Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

应用监管器

应用监管器概述

监管器允许您在未配置防火墙过滤器的情况下,对特定接口或第 2 层虚拟专用网 (VPN) 执行简单的流量管制。要应用监管器,请包含policer以下语句:

您可以将这些语句包含在以下层次结构级别:

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

familyccc语句中,协议系列可以是、 inetinet6mplstcc或。 vpls

arp语句中,列出要在接口上接收地址解析协议(ARP)数据包时评估的一个监管器模板的名称。默认情况下,已安装 ARP 监管器,在您已在其上配置family inet语句的所有以太网接口之间共享。如果您希望对 ARP 数据包进行更严格或 lenient 的监察,则可以配置接口特定的监管器并将其应用于接口。您可以在[edit firewall policer]层次结构级别上配置 ARP 监管器,就像配置任何其他监管器一样。如果将此监管器应用于接口,则默认 ARP 数据包监管器将被覆盖。如果您删除此监管器,则默认监管器会再次生效。

  • 您可以在接口上的每个协议系列上配置不同的监管器,并为每个系列使用一个输入监管器和一个输出监管器。应用监管器时,只能ccc为系列inetinet6mplstccvplsinet协议配置族、、、、或仅限一个 ARP 监管器。每次引用监管器时,都会在该接口的数据包转发组件上安装一份单独的监管器副本。

  • 如果将监管器和防火墙过滤器应用于接口,则会在输入防火墙过滤器之前评估输入监管器,并在输出防火墙过滤器后评估输出监管器。在input语句中,列出要在接口上接收数据包时评估的一个监管器模板的名称。在output语句中,列出要在接口上传输数据包时评估的一个监管器模板的名称。

  • 对于通过横跨多个FPC的聚合以太网 (AE) 接口在 MX 系列路由器上终止订阅者,整体订阅者速率可能会超过配置速率,因为策略程序中配置的限制会单独应用于 AE 捆绑包中的每个接口。因此,例如,如果您想在三成员 AE 接口上设置一个策略器以实施 600 米,则需要将 策略器 配置为 200 米,以考虑 AE 中的三个接口(即每个接口 bandwidth-limitbandwidth-limit 200 Mbps,总共 600Mbps)。

  • 如果将监管器应用于接口lo0,则会将其应用于由路由引擎接收或传输的数据包。

  • 在 T Series、M120 和 M320 平台上,如果接口位于相同的 FPC 上,则过滤器或监管器不会作用于进入和退出接口的信息流的总和。

应用聚合监管器

应用聚合监管器

默认情况下,如果您在同一逻辑接口上将监管器应用于多个协议系列,则监管器将为每个协议系列单独限制流量。例如,将带宽限制应用于 IPv4 和 IPv6 流量的策略程序将允许接口接受 50 Mbps 的 IPv4 流量和 50 Mbps 的 IPv6 流量。如果应用聚合策略程序,则策略程序将允许接口仅接收 50 Mbps 的 IPv4 和 IPv6 流量组合。

要配置聚合监管器,请将logical-interface-policer语句包含在[edit firewall policer policer-template-name]层次结构级别:

要将监管器视为聚合,必须在单个逻辑接口上将其应用于多个协议系列,方法是将以下policer语句包括:

您可以将这些语句包含在以下层次结构级别:

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

familyccc语句中,协议系列可以是、 inetinet6mplstcc或。 vpls

不会对其应用监管器的协议系列不会受到监管器的影响。例如,如果您将单个逻辑接口配置为接受 MPLS、IPv4 和 IPv6 流量,并且仅将逻辑接口监管器policer1应用于 IPv4 和 IPv6 协议系列,则 MPLS 信息流不会受到约束。 policer1

如果您应用policer1于不同的逻辑接口,则有两个监管器实例。这意味着,即使将相同的逻辑接口监管器应用于同一物理接口端口上的多个逻辑接口,也会单独(而不是作为聚合)在单独的逻辑接口上 Junos OS 策略流量。

示例:应用聚合监管器

配置两个逻辑接口监管器:aggregate_police1aggregate_police2。应用aggregate_police1于逻辑接口 fe-0/0/0.0上收到的 IPv4 和 IPv6 流量。应用aggregate_police2于逻辑接口 fe-0/0/0.0 上收到的 CCC 和 MPLS 流量。此配置会导致软件仅创建一个实例aggregate_police1和一个实例。 aggregate_police2

应用aggregate_police1于在另一个逻辑接口fe-0/0/0.1上接收的 IPv4 和 IPv6 流量。此配置会导致软件创建一个新实例aggregate_police1,应用于设备0,另一个则应用于 unit 1。

在增强型智能队列 pic 上应用分层监管器

在增强型智能队列 pic 上应用分层监管器

M40e、M120 和 M320 边缘路由器以及具有增强型智能排队(IQE) pic 的 T Series 核心路由器支持入向方向的分层监管器,并允许您为高级和聚合(高级 plus 正常)流量应用分层监管器级别到接口。层次结构监管器在配置的物理接口和数据包转发引擎之间提供跨功能。

开始之前,有一些适用于分层监管器的通用限制:

  • 只能为逻辑或物理接口配置一种类型的监管器。例如,不允许同一个逻辑接口的相同方向上的分层监管器和常规监管器。

  • 不允许使用策略程序链接(即将策略程序应用于端口和该端口的逻辑接口)。

  • 由于没有 BA 分类,为每个 DLCI 提供单个监管器,因此每个接口的监管器限制为64。

  • 在物理或逻辑接口上只能应用一种监管器。

  • 监管器应独立于 BA 分类。如果不使用 BA 分类,接口上的所有流量将根据配置被视为 EF 或非 EF。借助 BA 分类,一个接口最多可支持64监管器。同样,此处的接口可能是物理接口或逻辑接口(例如 DLCI)。

  • 借助 BA 分类,其他流量(与任何 BA 分类 DSCP/EXP 位的流量匹配)将 policed 为非 EF 流量。不会为此信息流安装单独的监管器。

层次结构监管器概述

分层监管使用两个令牌桶,一个用于聚合(非 EF)流量,另一个用于高级(EF)流量。哪些信息流是 EF,哪些是非 EF 流量由服务等级配置确定。从逻辑上讲,通过链接两个监管器实现分层管制。

图 1: 层次监管器层次监管器

在中的示例图 1中,EF 流量由 Premium 监管器和非 EF 流量通过聚合监管器 policed policed。这意味着对于 EF 流量,不规范的操作将是配置为 Premium 监管器的一个,但符合 spec 的 EF 流量仍将使用聚合监管器中的令牌。

但 EF 信息流永远不会提交到聚合监管器的规范外操作。此外,如果未将 Premium 监管器的规定外操作设置为放弃,则这些超出规范的数据包将不会使用聚合监管器中的令牌。聚合监管器仅对非 EF 流量进行策略。您可以看到,如果所有标记都由非 EF 流量使用,则聚合监管器令牌桶可能会变得负面,然后您将获得猝发的 EF 信息流。但这只会在很短的时间内运行,而在一段时间里就会过时。例如:

  • 特优监管器:带宽 2 Mbps,OOS 操作:丢弃

  • 聚合监管器:带宽 10 Mbps,OOS 操作:丢弃

在上述情况下,EF 流量保证为 2 Mbps,而非 EF 流量将从 8 Mbps 传输到 10 Mbps,具体取决于 EF 流量的输入速率。

分层监管特征

层次结构令牌桶功能包括:

  • 在应用监管器之前,入口流量首先分为 EF 和非 EF 流量:

    • 分类由 Q 树查找执行

  • 通道编号选择共享令牌桶监管器:

    • 双令牌桶监管器分为两个单独一个 bucket 监管器:

      • 管制器 1 — EF 流量

      • 管制器2 — 非 EF 流量

  • 共享令牌桶用于对流量进行警方,如下所述:

    • Policer1 设置为 EF 速率(例如 2 Mbps)

    • Policer2 设置为聚合接口 policed 速率(例如 10 Mbps)。

    • 将 EF 信息流应用于 Policer1。

      • 如果流量是规范的,则允许从 Policer1 和 Policer2 同时通过和递减。

      • 如果信息流超出规范,则可以丢弃或使用新的 FC 或丢失优先级进行标记。Policer2 不会对不规范的 EF 流量执行任何操作。

    • 非 EF 信息流仅应用于 Policer2。

      • 如果流量是规范的,则允许通过并减少 Policer2。

      • 如果信息流超出规范,则会丢弃或使用新 FC 进行标记,或使用新的光纤通道集来设置。

  • Rate —将端口速度限制为所需的2层速率

  • Rate —限制 EF 流量

  • Rate-限制非 EF 流量

  • 按颜色计算的管制丢弃

配置分层监管器

要配置分层监管器,请将该policing-priority语句应用于正确的转发类,并为聚合和 premium 级别配置层次结构监管器。有关此服务等级的信息,请参阅 Junos OS设备的服务等级用户指南

注:

只有在 IQE PIC 上托管的 SONET 物理接口上才能配置层次结构监管器。仅支持聚合和特优级别。

CoS 配置层次结构监管器的转发类

有关服务等级配置和语句的详细信息,请参阅 Junos OS设备服务等级 用户指南

层次结构监管器的防火墙配置

您可以按如下方式应用层次结构监管器:

您还可以选择在物理端口级别应用监管器,如下所示:

配置单速率双色监管器

您可以按以下方式配置单速率双色监管器:

您可按以下方式应用监管器:

您还可以选择在物理端口级别应用监管器,如下所示:

配置单速率色盲监管器

本节介绍单速率色盲和颜色感知监管器。

您可以配置单速率色盲监管器,方法如下:

您可以按如下方式应用单速率色盲监管器:

您可以按以下方式配置单速率颜色感知监管器:

您可以按如下方式应用单速率颜色感知监管器:

您还可以选择在物理端口级别应用监管器,如下所示:

配置双速率三色标记监管器

入口管制使用双速率三色标记(trTCM)实施。这是通过双令牌桶(DTB)实现的,可维护两个速率、提交和峰值。出口静态管制也使用令牌桶。

令牌桶执行以下入口管制功能:

  • (1K) trTCM-双令牌桶(红色、黄色和绿色标记)

  • 监管基于第2层数据包大小:

    • 在 +/-字节调整偏移之后

  • 标记为 "感知色" 和 "色盲":

    • 感知颜色需要根据以下内容对 q 树查找设置颜色:

      • ToS

      • 到期

  • 可编程标记操作:

    • 颜色(红色、黄色、绿色)

    • 根据颜色和拥塞配置文件放置

  • 监管器是根据到达的通道编号选择的:

    • 通道号 LUT 产生监管器索引和队列索引

    • 多个通道可共享相同的监管器(LUT 产生相同的监管器指数)

  • 在以下级别支持入口管制和 trTCM:

    • 排列

    • 逻辑接口(采用 per-ifl/DLCI)

    • 物理接口(ifd)

    • 物理端口(控制器 ifd)

    • 逻辑接口、物理接口和端口的任意组合

  • 支持接口速度和每秒位数的百分比

速率限制可应用于入口上和出口预定队列上的选定队列。令牌桶以颜色感知和色盲模式运行(由 RFC 2698 指定)。

配置色盲 trTCM

您可按如下方式应用三色双速率色盲监管器:

您还可以选择在物理端口级别应用监管器,如下所示:

配置颜色感知 trTCM

您可按如下方式应用三色两色颜色感知监管器:

您还可以选择在物理端口级别应用监管器,如下所示: