Configuração de Gigabit Ethernet Policers
Os policiais permitem que você realize um simples policiamento de tráfego em interfaces Ethernet Gigabit sem configurar um filtro de firewall. Você pode usar esse tópico para configurar um mapa de prioridade de entrada, um mapa de prioridade de saída e aplicar a política. Use este tópico para obter informações sobre como configurar um policial de duas cores e um policial tri-color.
Recursos de PICs Gigabit Ethernet IQ e PICs Gigabit Ethernet com SFPs
Para PICs Gigabit Ethernet IQ e PICs Gigabit Ethernet com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrado no roteador M7i), você pode configurar recursos granulares de classe de serviço (CoS) por VLAN e instrumentação e diagnósticos extensos em uma base de endereço por VLAN e por MAC.
Reescrever, etiquetar e excluir VLAN permite que você use espaço de endereço VLAN para dar suporte a mais clientes e serviços.
O VPLS permite que você forneça uma LAN point-to-multipoint entre um conjunto de sites em uma VPN. PICs Ethernet IQ e PICs Gigabit Ethernet com SFPs (exceto o PIC Ethernet de 10 portas Gigabit e a porta Ethernet Gigabit integrados no roteador M7i) são combinados com VPLS para fornecer serviço metro Ethernet.
Para interfaces Gigabit Ethernet IQ2 e IQ2-E e Ethernet de 10 Gigabits e IQ2-E, você pode aplicar o policiamento de Camada 2 a interfaces lógicas na direção de saída ou entrada. Os policiais de Camada 2 estão configurados em nível [edit firewall] de hierarquia. Você também pode controlar a taxa de tráfego enviado ou recebido em uma interface configurando uma sobrecarga de polícia em nível [edit chassis fpc slot-number pic slot-number] de hierarquia.
Tabela 1 lista os recursos de PICs Gigabit Ethernet IQ e PICs Gigabit Ethernet com SFPs (exceto o Ethernet PIC de 10 portas Gigabit e a porta Ethernet Gigabit integrado no M7i roteador).
Capacidade |
Gigabit Ethernet IQ (SFP) |
Gigabit Ethernet (SFP) |
|---|---|---|
| Camada 2 | ||
Agregação de enlace 802.3ad |
Sim |
Sim |
VLANs máximas por porta |
384 |
1023 |
Tamanho máximo da unidade de transmissão (MTU) |
9192 |
9192 |
aprendizado de MAC |
Sim |
Sim |
Contabilidade MAC |
Sim |
Sim |
filtragem DE MAC |
Sim |
Sim |
Destinos por porta |
960 |
960 |
Fontes por porta |
64 |
64 |
Polícias MAC hierárquicos |
Sim, premium e agregado |
Não, somente agregados |
Múltiplos serviços de TPID e IP para TPIDs não padrão |
Sim |
Sim |
Vários encapsulamentos de Ethernet |
Sim |
Sim |
Tags VLAN duplas |
Sim |
Não |
Reescrito de VLAN |
Sim |
Não |
| VPNs de Camada 2 | ||
VLAN CCC |
Sim |
Sim |
CCC baseado em porta |
Sim |
Sim |
Protocolo de tags VLAN CCC Virtual Metropolitan Area Network (VMAN) estendido |
Sim |
Sim |
| CoS | ||
Filas de saída baseadas em PIC |
Sim |
Sim |
VLANs em fila |
Sim |
Não |
VPLS |
Sim |
Sim |
Para obter mais informações sobre a configuração de VPLS, consulte a Biblioteca de VPNs do Junos OS para dispositivos de roteamento.
Você também pode configurar a CoS em interfaces de IQ lógicas. Para obter mais informações, consulte o Guia de Usuário da Classe de Serviço do Junos OS para dispositivos de roteamento.
Consulte também
Configuração de Gigabit Ethernet Policers
- Visão geral
- Configuração de um Policer
- Especificando um mapa de prioridade de entrada
- Especificando um mapa de prioridade de saída
- Aplicação de um Policer
- Configuração da filtragem de endereços MAC
- Exemplo: Configuração de Gigabit Ethernet Policers
Visão geral
No Gigabit Ethernet IQ e PICs Ethernet Gigabit com SFPs (exceto o PIC Ethernet de 10 portas Gigabit e a porta Ethernet Gigabit integrado no roteador M7i), você pode definir limites de taxa para tráfego premium e agregado recebido na interface. Esses policiais permitem que você realize um simples policiamento de tráfego sem configurar um filtro de firewall. Primeiro você configura o perfil do policial Ethernet, em seguida classifica a entrada e o tráfego de saída e depois aplica o policial a uma interface lógica.
Para PICs Gigabit Ethernet com SFPs (exceto o PIC Gigabit Ethernet de 10 portas e a porta Gigabit Ethernet interna no roteador M7i), as taxas de polícia configuradas por você podem ser diferentes das taxas do Mecanismo de Encaminhamento de Pacotes. A diferença é resultado da sobrecarga da Camada 2. O PIC explica essa diferença.
Nos roteadores da Série MX com PICs Gigabit Ethernet ou Fast Ethernet, as seguintes considerações são aplicadas:
Os contadores de interface não contam o delimiter de quadros de 7 byte e 1 byte em quadros Ethernet.
Nas estatísticas mac, o tamanho do quadro inclui o header MAC e o CRC antes de aplicar qualquer regra de reescrita/imposição de VLAN.
Nas estatísticas de tráfego, o tamanho do quadro abrange o header L2 sem CRC depois de qualquer regra de reescrita/imposição de VLAN.
Para obter informações sobre como entender as estatísticas de quadro de Ethernet, consulte o Guia de Configuração de Camada 2 da Série MX.
Configuração de um Policer
Para configurar um perfil de policial Ethernet, inclua a ethernet-policer-profile declaração em nível de [edit interfaces interface-name gigether-options ethernet-switch-profile] hierarquia:
[edit interfaces interface-name gigether-options ethernet-switch-profile] ethernet-policer-profile { policer cos-policer-name { aggregate { bandwidth-limit bps; burst-size-limit bytes; } premium { bandwidth-limit bps; burst-size-limit bytes; } } }
No perfil do policial Ethernet, o policial com prioridade agregada é obrigatório; o policial de prioridade premium é opcional.
Para policiais agregados e premium, você especifica o limite de largura de banda em bits por segundo. Você pode especificar o valor como um número decimal completo ou como um número decimal seguido pela abreviação k (1000), m (1.000.000) ou g (1.000.000). Não existe valor mínimo absoluto para o limite de largura de banda, mas qualquer valor abaixo de 61.040 bps resultará em uma taxa eficaz de 30.520 bps. O limite de largura de banda máximo é de 4,29 Gbps.
O tamanho máximo de ruptura controla a quantidade de tráfego permitido. Para determinar o limite de tamanho de ruptura, você pode multiplicar a largura de banda da interface na qual você está aplicando o filtro pela quantidade de tempo que permite que ocorra um estouro de tráfego nessa largura de banda:
burst size = bandwidth x allowable time for burst traffic
Caso você não conheça a largura de banda da interface, você pode multiplicá-lo MTU máximo do tráfego na interface por 10 para obter um valor. Por exemplo, o tamanho da explosão para uma MTU de 4.700 seria de 47.000 bytes. O tamanho da explosão deve ser de pelo menos 10 MTUs de interface. O valor máximo para o limite de tamanho de ruptura é de 100 MB.
Especificando um mapa de prioridade de entrada
Um mapa de prioridade de entrada identifica o tráfego de entrada com valores de prioridade IEEE 802.1p especificados e classifica esse tráfego como premium.
Se você incluir um policial com prioridade premium, você pode especificar um mapa de prioridade de entrada incluindo a ieee802.1 premium instrução no nível [edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map] da hierarquia:
[edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map] ieee802.1p premium [ values ];
Os valores de prioridade podem ser de 0 a 7. O tráfego restante é classificado como não-premium (ou agregado). Para um exemplo de configuração, consulte Exemplo: Configuração de Gigabit Ethernet Policers .
Nas interfaces IQ2 e IQ2-E e série MX, quando uma etiqueta VLAN é empurrada, os bits VLAN internos IEEE 802.1p são copiados para IEEE bits das VLAN ou VLANs sendo empurrados. Caso o pacote original não seja conectado, os bits IEEE VLAN ou VLANs sendo empurrados estão definidos como 0.
Especificando um mapa de prioridade de saída
Um mapa de prioridade de saída identifica o tráfego de saída com classificação de fila especificada e prioridade de perda de pacote (PLP), e classifica esse tráfego como premium.
Se você incluir um policial com prioridade premium, você pode especificar um mapa de prioridade de saída incluindo a classifier instrução no nível [edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map] da hierarquia:
[edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map] classifier { premium { forwarding-class class-name { loss-priority (high | low); } } }
Você pode definir uma classe de encaminhamento ou usar uma classe de encaminhamento predefinida. Tabela 2 mostra as classes de encaminhamento predefinidas e as atribuições de fila associadas.
Nome da classe de encaminhamento |
Fila |
|---|---|
de maior esforço |
Fila 0 |
encaminhamento acelerado |
Fila 1 |
encaminhamento garantido |
Fila 2 |
controle de rede |
Fila 3 |
Para obter mais informações sobre CoS de encaminhamento, consulte o Guia de Usuário da Classe de Serviço do Junos OS para dispositivos de roteamento. Para um exemplo de configuração, consulte Exemplo: Configuração de Gigabit Ethernet Policers .
Aplicação de um Policer
Em todas as interfaces do Roteador da Série MX, Gigabit Ethernet IQ, IQ2 e PICs IQ2-E, e PICs Ethernet Gigabit com SFPs (exceto o PIC Ethernet de Gigabit de 10 portas e a porta Ethernet Gigabit integrado no roteador M7i), você pode aplicar polícias de entrada e saída que definem limites de taxa para tráfego premium e agregado recebido na interface lógica. Os policiais agregados são suportados em PICs Ethernet Gigabit com SFPs (exceto o PIC Ethernet de 10 portas Gigabit e a porta Ethernet Gigabit integrado no M7i roteador).
Esses policiais permitem que você realize um simples policiamento de tráfego sem configurar um filtro de firewall.
Para aplicar agentes de polícia a endereços MAC de origem específica, inclua a accept-source-mac declaração:
accept-source-mac { mac-address mac-address { policer { input cos-policer-name; output cos-policer-name; } } }
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit interfaces interface-name unit logical-unit-number ][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Você pode especificar o endereço MAC como nn:nn:nn:nn:nnounnnn.nnnn.nnnn,onde está um número n hexadecimal. Você pode configurar até 64 endereços de origem. Para especificar mais de um endereço, inclua várias mac-address declarações na configuração da interface lógica.
Em interfaces Ethernet Gigabit não registradas, você não deve configurar a instrução no nível da hierarquia e a instrução no nível source-address-filter[edit interfaces ge-fpc/pic/port gigether-options] da hierarquia accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] simultaneamente. Se essas declarações estão configuradas para as mesmas interfaces ao mesmo tempo, uma mensagem de erro é exibida.
Nas interfaces Gigabit Ethernet marcadas, você não deve configurar a instrução no nível da hierarquia e a instrução em nível de hierarquia com um endereço MAC idêntico especificado em source-address-filter[edit interfaces ge-fpc/pic/port gigether-options] ambos os accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] filtros. Se essas declarações estão configuradas para as mesmas interfaces com um endereço MAC idêntico especificado, uma mensagem de erro é exibida.
Se a placa Ethernet remota for mudada, a interface não aceita o tráfego da nova placa porque a nova placa tem um endereço MAC diferente.
Os endereços MAC que você inclui na configuração são inseridos no banco de dados MAC do roteador. Para exibir o banco de dados MAC do roteador, insira o show interfaces mac-database interface-name comando:
user@host> show interfaces mac-database interface-name
Na declaração, liste o nome de um modelo de polícia a ser avaliado quando os pacotes são input recebidos na interface.
Na declaração, liste o nome de um modelo de polícia a ser avaliado quando os pacotes output são transmitidos na interface.
Nas interfaces IQ2 e IQ2-E PIC, o valor padrão para retenção máxima de entradas na tabela de endereços MAC mudou, para casos em que a tabela não está completa. O novo tempo de espera é de 12 horas. O tempo de retenção anterior de 3 minutos ainda está em vigor quando a tabela estiver cheia.
Você pode usar o mesmo policial uma ou mais vezes.
Se você aplicar filtros de firewall e polícias a uma interface, os policiais de entrada serão avaliados antes de inserir filtros de firewall e os policiais de saída serão avaliados após filtros de firewall de saída.
Configuração da filtragem de endereços MAC
Você não pode definir explicitamente o tráfego com endereços MAC de origem específico a serem recusados; no entanto, para PICs Gigabit Ethernet IQ e Gigabit Ethernet com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit interna no roteador M7i), e para DPCs Ethernet Gigabit em roteadores da série MX, você pode bloquear todos os pacotes de entrada que não tenham um endereço de origem especificado na accept-source-mac declaração. Para obter mais informações sobre a accept-source-mac declaração, consulte Aplicação de um Policer .
Para habilitar esse bloqueio, inclua source-filtering a instrução em nível [edit interfaces interface-name gigether-options] de hierarquia:
[edit interfaces interface-name gigether-options] source-filtering;
Para obter mais informações sobre a source-filtering declaração, consulte Configurar a filtragem de endereços MAC para interfaces Ethernet.
Para aceitar o tráfego, embora ele não tenha um endereço de origem especificado na declaração, inclua a accept-source-macno-source-filtering instrução no nível [edit interfaces interface-name gigether-options] da hierarquia:
[edit interfaces interface-name gigether-options] no-source-filtering;
Exemplo: Configuração de Gigabit Ethernet Policers
Exemplo
Este exemplo ilustra os seguintes exemplos:
Configure a interface
ge-6/0/0para tratar os valores de prioridade 2 e 3 como premium. Na entrada, isso significa que IEEE valores de prioridade de 802,1p2e3são tratados como premium. Na saída, o tráfego classificado na fila 0 ou 1 com PLP de baixa e fila 2 ou 3 com PLP de alta qualidade é tratado como premium.Defina um policial que limita a largura de banda premium a 100 Mbps e o tamanho do burst para 3k, e a largura de banda agregada a 200 Mbps e o tamanho do burst para 3k.
Especifique que os quadros recebidos do endereço MAC e a ID VLAN estão sujeitos ao
00:01:02:03:04:05agente de polícia na entrada e na600saída. Na entrada, isso significa que os quadros recebidos com o endereço MAC de origem e a00:01:02:03:04:05ID 600 VLAN estão sujeitos ao agente de polícia. Na saída, isso significa que os quadros transmitidos do roteador com o endereço MAC de destino e a00:01:02:03:04:05ID VLAN600estão sujeitos ao agente de polícia.
Configuração de exemplo
[edit interfaces]
ge-6/0/0 {
gigether-options {
ether-switch-profile {
ether-policer-profile {
input-priority-map {
ieee-802.1p {
premium [ 2 3 ];
}
}
output-priority-map {
classifier {
premium {
forwarding-class best-effort {
loss-priority low;
}
forwarding-class expedited-forwarding {
loss-priority low;
}
forwarding-class assured-forwarding {
loss-priority high;
}
forwarding-class network-control {
loss-priority high;
}
}
}
}
policer policer-1 {
premium {
bandwidth-limit 100m;
burst-size-limit 3k;
}
aggregate {
bandwidth-limit 200m;
burst-size-limit 3k;
}
}
}
}
}
unit 0 {
accept-source-mac {
mac-address 00:01:02:03:04:05 {
policer {
input policer-1;
output policer-1;
}
}
}
}
}
Configurando Gigabit Ethernet Two-Color e Tricolor Policers
- Visão geral
- Configuração de um Policer
- Aplicação de um Policer
- Exemplo: Configuração e aplicação de um Policer
Visão geral
Para interfaces Gigabit Ethernet e Ethernet de 10 Gigabit e IQ2-E em roteadores Série M e Série T, você pode configurar políciadores de marcação de duas cores e tricolor e aplicá-los a interfaces lógicas para impedir que o tráfego na interface consuma largura de banda de maneira indevida.
As redes fiscalizam o tráfego limitando a taxa de transmissão de entrada ou saída de uma classe de tráfego com base em critérios definidos pelo usuário. O tráfego de policiamento permite controlar a taxa máxima de tráfego enviado ou recebido em uma interface e particionar uma rede em vários níveis ou classes de serviço prioritariamente.
Os policiais exigem que você aplique um limite de largura de banda e tamanho de explosão ao fluxo de tráfego e desempacar uma consequência para pacotes que superem esses limites — geralmente uma prioridade de perda maior, para que pacotes que superem os limites do policer sejam eliminados primeiro.
Juniper Networks de roteador tem suporte para três tipos de polícia:
Um policial de duas cores — um policial de duas cores (ou "policial" quando usado sem qualificação) medem o fluxo de tráfego e classificam os pacotes em duas categorias de prioridade de perda de pacote (PLP) de acordo com uma largura de banda configurada e limite de tamanho estouro. Você pode marcar pacotes que superam a largura de banda e o limite de tamanho estouro de alguma forma ou simplesmente os descartam. Um policial é mais útil para medição do tráfego em nível de porta (interface física).
Marcação tricolor de taxa única (TCM de taxa única)— Um policial tricolor de taxa única é definido em RFC 2697, UmMarcador de Cores de Três Taxas Única , como parte de um sistema de classificação de encaminhamento garantido por comportamento de hop (PHB) para um ambiente de serviços diferenciados (DiffServ). Esse tipo de tráfego de medição de polícias com base na taxa de informações comprometidas configurada (CIR), no tamanho de ruptura comprometido (CBS) e no tamanho do estouro em excesso (EBS).
A partir da versão 13.1 do Junos OS, o tráfego é classificado em três categorias: Verde, vermelho e amarelo. A lista a seguir descreve as categorias:
Verde — o tamanho dos pacotes que chegam é inferior à soma das CIR e do CBS configurados.
Vermelho — O tamanho dos pacotes que chegam é maior do que a soma das CIR e EBS configuradas.
Amarelo — O tamanho dos pacotes que chegam é maior do que o CBS, mas menos do que o EBS.
O TCM de taxa única é mais útil quando um serviço é estruturado de acordo com o comprimento do pacote e não a taxa de chegada máxima.
Marcação Tricolor de duas taxas (TCM de duas taxas)— Esse tipo de policial é definido no RFC 2698, UmMarcador de Cores de Três Taxas de Duas Taxas , como parte de um sistema de classificação de encaminhamento por comportamento de hop (PHB) para um ambiente de serviços diferenciados (DiffServ). Esse tipo de tráfego de taxímetros com base na CIR configurada e na taxa de informações de pico (PIR), junto com seus tamanhos de ruptura associados, o CBS e o EBS.
O tráfego é classificado nas três categorias a seguir:
Verde — o tamanho dos pacotes que chegam é inferior à soma das CIR e do CBS configurados.
Red — O tamanho dos pacotes que chegam é maior do que a soma dos PIR e EBS configurados.
Amarelo — o tráfego não pertence à categoria verde ou vermelha.
O TCM de duas taxas é mais útil quando um serviço é estruturado de acordo com as taxas de chegada e não necessariamente o comprimento do pacote.
Ao contrário do policiamento (descrito na configuração de Gigabit Ethernet Policers),a configuração de policiais de duas cores e os policiais de marcação tricolor exigem que você configure um filtro de firewall.
Configuração de um Policer
Os policiais de marcação de duas cores e tricolores estão configurados em nível [edit firewall] de hierarquia.
Um políciador tricolor que marca o tráfego policial com base nas taxas de medição, incluindo a CIR, a PIR, seus tamanhos de rajadas associados e quaisquer ações de policiamento configuradas para o tráfego.
Para configurar a marcação do policer tricolor, inclua a three-color-policer declaração com opções em nível de [edit firewall] hierarquia:
[edit firewall]
three-color-policer name {
action {
loss-priority high {
then discard;
}
}
single-rate {
(color-aware | color-blind);
committed-information-rate bps;
committed-burst-size bytes;
excess-burst-size bytes;
}
two-rate {
(color-aware | color-blind);
committed-information-rate bps;
committed-burst-size bytes;
peak-information-rate bps;
peak-burst-size bytes;
}
}
Para obter mais informações sobre a configuração de marcas de polícia tricolor, consulte as Políticas de Roteamento, Filtros de Firewall e Guia de Usuário dos Políciadores de Tráfego e o Guia de Usuário da Classe OS do Junos OSpara Dispositivos de Roteamento.
Aplicação de um Policer
Aplique um policial de duas cores ou um policial tricolor a uma interface lógica para evitar que o tráfego na interface consuma largura de banda de maneira indevida. Para aplicar agentes de polícia de duas cores ou tricolores, inclua a layer2-policer declaração:
layer2-policer { input-policer policer-name; input-three-color policer-name; output-policer policer-name; policer-name; }
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit interfaces interface-name unit logical-unit-number][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Use a declaração para aplicar um policial de duas cores a pacotes recebidos em uma interface lógica e a declaração para input-policerinput-three-color aplicar um policial tricolor. Use a declaração para aplicar um policial de duas cores a pacotes transmitidos em uma interface lógica e a declaração para output-policeroutput-three-color aplicar um policial tricolor. Os policiais especificados precisam estar configurados em nível [edit firewall] de hierarquia. Para cada interface, você pode configurar um políciador de três cores ou um políciador de entrada ou saída de duas cores— você não pode configurar um policial de três cores e um policial de duas cores.
Exemplo: Configuração e aplicação de um Policer
Configure os policiais tricolores e aplique-os a uma interface:
[edit firewall]
three-color-policer three-color-policer-color-blind {
logical-interface-policer;
two-rate {
color-blind;
committed-information-rate 1500000;
committed-burst-size 150;
peak-information-rate 3;
peak-burst-size 300;
}
}
three-color-policer three-color-policer-color-aware {
logical-interface-policer;
two-rate {
color-aware;
committed-information-rate 1500000;
committed-burst-size 150;
peak-information-rate 3;
peak-burst-size 300;
}
}
[edit interfaces ge-1/1/0]
unit 1 {
layer2-policer {
input-three-color three-color-policer-color-blind;
output-three-color three-color-policer-color-aware;
}
}
Configure um policial de duas cores e aplique-o a uma interface:
[edit firewall]
policer two-color-policer {
logical-interface-policer;
if-exceeding {
bandwidth-percent 90;
burst-size-limit 300;
}
then loss-priority-high;
}
[edit interfaces ge-1/1/0]
unit 2 {
layer2-policer {
input-policer two-color-policer;
output-policer two-color-policer;
}
}