示例:配置双速率三色监管器
此示例说明如何配置双速率三色监管器。
要求
双速率三色监管器的支持因设备而异。它包括运行兼容版本的 Junos OS 的 SRX1400、SRX3400、SRX3600、SRX5400、SRX5600 和 SRX5800 服务网关设备。
配置此示例之前,无需设备初始化以外的特殊配置。
概述
双速率三色监管器将流量与带宽限制和保证流量的突发大小限制进行计量,外加高峰流量的带宽限制和突发大小限制。符合保证信息流限制的流量分类为绿色,非合规流量分为两类之一:
未超出峰值流量限制的非合规流量可分类为黄色。
超过峰值流量限制的不一致信息流分类为红色。
每个类别都与一个操作相关联。对于绿色流量,数据包将隐式设置为丢失优先级值 low ,然后传输。对于黄色信息流,数据包将默示设置为丢失优先级值 medium-high ,然后进行传输。对于红色信息流,数据包将默示设置为丢失优先级值 high ,然后进行传输。如果监管器配置包含可选 action 语句 (action loss-priority high then discard),则红色流中的数据包将被丢弃。
您仅可将三色监管器应用于第 3 层流量,作为防火墙过滤器监管器。您从无状态防火墙过滤器术语中参考监管器,然后将过滤器应用于协议级别逻辑接口的输入或输出。
拓扑
在此示例中,您可将颜色感知的双速率三色监管器应用于逻辑接口的输入 IPv4 流量 fe-0/1/1.0。引用监管器的 IPv4 防火墙过滤器术语不应用任何数据包过滤。过滤器仅用于将三色监管器应用于接口。
您可将监管器速率限制为带宽限制为 40 Mbps,为绿色流量配置突发大小限制为 100 KB,并且配置监管器还允许为黄色流量提供 60 Mbps 的峰值带宽限制和 200 KB 的峰值突发大小限制。只有超过峰值流量限制的非合规流量才会被分类为红色。在此示例中,您可配置三色监管器操作,该操作 loss-priority high then discard将红色流量的隐式标记覆盖为 high 丢失优先级。
配置
以下示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器。
要配置此示例,请执行以下任务:
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配所需的任何详细信息,复制命令,然后将命令粘贴到层次结构级别的 CLI 中 [edit] ,然后从配置模式进入 commit 。
set firewall three-color-policer trTCM1-ca two-rate color-aware set firewall three-color-policer trTCM1-ca two-rate committed-information-rate 40m set firewall three-color-policer trTCM1-ca two-rate committed-burst-size 100k set firewall three-color-policer trTCM1-ca two-rate peak-information-rate 60m set firewall three-color-policer trTCM1-ca two-rate peak-burst-size 200k set firewall three-color-policer trTCM1-ca action loss-priority high then discard set firewall family inet filter filter-trtcm1ca-all term 1 then three-color-policer two-rate trTCM1-ca set interfaces ge-2/0/5 unit 0 family inet address 10.10.10.1/30 set interfaces ge-2/0/5 unit 0 family inet filter input filter-trtcm1ca-all set class-of-service interfaces ge-2/0/5 forwarding-class af
配置双速率三色监管器
逐步过程
要配置双速率三色监管器:
启用三色监管器配置。
[edit] user@host# set firewall three-color-policer trTCM1-ca
配置双速率三色监管器的颜色模式。
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate color-aware
配置双速率保证流量限制。
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate committed-information-rate 40m user@host# set two-rate committed-burst-size 100k
不会超过这两个限制的信息流被分类为绿色。绿色流中的数据包被默示设置为
low丢失优先级,然后传输。配置双速率峰值信息流限制。
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate peak-information-rate 60m user@host# set two-rate peak-burst-size 200k
不会超过这两个限制的不一致信息流被分类为黄色。黄色流中的数据包被默示设置为
medium-high丢失优先级,然后进行传输。超过这两个限制的不一致信息流被分类为红色。红色流中的数据包被默示设置为high丢失优先级。(可选)配置红色流量的监管器操作。
[edit firewall three-color-policer trTCM1-ca] user@host# set action loss-priority high then discard
对于三色监管器,唯一可配置的行动是丢弃红色数据包。红色数据包是已分配高丢失优先级的数据包,因为它们超过了峰值信息速率 (PIR) 和峰值突发大小 (PBS)。
结果
输入配置模式命令以确认监管器的 show firewall 配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show firewall
three-color-policer trTCM1-ca {
action {
loss-priority high then discard;
}
two-rate {
color-aware;
committed-information-rate 40m;
committed-burst-size 100k;
peak-information-rate 60m;
peak-burst-size 200k;
}
}
配置参考监管器的 IPv4 无状态防火墙过滤器
逐步过程
要配置参考监管器的 IPv4 无状态防火墙过滤器:
启用 IPv4 标准无状态防火墙过滤器的配置。
[edit] user@host# set firewall family inet filter filter-trtcm1ca-all
指定引用监管器的过滤器术语。
[edit firewall family inet filter filter-trtcm1ca-all] user@host# set term 1 then three-color-policer two-rate trTCM1-ca
请注意,该术语未指定任何匹配条件。防火墙过滤器将所有数据包传递给监管器。
结果
输入配置模式命令以确认防火墙过滤器的 show firewall 配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show firewall
family inet {
filter filter-trtcm1ca-all {
term 1 {
then {
three-color-policer {
two-rate trTCM1-ca;
}
}
}
}
}
three-color-policer trTCM1-ca {
action {
loss-priority high then discard;
}
two-rate {
color-aware;
committed-information-rate 40m;
committed-burst-size 100k;
peak-information-rate 60m;
peak-burst-size 200k;
}
}
将过滤器应用到协议族级别的逻辑接口
逐步过程
要将过滤器应用于协议家族级别的逻辑接口:
启用 IPv4 防火墙过滤器配置。
[edit] user@host# edit interfaces ge-2/0/5 unit 0 family inet
将监管器应用于协议家族级别的逻辑接口。
[edit interfaces ge-2/0/5 unit 0 family inet] user@host# set address 10.10.10.1/30 user@host# set filter input filter-trtcm1ca-all
(仅限 MX 系列路由器和 EX 系列交换机)(可选)对于输入监管器,您可以配置固定分类器。固定分类器可对所有传入数据包进行重新分类,而不考虑任何预先存在的分类。
注意:平台支持取决于实施中的 Junos OS 版本。
[edit] user@host# set class-of-service interfaces ge-2/0/5 forwarding-class af
分类器名称可以是配置的分类器或默认分类器之一。
结果
输入 show interfaces 配置模式命令以确认接口的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show interfaces
ge-2/0/5 {
unit 0 {
family inet {
address 10.10.10.1/30;
filter {
input filter-trtcm1ca-all;
}
}
}
}
如果完成设备配置,请在配置模式下输入 commit 。
验证
确认配置工作正常。
显示应用于逻辑接口的防火墙过滤器
目的
验证防火墙过滤器是否应用于逻辑接口的 IPv4 输入信息流。
行动
show interfaces使用逻辑接口ge-2/0/5.0的操作模式命令并指定detail模式。命令Protocol inet输出部分显示逻辑接口的 IPv4 信息。在该部分中Input Filters,字段显示与逻辑接口关联的 IPv4 防火墙过滤器的名称。
user@host> show interfaces ge-2/0/5.0 detail
Logical interface ge-2/0/5.0 (Index 105) (SNMP ifIndex 556) (Generation 170)
Flags: Device-Down SNMP-Traps 0x4004000 Encapsulation: ENET2
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Local statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Protocol inet, MTU: 1500, Generation: 242, Route table: 0
Flags: Sendbcast-pkt-to-re
Input Filters: filter-trtcm1ca-all
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255,
Generation: 171
Protocol multiservice, MTU: Unlimited, Generation: 243, Route table: 0
Policer: Input: __default_arp_policer__