Aplicando policiais
Visão geral da aplicação de policiais
Os policiais permitem que você realize um policiamento de tráfego simples em interfaces específicas ou redes virtuais privadas de Camada 2 (VPNs) sem configurar um filtro de firewall. Para aplicar policiais, inclua a policer declaração:
policer { arp policer-template-name; input policer-template-name; output policer-template-name; }
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit interfaces interface-name unit logical-unit-number family family][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
family Na declaração, a família de protocolo pode serccc, inet, , inet6, mplstccou vpls.
arp No comunicado, liste o nome de um modelo de policiador a ser avaliado quando os pacotes do Protocolo de Resolução de Endereços (ARP) forem recebidos na interface. Por padrão, um policiador ARP é instalado que é compartilhado entre todas as interfaces Ethernet nas quais você configurou a family inet declaração. Se você quiser um policiamento mais rigoroso ou brando de pacotes ARP, você pode configurar um policiador específico da interface e aplicá-lo à interface. Você configura um policiador ARP da maneira que configuraria qualquer outro policial, no nível da [edit firewall policer] hierarquia. Se você aplicar este policiador em uma interface, o policiador padrão de pacotes ARP será substituído. Se você excluir este policial, o policiador padrão entra em vigor novamente.
Você pode configurar um policial diferente em cada família de protocolo em uma interface, com um policiador de entrada e um policial de saída para cada família. Quando você aplica policiais, você pode configurar a família, , , ,
tccmplsouvplsapenas, e um policial ARP apenas para o protocolo da famíliainet.inet6inetcccCada vez que um policial é mencionado, uma cópia separada do policial é instalada nos componentes de encaminhamento de pacotes para essa interface.Se você aplicar tanto os policiais quanto os filtros de firewall em uma interface, os policiais de entrada são avaliados antes dos filtros de firewall de entrada e os policiais de saída são avaliados após os filtros de firewall de saída.
inputNo comunicado, liste o nome de um modelo de policiador a ser avaliado quando os pacotes forem recebidos na interface.outputNo comunicado, liste o nome de um modelo de policiador a ser avaliado quando os pacotes forem transmitidos na interface.Para assinantes que terminam em roteadores da Série MX por uma interface de Ethernet agregada (AE) que abrange vários FPCs, é possível que uma taxa geral de assinante exceda a taxa configurada porque o limite configurado no policiador é aplicado separadamente a cada interface no pacote AE. Assim, por exemplo, se você pretende ter um policial em uma interface AE de três membros aplicar um
bandwidth-limitde 600m, você precisaria configurar obandwidth-limitno policiador para 200m contabilizar as três interfaces na AE (ou seja, 200 Mbps por interface, para um total combinado de 600Mbps).Se você aplicar o policiador na interface
lo0, ele é aplicado a pacotes recebidos ou transmitidos pelo Mecanismo de Roteamento.Nas plataformas T Series, M120 e M320, se as interfaces estiverem no mesmo FPC, os filtros ou policiais não agirão na soma do tráfego entrando e saindo das interfaces.
Aplicação de policiais agregados
Aplicação de policiais agregados
Por padrão, se você aplicar um policial a várias famílias de protocolo na mesma interface lógica, o policial restringe o tráfego para cada família de protocolo individualmente. Por exemplo, um policial com um limite de largura de banda de 50 Mbps aplicado ao tráfego IPv4 e IPv6 permitiria que a interface aceitasse 50 Mbps de tráfego IPv4 e 50 Mbps de tráfego IPv6. Se você aplicar um policiador agregado, o policiador permitiria que a interface recebesse apenas 50 Mbps de tráfego IPv4 e IPv6 combinados.
Para configurar um policiador agregado, inclua a logical-interface-policer declaração no nível de [edit firewall policer policer-template-name] hierarquia:
[edit firewall policer policer-template-name] logical-interface-policer;
Para que o policial seja tratado como um agregado, você deve aplicá-lo a várias famílias de protocolo em uma única interface lógica, incluindo a policer declaração:
policer { arp policer-template-name; input policer-template-name; output policer-template-name; }
Você pode incluir essas declarações nos seguintes níveis de hierarquia:
[edit interfaces interface-name unit logical-unit-number family family][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
family Na declaração, a família de protocolo pode serccc, inet, , inet6, mplstccou vpls.
As famílias de protocolo nas quais você não aplica o policial não são afetadas pelo policial. Por exemplo, se você configurar uma única interface lógica para aceitar o tráfego MPLS, IPv4 e IPv6 e aplicar o policiador policer1 de interface lógica apenas para as famílias de protocolo IPv4 e IPv6, o tráfego MPLS não está sujeito às restrições de policer1.
Se você se aplicar policer1 a uma interface lógica diferente, existem duas instâncias do policial. Isso significa que o Junos OS policia o tráfego em interfaces lógicas separadas separadamente, não como um agregado, mesmo que o mesmo policiador de interface lógica seja aplicado a várias interfaces lógicas na mesma porta de interface física.
Exemplo: Aplicação de policiais agregados
Configure dois policiais de interface lógica: aggregate_police1 e aggregate_police2... Aplicar-se aggregate_police1 ao tráfego IPv4 e IPv6 recebido em interface fe-0/0/0.0 lógica. Aplicar-se aggregate_police2 ao tráfego CCC e MPLS recebido na interface lógica fe-0/0/0,0. Essa configuração faz com que o software crie apenas uma instância de aggregate_police1aggregate_police2.
Aplicar-se aggregate_police1 ao tráfego IPv4 e IPv6 recebido em outra interface fe-0/0/0.1lógica. Essa configuração faz com que o software crie uma nova instância de aggregate_police1, uma que se aplica à unidade 0 e outra que se aplica à unidade 1.
[edit firewall]
policer aggregate_police1 {
logical-interface-policer;
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 500k;
}
then {
discard;
}
}
policer aggregate_police2 {
logical-interface-policer;
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 200k;
}
then {
discard;
}
}
[edit interfaces fe-0/0/0]
unit 0 {
family inet {
policer {
input aggregate_police1;
}
}
family inet6 {
policer {
input aggregate_police1;
}
}
family ccc {
policer {
input aggregate_police2;
}
}
family mpls {
policer {
input aggregate_police2;
}
}
}
unit 1 {
family inet {
policer {
input aggregate_police1;
}
}
family inet6 {
policer {
input aggregate_police1;
}
}
}
Aplicação de policiais hierárquicos em PICs de enfileiramento inteligente aprimorados
Aplicação de policiais hierárquicos em PICs de enfileiramento inteligente aprimorados
Roteadores de borda M40e, M120 e M320 e roteadores de núcleo da Série T com PICs de fila inteligente aprimorada (IQE) oferecem suporte a policiais hierárquicos na direção de entrada e permitem que você aplique um policial hierárquico para os níveis de tráfego premium e agregado (premium mais normal) em uma interface. Os policiais hierárquicos oferecem funcionalidades cruzadas entre a interface física configurada e o Mecanismo de encaminhamento de pacotes.
Antes de começar, existem algumas restrições gerais que se aplicam a policiais hierárquicos:
Apenas um tipo de policiador pode ser configurado para uma interface lógica ou física. Por exemplo, não é permitido um policial hierárquico e um policiador regular na mesma direção para a mesma interface lógica.
O encadeamento dos policiais — isto é, aplicar policiais a uma porta e as interfaces lógicas dessa porta — não é permitido.
Há um limite de 64 policiais por interface caso não haja classificação BA, fornecendo um único policial por DLCI.
Apenas um tipo de policiador pode ser aplicado em uma interface física ou lógica.
O policial deve ser independente da classificação ba. Sem a classificação BA, todo o tráfego em uma interface será tratado como EF ou não-EF, com base na configuração. Com a classificação BA, uma interface pode oferecer suporte a até 64 policiais. Novamente, a interface aqui pode ser uma interface física ou interface lógica (por exemplo, DLCI).
Com a classificação BA, o tráfego diverso (o tráfego sem correspondência com nenhum dos bits DSCP/EXP de classificação BA) será policiado como tráfego não-EF. Nenhum policial separado será instalado para este tráfego.
Visão geral do policial hierárquico
O policiamento hierárquico usa dois baldes de ficha, um para tráfego agregado (não-EF) e outro para tráfego premium (EF). Qual tráfego é EF e que não é EF é determinado pela configuração de classe de serviço. Logicamente, o policiamento hierárquico é conseguido acorrentando dois policiais.
No exemplo, Figura 1o tráfego de EF é policiado pelo Premium Policer e o tráfego não EF é policiado pelo Aggregate Policer. O que isso significa é que, para o tráfego de EF, a ação fora de especificação será a configurada para o Premium Policer, mas o tráfego de EF em especificação ainda consumirá os símbolos do Aggregate Policer.
Mas o tráfego EF nunca será submetido à ação fora de especificação do Policiador Agregado. Além disso, se a ação fora de especificação do Premium Policer não estiver definida para descartar, esses pacotes fora de especificação não consumirão os símbolos do Policiador Agregado. O policiador agregado só policia o tráfego não-EF. Como você pode ver, o balde de símbolo agregado do Policiador pode dar negativo, se todos os símbolos forem consumidos pelo tráfego não-EF e então você tiver rajadas de tráfego EF. Mas isso será por um tempo muito curto, e durante um período de tempo ele vai sair em média. Por exemplo:
Premium Policer: Largura de banda de 2 Mbps, Ação OOS: Descartar
Agregador de polícia: Largura de banda de 10 Mbps, Ação OOS: Descartar
No caso acima, o tráfego EF tem garantia de 2 Mbps e o tráfego não-EF terá de 8 Mbps a 10 Mbps, dependendo da taxa de entrada do tráfego EF.
Características do policiamento hierárquico
Os recursos hierárquicos do balde de símbolo incluem:
O tráfego de entrada é classificado pela primeira vez em tráfego EF e não-EF antes de aplicar um policial:
A classificação é realizada pela busca por Q-tree
O número do canal seleciona um policial de balde de símbolo compartilhado:
O policial de balde duplo é dividido em dois únicos policiais de balde:
Policer1 — tráfego EF
Policer2 — tráfego não-EF
Balde de símbolo compartilhado é usado para policiar o tráfego da seguinte forma:
Policer1 está definido para taxa de EF (por exemplo, 2 Mbps)
O Policer2 está definido para agregar taxa de policiamento de interface (por exemplo, 10 Mbps).
O tráfego EF é aplicado ao Policer1.
Se o tráfego estiver em especificação, ele pode passar e decréscimos tanto do Policer1 quanto do Policer2.
Se o tráfego estiver fora de especificação, ele pode ser descartado ou marcado com um novo FC ou prioridade de perda. O Policer2 não fará nada com o tráfego EF fora de especificação.
O tráfego não-EF é aplicado apenas ao Policer2.
Se o tráfego estiver em especificação, ele pode passar e decremented Policer2.
Se o tráfego estiver fora de especificação, ele será descartado ou marcado com um novo FC ou definido com uma nova prioridade de queda.
Limite a velocidade da porta a uma taxa desejada na Camada 2
Limite de taxa do tráfego EF
Limite de taxa o tráfego não-EF
Quedas de policiamento contadas por cor
Consulte também
Configuração de policiais hierárquicos
Para configurar um policial hierárquico, aplique a policing-priority declaração à classe de encaminhamento adequada e configure um policial hierárquico para o nível agregado e premium. Para obter mais informações sobre a classe de serviço, consulte o guia de usuário da classe de serviços do Junos OS para dispositivos de roteamento.
Os policiais hierárquicos só podem ser configurados em interfaces físicas SONET hospedadas em um IQE PIC. Apenas níveis agregados e premium são suportados.
Configuração cos de aulas de encaminhamento para policiais hierárquicos
[edit class-of-service forwarding-classes] class fc1 queue-num 0 priority high policing-priority premium; class fc2 queue-num 1 priority low policing-priority normal; class fc3 queue-num 2 priority low policing-priority normal; class fc4 queue-num 3 priority low policing-priority normal;
Para obter informações detalhadas sobre a configuração e as declarações de classe de serviço, consulte o Guia de usuário da Classe de Serviço do Junos OS para dispositivos de roteamento.
Configuração de firewall para policiais hierárquicos
[edit firewall hierarchical-policer foo]
aggregate {
if-exceeding {
bandwidth-limit 70m;
burst-size-limit 1500;
}
then {
discard;
}
premium {
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 1500;
}
then {
discard;
}
}
Você pode aplicar o policial hierárquico da seguinte forma:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-hierarchical-policer foo;
Você também tem a opção de aplicar o policiador no nível de porta física da seguinte forma:
[edit interfaces so-0/1/0 layer2-policer] input-hierarchical-policer foo;
Configuração de um policiador de duas cores de taxa única
Você pode configurar um policial de duas cores de taxa única da seguinte forma:
[edit firewall policer foo]
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 1500;
}
then {
discard;
}
Você pode aplicar o policial da seguinte forma:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-policer foo;
Você também tem a opção de aplicar o policiador no nível de porta física da seguinte forma:
[edit interfaces so-0/1/0 layer2-policer] input-policer foo;
Configuração de um policiador colorido-cego de taxa única
Esta seção descreve os policiais de cores cegas e conscientes de cores de taxa única.
Você pode configurar um policial cego de cor de taxa única da seguinte forma:
[edit firewall three-color-policer foo]
single-rate {
color-blind;
committed-information-rate 50m;
committed-burst-size 1500;
excess-burst-size 1500;
}
Você pode aplicar o policiador cego de cor de taxa única da seguinte forma:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
Você pode configurar um policial com reconhecimento de cores de taxa única da seguinte forma:
[edit firewall three-color-policer bar]
single-rate {
color-aware;
committed-information-rate 50m;
committed-burst-size 1500;
excess-burst-size 1500;
}
Você pode aplicar o policiador com reconhecimento de cores de taxa única da seguinte forma:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
Você também tem a opção de aplicar o policiador no nível de porta física da seguinte forma:
[edit interfaces so-0/1/0 layer2-policer] input-three-color bar;
Configurando um policiador de marcador tricolor de duas categorias
O policiamento de entrada é implementado usando um marcador tricolor de duas taxas (trTCM). Isso é feito com um balde de ficha dupla (DTB) que mantém duas taxas, comprometidas e um pico. O policiamento estático de saída também usa um balde de ficha.
Os baldes de símbolo executam as seguintes funções de policiamento de entrada:
(1K) trTCM - Balde de símbolo duplo (marcação vermelha, amarela e verde)
O policiamento é baseado no tamanho de pacotes de Camada 2:
Após +/- byte ajuste offset
A marcação é consciente da cor e da cor cega:
O color aware precisa ter a configuração de cores por uma olhada em q-tree com base em:
Tos
EXP
Ações de marcação programáveis:
Cor (vermelho, amarelo, verde)
Queda baseada em cores e perfil de congestionamento
O policial é selecionado com base no número do canal que chega:
LUT com número de canal produz índice de policiamento e índice de fila
Vários canais podem compartilhar o mesmo policiador (LUT produz o mesmo índice de policiador)
Suporte ao policiamento de entrada e trTCM nos seguintes níveis:
Fila
Interface lógica (ifl/DLCI)
Interface física (ifd)
Porta física (se for o controlador)
Quaisquer combinações de interface lógica, interface física e porta
Porcentagem de suporte de velocidade de interface e bits por segundo
Os limites de taxa podem ser aplicados a filas selecionadas na entrada e em filas predefinidas na saída. O balde de símbolo opera em modos de reconhecimento de cores e cores cegas (especificado pela RFC 2698).
Configurando um trTCM colorido-cego
[edit firewall three-color-policer foo]
two-rate {
color-blind;
committed-information-rate 50m;
committed-burst-size 1500;
peak-information-rate 100m;
peak-burst-size 3k;
}
Você pode aplicar o policiador colorido-cego de três cores da seguinte forma:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
Você também tem a opção de aplicar o policiador no nível de porta física da seguinte forma:
[edit interfaces so-0/1/0 layer2-policer] input-three-color foo;
Configurando um trTCM com reconhecimento de cores
[edit firewall three-color-policer bar]
two-rate {
color-aware;
committed-information-rate 50m;
committed-burst-size 1500;
peak-information-rate 100m;
peak-burst-size 3k;
}
Você pode aplicar o policiador de duas categorias com reconhecimento de cores de três cores da seguinte forma:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color bar;
Você também tem a opção de aplicar o policiador no nível de porta física da seguinte forma:
[edit interfaces so-0/1/0 layer2-policer] input-three-color bar;