duas categorias de prioridade de perda de pacotes (PLP) de acordo com uma largura de banda configurada e limite de tamanho estourado. Você pode marcar pacotes que excedem a largura de banda e o limite de tamanho estourado de alguma forma, ou simplesmente desnudá-los. Um policial é mais útil para medir o tráfego no nível da porta (interface física).
Marcação tricolor de taxa única (TCM de taxa única)— Um policial de marcação tricolor de taxa única é definido em RFC 2697, um marcador de cor de taxa única três, como parte de um sistema de classificação de encaminhamento por comportamento de hop (PHB) garantido para um ambiente de Serviços Diferenciados (DiffServ). Esse tipo de policial metros de tráfego com base na taxa de informações comprometidas configurada (CIR), tamanho de explosão comprometido (CBS) e tamanho de explosão em excesso (EBS).
A partir do Junos OS Release 13.1, o tráfego é classificado em três categorias: Verde, vermelho e amarelo. A lista a seguir descreve as categorias:
Verde — o tamanho dos pacotes que chegam é menor do que a soma do CIR e da CBS configurados.
Vermelho — o tamanho de explosão dos pacotes que chegam é maior do que a soma do CIR e do EBS configurados.
Amarelo — o tamanho de explosão dos pacotes que chegam é maior do que o CBS, mas menor que o EBS.
O TCM de taxa única é mais útil quando um serviço é estruturado de acordo com o comprimento do pacote e não a taxa de chegada máxima.
Marcação Tricolor de duas categorias (TCM de duas taxas)— Esse tipo de policiador é definido em RFC 2698, A Two Rate Three Color Marker, como parte de um sistema de classificação de encaminhamento por comportamento por hop (PHB) garantido para um ambiente de Serviços Diferenciados (DiffServ). Esse tipo de policiador medidora tráfego com base no CIR configurado e na taxa de informações de pico (PIR), juntamente com seus tamanhos de explosão associados, o CBS e o EBS.
O tráfego é classificado nas seguintes três categorias:
Verde — o tamanho dos pacotes que chegam é menor do que a soma do CIR e da CBS configurados.
Vermelho — o tamanho de explosão dos pacotes que chegam é maior do que a soma do PIR e do EBS configurados.
Amarelo — o tráfego não pertence nem à categoria verde nem vermelha.
O TCM de duas taxas é mais útil quando um serviço é estruturado de acordo com as taxas de chegada e não necessariamente o comprimento do pacote.
Ao contrário do policiamento (descrito na Configuração do Gigabit Ethernet Policers), a configuração de policiais de duas cores e policiais de marcação tricolor exige que você configure um filtro de firewall.
Configuração de um policial
Os policiais de marcação tricolor e de duas cores estão configurados no nível de [edit firewall]
hierarquia.
Um policial de marcação tricolor policia o tráfego com base nas taxas de medição, incluindo o CIR, o PIR, seus tamanhos de explosão associados e quaisquer ações de policiamento configuradas para o tráfego.
Para configurar a marcação do policial tricolor, inclua a three-color-policer
declaração com opções no nível de [edit firewall]
hierarquia:
[edit firewall] three-color-policer name { action { loss-priority high { then discard; } } single-rate { (color-aware | color-blind); committed-information-rate bps; committed-burst-size bytes; excess-burst-size bytes; } two-rate { (color-aware | color-blind); committed-information-rate bps; committed-burst-size bytes; peak-information-rate bps; peak-burst-size bytes; } }
Para obter mais informações sobre a configuração de marcações de policiais tricolores, consulte as políticas de roteamento, filtros de firewall e guia de usuário dos policiais de tráfego e o guia de usuário da classe de serviços do Junos OS para dispositivos de roteamento.
Aplicar um policial
Aplique um policial de duas cores ou um policial tricolor em uma interface lógica para evitar que o tráfego na interface consuma a largura de banda de maneira inadequada. Para aplicar policiais tricolores ou de duas cores, inclua a layer2-policer
declaração:
layer2-policer { input-policer policer-name; input-three-color policer-name; output-policer policer-name; policer-name; }
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit interfaces interface-name unit logical-unit-number]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Use a input-policer
declaração para aplicar um policial de duas cores para receber pacotes em uma interface lógica e a input-three-color
declaração para aplicar um policial tricolor. Use a output-policer
declaração para aplicar um policial de duas cores para transmitir pacotes em uma interface lógica e a output-three-color
declaração para aplicar um policial tricolor. Os policiais especificados devem ser configurados no nível de [edit firewall]
hierarquia. Para cada interface, você pode configurar um policial de três cores ou um policial de entrada de duas cores ou policiais de saída — você não pode configurar um policial de três cores e um policial de duas cores.
Example: Configuração e aplicação de um policial
Configure policiais tricolores e aplique-os em uma interface:
[edit firewall] three-color-policer three-color-policer-color-blind { logical-interface-policer; two-rate { color-blind; committed-information-rate 1500000; committed-burst-size 150; peak-information-rate 3; peak-burst-size 300; } } three-color-policer three-color-policer-color-aware { logical-interface-policer; two-rate { color-aware; committed-information-rate 1500000; committed-burst-size 150; peak-information-rate 3; peak-burst-size 300; } } [edit interfaces ge-1/1/0] unit 1 { layer2-policer { input-three-color three-color-policer-color-blind; output-three-color three-color-policer-color-aware; } }
Configure um policial de duas cores e aplique-o a uma interface:
[edit firewall] policer two-color-policer { logical-interface-policer; if-exceeding { bandwidth-percent 90; burst-size-limit 300; } then loss-priority-high; } [edit interfaces ge-1/1/0] unit 2 { layer2-policer { input-policer two-color-policer; output-policer two-color-policer; } }