了解 st0 接口上的 CoS 支持
您可以在安全隧道接口 (st0) 上为点对点 VPN 配置服务等级 (CoS) 功能,例如分类器、监管器、队列、调度、整形、重写规则和虚拟通道。
st0 隧道接口是内部接口。基于路由的 VPN 可使用 st0 接口将明文信息流路由到 IPsec VPN 隧道。st0 接口支持所有可用 SRX 系列设备和 vSRX2.0 上的以下 CoS 功能:
-
分类
-
监管器
-
排队、调度和整形
-
重写规则
-
虚拟通道
重写/重写是指更换传出数据包标头中的值,以便识别由传输路由器分配给数据包的类。可以使用每个标记类型(IEEE 802.1p、MPLS EXP、IPv4 优先级、IPv4 DSCP 或 IPv6 DSCP)重写每个数据包标头类型。
重写仅适用于出口接口。
VPN st0 接口上 CoS 支持的局限性
以下限制适用于 VPN st0 接口上的 CoS 支持:
-
软件队列的最大数量为 2048。如果 st0 接口数量超过 2048,则无法为所有 st0 接口创建足够的软件队列。
-
只有基于路由的 VPN 才能在 st0 接口上应用 CoS 功能。 表 1 介绍了对不同类型的 VPN 的 st0 CoS 功能支持。
表 1:VPN 的 CoS 功能支持 分类器功能 站点到站点 VPN (P2P) AutoVPN (P2P) 站点到站点/自动 VPN/AD-VPN (P2MP) 分类器、监管器和重写标记
支持
支持
支持
基于 st0 逻辑接口的排队、调度和整形
支持
不支持
不支持
基于虚拟通道的排队、调度和整形
支持
支持
支持
-
在 SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备上,一个 st0 逻辑接口可绑定到多个 VPN 隧道。st0 逻辑接口的八个队列无法将流量重新路由到不同的隧道,因此不支持隧道前。
注意:您可以使用虚拟通道功能作为 SRX300、SRX320、SRX340、SRX345 和 SRX550HM 设备上的解决方法。
-
在 st0 隧道接口上定义 CoS 整形速率时,请考虑以下限制:
-
隧道接口上的整形速率必须小于物理出口接口的速率。
-
整形速率仅测量包含带有 ESP/AH 标头和外部 IP 标头封装的内部第 3 层明文数据包的数据包大小。整形速率测量中未考虑物理接口添加的外部第 2 层封装。
-
当物理接口仅携带形状的 GRE 或 IP-IP 隧道流量时,CoS 行为将如预期的那样工作。如果物理接口承载其他信息流,从而降低通道接口流量的可用带宽,则 CoS 功能将无法按预期工作。
-
-
在 SRX550M、SRX5400、SRX5600 和 SRX5800 设备上,监管器配置中的带宽限制和突发大小限制值是每个 SPU,而不是按系统的限制。与物理接口上的监管器行为相同。