Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置千兆位以太网监管器

监管器使您能够在千兆位以太网接口上执行简单的流量管制,而无需配置防火墙过滤器。您可使用本主题配置输入优先级映射、输出优先级映射,然后应用策略。有关如何配置双色监管器和三色监管器的信息,请使用本主题。

带 Sfp 的千兆位以太网 IQ pic 和千兆位以太网 pic 功能

对于带 Sfp 的千兆位以太网 IQ pic 和千兆位以太网 PIC (在 M7i 路由器的10端口千兆位以太网和内置千兆位以太网端口除外),您可以配置细粒度的每 VLAN 类服务(CoS)功能和广泛每个 VLAN 和每 MAC 地址基础上的检测和诊断。

VLAN 重写、标记和删除使您可以使用 VLAN 地址空间来支持更多客户和服务。

VPLS 允许您在 VPN 中的一组站点之间提供点到多点 LAN。带 Sfp 的以太网 IQ pic 和千兆位以太网 PIC (在 M7i 路由器的10端口千兆位以太网和内置千兆位以太网端口除外)与 VPLS 组合,可提供城域以太网服务。

对于千兆以太网 IQ2 和 IQ2-E 以及 10 千兆位以太网 IQ2 和 IQ2-E 接口,您可以将第 2 层管制应用于出口或入口方向的逻辑接口。2层监管器在[edit firewall]层次结构级别配置。您还可通过在[edit chassis fpc slot-number pic slot-number]层次结构级别上配置监管器开销来控制接口上的流量传输速率。

表 1列出了带 Sfp 的千兆位以太网 IQ pic 和千兆位以太网 PIC 的功能(在 M7i 路由器的10端口千兆位以太网和内置千兆位以太网端口除外)。

表 1: 带 Sfp 的千兆位以太网 IQ 和千兆位以太网功能

功能

千兆位以太网 IQ (SFP)

千兆位以太网(SFP)

2 层

802.3 a d 链路聚合

每端口最大 Vlan 数

384

1023

最大传输单位(MTU)大小

9192

9192

MAC 学习

MAC 核算

MAC 过滤

每端口目标数

960

960

每端口源数

64

64

分层 MAC 监管器

是,高级和聚合

否,仅聚合

多 TPID 支持和 IP 服务,满足非标准 Tpid

多个以太网封装

双 VLAN 标记

VLAN 重写

2 层 VPN

VLAN CCC

基于端口的 CCC

扩展 VLAN CCC 虚拟城域网区域网络(VMAN)标记协议

CoS

基于 PIC 的出口队列

排队 Vlan

VPLS

有关配置 VPLS 的信息,请参阅 Junos OS VPN 库

您也可在逻辑 IQ 接口上配置 CoS。有关详细信息,请参阅 Junos OS 设备的服务等级用户指南

配置千兆位以太网监管器

概述

在带 Sfp 的千兆位以太网 IQ 和千兆位以太网 PIC (在 M7i 路由器上为10端口千兆位以太网和内置千兆位以太网端口除外),您可以为接口上接收的高级和聚合流量定义速率限制。这些监管器允许您在不配置防火墙过滤器的情况下执行简单的流量管制。首先配置以太网监管器配置文件,接下来对入口和出口流量进行分类,然后可以将监管器应用于逻辑接口。

对于带 Sfp 的千兆位以太网 PIC (在 M7i 路由器的10端口千兆位以太网和内置千兆位以太网端口除外),您配置的监管器速率可能与数据包转发引擎上的速率不同。2层开销产生的差异。这种差异的 PIC 帐户。

注:

在带有千兆位以太网或快速以太网 pic 的 MX 系列路由器上,以下注意事项适用:

  • 接口计数器不会统计以太网帧中的7字节前导码和1字节帧分隔符。

  • 在 MAC 统计中,帧大小包括 MAC 报头和 CRC,然后才应用任何 VLAN 重写/拼版规则。

  • 在信息流统计数据中,任何 VLAN 重写/拼版规则之后,帧大小都将覆盖 L2 标头且不 CRC。

有关了解以太网帧统计信息的信息,请参阅 MX 系列第 2 层配置指南

配置监管器

要配置以太网监管器配置文件,请ethernet-policer-profile将语句包含[edit interfaces interface-name gigether-options ethernet-switch-profile]在层次结构级别:

在以太网监管器配置文件中,聚合优先级监管器是必需的。高级优先级监管器是可选的。

对于聚合和 premium 监管器,您可以指定带宽限制(以位/秒为单位)。您可以将值指定为完整的十进制数字或十进制数,后跟缩写k (1000)、 (1000000)或g (1000000000)。带宽限制没有绝对最小值,但是低于 61040 bps 的任何值都将导致 30520 bps 的有效速率。最大带宽限制为 4.29 Gbps。

最大脉冲大小控制允许的流量暴冲量。要确定突发大小限制,您可以将应用过滤器的接口的带宽乘以在该带宽发生时允许突发流量的时间量:

如果不知道接口带宽,则可将接口上的最大流量 MTU 乘以10来获取值。例如,4700 MTU 的突发大小为47000字节。突发大小应至少为 10 个接口 M图。突发大小限制的最大值为 100 MB。

指定输入优先级映射

输入优先级映射用指定的 IEEE 802.1 p 优先级值识别入口流量,并将该流量分类为 premium。

如果包括高级优先级监管器,则可通过在ieee802.1 premium[edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map]层次结构级别上包含以下语句来指定输入优先级映射:

优先级值可以为0到7。其余信息流分类为 nonpremium (或聚合)。有关配置示例,请参阅示例:配置千兆位以太网监管器

注:

在 IQ2 和 IQ2-E 接口和 MX 系列接口上,当推送 VLAN 标记时,内部 VLAN IEEE 802.1 p 位将被复制到所推送的 VLAN 的 IEEE 位。如果原始数据包未加标签,则被推入的 VLAN 或 Vlan 的 IEEE 位设置为0。

指定输出优先级映射

输出优先级映射使用指定队列分类和数据包丢失优先级(PLP)来识别出站流量,并将该流量分类为 premium。

如果包括高级优先级监管器,则可通过在classifier[edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map]层次结构级别包含语句来指定输出优先级映射:

您可以定义转发类,也可以使用预定义的转发类。表 2显示了预定义转发类及其关联队列分配。

表 2: 默认转发类

转发类名称

排列

尽力

队列0

加速转发

队列1

确保转发

队列2

网络控制

队列3

有关不同转发CoS的信息,请参阅 Junos OS设备服务类别 用户指南。有关配置示例,请参阅示例:配置千兆位以太网监管器

应用监管器

在所有 MX 系列路由器接口上,千兆位以太网 IQ、IQ2 和 IQ2,以及带 Sfp 的千兆位以太网 PIC (M7i 路由器上的10端口千兆位以太网和内置千兆位以太网端口除外),您可以应用输入和输出监管器,用于定义在逻辑接口上收到的高级和聚合流量的速率限制。在带 Sfp 的千兆位以太网 PIC (10端口千兆位以太网和监管器路由器 M7i 上的内置千兆位以太网端口除外)中支持聚合。

这些监管器允许您在不配置防火墙过滤器的情况下执行简单的流量管制。

要将监管器应用于特定源 MAC 地址,请accept-source-mac包含以下语句:

您可以将这些语句包含在以下层次结构级别:

  • [edit interfaces interface-name unit logical-unit-number ]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

您可将 MAC 地址 指定为nnnnnnnn: nn :nnnnnn.nnnn.nnnn,这是一 n 个十六进制编号。您最多可以配置64源地址。要指定多个地址,请在逻辑mac-address接口配置中包括多个语句。

注:

在未标记的千兆位以太网接口上source-address-filter ,不应[edit interfaces ge-fpc/pic/port gigether-options]同时在层次结构accept-source-mac级别和语句[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number]级别配置语句。如果同时为相同接口配置这些语句,将显示错误消息。

在标记的千兆位以太网接口上, source-address-filter不应在[edit interfaces ge-fpc/pic/port gigether-options]层次结构级别配置accept-source-mac语句,也[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number]不应在层次结构级别上的语句中使用两个过滤器中指定的相同 MAC 地址。如果为相同 MAC 地址指定的相同接口配置这些语句,将显示错误消息。

注:

如果远程以太网卡发生变化,则接口不会接受来自新卡的流量,因为新卡的 MAC 地址不同。

配置中包括的 MAC 地址将输入到路由器的 MAC 数据库中。要查看路由器的 MAC 数据库,请输入 show interfaces mac-database interface-name 以下命令:

input语句中,列出要在接口上接收数据包时评估的一个监管器模板的名称。

output语句中,列出要在接口上传输数据包时评估的一个监管器模板的名称。

注:

在 IQ2 和 IQ2 PIC 接口上,如果表未满,则 MAC 地址表中条目的最大保留的默认值已更改。新的保存时间为12个小时。如果表已满,则 "3 分钟的前保留时间" 仍然有效。

您可以一次或多次使用相同的监管器。

如果将监管器和防火墙过滤器应用于接口,则会在输入防火墙过滤器之前评估输入监管器,并在输出防火墙过滤器后评估输出监管器。

配置 MAC 地址过滤

不能显式定义要拒绝的特定源 MAC 地址的流量;但是,对于带 Sfp 的千兆位以太网 IQ 和千兆位以太网 PIC (在 M7i 路由器的10端口千兆位以太网和内置千兆位以太网端口,以及 MX 系列路由器上的千兆位以太网 Dpc 除外),您可以阻止未在accept-source-mac语句中指定源地址的所有传入数据包。有关accept-source-mac语句的详细信息,请参阅应用监管器

要启用此拦截,请将source-filtering语句包含在[edit interfaces interface-name gigether-options]层次结构级别:

有关该source-filtering语句的详细信息,请参阅为以太网接口配置 MAC 地址筛选

要接受信息流,即使未在accept-source-mac语句中指定源地址,也应将no-source-filtering语句包含在[edit interfaces interface-name gigether-options]层次结构级别:

示例:配置千兆位以太网监管器

例子

此示例说明了以下内容:

  • 配置接口ge-6/0/0 ,将优先级值2和3视为 premium。在入口上,这意味着 IEEE 802.1 p 优先级值23并被视为特优。在出局上,它表示分类为队列0或1的流量,使用低、队列2或3(高)的 PLP 被视为 premium。

  • 定义一个策略程序,将高级带宽限制到 100 Mbps,突发大小控制为 3 k,将聚合带宽限制到 200 Mbps,将突发大小控制至 3 k。

  • 指定从 MAC 地址 接收的帧和 00:01:02:03:04:05 VLAN ID 受输入和输出 600 策略程序影响。在 input 上,这意味着随源 MAC 地址00:01:02:03:04:05接收的帧,而 VLAN ID 600 则受监管器的制约。在输出上,这意味着从路由器传输的帧与目标 MAC 地址00:01:02:03:04:05 ,VLAN ID 600会受到监管器的制约。

配置示例

配置千兆位以太网双色和三色监管器

概述

对于 M Series 和 T Series 路由器上的千兆位以太网和10千兆位以太网 IQ2 和 IQ2 接口,您可以配置双色和三色标记监管器并将其应用于逻辑接口,以防止接口上的流量占用带宽正确.

基于用户定义标准限制信息流的输入或输出传输速率,从而使网络警方信息流。通过监管流量,您可以控制在接口上发送或接收的流量的最大速率,并将网络划分为多个优先级级别或服务等级。

策略程序要求您对信息流应用突发大小和带宽限制,并设置超出这些限制的数据包(通常是更高的丢失优先级)的结果,以便首先丢弃超过策略程序限制的数据包。

瞻博网络路由器架构支持三种类型的监管器:

  • 双色策略程序— 双色策略程序(如果未限定使用时为"策略程序")对信息流进行仪表管理,根据配置的带宽和突发大小限制将数据包分类为两类数据包丢失优先级 (PLP)。您可以以某种方式标记超过带宽和突发大小限制的数据包,或者只是丢弃它们。监管器对于端口(物理接口)级别的计量流量最有用。

  • 单速率三色标记(单速率 TCM)— 单速率三色标记策略器在 RFC 2697 单速率 色标记中定义,作为差异服务 (DiffServ) 环境按跳跃行为 (PHB) 分类系统的保证转发的一部分。这种基于已配置的已提交信息速率(CIR)的监管器计量流量、提交的突发大小(CBS)和多余的突发大小(EBS)。

    从 Junos OS 版本13.1 开始,流量分为三类:绿色、红色和黄色。以下列表介绍了这些类别:

    • 绿色 - 到达的数据包突发大小小于配置的 CIR 和 CBS 总和。

    • 红色 — 到达的数据包突发大小大于配置的 CIR 和 EBS 总和。

    • 黄色 - 到达的数据包突发大小大于 CBS,但低于 EBS。

    当服务根据数据包长度而不是峰值到达速率构建时,单速率 TCM 最有用。

  • 双速率三色标记(双速率 TCM)— 此类型的策略器在 RFC 2698 双速率 色标记 中定义,是差异服务 (DiffServ) 环境保证转发每跳行为 (PHB) 分类系统的一部分。这种基于配置的 CIR 和峰值信息速率(PIR)的监管器仪表流量,以及关联的突发和 EBS 的大小。

    信息流分为以下三类:

    • 绿色 - 到达的数据包突发大小小于配置的 CIR 和 CBS 总和。

    • 红色 — 到达的数据包突发大小大于配置的 PIR 和 EBS 之和。

    • 黄色 - 流量不属于绿色或红色类别。

    当服务根据到达速率(不一定是数据包长度)构建时,双速率 TCM 最有用。

注:

与监管不同(在配置千兆位以太网监管器中介绍)时,配置双色监管器和三色标记监管器需要配置防火墙过滤器。

配置监管器

两色和三色标记监管器在[edit firewall]层次结构级别配置。

基于计量速率的三色标记监管器策略流量,包括 CIR、PIR、相关联的突发大小以及为流量配置的任何监管操作。

要配置三色监管器标记,请在three-color-policer[edit firewall]层次结构级别包含带有选项的语句:

有关配置三色策略器标记的信息,请参阅 路由 策略 、防火墙过滤器和流量管制器用户指南 和 Junos OS 路由设备服务 等级用户指南

应用监管器

将双色监管器或三色监管器应用于逻辑接口,以防止接口上的流量不恰当地消耗带宽。要应用双色或三色监管器,请包含以下layer2-policer语句:

您可以将这些语句包含在以下层次结构级别:

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

使用此input-policer语句将双色监管器应用于逻辑接口和input-three-color语句上的已接收数据包,以应用三色监管器。使用此output-policer语句将双色监管器应用于逻辑接口和output-three-color语句上的传输数据包,以应用三色监管器。指定的监管器必须在[edit firewall]层次结构级别配置。对于每个接口,您可以配置三色策略器或双色输入策略器或输出策略器 — 不能同时配置三色策略器和双色策略器。

示例:配置和应用监管器

配置三色监管器并将其应用于接口:

配置两色监管器并将其应用于接口:

发布历史记录表
版本
说明
13.1
从 Junos OS 版本13.1 开始,流量分为三类:绿色、红色和黄色。