Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

监管器概述

交换机策略信息流,方法是根据用户定义标准限制信息流的输入或输出传输速率。通过监管(或速率限制)流量,可以控制在接口上发送或接收的最大流量速率,并提供多个优先级或服务等级。

监管也是防火墙过滤器的重要组成部分。您可以通过在防火墙过滤器配置中包括监管器来实现监管。

监管器概述

您可使用策略程序对信息流应用限制,并针对超过这些限制的数据包设置后果(通常是应用更高的丢失优先级)。这样一来,如果数据包遇到下游拥塞,可以首先将其丢弃。监管器仅适用于单播数据包。

监管器提供两个功能:计量和标记。每个数据包的监管器米(量值),用于应对您配置的流量速率和突发大小。然后将数据包和计数结果传递给标记,后者分配与计量结果对应的数据包丢失优先级。图 1说明了这一过程。

图 1: 三色标记监管器操作流三色标记监管器操作流

命名和配置监管器后,可通过将其指定为一个或多个防火墙过滤器中的操作来使用。

监管器类型

交换机支持三种类型的监管器:

  • 单速率双色标记 — 双色策略程序(或"策略程序",如果不认证,则用于)对信息流进行仪表管理,根据配置的带宽和突发大小限制将数据包分类为两类数据包丢失优先级 (PLP)。您可以使用指定的 PLP 标记超过带宽和突发大小限制的数据包,或者只是丢弃它们。

    您可以在入口或出口防火墙中指定此类监管器。

    注:

    双色监管器最适用于端口(物理接口)级别的计量流量。

  • 单速率三色标记 — 此类型的策略器在 RFC 2697 单速率 色标记 中定义,是差异服务 (DiffServ) 环境每跳行为 (PHB) 保证转发 (AF) 分类系统的一部分。这种类型的监管器根据一个速率对流量进行仪表 — 配置的保证信息速率 (CIR) 以及承诺的突发大小 (CBS) 和多余突发大小 (EBS)。CIR 指定向交换机许可 bits 的平均速率。CBS 指定正常的突发流量大小(以字节为单位),并且 EBS 指定最大突发大小(以字节为单位)。EBS 必须大于或等于 CBS,并且不能为0。

    您可以在入口或出口防火墙中指定此类监管器。

    注:

    当服务根据数据包长度而不是峰值到达速率构建时,单速率三色标记(TCM)最有用。

  • 双速率三色标记 — 此类型的策略器在 RFC 2698 双速率 色标记 中定义,是差异服务环境按跃点行为分类系统的保证转发的一部分。这种类型的监管器根据两个速率(CIR 和峰值信息速率 (PIR) 及其关联的突发大小、CBS 和峰值突发大小 (PBS) 来对信息流进行收费。PIR 指定许可位到网络的最大速率,必须大于或等于 CIR。

    您可以在入口或出口防火墙中指定此类监管器。

    注:

    当服务根据到达率(不一定是数据包长度)构建时,双速率三色监管器最有用。

有关表 1如何对每种监管器类型应用计量结果的信息,请参阅。

监管器操作

监管器操作是隐式或显式的,并且因监管器类型而异。隐性表示 Junos OS 自动分配损失优先级。表 1介绍了监管器操作。

表 1: 监管器操作

监管器

标记

隐式操作

可配置动作

单速率双色

绿色(符合)

分配低损失优先级

红色(不一致)

丢弃

单速率三色

绿色(符合)

分配低损失优先级

黄色(高于 CIR 和 CBS)

分配介质-高损失优先级

红色(在 EBS 上方)

分配高损失优先级

丢弃

双速率三色

绿色(符合)

分配低损失优先级

黄色(高于 CIR 和 CBS)

分配介质-高损失优先级

红色(高于 PIR 和 PBS)

分配高损失优先级

丢弃

注:

如果在出口防火墙过滤器中指定监管器,则支持的唯一操作是discard

监管器颜色

单速率和双速率三色监管器可在两种模式下运行:

  • 无色 - 在无色模式下,三色检查器假定检查的所有数据包以前未标记或计量。换言之,三色管理器对数据包可能具有的任何先前着色都"盲"。

  • 颜色感知 — 在颜色感知模式下,三色管理器假定检查的所有数据包以前均标记或计量。换言之,三色管理器可以"感知"数据包之前可能拥有的颜色。在颜色感知模式下,三色监管器可增加数据包的 PLP,但不能降低其数量。例如,如果颜色识别的三色监管器仪表具有中等 PLP 标记的数据包,则可以将 PLP 级别提升至高,但不能将 PLP 级别降低到 low。

筛选器特定监管器

您可以将监管器配置为特定于筛选器,这意味着 Junos OS 仅创建一个监管器实例,而不管监管器的引用次数。在一些 QFX 交换机上这样做时,将综合应用速率限制,因此,如果将策略程序配置为丢弃超过 1 Gbps 的流量,并且以三种不同术语引用该策略器,则过滤器允许的总带宽为 1 Gbps。但是,特定于过滤的监管器的行为会受到有关引用监管器的防火墙过滤器术语存储在 TCAM 中的方式的影响。如果您创建了特定于过滤器的监管器并在多个防火墙过滤器术语中引用,则当这些术语存储在不同的 TCAM 片中时,监管器允许的流量比预期的多。例如,如果将策略程序配置为丢弃超过 1 Gbps 的信息流,并引用三个单独内存切片中存储的三种不同术语中的策略程序,则过滤器允许的总带宽为 3 Gbps,而非 1 Gbps。(QFX10000 交换机中未出现此行为。)

为避免发生这种意外行为,请使用有关计划中显示的 TCAM 片的信息,以创建用于组织配置文件的防火墙过滤器的数量,以便所有用于引用给定的防火墙过滤器术语特定于过滤器的监管器存储在相同的 TCAM 片中。

建议的监管器命名约定

我们建议您在配置三色监管器policertypeTCM#-color type时以及policer#配置双色监管器时使用命名约定。TCM 代表三色标记。由于监管器可能很多,必须正确应用才能起作用,因此简单的命名约定使得正确应用监管器变得更容易。例如,配置的第一个单速率、颜色感知三色监管器将被命名srTCM1-ca。第二个双速率、色盲色配置为三色trTCM2-cb。此命名约定的元素说明如下:

  • sr (单速率)

  • tr (两速率)

  • TCM (三色标记)

  • 1或2(标记数量)

  • ca (颜色感知)

  • cb (色盲)

监管器计数器

在某些 QFX 交换机上,您配置的每个监管器都包含一个隐性计数器,用于对超过为监管器指定的速率限制的数据包数量进行计数。如果您使用多个术语相同的管理程序(在同一过滤器中或不同过滤器中)中,则隐式计数器将计算所有按所有这些术语设置的所有数据包,并提供总数。(这不适用于 QFX10000 交换机。)如果要为受影响的交换机上的每个术语获取单独的数据包计数,请使用以下选项:

  • 为每个术语配置唯一监管器。

  • 仅配置一个监管器,但在每个术语中使用唯一的显式计数器。

监管器算法

监管使用令牌桶算法,对平均带宽实施限制,同时允许将猝发到指定的最大值。它提供比leaky bucket 算法更多的灵活性,能够在开始丢弃数据包之前允许一定数量的突发流量。

注:

在轻型突发信息流环境中,QFX5200 可能无法将所有多播数据包复制到两个或多个下游接口。仅在线速突发时发生 — 如果流量一致,则不会发生问题。此外,仅当数据包大小在一个千兆位信息流中超过6k 时,才会出现此问题。

支持多少个监管器?

QFX10000 交换机支持8K 监管器(所有监管器类型)。QFX5100 和 QFX5200 交换机支持1535入口监管器和1024出口监管器(假定每个防火墙过滤器术语一个监管器)。QFX5110 交换机支持6144入口监管器和1024出口监管器(假设每个防火墙过滤器术语一个监管器)。

QFX3500 和 QFX3600 独立交换机和 QFabric 节点设备支持以下数量的监管器(假设每个防火墙筛选器术语一个监管器):

  • 在入口防火墙过滤器中使用的双色监管器:767

  • 入口防火墙过滤器中使用的三色监管器:767

  • 在出口防火墙过滤器中使用的双色监管器:1022

  • 出在出口防火墙过滤器中使用的三色监管器:512

监管器可限制出口防火墙过滤器

在某些交换机上,您配置的出口监管器的数量会影响允许的出口防火墙过滤器的总数。每个监管器都有两个隐性计数器,用于在1024条目 TCAM 中占用两个条目。它们用于计数器,包括配置为防火墙过滤器术语中的操作修饰符的计数器。(监管器使用两个条目,因为一个用于绿色数据包,而与监管器类型无关,一个用于 nongreen 数据包。)如果 TCAM 变满,您将无法提交带有计数器的术语的任何更多出口防火墙过滤器。例如,如果您配置并提交512出口监管器(双色、三色或两种监管器类型的组合),则计数器的所有内存条目都将被占用。如果稍后在您的配置文件中插入额外的出口防火墙过滤器,其中还包括计数器在内的术语,则不会提交这些过滤器中的任何条款,因为没有用于计数器的可用内存空间。

下面是一些附加示例:

  • 假设您配置的出口过滤器总共包括512监管器和无计数器。稍后在配置文件中包含包含10个术语的其他出口过滤器,其中有一个计数器操作修饰符。由于没有足够的 TCAM 空间用于计数器,此过滤器中的条款均未提交。

  • 假设您配置的出口过滤器总共包括500监管器,因此 1000 TCAM 条目已被占用。稍后在配置文件中包括以下两个出口过滤器:

    • 过滤 A,20个术语和20个计数器。此过滤器中的所有术语均已提交,因为有足够的 TCAM space 用于所有计数器。

    • 过滤器 B 位于过滤器 A 之后,包含五个术语和五个计数器。由于没有足够的内存空间可用于所有计数器,此过滤器中的任何条款均未提交。(需要五个 TCAM 条目,但只有四项可用。)

您可以通过确保在您的配置文件中放置带有计数器操作的出口防火墙条款比包含监管器的术语来避免此问题。在这种情况下,即使没有足够的 TCAM 空间用于隐式计数器,Junos OS 也会提交监管器。例如,假设以下内容:

  • 您有1024出口防火墙过滤器术语和计数器操作。

  • 稍后在您的配置文件中,您有一个包含10个条款的出口过滤器。任何条款都没有计数器,但一个没有监管器操作修饰符。

即使没有足够的 TCAM 空间用于监管器的隐式计数器,也可以使用10个条件成功提交过滤器。监管器在没有计数器的情况下提交。