示例:配置双色逻辑接口(聚合)策略器
从 Junos OS 15.1X49-D40 版和 Junos OS 版 17.3R1 开始,您可以将单速率双色策略器配置为逻辑接口策略器,然后应用于逻辑接口上的传入 IPv4 流量。此示例说明了如何这样做。
要求
开始之前,请确保应用双色逻辑接口策略器的逻辑接口托管在千兆位以太网接口 ( ) 或 10 千兆位以太网接口 ( ) 上 ge- xe- 。
概述
此示例将单速率双色策略器配置为逻辑接口策略器,然后应用于逻辑接口上的传入 policer_IFL IPv4 流量 ge-1/3/1.0 。
拓扑
如果物理接口上的输入 IPv4 流量通过 300 KB 突发大小限制超过媒体速率的 90% 的带宽限制,则逻辑接口管制器速率可限制逻辑接口上的 ge-1/3/1 policer_IFL 输入 IPv4 流量。 ge-1/3/1.0将数据包丢弃优先级 (PLP) 级别设置为 ,将数据包分类为 ,以将策略程序配置为标记非通信 high best-effort 流。
随着物理接口上的传入 IPv4 信息流速率减慢并符合配置的限制,Junos OS在逻辑接口停止标记传入 IPv4 数据包。
配置
以下示例要求您在配置层次结构中导航各个级别。有关导航应用程序CLI,请参阅 在CLI 模式下使用 CLI编辑器。
要配置此示例,请执行以下任务:
CLI快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以匹配网络配置,将命令复制并粘贴到 层次结构级别的 CLI 中,然后从配置模式进入 。 [edit] commit
set interfaces ge-1/3/1 vlan-tagging set interfaces ge-1/3/1 unit 0 vlan-id 100 set interfaces ge-1/3/1 unit 0 family inet address 10.10.10.1/30 set interfaces ge-1/3/1 unit 1 vlan-id 101 set interfaces ge-1/3/1 unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44 set firewall policer policer_IFL logical-interface-policer set firewall policer policer_IFL if-exceeding bandwidth-percent 90 set firewall policer policer_IFL if-exceeding burst-size-limit 300k set firewall policer policer_IFL then loss-priority high set firewall policer policer_IFL then forwarding-class best-effort set interfaces ge-1/3/1 unit 0 family inet policer input policer_IFL
配置逻辑接口
逐步过程
要配置逻辑接口,
启用接口配置。
[edit] user@host# edit interfaces ge-1/3/1
配置单标记。
[edit interfaces ge-1/3/1] user@host# set vlan-tagging
配置逻辑接口
ge-1/3/1.0。[edit interfaces ge-1/3/1] user@host# set unit 0 vlan-id 100 user@host# set unit 0 family inet address 10.10.10.1/30
配置逻辑接口
ge-1/3/1.0。[edit interfaces ge-1/3/1] user@host# set unit 1 vlan-id 101 user@host# set unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44
结果
输入配置模式命令,以确认 show interfaces 逻辑接口的配置。如果命令输出未显示预期的配置,请重复此过程中的说明,以更正配置。
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
将单速率双色策略器配置为逻辑接口策略器
逐步过程
要将单速率双色策略器配置为逻辑接口策略器:
启用单速率双色政策器配置。
[edit] user@host# edit firewall policer policer_IFL
指定策略程序是一个逻辑接口(聚合)策略程序。
[edit firewall policer policer_IFL] user@host# set logical-interface-policer
逻辑接口策略程序根据应用策略器的逻辑接口下物理接口的媒体速率百分比对信息流执行速率限制。策略程序直接应用于接口,而非防火墙过滤器引用。
指定策略程序流量限制。
指定带宽限制。
要以绝对速率指定带宽限制(从每秒 8,000 位到每秒 50,000,000,000 位)中,请包含 该语句。
bandwidth-limit bps要指定带宽限制作为接口上物理端口速度的百分比,请包括
bandwidth-percent percent语句。
此示例中,CLI命令和输出基于以百分比指定的带宽限制,而不是绝对速率。
[edit firewall policer policer_IFL] user@host# set if-exceeding bandwidth-percent 90
指定突发大小限制,从 1,500 字节到 100,000,000,000 字节,这是允许超过指定带宽限制的数据突发的最大数据包大小。
[edit firewall policer policer_IFL] user@host# set if-exceeding burst-size-limit 300k
指定对超过配置速率限制的流量采取的策略程序操作。
要丢弃数据包,请包含
discard语句。要设置数据包的丢失优先级值,请包括
loss-priority (low | medium-low | medium-high | high)语句。要将数据包分类为转发类,请包括
forwarding-class (forwarding-class | assured-forwarding | best-effort | expedited-forwarding | network-control)语句。
此示例中,CLI命令和输出均基于设置数据包丢失优先级和对数据包进行分类。
[edit firewall policer policer_IFL] user@host# set then loss-priority high user@host# set then forwarding-class best-effort
结果
输入配置模式命令,以确认 show firewall 管理程序的配置。如果命令输出未显示预期的配置,请重复此过程中的说明,以更正配置。
[edit]
user@host# show firewall
policer policer_IFL {
logical-interface-policer;
if-exceeding {
bandwidth-percent 90;
burst-size-limit 300k;
}
then {
loss-priority high;
forwarding-class best-effort;
}
}
在逻辑接口上将逻辑接口策略应用于输入 IPv4 流量
逐步过程
要应用双色逻辑接口策略器输入 IPv4 信息流逻辑接口:
启用逻辑接口的配置。
[edit] user@host# edit interfaces ge-1/3/1 unit 0
将策略程序应用于所有信息流类型或逻辑接口上的特定信息流类型。
要向所有信息流类型应用策略程序,不管协议族是什么,请包括在层次结构
policer (input | output) policer-name级别[edit interfaces interface-name unit number]中的语句。要向特定协议家族的流量应用策略程序,请包含
policer (input | output) policer-name层级的[edit interfaces interface-name unit unit-number family family-name]语句。
要向传入数据包应用逻辑接口策略程序,请使用
policer input policer-name语句。要向传出数据包应用逻辑接口策略程序,请使用policer output policer-name语句。此示例中,CLI命令和输出基于逻辑接口上的 IPv4 输入流量的速率限制
ge-1/3/1.0。[edit interfaces ge-1/3/1 unit 0] user@host# set family inet policer input policer_IFL
结果
输入配置模式命令,以确认 show interfaces 接口的配置。如果命令输出未显示预期的配置,请重复此过程中的说明,以更正配置。
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
policer input policer_IFL;
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
如果完成设备配置,请从配置 commit 模式输入 。
验证
确认配置工作正常。
显示逻辑接口的流量统计和管制器
目的
验证通过逻辑接口的信息流以及管制器是否评估逻辑接口上收到的数据包。
行动
对逻辑 show interfaces 接口使用操作模式命令 ge-1/3/1.0 ,并包括 detail 或 extensive 选项。命令输出部分 Traffic statistics ,用于列出逻辑接口上接收和传输的字节和数据包数。小 Protocol inet 节包含 Policer 一个字段,其中将管理器列出 policer_IFL 为输入或输出逻辑接口管理器,如下所示:
Input: policer_IFL-ge-1/3/1.0-log_int-i
Output: policer_IFL-ge-1/3/1.0-log_int-o
此前缀表示应用于输入信息流的逻辑接口策略程序,而该后缀表示应用于输出信息 log_int-i log_int-o 流的逻辑接口策略器。在此例中,逻辑接口策略器仅应用于输入信息流。
显示管理程序的统计数据
目的
验证由管理程序评估的数据包数。
行动
使用 show policer 操作模式命令,(可选)指定策略程序的名称。命令输出显示每个方向上由每个配置的策略程序(或指定策略器)评估的数据包数。对于管理器 policer_IFL ,输入和输出操作器名称显示如下:
policer_IFL-ge-1/3/1.0-log_int-i
policer_IFL-ge-1/3/1.0-log_int-o
此前缀表示应用于输入信息流的逻辑接口策略程序,而该后缀表示应用于输出信息 log_int-i log_int-o 流的逻辑接口策略器。在此例中,逻辑接口策略器仅应用于输入信息流。