Exemplo: Configuração do policiamento e marcação do tráfego entrando em um núcleo VPLS
Este exemplo de filtro de firewall permite que um provedor de serviços limite o tráfego de broadcast agregado entrando no núcleo do serviço de LAN privada virtual (VPLS). O tráfego multicast de transmissão, unicast desconhecido e não IP recebido de um dos clientes do provedor de serviços em uma interface lógica tem um policial aplicado. O provedor de serviços também configurou um policiador de duas categorias e três cores para limitar o tráfego multicast IP do cliente. Para obter mais informações sobre a configuração dos policiais, consulte o Guia de Usuário de Classe de Serviço do Junos OS para dispositivos de roteamento.
A posição do roteador é mostrada em Figura 1.
Há quatro partes principais na configuração:
O policial para transmissão, unicast desconhecido e tráfego multicast não IP. Este exemplo marca a prioridade de perda tão alta se esse tipo de tráfego exceder 50 Kbps.
O policiador de duas categorias e três cores para tráfego IP multicast. Este exemplo configura uma taxa de informação comprometida (CIR) de 4 Mbps, uma explosão comprometida de 256 Kbytes, uma taxa de informação máxima de 4,1 Mbps e uma explosão de pico de 256 Kbytes (o mesmo que o CIR).
O filtro que aplica os dois policiais ao VPLS.
A aplicação do filtro na configuração da interface do cliente como um filtro de entrada.
Este exemplo não apresenta listas de configuração exaustivas para todos os roteadores nos números. No entanto, você pode usar este exemplo com uma estratégia de configuração mais ampla para concluir as configurações de operações, administração e manutenção (OAM) da rede de roteador da Série MX.
Para configurar o policiamento e a marcação do tráfego entrando em um núcleo VPLS:
Configure policer bcast-unknown-unicast-non-ip-mcast-policer, um policiador de firewall para limitar a transmissão agregada, unicast desconhecido e multicast não IP a 50 kbps:
[edit firewall] policer bcast-unknown-unicast-non-ip-mcast-policer { if-exceeding { bandwidth-limit 50k; burst-size-limit 150k; } then loss-priority high; }Configure three-color-policer ip-multicast-traffic-policerum policiador de três cores para limitar o tráfego IP multicast:
[edit firewall] three-color-policer ip-multicast-traffic-policer { two-rate { color-blind; committed-information-rate 4m; committed-burst-size 256k; peak-information-rate 4100000; peak-burst-size 256k; } }Configure customer-1, um filtro de firewall que usa os dois policiais para limitar e marcar o tráfego do cliente. O primeiro termo marca o tráfego ip multicast baseado no endereço MAC de destino, e o segundo termo policia o tráfego multicast, unicast desconhecido e não IP:
[edit firewall] family vpls { filter customer-1 { term t0 { from { destination-mac-address { 01:00:5e:00:00:00/24; } } then { three-color-policer { two-rate ip-multicast-traffic-policer; } forwarding-class expedited-forwarding; } } term t1 { from { traffic-type [ broadcast unknown-unicast multicast ]; } then policer bcast-unknown-unicast-non-ip-mcast-policer; } } }Aplique o filtro de firewall como filtro de entrada na interface do cliente em ge-2/1/0:
[edit interfaces] ge-2/1/0 { vlan-tagging; encapsulation flexible-ethernet-services; unit 5 { encapsulation vlan-vpls; vlan-id 9; family vpls { filter { input customer-1; } } } }