Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置千兆位以太网监管器

借助监管器,您无需配置防火墙过滤器,即可在千兆位以太网接口上执行简单的流量管制。您可以使用本主题配置输入优先级映射、输出优先级映射,然后应用策略。使用本主题获取有关如何配置双色监管器和三色监管器的信息。

带 SFP 的千兆位以太网 IQ PIC 和千兆位以太网 PIC 的功能

对于带 SFP 的千兆位以太网 IQ PIC 和千兆位以太网 PIC(M7i 路由器上的 10 端口千兆位以太网 PIC 和内置千兆位以太网端口除外),您可以配置细粒度的每 VLAN 服务等级 (CoS) 功能以及基于每个 VLAN 和每 MAC 地址的广泛检测和诊断。

VLAN 重写、标记和删除使您可以使用 VLAN 地址空间来支持更多客户和服务。

VPLS 允许您在 VPN 中的一组站点之间提供点对多点 LAN。带 SFP 的以太网 IQ PIC 和千兆位以太网 PIC(M7i 路由器上的 10 端口千兆位以太网 PIC 和内置千兆位以太网端口除外)与 VPLS 结合使用,以提供城域以太网服务。

对于千兆位以太网 IQ2 和 IQ2-E 以及 10 千兆位以太网 IQ2 和 IQ2-E 接口,您可以对出口或入口方向的逻辑接口应用第 2 层管制。第 2 层监管器在 [edit firewall] 层级配置。您还可以通过在层级配置监管器开销来控制接口上发送或接收的信息 [edit chassis fpc slot-number pic slot-number] 流速率。

表 1 列出了带 SFP 的千兆位以太网 IQ PIC 和千兆位以太网 PIC 的功能(M7i 路由器上的 10 端口千兆位以太网 PIC 和内置千兆位以太网端口除外)。

表 1: 带 SFP 的千兆位以太网 IQ 和千兆位以太网功能

能力

千兆位以太网 IQ (SFP)

千兆位以太网 (SFP)

2 层

802.3ad 链路聚合

每个端口的最大 VLAN 数

384

1023

最大传输单元 (MTU) 大小

9192

9192

MAC 学习

MAC 计费

MAC 过滤

每个端口的目标

960

960

每个端口的源

64

64

分层 MAC 监管器

是的,高端和聚合

否,仅聚合

用于非标准 TPID 的多个 TPID 支持和 IP 服务

多以太网封装

双 VLAN 标记

VLAN 重写

2 层 VPN

VLAN CCC

基于端口的 CCC

扩展 VLAN CCC 虚拟城域网 (VMAN) 标记协议

CoS

基于 PIC 的出口队列

排队 VLAN

VPLS

有关配置 VPLS 的详细信息,请参阅 用于路由设备的 Junos OS VPN 库

您还可以在逻辑 IQ 接口上配置 CoS。有关更多信息,请参阅 Junos OS 路由设备服务等级用户指南

配置千兆位以太网监管器

概述

在带 SFP 的千兆位以太网 IQ 和千兆位以太网 PIC 上(10 端口千兆位以太网 PIC 和 M7i 路由器上的内置千兆位以太网端口除外),您可以为接口上收到的高端流量和聚合流量定义速率限制。这些监管器允许您在不配置防火墙过滤器的情况下执行简单的流量管制。首先配置以太网监管器配置文件,然后对入口和出口流量进行分类,然后将监管器应用到逻辑接口。

对于带 SFP 的千兆位以太网 PIC(10 端口千兆位以太网 PIC 和 M7i 路由器上的内置千兆位以太网端口除外),您配置的监管器速率可能与数据包转发引擎上的速率不同。差异来自第 2 层开销。PIC 说明了这种差异。

注:

在带千兆位以太网或快速以太网 PIC 的 MX 系列路由器上,需要注意以下事项:

  • 接口计数器不计入以太网帧中的 7 字节前言和 1 字节帧分段器。

  • 在 MAC 统计信息中,在应用任何 VLAN 重写/实施规则之前,帧大小包括 MAC 标头和 CRC。

  • 在流量统计信息中,在任何 VLAN 重写/强制规则之后,帧大小包括没有 CRC 的 L2 标头。

有关了解以太网帧统计信息的信息,请参阅 MX 系列第 2 层配置指南

配置监管器

要配置以太网监管器配置文件,请在层次结构级别中[edit interfaces interface-name gigether-options ethernet-switch-profile]包含ethernet-policer-profile语句:

在以太网监管器配置文件中,必须使用聚合优先级监管器;优先级监管器是可选的。

对于聚合监管器和高级监管器,您指定每秒位的带宽限制。您可以将该值指定为完整的十进制编号或小数号,然后指定缩 k 写 (1000)、 (1,000,000) 或 g (1,000,000,000,000)。带宽限制没有绝对最低值,但任何低于 61,040 bps 的值都会导致有效速率达到 30,520 bps。最大带宽限制为 4.29 Gbps。

最大突发大小控制允许的信息流突发量。要确定突发大小限制,您可以将应用过滤器的接口的带宽乘以允许在该带宽处突发信息流的时间:

如果不知道接口带宽,则可将接口上信息流的最大 MTU 乘以 10 以获取值。例如,MTU 4700 的突发大小为 47,000 字节。突发大小应至少为 10 个接口 MTU。突发大小限制的最大值为 100 MB。

指定输入优先级映射

输入优先级映射使用指定的 IEEE 802.1p 优先级值标识入口流量,并将该流量分类为收费信息流。

如果包含优先级监管器,可通过在层次结构级别中[edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map]包括ieee802.1 premium语句来指定输入优先级映射:

优先级值可以为 0 到 7。其余信息流分类为非聚合(或聚合)。有关配置示例,请参阅 示例:配置千兆位以太网监管器

注:

在 IQ2 和 IQ2-E 接口和 MX 系列接口上,当推断 VLAN 标记时,内部 VLAN IEEE 802.1p 位会复制到所推的 VLAN 或 VLAN 的 IEEE 位。如果原始数据包未标记,则将要推介的 VLAN 或 VLAN 的 IEEE 位设置为 0。

指定输出优先级映射

输出优先级映射使用指定的队列分类和数据包丢失优先级 (PLP) 标识出口信息流,并将该信息流分类为收费信息流。

如果包含优先级监管器,可通过在层次结构级别中[edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map]包括classifier语句来指定输出优先级映射:

您可以定义转发类,或者可以使用预定义的转发类。 表 2 显示了预定义的转发类及其关联的队列分配。

表 2: 默认转发类

转发类名称

队列

尽力服务

队列 0

加速转发

队列 1

保证转发

队列 2

网络控制

队列 3

有关 CoS 转发类的详细信息,请参阅 Junos OS 路由设备服务等级用户指南。有关配置示例,请参阅 示例:配置千兆位以太网监管器

应用监管器

在所有 MX 系列路由器接口、千兆位以太网 IQ、IQ2 和 IQ2-E PIC 以及带 SFP 的千兆位以太网 PIC(10 端口千兆位以太网 PIC 和 M7i 路由器上的内置千兆位以太网端口除外),您可以应用输入和输出策略来定义逻辑接口上收到的收费和聚合流量的速率限制。带 SFP 的千兆位以太网 PIC(M7i 路由器上的 10 端口千兆位以太网 PIC 和内置千兆位以太网端口除外)支持聚合监管器。

这些监管器允许您在不配置防火墙过滤器的情况下执行简单的流量管制。

要将监管器应用于特定源 MAC 地址,请包括以下 accept-source-mac 语句:

您可以在以下层次结构级别中包含以下语句:

  • [edit interfaces interface-name unit logical-unit-number ]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

您可以将 MAC 地址指定为 nnnnnnnnnnnnnnnnnnnnnn.这是n一个十六进制编号。. 您最多可以配置 64 个源地址。要指定多个地址,请在逻辑接口配置中包含多个 mac-address 语句。

注:

在未标记的千兆以太网接口上,您不应同时在[edit interfaces ge-fpc/pic/port gigether-options]层次结构级别和accept-source-mac层级配置source-address-filter语句[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number]。如果这些语句同时配置为相同接口,则显示错误消息。

在已标记的千兆以太网接口上,您不应source-address-filter在层次结构级别和accept-source-mac层级配置语句[edit interfaces ge-fpc/pic/port gigether-options][edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number],以及两个过滤器中指定的相同 MAC 地址。如果这些语句配置为具有指定相同 MAC 地址的相同接口,将显示错误消息。

注:

如果远程以太网卡发生更改,则接口不接受来自新卡的流量,因为新卡具有不同的 MAC 地址。

配置中包含的 MAC 地址输入到路由器的 MAC 数据库中。要查看路由器的 MAC 数据库,请输入 show interfaces mac-database interface-name 命令:

在语句中 input 列出了在接口上收到数据包时要评估的一个监管器模板的名称。

在语句中 output 列出了在接口上传输数据包时要评估的一个监管器模板的名称。

注:

在 IQ2 和 IQ2-E PIC 接口上,对于表未满的情况下,MAC 地址表中条目最大保留的默认值已更改。新的固定时间为 12 小时。表已满时,之前 3 分钟的保留时间仍然有效。

您可以使用同一个监管器一次或多次。

如果同时将监管器和防火墙过滤器应用于接口,则在输入防火墙过滤器之前评估输入监管器,并在输出防火墙过滤器之后评估输出监管器。

配置 MAC 地址过滤

您无法明确定义要拒绝的特定源 MAC 地址的信息流;但是,对于带 SFP 的千兆位以太网 IQ 和千兆位以太网 PIC(M7i 路由器上的 10 端口千兆位以太网 PIC 和内置千兆位以太网端口除外),对于 MX 系列路由器上的千兆位以太网 DPC,您可以阻止语句中 accept-source-mac 未指定源地址的所有传入数据包。有关该语句的 accept-source-mac 详细信息,请参阅 应用监管器

要启用此阻止,请在[edit interfaces interface-name gigether-options]层级包括source-filtering语句:

有关该语句的 source-filtering 详细信息,请参阅 为以太网接口配置 MAC 地址过滤

即使信息流没有在语句中accept-source-mac指定的源地址,也要接受信息流,请在层次结构级别中[edit interfaces interface-name gigether-options]包含no-source-filtering该语句:

示例:配置千兆位以太网监管器

例子

此示例说明了以下情况:

  • 配置接口 ge-6/0/0 以将优先级值 2 和 3 视为溢价。在入口,这意味着 IEEE 802.1p 优先级值 2 ,并 3 被视为溢价。在出口,它意味着被分类为队列 0 或 1 的流量,PLP 较低,队列 2 或 3 具有高 PLP,被视为高端流量。

  • 定义策略程序,将高级带宽限制为 100 Mbps,突发大小限制为 3 k,并将聚合带宽限制为 200 Mbps,突发大小限制为 3 k。

  • 指定从 MAC 地址 00:01:02:03:04:05 和 VLAN ID 600 收到的帧受输入和输出监管器的约束。在输入时,这意味着收到的带有源 MAC 地址 00:01:02:03:04:05 和 VLAN ID 600 的帧将受到监管器的约束。在输出上,这意味着使用目标 MAC 地址 00:01:02:03:04:05 和 VLAN ID 600 从路由器传输的帧将受到监管器的约束。

配置示例

配置千兆位以太网双色和三色监管器

概述

对于 M 系列和 T 系列路由器上的千兆位以太网和 10 千兆位以太网 IQ2 和 IQ2-E 接口,您可以配置双色和三色标记监管器,并将其应用到逻辑接口,以防止接口上的流量不当占用带宽。

网络通过根据用户定义的标准限制一类信息流的输入或输出传输速率来监管流量。通过管制信息流,您可以控制接口上发送或接收的最大流量速率,并将网络划分为多个优先级或服务等级。

监管器要求您对信息流应用突发大小和带宽限制,并为超过这些限制的数据包设置结果—通常是更高的丢失优先级,以便首先丢弃超过监管器限制的数据包。

瞻博网络路由器架构支持三种类型的监管器:

  • 双色监管器— 双色监管器(或无资格使用时的“监管器”)对流量进行计量,并根据配置的带宽和突发大小限制将数据包分类为两类丢包优先级 (PLP)。您可以以某种方式标记超过带宽和突发大小限制的数据包,或者干脆丢弃这些数据包。监管器在端口(物理接口)级别对流量计量最有用。

  • 单速率三色标记(单速率 TCM)— 在 RFC 2697 单 速率三色标记中定义单速率三色标记监管器,作为差异服务 (DiffServ) 环境的保证转发单跃点行为 (PHB) 分类系统的一部分。这种类型的监管器根据配置的保证信息速率 (CIR)、承诺的突发大小 (CBS) 和超大突发大小 (EBS) 来计量流量。

    从 Junos OS 13.1 版开始,流量分为三类:绿色、红色和黄色。下列列表介绍了以下类别:

    • 绿色— 到达的数据包的突发大小小于配置的 CIR 和 CBS 的总和。

    • 红色 — 到达的数据包的突发大小大于配置的 CIR 和 EBS 的总和。

    • 黄色 — 到达的数据包的突发大小大于 CBS,但小于 EBS。

    当服务根据数据包长度而非峰值到达速率进行结构化时,单速率 TCM 最有用。

  • 双速率三色标记(双速率 TCM)—此类型的监管器在 RFC 2698 双 速率三色标记中定义,作为差异服务 (DiffServ) 环境的保证转发每跃点行为 (PHB) 分类系统的一部分。这种类型的监管器根据配置的 CIR 和峰值信息速率 (PIR) 及其关联的突发大小(CBS 和 EBS)对流量进行计量。

    流量分为以下三类:

    • 绿色— 到达的数据包的突发大小小于配置的 CIR 和 CBS 的总和。

    • 红色 — 到达的数据包的突发大小大于配置的 PIR 和 EBS 的总和。

    • 黄色 — 流量不属于绿色或红色类别。

    如果服务根据到达速率进行结构化,而不一定是数据包长度,则双速率 TCM 最有用。

注:

与管制(在 配置千兆以太网监管器中所述)不同,配置双色监管器和三色标记监管器需要配置防火墙过滤器。

配置监管器

在层次结构级别配置双色和三色标记监管器 [edit firewall]

标记监管器的三色根据计量速率(包括 CIR、PIR、它们关联的突发大小以及为流量配置的任何管制操作)来监管流量。

要配置三色监管器标记,请在层次结构级别包括带有选项的three-color-policer[edit firewall]语句:

有关配置三色监管器标记的详细信息,请参阅 路由策略、防火墙过滤器和流量监管器用户指南Junos OS 路由设备服务等级用户指南

应用监管器

将双色监管器或三色监管器应用于逻辑接口,以防止接口上的流量不当占用带宽。要应用双色或三色监管器,请包括以下 layer2-policer 语句:

您可以在以下层次结构级别中包含以下语句:

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

使用 语 input-policer 句将双色监管器应用于逻辑接口上收到的数据包,并 input-three-color 使用语句应用三色监管器。使用 语 output-policer 句将双色监管器应用于逻辑接口上传输的数据包,并使用语 output-three-color 句应用三色监管器。指定的监管器必须在层次结构级别配置 [edit firewall] 。对于每个接口,您可以配置三色监管器或两色输入监管器或输出监管器 — 您无法配置三色监管器和两色监管器。

示例:配置和应用监管器

配置三色监管器并将它们应用到接口上:

配置双色监管器并将其应用到接口:

发布历史记录表
版本
说明
13.1
从 Junos OS 13.1 版开始,流量分为三类:绿色、红色和黄色。