监管器概述
交换机根据用户定义的标准,限制一类流量的输入或输出传输速率,从而对流量进行监管。通过监管(或速率限制)流量,您可以控制在接口上发送或接收的流量的最大速率,并提供多个优先级或服务等级。
监管也是防火墙过滤器的一个重要组件。您可以通过在 防火墙过滤器 配置中包含监管器来实现监管。
监管器概述
您可以使用监管器对流量进行限制,并为超过这些限制的数据包设置后果(通常应用更高的丢失优先级),以便在数据包遇到下游拥塞时优先将其丢弃。监管器仅适用于单播数据包。
监管器提供两种功能:计量和标记。监管器根据您配置的流量速率和突发大小来计量(测量)每个数据包。然后将数据包和计量结果传递给标记,标记分配与计量结果相对应的丢包优先级。 图 1 说明了这个过程。
流程
命名并配置监管器后,可以通过在一个或多个防火墙过滤器中将其指定为操作来使用它。
监管器类型
交换机支持三种类型的监管器:
-
单速率双色标记 — 双色监管器(或“监管器”,当不带资格使用时)对流量流进行计量,并根据配置的带宽和突发大小限制,将数据包分为两类丢包优先级 (PLP)。您可以使用指定的 PLP 标记超过带宽和突发大小限制的数据包,也可以将其丢弃。
您可以在入口或出口防火墙中指定这种类型的监管器。
注意:双色监管器对于在端口(物理接口)级别计量流量最有用。
-
单速率三色标记 — 这种类型的监管器在 RFC 2697“ 单速率三色标记”中定义,作为差异化服务 (DiffServ) 环境的保证转发 (AF) 单跃点行为 (PHB) 分类系统的一部分。这种类型的监管器根据一种速率(配置的承诺信息速率 (CIR)、承诺的突发大小 (CBS) 和超额的突发大小 (EBS))来计量流量。CIR 指定位被交换机接入的平均速率。CBS 指定通常的突发大小(以字节为单位),EBS 指定最大突发大小(以字节为单位)。EBS 必须大于或等于 CBS,两者都不能为 0。
您可以在入口或出口防火墙中指定这种类型的监管器。
注意:当服务是根据数据包长度(而不是峰值到达率)构建时,单速率三色标记 (TCM) 最有用。
-
双速率三色标记 — RFC 2698“ 双速率三色标记”中定义了这种类型的监管器,作为差异化服务环境的有保证转发的单跃点行为分类系统的一部分。这种类型的监管器基于两个速率(CIR 和峰值信息速率 (PIR) 及其关联的突发大小、CBS 和峰值突发大小 (PBS))来计量流量。PIR 指定接入网络的最大速率,必须大于或等于 CIR。
您可以在入口或出口防火墙中指定这种类型的监管器。
注意:当服务是根据到达率(不一定是数据包长度)构建时,双速率三色监管器最有用。
有关如何将计量结果应用于每种监管器类型的信息,请参阅 表 1 。
监管器操作
监管器操作有隐式或显式的,并因监管器类型而异。隐 式表示 Junos OS 会自动分配丢失优先级。 表 1 介绍了监管器操作。
| 监管器 |
标记 |
隐式操作 |
可配置操作 |
|---|---|---|---|
| 单速率双色 |
绿色(符合要求) |
分配低损耗优先级 |
无 |
| 红色(不合格) |
无 |
丢弃 |
|
| 单速率三色 |
绿色(符合要求) |
分配低损耗优先级 |
无 |
| 黄色(CIR 和 CBS 上方) |
分配中高损耗优先级 |
无 |
|
| 红色(EBS 上方) |
分配高丢失优先级 |
丢弃 |
|
| 双速率三色 |
绿色(符合要求) |
分配低损耗优先级 |
无 |
| 黄色(CIR 和 CBS 上方) |
分配中高损耗优先级 |
无 |
|
| 红色(PIR 和 PBS 上方) |
分配高丢失优先级 |
丢弃 |
如果在出口 防火墙过滤器中指定监管器,则唯一支持的操作是 discard。
监管器颜色
单速率和双速率三色监管器可以两种模式运行:
-
色盲 — 在色盲模式下,三色监管器假定之前未对检查的所有数据包进行标记或计量。换句话说,三色监管器对数据包之前可能具有的任何颜色都是“盲目的”。
-
颜色感知 — 在颜色感知模式下,三色监管器假定之前检查的所有数据包都已进行标记或计量。换句话说,三色监管器“知道”数据包之前可能具有的颜色。在颜色感知模式下,三色监管器可以增加数据包的 PLP,但不能减少。例如,如果颜色感知型三色监管器对具有中等 PLP 标记的数据包进行计量,则可以将 PLP 级别提高到高,但不能将 PLP 级别降低到低。
过滤器特定监管器
您可以将监管器配置为特定于过滤器的,这意味着无论监管器被引用多少次,Junos OS 都只创建一个监管器实例。在某些交换机上执行此操作时,将聚合应用速率限制,因此,如果将监管器配置为丢弃超过 1 Gbps 的流量,并使用三种不同的术语引用该监管器,则过滤器允许的总带宽为 1 Gbps。但是,特定于过滤器的监管器的行为受引用监管器的防火墙过滤器术语在 TCAM 中的存储方式的影响。如果创建特定于过滤器的监管器并在多个防火墙过滤器术语中引用它,则如果这些术语存储在不同的 TCAM 切片中,监管器允许的流量多于预期。例如,如果将监管器配置为丢弃超过 1 Gbps 的流量,并以存储在三个单独内存切片中的三种不同术语引用该监管器,则过滤器允许的总带宽为 3 Gbps,而非 1 Gbps。
要防止发生这种意外行为,请使用 规划要创建的防火墙过滤器数量中 提供的有关 TCAM 切片的信息来组织配置文件,以便引用特定于过滤器的监管器的所有防火墙过滤器术语存储在同一 TCAM 切片中。
监管器的建议命名约定
建议在配置三色监管器和policer#配置双色监管器时使用命名约定policertypeTCM#-color type。TCM 代表三色记号笔。由于监管器可能很多,并且必须正确应用才能正常工作,因此简单的命名约定可以更轻松地正确应用监管器。例如,配置的第一个单速率、颜色感知型三色监管器将命名srTCM1-ca为 。配置的第二个双速率、色盲三色将命名trTCM2-cb为 。此命名约定的元素解释如下:
-
SR(单速率)
-
TR(双速率)
-
TCM(三色标记)
-
1 或 2(标记数量)
-
CA(颜色感知)
-
CB(色盲)
监管器计数器
在某些交换机上,您配置的每个监管器都包含一个隐式计数器,用于计算超过为监管器指定的速率限制的数据包数。如果在同一过滤器中或在不同的过滤器中使用多个术语中使用同一监管器,则隐式计数器会计算在所有这些术语中受监管的所有数据包,并提供总量。如果想要获取受影响交换机上每个术语的单独数据包计数,请使用以下选项:
-
为每个术语配置唯一的监管器。
-
仅配置一个监管器,但在每个术语中使用一个唯一的显式计数器。
监管器算法
监管使用 令牌桶算法,该算法对平均带宽实施限制,同时允许突发到指定的最大值。与 泄漏桶算法 相比,它提供了更大的灵活性,在开始丢弃数据包之前允许一定数量的突发流量。
监管器可以限制出口防火墙过滤器
在某些交换机上,您配置的出口监管器数量可能会影响允许的出口防火墙过滤器的总数。每个监管器都有两个隐式计数器,它们占用 1024 个条目的 TCAM 中的两个条目。这些用于计数器,包括在防火墙过滤器术语中配置为操作修饰符的计数器。(无论监管器类型如何,监管器都会使用两个条目,因为一个用于绿色数据包,一个用于非绿色数据包。)如果 TCAM 已满,您将无法再提交任何带有计数器术语的出口防火墙过滤器。例如,如果配置并提交 512 个出口监管器(双色、三色或这两种监管器类型的组合),则计数器的所有内存条目都将用完。如果稍后在配置文件中插入其他出口防火墙过滤器,其中包含还包含计数器的术语,则不会提交这些过滤器中 的任何 条款,因为没有可用于计数器的内存空间。
下面是一些其他示例:
-
假设您配置的出口过滤器总共包括 512 个监管器,但不包含计数器。稍后在配置文件中,您可以添加另一个包含 10 个术语的出口过滤器,其中 1 个具有计数器操作修饰符。此过滤器中的任何条款均未提交,因为计数器没有足够的 TCAM 空间。
-
假设您配置的出口过滤器总共包括 500 个监管器,因此占用 1000 个 TCAM 条目。稍后在配置文件中,您可以添加以下两个出口过滤器:
-
过滤器 A,有 20 个术语和 20 个计数器。此过滤器中的所有条款均已提交,因为所有计数器都有足够的 TCAM 空间。
-
过滤器 B 位于过滤器 A 之后,具有五个术语和五个计数器。此过滤器中 的任何条款均未 提交,因为没有足够的内存空间容纳 所有 计数器。(需要五个 TCAM 条目,但只有四个可用。)
-
您可以确保在配置文件中放置包含计数器操作的出口防火墙过滤器术语,早于包含监管器的术语,从而防止出现此问题。在这种情况下,即使没有足够的 TCAM 空间用于隐式计数器,Junos OS 也会提交监管器。例如,假设以下情况:
-
您有 1024 个出口防火墙过滤器术语,其中包含反击措施。
-
在配置文件的后面部分,您将有一个包含 10 个术语的出口过滤器。这些术语都没有计数器,但有一个术语具有监管器操作修饰符。
即使没有足够的 TCAM 空间用于监管器的隐式计数器,也可以成功提交具有 10 个术语的过滤器。监管器在没有计数器的情况下提交。
特定于平台的监管器行为
使用下表查看平台的特定于平台的行为。
| 平台 |
差异 |
|---|---|
| QFX5100 |
|
| QFX5110 |
|
| QFX5200 |
|
| QFX10000 系列 |
|