隧道 CoS 队列概述
在运行 Junos OS 的 SRX 系列设备上,隧道接口是内部接口,与物理接口支持许多相同的 CoS 功能。隧道接口通过 IP 网络在远程点的两个 SRX 系列设备之间创建虚拟点对点链路。
例如,您可以为通用路由封装 (GRE) 和 IP-IP 隧道接口配置 CoS 功能。隧道协议将数据包封装在传输协议内。
GRE 和 IP-IP 隧道与 IPsec 和 NAT 等服务一起使用,以设置点对点 VPN。Junos OS 允许您为通过这些隧道接口的流量出口启用 CoS 队列、调度和整形。有关为 GRE 隧道配置 CoS 队列的示例,请参阅 示例:为 GRE 或 IP-IP 隧道配置 CoS 队列。
机箱群集中的 GRE 隧道不支持 CoS 队列。
CoS 队列功能不适用于 Junos OS 12.3X48 版或较旧的设备,如 SRX550(低内存)、SRX100 或 SRX200。
从 Junos OS 15.1X49-D100 版和 Junos OS 17.3R1 版开始,您可以在 SRX 300、SRX320、SRX340、SRX345 和 SRX550M 设备的逻辑隧道上配置 CoS。
从 Junos OS 20.3R1 版开始,您可以在 SRX4600 设备的 GRE 隧道上配置 CoS。
用于隧道接口的 CoS 队列的优势
为隧道接口启用 CoS 队列具有以下优势:
隔离隧道流量。
可以对每个隧道进行整形,以便具有低优先级流量的隧道不会在其他承载高优先级流量的隧道中泛洪。
一个隧道的流量不会影响其他隧道上的流量。
控制隧道带宽。
通过各种隧道的流量仅限于不超过特定带宽。
例如,假设您通过单个 WAN 接口有三条到三个远程站点的隧道。您可以为每个隧道选择 CoS 参数,这样流向某些站点的流量获得的带宽会比流向其他站点的流量更多。
自定义 CoS 策略。
您可以根据用户要求将不同的队列、调度和整形策略应用于不同的隧道。每个隧道都可以配置不同的调度器图、不同的队列深度等。自定义允许您配置精细的 CoS 策略,以便更好地控制隧道流量。
在流量进入隧道之前确定流量的优先级。
例如,当接口速度高于隧道流量速度时,CoS 队列可避免在高优先级数据包之前安排低优先级数据包。与 IPsec 结合使用时,此功能最有用。通常,IPsec 以 FIFO 方式处理数据包。但是,通过 CoS 队列,每个隧道都可以将高优先级数据包优先于低优先级数据包。此外,可以对每个隧道进行整形,以便包含低优先级流量的隧道不会泛洪承载高优先级流量的隧道。
在逻辑隧道上配置 CoS
CoS 有四种典型场景,允许使用安全隧道与远程站点连接。但是,不同的安全隧道可能会使用不同的 reth 接口连接到不同的网络提供商 (NP)。对于特定的 NP,有限的上行链路带宽可用于确定高优先级业务的优先级,并避免在 NP 端盲目丢弃流量。目前 CoS 不支持跨物理交换点 (IFD) 排队。共享监管器不能像排队一样工作,因此监管者可能会丢弃高优先级流量,而不管其优先级如何。要支持在 IFD 上排队以使 CoS 功能能够确定排队和整形的优先级,需要逻辑隧道 (LT) 和 NP 配置。
您必须定义一对一映射到 NP 的逻辑隧道,并通过路由将流量重定向到 LT 接口,然后才能通过安全隧道对流量进行加密。
例如,配置 lt-0/0/0.0 和 lt-0/0/0.1 以连接 inet 0 和 NP1(虚拟路由器),并配置静态路由以将流量重定向至 NP1 作为 lt-0/0/0.0 下一跳。由于 NP1 为上游流量提供 10mbps 带宽,因此 lt-0/00.0 可配置为 10mbps 的带宽整形。请参阅 图 1。
CoS 解决方案
routing-instances {
NP1 {
instance-type virtual-router;
interface lt-0/0/0.1;
interface lo0.0;
interface reth1.0;
interface reth2.0;
interface st0.1;
interface st0.2;
routing-options {
static {
route 59.200.200.1/32 next-hop <next-hop addr of ipsec tunnel st0.1>;
route 59.200.200.2/32 next-hop <next-hop addr of ipsec tunnel st0.2>;
route 60.60.60.1/32 next-hop st0.1;
route 60.60.60.2/32 next-hop st0.2;
route 58.58.58.1/32 next-hop lt-0/0/0.1;
route 58.58.58.2/32 next-hop lt-0/0/0.1;
}
}
}
NP2 {
instance-type virtual-router;
interface lt-0/0/0.3;
interface lo0.1;
interface reth3.0;
interface reth4.0;
interface st0.3;
interface st0.4;
routing-options {
static {
route 59.200.200.3/32 next-hop <next-hop addr of ipsec tunnel st0.3>;
route 59.200.200.4/32 next-hop <next-hop addr of ipsec tunnel st0.4>;
route 60.60.60.3/32 next-hop st0.3;
route 60.60.60.4/32 next-hop st0.4;
route 58.58.58.3/32 next-hop lt-0/0/0.3;
route 58.58.58.4/32 next-hop lt-0/0/0.3;
}
}
}
}
routing-options {
static {
route 60.60.60.1/32 next-hop lt-0/0/0.0;
route 60.60.60.2/32 next-hop lt-0/0/0.0;
route 60.60.60.3/32 next-hop lt-0/0/0.2;
route 60.60.60.4/32 next-hop lt-0/0/0.2;
}
}
class-of-service {
interfaces {
lt-0/0/0 {
unit 0 {
shaping-rate 10m;
}
unit 2 {
shaping-rate 10m;
}
}
CoS 队列的工作原理
图 2 显示了进出隧道的流量所发生的与 CoS 相关的处理。有关基于流的数据包处理的信息,请参阅 《安全设备基于流和基于数据包的处理用户指南》。
的 CoS 处理
隧道接口的 CoS 成形器限制
在隧道接口上定义 CoS 整形速率时,请注意以下限制:
隧道接口上的整形速率必须小于物理出口接口的速率。
整形速率仅测量包含采用 GRE 或 IP-IP 封装的第 3 层数据包的数据包大小。整形速率测量不会考虑物理接口添加的第 2 层封装。
只有当物理接口单独承载整形的 GRE 或 IP-IP 隧道流量时,CoS 行为才按预期运行。如果物理接口携带其他流量,从而降低了隧道接口流量的可用带宽,则 CoS 功能将无法按预期工作。
您不能在路由器上同时配置 逻辑接口 整形工具和虚拟电路整形器。如果需要虚拟电路整形,请勿定义逻辑接口整形器。而是为所有虚拟电路定义整形速率。