Entendendo policiais hierárquicos aprimorados
Use a configuração aprimorada de policiamento hierárquico para limitar o tráfego com base em pacotes classificados na prioridade de tráfego. Configure o policiamento de tráfego em quatro níveis de hierarquias em relação à prioridade de tráfego.
Esse recurso está disponível apenas em dispositivos ACX7100-32C, ACX7100-48L, ACX7509 e ACX7024.
Em uma configuração aprimorada de policiador hierárquico, até quatro policiais são definidos. Cada policial mapeia para uma prioridade de tráfego. As quatro prioridades de tráfego, organizadas conforme sua ordem de precedência são Alta, Média-Alta, Média-Baixa e Baixa. As prioridades de tráfego são hierárquicas – a alta é a prioridade de tráfego com a mais alta precedência e Low é a prioridade de tráfego com a menor precedência. Implica que um policial definido para a alta prioridade de tráfego tem uma precedência maior do que o resto dos policiais ou um policial definido para a prioridade de baixo tráfego tem uma precedência menor do que o resto dos policiais.
Todos os policiais (um ou até quatro) em uma configuração aprimorada de policiamento hierárquico consomem largura de banda de uma largura de banda máxima alocada – na Tabela 1 essa largura de banda máxima alocada é de 65 mbps. Cada policial tem uma taxa de informação confirmada (CIR) e uma taxa de informação confirmada máxima dessa largura de banda alocada máxima. Como diretriz, os valores CIR e Max CIR são sempre os mesmos para o policial com a mais alta precedência.
A largura de banda ou largura de banda não utilizada são levadas para policiais de menor precedência. Como pode ser observado em Tabela 1, o policiador de médio e alto nível herda largura de banda nãoutilizado do alto policial. O policial médio-baixo herda de policiais de alto e médio porte. O policial baixo herda dos outros três policiais de maior precedência. Recomenda-se que o CIR MÁXIMO de um determinado nível seja igual ao CIR do nível atual + CIR combinado de níveis anteriores/superiores.
|
Configurações do policer |
||
|---|---|---|
|
Nível de policiamento/prioridade de tráfego |
CIR |
MAX CIR |
|
alto |
5mbps |
5mbps |
|
médio-alto |
10mbps |
15mbps |
|
médio-baixo |
20mbps |
35mbps |
|
baixo |
30mbps |
65mbps |
Diretrizes para configurar um melhor policial hierárquico
-
Um policial hierárquico aprimorado é específico do filtro. A semântica de policiamento específica para filtros deve ser usada para policial hierárquico, pois vários termos apontarão para o mesmo policial.
-
O nome contrário deve ser o mesmo para todos os termos mapeados para ação aprimorada de policiamento hierárquico sob o mesmo nível de hierarquia.
-
É obrigatório configurar todos os níveis de um policial hierárquico aprimorado com respectivas taxas de largura de banda de policial e configurações de tamanho de explosão. Se não houver nenhum requisito para configurar todos os quatro níveis, os níveis indesejados devem especificar taxas de CIR, MAX CIR e CBS menos suportadas. Recomenda-se que os termos do filtro de firewall não sejam mapeados para esses níveis indesejados.
-
Cada nível de policiamento hierárquico aprimorado deve ser configurado com a ação para descartar os pacotes que excedem a largura de banda configurada.
Exemplo: Configurando um melhor policial hierárquico
Neste exemplo:
-
Um policial hierárquico aprimorado é definido.
-
Um filtro de firewall é definido e o policiador é aplicado no filtro de firewall. O filtro de firewall é aplicado a uma interface.
-
As estatísticas do policial são exibidas.
Requisitos:
-
Junos OS Release 23.3 R1 ou posterior.
-
Um dispositivo ACX7100-32C, ACX7100-48L, ACX7509 ou ACX7024.
Procedimento passo a passo
-
Definir o nome do policial.
[edit] user@host# set firewall enhanced-hierarchical-policer hpol
-
Definir taxa de informações comprometidas (CIR), taxa máxima de informações comprometidas (MIR) e tamanho de explosão comprometido (CBS) para as quatro prioridades de tráfego, ou seja, alta, média-alta, média-baixa e baixa.
user@host# set firewall enhanced-hierarchical-policer hpol filter-specific user@host# set firewall enhanced-hierarchical-policer hpol high committed-information-rate 5m user@host# set firewall enhanced-hierarchical-policer hpol high max-committed-information-rate 5m user@host# set firewall enhanced-hierarchical-policer hpol high committed-burst-size 5k user@host# set firewall enhanced-hierarchical-policer hpol high then discard user@host# set firewall enhanced-hierarchical-policer hpol medium-high committed-information-rate 10m user@host# set firewall enhanced-hierarchical-policer hpol medium-high max-committed-information-rate 15m user@host# set firewall enhanced-hierarchical-policer hpol medium-high committed-burst-size 15k user@host# set firewall enhanced-hierarchical-policer hpol medium-high then discard user@host# set firewall enhanced-hierarchical-policer hpol medium-low committed-information-rate 20m user@host# set firewall enhanced-hierarchical-policer hpol medium-low max-committed-information-rate 35m user@host# set firewall enhanced-hierarchical-policer hpol medium-low committed-burst-size 35k user@host# set firewall enhanced-hierarchical-policer hpol medium-low then discard user@host# set firewall enhanced-hierarchical-policer hpol low committed-information-rate 30m user@host# set firewall enhanced-hierarchical-policer hpol low max-committed-information-rate 65m user@host# set firewall enhanced-hierarchical-policer hpol low committed-burst-size 65k user@host# set firewall enhanced-hierarchical-policer hpol low then discard
-
Definir um filtro de firewall. Aplique o policiador hierárquico aprimorado especificando a prioridade de tráfego na ação do termo filtro de firewall.
user@host# set firewall family inet filter hpol-inet interface-specific user@host# set firewall family inet filter hpol-inet term platinum from dscp af11 user@host# set firewall family inet filter hpol-inet term platinum then enhanced-hierarchical-policer hpol traffic-priority high user@host# set firewall family inet filter hpol-inet term gold from dscp af12 user@host# set firewall family inet filter hpol-inet term gold then enhanced-hierarchical-policer hpol traffic-priority medium-high user@host# set firewall family inet filter hpol-inet term silver from dscp af13 user@host# set firewall family inet filter hpol-inet term silver then enhanced-hierarchical-policer hpol traffic-priority medium-low user@host# set firewall family inet filter hpol-inet term dflt then enhanced-hierarchical-policer hpol traffic-priority low
-
Aplique o filtro de firewall em uma interface.
user@host# set interfaces et-0/0/1 unit 0 family inet address 100.1.1.6/32 user@host# set interfaces et-0/0/1 unit 0 family inet filter input hpol-inet
-
Exibir estatísticas aprimoradas de policiais hierárquicos. Os bytes e pacotes em queda/vermelho são exibidos por nível.
user@host# show firewall Filter: hpol-inet-et-0/0/1.0-i Enchanced Hierarchical Policers: Name Bytes Packets hpol High 0 0 Medium-High 0 0 Medium-Low 0 0 Low 0 0