配置千兆以太网监管器
监管器使您能够在千兆以太网接口上执行简单的流量监管,而无需配置防火墙过滤器。您可以使用本主题配置输入优先级映射、输出优先级映射,然后应用策略。有关如何配置双色监管器和三色监管器的信息,请使用本主题。
千兆以太网 IQ PIC 和带 SFP 的千兆以太网 PIC 的功能
对于千兆以太网 IQ PIC 和带 SFP 的千兆以太网 PIC(M7i 路由器上的 10 端口千兆以太网 PIC 和内置千兆以太网端口除外),您可以基于每个 VLAN 和每个 MAC 地址配置精细的每 VLAN 服务等级 (CoS) 功能以及广泛的检测和诊断。
通过 VLAN 重写、标记和删除,您可以使用 VLAN 地址空间来支持更多客户和服务。
VPLS 允许您在 VPN 中的一组站点之间提供点对多点 LAN。以太网 IQ PIC 和带 SFP 的千兆以太网 PIC(M7i 路由器上的 10 端口千兆以太网 PIC 和内置千兆以太网端口除外)与 VPLS 结合使用,以提供城域以太网服务。
对于千兆以太网 IQ2 和 IQ2-E 以及 10 千兆以太网 IQ2 和 IQ2-E 接口,您可以将第 2 层管制应用于出口或入口方向的逻辑接口。第 2 层监管器在层次结构级别进行配置 。[edit firewall] 您还可以通过在层次结构级别配置 监管器开销来控制接口上发送或接收的流量速率。[edit chassis fpc slot-number pic slot-number]
表 1 列出了千兆以太网 IQ PIC 和带 SFP 的千兆以太网 PIC 的功能(M7i 路由器上的 10 端口千兆以太网 PIC 和内置千兆以太网端口除外)。
能力 |
千兆以太网 IQ (SFP) |
千兆以太网 (SFP) |
|---|---|---|
| 2 层 | ||
802.3ad 链路聚合 |
是 |
是 |
每个端口的最大 VLAN 数 |
384 |
1023 |
最大传输单元 (MTU) 尺寸 |
9192 |
9192 |
MAC 学习 |
是 |
是 |
MAC 记帐 |
是 |
是 |
MAC 过滤 |
是 |
是 |
每个端口的目标数 |
960 |
960 |
每个端口的源数 |
64 |
64 |
分层 MAC 监管器 |
是,高级和聚合 |
否,仅聚合 |
多 TPID 支持和非标准 TPID 的 IP 服务 |
是 |
是 |
多个以太网封装 |
是 |
是 |
双 VLAN 标记 |
是 |
否 |
VLAN 重写 |
是 |
否 |
| 2 层 VPN | ||
VLAN CCC |
是 |
是 |
基于端口的 CCC |
是 |
是 |
扩展 VLAN CCC 虚拟城域网 (VMAN) 标记协议 |
是 |
是 |
| CoS | ||
基于 PIC 的出口队列 |
是 |
是 |
排队的 VLAN |
是 |
否 |
VPLS |
是 |
是 |
有关配置 VPLS 的详细信息,请参阅 适用于路由设备的 Junos OS VPN 库。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html
您还可以在逻辑 IQ 接口上配置 CoS。有关详细信息,请参阅 Junos OS 路由设备服务等级用户指南。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/cos/config-guide-cos.html
另请参阅
配置千兆以太网监管器
概述
在千兆以太网 IQ 和带 SFP 的千兆以太网 PIC 上(M7i 路由器上的 10 端口千兆以太网 PIC 和内置千兆以太网端口除外),您可以为接口上接收的高级和聚合流量定义速率限制。这些监管器允许您执行简单的流量监管,而无需配置防火墙过滤器。首先配置以太网监管器配置文件,然后对入口和出口流量进行分类,然后将监管器应用于逻辑接口。
对于带 SFP 的千兆以太网 PIC(10 端口千兆以太网 PIC 和 M7i 路由器上的内置千兆以太网端口除外),您配置的监管器速率可以不同于数据包转发引擎上的速率。差异是由第 2 层开销造成的。事先知情同意解释了这一差异。
在具有千兆以太网或快速以太网 PIC 的 MX 系列路由器上,以下注意事项适用:
接口计数器不计算以太网帧中的 7 字节前导码和 1 字节帧分隔符。
在 MAC 统计信息中,在应用任何 VLAN 重写/强加规则之前,帧大小包括 MAC 标头和 CRC。
在流量统计信息中,在任何 VLAN 重写/强加规则之后,帧大小包含不带 CRC 的 L2 标头。
有关了解以太网帧统计信息的信息,请参阅 MX 系列第 2 层配置指南。
配置监管器
要配置以太网监管器配置文件,请在层次结构级别包含 语句 :ethernet-policer-profile[edit interfaces interface-name gigether-options ethernet-switch-profile]
[edit interfaces interface-name gigether-options ethernet-switch-profile] ethernet-policer-profile { policer cos-policer-name { aggregate { bandwidth-limit bps; burst-size-limit bytes; } premium { bandwidth-limit bps; burst-size-limit bytes; } } }
在以太网监管器配置文件中,聚合优先级监管器是必需的;高级优先级监管器是可选的。
对于聚合监管器和高级监管器,您可以指定带宽限制(以位/秒为单位)。可以将值指定为完整的十进制数或后跟缩写 (1000)、 (1,000,000) 或 (1,000,000,000) 的十进制数。km g 带宽限制没有绝对的最小值,但任何低于 61,040 bps 的值将导致有效速率为 30,520 bps。最大带宽限制为 4.29 Gbps。
最大突发大小控制允许的流量突发。要确定突发大小限制,您可以将应用过滤器的接口的带宽乘以允许在该带宽上发生突发流量的时间量:
burst size = bandwidth x allowable time for burst traffic
如果您不知道接口带宽,可以将接口上流量的最大 MTU 乘以 10 以获得一个值。例如,MTU 为 4700 的突发大小为 47,000 字节。突发大小应至少为 10 个接口 MTU。突发大小限制的最大值为 100 MB。
指定输入优先级映射
输入优先级映射标识具有指定 IEEE 802.1p 优先级值的入口流量,并将该流量分类为高级流量。
如果包含高级优先级监管器,则可以通过在层次结构级别包含语句来指定输入优先级映射:ieee802.1 premium[edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map]
[edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map]
ieee802.1p premium [ values ];
优先级值可以从 0 到 7。其余流量分为非高级(或聚合)。有关配置示例,请参见 。示例:配置千兆以太网监管器
在 IQ2 和 IQ2-E 接口以及 MX 系列接口上,当推送 VLAN 标记时,内部 VLAN IEEE 802.1p 位将复制到正在推送的一个或多个 VLAN 的 IEEE 位。如果原始数据包未标记,则正在推送的一个或多个 VLAN 的 IEEE 位将设置为 0。
指定输出优先级图
输出优先级映射标识具有指定队列分类和数据包丢失优先级 (PLP) 的出口流量,并将该流量分类为高级流量。
如果包含高级优先级监管器,则可以通过在层次结构级别包含语句来指定输出优先级映射:classifier[edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map]
[edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map] classifier { premium { forwarding-class class-name { loss-priority (high | low); } } }
您可以定义转发类,也可以使用预定义的转发类。 显示预定义的转发类及其关联的队列分配。表 2
转发类名 |
队列 |
|---|---|
尽力而为。 |
队列 0 |
加速转发 |
队列 1 |
有保证的转发 |
队列 2 |
网络控制 |
队列 3 |
有关 CoS 转发类的详细信息,请参阅《 Junos OS 路由设备服务等级用户指南》。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/cos/config-guide-cos.html有关配置示例,请参见 。示例:配置千兆以太网监管器
应用监管器
在所有 MX 系列路由器接口、千兆以太网 IQ、IQ2 和 IQ2-E PIC 以及带 SFP 的千兆以太网 PIC(M7i 路由器上的 10 端口千兆以太网 PIC 和内置千兆以太网端口除外)上,您可以应用输入和输出监管器,用于定义逻辑接口上接收的高级和聚合流量的速率限制。带有 SFP 的千兆以太网 PIC 支持聚合监管器(10 端口千兆以太网 PIC 和 M7i 路由器上的内置千兆以太网端口除外)。
这些监管器允许您执行简单的流量监管,而无需配置防火墙过滤器。
要将监管器应用于特定的源 MAC 地址,请包含以下 语句:accept-source-mac
accept-source-mac { mac-address mac-address { policer { input cos-policer-name; output cos-policer-name; } } }
您可以在以下层次结构级别包含这些语句:
[edit interfaces interface-name unit logical-unit-number ][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
您可以将 MAC 地址指定为 ::::: 或 ,其中十六进制数字。nnnnnnnnnnnnnnnn.nnnn.nnnnn 您最多可以配置 64 个源地址。要指定多个地址,请在逻辑接口配置中包含多个 语句。mac-address
在未标记的千兆以太网接口上,不应同时在层次结构级别配置语句和在层次结构级别配置语句。source-address-filter[edit interfaces ge-fpc/pic/port gigether-options]accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] 如果同时为相同的接口配置了这些语句,则会显示一条错误消息。
在标记的千兆以太网接口上,不应 使用两个过滤器中指定的相同 MAC 地址在层次结构级别配置 语句和 在层次结构级别配置语句 。source-address-filter[edit interfaces ge-fpc/pic/port gigether-options]accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] 如果为指定了相同 MAC 地址的相同接口配置了这些语句,则会显示一条错误消息。
如果更改了远程以太网卡,则接口不接受来自新卡的流量,因为新卡具有不同的 MAC 地址。
您在配置中包含的 MAC 地址将输入到路由器的 MAC 数据库中。要查看路由器的 MAC 数据库,请输入 以下命令:show interfaces mac-database interface-name
user@host> show interfaces mac-database interface-name
在语句中 ,列出接口上接收数据包时要评估的一个监管器模板的名称。input
在语句中 ,列出在接口上传输数据包时要评估的一个监管器模板的名称。output
在 IQ2 和 IQ2-E PIC 接口上,对于 MAC 地址表中条目未满的情况,最大保留条目的默认值已更改。新的保持时间为 12 小时。当表已满时,之前的 3 分钟保留时间仍然有效。
您可以使用同一监管器一次或多次。
如果同时对接口应用监管器和防火墙过滤器,则在输入防火墙过滤器之前评估输入监管器,在输出防火墙过滤器之后评估输出监管器。
配置 MAC 地址过滤
您无法显式定义具有要拒绝的特定源 MAC 地址的流量;但是,对于千兆以太网 IQ 和带 SFP 的千兆以太网 PIC(M7i 路由器上的 10 端口千兆以太网 PIC 和内置千兆以太网端口除外),以及 MX 系列路由器上的千兆以太网 DPC,您可以阻止语句中 未指定源地址的所有传入数据包。accept-source-mac 有关该 语句的详细信息,请参见 。accept-source-mac应用监管器
要启用此阻止,请在层次结构级别包含 语句 :source-filtering[edit interfaces interface-name gigether-options]
[edit interfaces interface-name gigether-options] source-filtering;
有关该 语句的更多信息,请参阅 为以太网接口配置 MAC 地址过滤。source-filtering为以太网接口配置 MAC 地址过滤
要在语句中 未指定源地址的情况下接受流量,请在层次结构级别包含 该语句 :accept-source-macno-source-filtering[edit interfaces interface-name gigether-options]
[edit interfaces interface-name gigether-options] no-source-filtering;
示例:配置千兆以太网监管器
示例
此示例说明了以下内容:
配置接口 以将优先级值 2 和 3 视为高级值。
ge-6/0/0在入口时,这意味着 IEEE 802.1p 优先级值并被视为高级。23在出口时,这意味着分类为队列 0 或 1(PLP 为低)以及队列 2 或 3(PLP 为高)的流量被视为高级流量。定义一个监管器,将高级带宽限制为 100 Mbps,将突发大小限制为 3 k,将聚合带宽限制为 200 Mbps,将突发大小限制为 3 k。
指定从 MAC 地址 和 VLAN ID 接收的帧在输入和输出时受监管器的约束。
00:01:02:03:04:05600在输入时,这意味着使用源 MAC 地址 和 VLAN ID 600 接收的帧受监管器的约束。00:01:02:03:04:05在输出时,这意味着从路由器传输的具有目标 MAC 地址 和 VLAN ID 的帧受监管器的约束。00:01:02:03:04:05600
配置示例
[edit interfaces]
ge-6/0/0 {
gigether-options {
ether-switch-profile {
ether-policer-profile {
input-priority-map {
ieee-802.1p {
premium [ 2 3 ];
}
}
output-priority-map {
classifier {
premium {
forwarding-class best-effort {
loss-priority low;
}
forwarding-class expedited-forwarding {
loss-priority low;
}
forwarding-class assured-forwarding {
loss-priority high;
}
forwarding-class network-control {
loss-priority high;
}
}
}
}
policer policer-1 {
premium {
bandwidth-limit 100m;
burst-size-limit 3k;
}
aggregate {
bandwidth-limit 200m;
burst-size-limit 3k;
}
}
}
}
}
unit 0 {
accept-source-mac {
mac-address 00:01:02:03:04:05 {
policer {
input policer-1;
output policer-1;
}
}
}
}
}
配置千兆以太网双色和三色监管器
概述
对于 M 系列和 T 系列路由器上的千兆以太网和 10 千兆以太网 IQ2 和 IQ2-E 接口,您可以配置双色和三色标记监管器并将其应用于逻辑接口,以防止接口上的流量不当消耗带宽。
网络通过根据用户定义的标准限制一类流量的输入或输出传输速率来监管流量。通过监管流量,您可以控制接口上发送或接收的最大流量速率,并将网络划分为多个优先级或服务等级。
监管器要求您对流量应用突发大小和带宽限制,并为超出这些限制的数据包设置后果(通常是更高的丢失优先级),以便首先丢弃超过监管器限制的数据包。
瞻博网络路由器架构支持三种类型的监管器:
双色监管器 — 双色监管器(未经限定使用时称为“监管器”)计量流量,并根据配置的带宽和突发大小限制将数据包分为两类数据包丢失优先级 (PLP)。您可以以某种方式标记超出带宽和突发大小限制的数据包,或者干脆丢弃它们。监管器对于在端口(物理接口)级别计量流量最有用。
单速率三色标记(单速率 TCM)— RFC 2697(单速率三色标记)中定义了 单速率三色标记监管器,作为差异服务 (DiffServ) 环境的可靠转发每跳行为 (PHB) 分类系统的一部分。这种类型的监管器根据配置的承诺信息速率 (CIR)、承诺突发大小 (CBS) 和超额突发大小 (EBS) 计量流量。
从 Junos OS 13.1 版开始,流量分为三类:绿色、红色和黄色。以下列表描述了类别:
绿色 — 到达的数据包的突发大小小于配置的 CIR 和 CBS 的总和。
红色 — 到达的数据包的突发大小大于配置的 CIR 和 EBS 的总和。
黄色 — 到达的数据包的突发大小大于 CBS,但小于 EBS。
当服务根据数据包长度而不是峰值到达率构建时,单速率 TCM 最有用。
双速率三色标记(双速率 TCM)— 这种类型的监管器在 RFC 2698( 双速率三色标记器)中定义,作为差异服务 (DiffServ) 环境的保证转发每跳行为 (PHB) 分类系统的一部分。这种类型的监管器根据配置的 CIR 和峰值信息速率 (PIR) 及其关联的突发大小 CBS 和 EBS 计量流量。
流量分为以下三类:
绿色 — 到达的数据包的突发大小小于配置的 CIR 和 CBS 的总和。
红色 — 到达的数据包的突发大小大于配置的 PIR 和 EBS 之和。
黄色 - 流量不属于绿色或红色类别。
当服务根据到达率(不一定是数据包长度)构建时,双速率 TCM 最有用。
与管制(如配置 千兆以太网监管器中所述)不同,配置双色监管器和三色标记监管器需要配置防火墙过滤器。配置千兆以太网监管器
配置监管器
双色和三色标记监管器在层次结构级别进行配置 。[edit firewall]
三色标记监管器根据计量速率(包括 CIR、PIR、其关联的突发大小以及为流量配置的任何监管操作)来监管流量。
要配置三色监管器标记,请在层次结构级别包含带有选项的语句:three-color-policer[edit firewall]
[edit firewall]
three-color-policer name {
action {
loss-priority high {
then discard;
}
}
single-rate {
(color-aware | color-blind);
committed-information-rate bps;
committed-burst-size bytes;
excess-burst-size bytes;
}
two-rate {
(color-aware | color-blind);
committed-information-rate bps;
committed-burst-size bytes;
peak-information-rate bps;
peak-burst-size bytes;
}
}
有关配置三色监管器标记的详细信息,请参阅 《路由策略、防火墙过滤器和流量监管器用户指南》和 《 Junos OS 路由设备服务等级用户指南》。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.htmlhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/cos/config-guide-cos.html
应用监管器
将双色监管器或三色监管器应用于逻辑接口,以防止接口上的流量不当消耗带宽。要应用双色或三色监管器,请包含以下 语句:layer2-policer
layer2-policer { input-policer policer-name; input-three-color policer-name; output-policer policer-name; policer-name; }
您可以在以下层次结构级别包含这些语句:
[edit interfaces interface-name unit logical-unit-number][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
使用该 语句将双色监管器应用于逻辑接口上收到的数据包, 使用该语句应用三色监管器。input-policerinput-three-color 使用该 语句将双色监管器应用于逻辑接口上传输的数据包, 使用语句应用三色监管器。output-policeroutput-three-color 必须在层次结构级别配置 指定的监管器。[edit firewall] 对于每个接口,您可以配置三色监管器或双色输入监管器或输出监管器,不能同时配置三色监管器和双色监管器。
示例:配置和应用监管器
配置三色监管器并将其应用于接口:
[edit firewall]
three-color-policer three-color-policer-color-blind {
logical-interface-policer;
two-rate {
color-blind;
committed-information-rate 1500000;
committed-burst-size 150;
peak-information-rate 3;
peak-burst-size 300;
}
}
three-color-policer three-color-policer-color-aware {
logical-interface-policer;
two-rate {
color-aware;
committed-information-rate 1500000;
committed-burst-size 150;
peak-information-rate 3;
peak-burst-size 300;
}
}
[edit interfaces ge-1/1/0]
unit 1 {
layer2-policer {
input-three-color three-color-policer-color-blind;
output-three-color three-color-policer-color-aware;
}
}
配置双色监管器并将其应用于接口:
[edit firewall]
policer two-color-policer {
logical-interface-policer;
if-exceeding {
bandwidth-percent 90;
burst-size-limit 300;
}
then loss-priority-high;
}
[edit interfaces ge-1/1/0]
unit 2 {
layer2-policer {
input-policer two-color-policer;
output-policer two-color-policer;
}
}
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。