Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

监管器概述

交换机通过根据用户定义的标准限制一类信息流的输入或输出传输速率来监管流量。管制(或速率限制)信息流允许您控制接口上发送或接收的最大流量速率,并提供多个优先级或服务等级。

管制也是防火墙过滤器的重要组成部分。您可以通过在 防火墙过滤器 配置中包含监管器来实现监管。

监管器概述

您可使用监管器对信息流进行限制,并设置超出这些限制的数据包的后果(通常应用更高的丢失优先级)以便如果数据包遇到下游拥塞,可以先丢弃这些数据包。监管器仅适用于单播数据包。

监管器提供两项功能:计量和标记。根据您配置的流量速率和突发大小,每个数据包的监管器仪表(测量)。然后,它会将数据包和计量结果传递到标记器,标记符分配与计量结果对应的数据包丢失优先级。 图 1 说明了此过程。

注:

监管器按每个 PFE 的配置传输速率限制流量。在 QFX10016、QFX10002、QFX10002-60C 和 QFX10008 交换机中,当聚合以太网 (AE) 接口捆绑包跨越多个 PPFE 时,订阅者监管器的总体传输速率可能会超过监管器的配置传输速率(具体取决于涉及的 PPE 数量)。

例如:

  • 在具有成员链路 xe-1/0/0(fpc1-pfe0) 和 xe-1/0/30 (fpc1-pfe1) 的成员链路的 AE 接口上配置带宽限制 100 mbps 的监管器。此处,两个成员链路属于 FPC1,但是位于不同的 PPE 上。当监管器应用于 AE 接口时,当为两个 PPE 配置监管器时,这将导致总带宽达到 200 Mbps。

  • 在具有成员链路 xe-1/0/0(fpc1-pfe0)、et-2/0/1 (fpc2-pfe1) 和 xe-2/0/1 (fpc2-pfe1) 和 xe-2/0/18:0 (fpc2-pfe2) 的 AE 接口上配置带宽限制 100 mbps 的监管器。此处,一个成员链路属于此 FPC 上的 FPC1 和 PFE0。其余两个成员链路属于 FPC2,但 PPE 不同。当监管器应用于 AE 接口时,当为三个 PPE 配置监管器时,这将导致总带宽达到 300 Mbps。

  • 在 AE 接口上配置带宽限制 100 mbps 的监管器,该接口在单个 PFE (fpc1-pfe0) 上具有成员链路 xe-1/0/0 和 xe-1/0/1。在此处,成员链路属于 FPC1 和同一 PFE。将监管器应用到 AE 接口时,每 PFE 配置监管器时,总带宽为 100 Mbps。

图 1: 三色标记监管器操作流 三色标记监管器操作流

在您命名并配置监管器之后,您可以将其指定为一个或多个防火墙过滤器中的一个操作。

监管器类型

交换机支持三种类型的监管器:

  • 单速率双色标记—双色监管器(或无资格使用时的“监管器”)用于信息流,并根据配置的带宽和突发大小限制将数据包分类为两类丢包优先级 (PLP)。您可以使用指定的 PLP 标记超过带宽和突发大小限制的数据包,或者干脆丢弃这些数据包。

    您可以在入口或出口防火墙中指定这种类型的监管器。

    注:

    双色监管器在端口(物理接口)级别对流量计量最有用。

  • 单速率三色标记 — 此类型的监管器在 RFC 2697 单速率三色标记中定义,作为差异服务 (DiffServ) 环境的保证转发 (AF) 单跃点行为 (PHB) 分类系统的一部分。这种类型的监管器根据一个速率(配置的保证信息速率 (CIR) 以及承诺的突发大小 (CBS) 和多余的突发大小 (EBS))来计量流量。CIR 指定了将哪些位进入交换机的平均速率。哥伦比亚广播公司指定了通常的突发大小以字节为单位,EBS 指定了以字节为单位的最大突发大小。EBS 必须大于或等于哥伦比亚广播公司,而且两者都不能为 0。

    您可以在入口或出口防火墙中指定这种类型的监管器。

    注:

    当服务根据数据包长度而非峰值到达速率进行结构化时,单速率三色标记 (TCM) 最有用。

  • 双速率三色标记 — 此类型的监管器在 RFC 2698“ 双速率三色标记”中定义,作为差异服务环境的按跃点行为分类系统保证转发的一部分。这种类型的监管器根据两种速率(CIR 和峰值信息速率 (PIR)及其关联的突发大小、CBS 和峰值突发大小 (PBS) 来计量流量。PIR 指定了将位进入网络且必须大于或等于 CIR 的最大速率。

    您可以在入口或出口防火墙中指定这种类型的监管器。

    注:

    如果根据到达速率(不一定是数据包长度)构建服务,则双速率三色监管器最有用。

有关如何为每种监管器类型应用计量结果的信息,请参阅 表 1

监管器操作

监管器操作含蓄或显式,且因监管器类型而异。隐式 表示 Junos OS 会自动分配丢失优先级。 表 1 介绍了监管器操作。

表 1: 监管器操作

监管器

标记

隐式操作

可配置操作

单速率双色

绿色(符合)

分配低丢失优先级

红色(非格式)

丢弃

单速率三色

绿色(符合)

分配低丢失优先级

黄色(CIR 和 CBS 上方)

分配中等高损耗优先级

红色(EBS 上方)

分配高丢失优先级

丢弃

双速率三色

绿色(符合)

分配低丢失优先级

黄色(CIR 和 CBS 上方)

分配中等高损耗优先级

红色(PIR 和 PBS 上方)

分配高丢失优先级

丢弃

注:

如果在出口 防火墙过滤器中指定监管器,则唯一支持的操作是 discard

监管器颜色

单速率和双速率三色监管器可在两种模式下运行:

  • 色盲 — 在色盲模式下,三色监管器假定检查的所有数据包以前未标记或计量过。换句话说,三色监管器对数据包之前可能具有的任何颜色都“视而不见”。

  • 颜色感知 — 在颜色感知模式下,三色监管器假定检查的所有数据包以前都已标记或计量。换句话说,三色监管器“感知”数据包可能具有的先前颜色。在颜色感知模式下,三色监管器可以增加数据包的 PLP,但不能减少。例如,如果有颜色感知的三色监管器为带有中等 PLP 标记的数据包计量,则可以将 PLP 级别提升到高,但不能将 PLP 级别降低到低。

特定于过滤器的监管器

您可以将监管器配置为特定于过滤器,这意味着无论引用多少次监管器,Junos OS 仅创建一个监管器实例。在某些 QFX 交换机上执行此操作时,系统会按聚合方式应用速率限制,因此,如果将监管器配置为丢弃超过 1 Gbps 的流量,并引用该策略以三个不同的术语监管器,则过滤器允许的总带宽为 1 Gbps。但是,参考监管器的防火墙过滤器术语如何存储在 TCAM 中,会影响特定于过滤器的监管器的行为。如果创建特定于过滤器的监管器并以多个防火墙过滤器术语引用,如果这些术语存储在不同的 TCAM 切片中,监管器允许的信息流超过预期。例如,如果将监管器配置为丢弃超过 1 Gbps 的信息流,并引用在三个独立内存切片中存储的三个不同术语监管器,过滤器允许的总带宽为 3 Gbps,而非 1 Gbps。(此行为不会在 QFX10000 交换机中发生。)

为防止发生这种意外行为,请使用 “规划防火墙过滤器数量创建 ”中显示的有关 TCAM 切片的信息来组织配置文件,以便将引用给定过滤器特定监管器的所有防火墙过滤器术语存储在同一个 TCAM 切片中。

建议监管器命名约定

在配置三色监管器和policer#配置双色监管器时,建议您使用命名约定policertypeTCM#-color type。TCM 代表三色标记。由于监管器数量可能众多,并且必须正确应用于工作,因此简单的命名约定使监管器应用更轻松。例如,配置的第一个单速率、颜色感知的三色监管器将被命名 srTCM1-ca为 。第二个双速率,色盲三色配置将命名 trTCM2-cb。此命名约定的内容如下所述:

  • sr(单速率)

  • tr(双速率)

  • TCM(三色标记)

  • 1 或 2(标记数)

  • ca(颜色感知)

  • cb(色盲)

监管器计数器

在某些 QFX 交换机上,您配置的每个监管器都包含一个隐式计数器,用于统计超过监管器指定速率限制的数据包数量。如果使用同一个监管器(在同一过滤器内或不同过滤器中)多个术语,则隐式计数器将计入所有这些条款中监管的所有数据包,并提供总金额。(这不适用于 QFX10000 交换机。)如果您想要在受影响的交换机上获取每个术语的单独数据包计数,请使用以下选项:

  • 为每个术语配置一个唯一的监管器。

  • 仅配置一个监管器,但在每个术语中使用唯一的显式计数器。

监管器算法

管制使用 令牌桶算法,该算法对平均带宽实施限制,同时允许爆发到指定的最大值。它比 漏水的桶算法 在开始丢弃数据包之前允许一定数量的突发信息流具有更大的灵活性。

注:

在信息流暴发的环境中,QFX5200 可能无法将所有组播数据包复制到两个或更多下游接口。这仅以线速突发发生 — 如果流量一致,则不会发生问题。此外,只有在一个千兆位信息流中数据包大小超过 6k 时,才会出现问题。

支持多少个监管器?

QFX10000 交换机支持 8K 监管器(所有监管器类型)。QFX5100 和 QFX5200 交换机支持 1535 个入口监管器和 1024 个出口监管器(假设每个防火墙过滤器术语一个监管器)。QFX5110 交换机支持 6144 个入口监管器和 1024 个出口监管器(假设每个防火墙过滤器术语一个监管器)。

QFX3500 和 QFX3600 独立交换机和 QFabric 节点设备支持以下监管器数量(假设每个防火墙过滤器术语一个监管器):

  • 入口防火墙过滤器中使用的双色监管器:767

  • 入口防火墙过滤器中使用的三色监管器:767

  • 出口防火墙过滤器中使用的双色监管器:1022

  • 出口防火墙过滤器中使用的三色监管器:512

监管器可以限制出口防火墙过滤器

在某些交换机上,您配置的出口监管器数量会影响允许的出口防火墙过滤器总数。每个监管器都有两个隐式计数器,在一个 1024 条目 TCAM 中占据两个条目。这些用于计数器,包括以防火墙过滤器术语配置为操作修改器的计数器。(监管器会占用两个条目,因为一个用于绿色数据包,一个用于非绿色数据包,而不管监管器类型如何。)如果 TCAM 已满,则无法再提交与计数器有条件的出口防火墙过滤器。例如,如果您配置并提交 512 个出口监管器(双色、三色或两种监管器类型的组合),则计数器的所有内存条目都将用完。如果稍后在配置文件中插入包含计数器的条款的其他出口防火墙过滤器,则这些过滤器中 没有提交任何 条款,因为计数器没有可用的内存空间。

下面还有一些其他示例:

  • 假设您配置的出口过滤器总共包含 512 个监管器,无计数器。在配置文件的后面,您包括另一个带有 10 个条款的出口过滤器,其中 1 个带有反操作修改器。此过滤器中没有提交任何条款,因为计数器没有足够的 TCAM 空间。

  • 假设您配置了总共包含 500 个监管器的出口过滤器,因此占用了 1000 个 TCAM 条目。在配置文件的后面,您包括以下两个出口过滤器:

    • 过滤器 A,带 20 个术语和 20 个计数器。由于有足够的 TCAM 空间可供所有计数器使用,因此此过滤器中的所有术语均已提交。

    • 过滤器 B 以过滤器 A 为后,有五个术语和五个计数器。此过滤器中没有提交任何术语,因为没有足够的内存空间用于所有计数器。(需要五个 TCAM 条目,但只有四个可用。)

您可以确保在配置文件中早于包含监管器的术语中较早地放置带有反操作的出口防火墙过滤器术语,从而防止此问题发生。在这种情况下,即使隐式计数器没有足够的 TCAM 空间,Junos OS 也会提交监管器。例如,假设以下内容:

  • 您有 1024 个出口防火墙过滤器术语,带有反操作。

  • 在配置文件的后面,您有一个带有 10 个术语的出口过滤器。没有一个术语有计数器,但其中一个具有监管器操作修改器。

即使没有足够的 TCAM 空间支持监管器的隐式计数器,您也可以使用 10 个条款成功提交过滤器。监管器是在没有计数器的情况下提交的。