双色和三色逻辑接口监管器
逻辑接口(聚合)监管器概述
逻辑接口监管器(也称为聚合监管器)是一种双色或三色监管器,用于定义流量速率限制,您可以将其应用于同一 逻辑接口上多个协议家族的输入或输出流量,而无需创建 监管器的多个实例。
要配置单速率双色 逻辑接口 监管器,请将语句包含在 以下层次结构级别之一:logical-interface-policer
要配置单速率或双速率三色逻辑接口监管器,请将语句包含在 以下层次结构级别之一:logical-interface-policer
[edit firewall three-color-policer name][edit logical-systems logical-system-name firewall three-color-policer name]
三色监管器只能作为逻辑接口监管器应用于第 2 层流量。您不能将三色监管器作为物理接口监管器(通过 防火墙过滤器)应用于第 2 层流量。
您可以将逻辑接口监管器应用于第 3 层流量,直接应用于逻辑单元级别(对所有流量类型进行速率限制,而不考虑协议家族)或协议系列级别(对特定协议家族的流量进行速率限制)的接口配置。可以从无状态防火墙过滤器术语引用逻辑接口监管器,然后将过滤器应用于逻辑接口。
您只能将逻辑接口监管器应用于单播流量。有关为泛洪流量配置无状态防火墙过滤器的信息,请参阅《路由策略、防火墙过滤器和流量监管器用户指南》的“流量采样、转发和监控”部分中的“应用转发表过滤器”。Applying Forwarding Table Filtershttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html
要在特定接口上显示逻辑接口监管器,请发出操作模式命令。show interfaces policers
另请参阅
示例:配置双色逻辑接口(聚合)监管器
此示例说明如何将单速率双色监管器配置为逻辑接口监管器,并将其应用于逻辑接口上的传入 IPv4 流量。
要求
开始之前,请确保应用双色逻辑接口监管器的逻辑接口托管在千兆以太网接口 () 或 10 千兆以太网接口 () 上。ge-xe-
概述
在此示例中,您将单速率双色监管器配置为逻辑接口监管器 ,并将其应用于逻辑接口 上的传入 IPv4 流量。policer_IFLge-1/3/1.0
拓扑
如果物理接口 上的输入 IPv4 流量超过带宽限制,等于媒体速率的 90%,突发大小限制为 300 KB,则逻辑接口监管器 会对逻辑接口 上的输入 IPv4 流量进行速率限制。ge-1/3/1policer_IFLge-1/3/1.0 将监管器配置为通过将数据包丢失优先级 (PLP) 级别设置为 并将数据包分类为 来标记不符合流量。highbest-effort
当物理接口上的传入 IPv4 流量速率变慢并符合配置的限制时,Junos OS 将停止在逻辑接口上标记传入的 IPv4 数据包。
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 。在配置模式下使用 CLI 编辑器
要配置此示例,请执行以下操作:
CLI 快速配置
要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI 中。[edit]
set interfaces ge-1/3/1 vlan-tagging set interfaces ge-1/3/1 unit 0 vlan-id 100 set interfaces ge-1/3/1 unit 0 family inet address 10.10.10.1/30 set interfaces ge-1/3/1 unit 1 vlan-id 101 set interfaces ge-1/3/1 unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44 set firewall policer policer_IFL logical-interface-policer set firewall policer policer_IFL if-exceeding bandwidth-percent 90 set firewall policer policer_IFL if-exceeding burst-size-limit 300k set firewall policer policer_IFL then loss-priority high set firewall policer policer_IFL then forwarding-class best-effort set interfaces ge-1/3/1 unit 0 family inet policer input policer_IFL
配置逻辑接口
分步过程
要配置逻辑接口,请执行以下操作:
启用接口配置。
[edit] user@host# edit interfaces ge-1/3/1
配置单个标记。
[edit interfaces ge-1/3/1] user@host# set vlan-tagging
配置逻辑接口 。
ge-1/3/1.0[edit interfaces ge-1/3/1] user@host# set unit 0 vlan-id 100 user@host# set unit 0 family inet address 10.10.10.1/30
配置逻辑接口 。
ge-1/3/1.0[edit interfaces ge-1/3/1] user@host# set unit 1 vlan-id 101 user@host# set unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44
成果
通过输入 配置模式命令来确认逻辑接口的配置。show interfaces 如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
将单速率双色监管器配置为逻辑接口监管器
分步过程
要将单速率双色监管器配置为逻辑接口监管器:
启用单速率双色监管器的配置。
[edit] user@host# edit firewall policer policer_IFL
指定监管器是逻辑接口(聚合)监管器。
[edit firewall policer policer_IFL] user@host# set logical-interface-policer
逻辑接口监管器根据应用监管器的逻辑接口底层物理接口的媒体速率的百分比来限制流量。监管器直接应用于接口,而不是由防火墙过滤器引用。
指定监管器流量限制。
指定带宽限制。
要将带宽限制指定为绝对速率(从每秒 8,000 位到每秒 50,000,000,000 位),请包含该 语句。
bandwidth-limit bps要将带宽限制指定为接口上物理端口速度的百分比,请包含语句 。
bandwidth-percent percent
在此示例中,CLI 命令和输出基于以百分比(而不是绝对速率)指定的带宽限制。
[edit firewall policer policer_IFL] user@host# set if-exceeding bandwidth-percent 90
指定突发大小限制,从 1,500 字节到 100,000,000,000 字节,这是超过指定带宽限制的突发数据允许的最大数据包大小。
[edit firewall policer policer_IFL] user@host# set if-exceeding burst-size-limit 300k
指定对超出配置速率限制的信息流要采取的监管器操作。
要丢弃数据包,请包含 语句。
discard要设置数据包的丢失优先级值,请包含语句 。
loss-priority (low | medium-low | medium-high | high)要将数据包分类为转发类,请包含该 语句。
forwarding-class (forwarding-class | assured-forwarding | best-effort | expedited-forwarding | network-control)
在此示例中,CLI 命令和输出基于设置丢包优先级和对数据包进行分类。
[edit firewall policer policer_IFL] user@host# set then loss-priority high user@host# set then forwarding-class best-effort
成果
通过输入 配置模式命令确认监管器的配置。show firewall 如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show firewall
policer policer_IFL {
logical-interface-policer;
if-exceeding {
bandwidth-percent 90;
burst-size-limit 300k;
}
then {
loss-priority high;
forwarding-class best-effort;
}
}
应用逻辑接口监管器以在逻辑接口上输入 IPv4 流量
分步过程
要将双色逻辑接口监管器应用于将 IPv4 流量输入为逻辑接口,请执行以下操作:
启用逻辑接口的配置。
[edit] user@host# edit interfaces ge-1/3/1 unit 0
将监管器应用于逻辑接口上的所有信息流类型或特定信息流类型。
要将监管器应用于所有流量类型(无论协议家族如何),请在层次结构级别包含 该语句 。
policer (input | output) policer-name[edit interfaces interface-name unit number]要将监管器应用于特定协议家族的流量,请在层次结构级别包含 该语句 。
policer (input | output) policer-name[edit interfaces interface-name unit unit-number family family-name]
要将逻辑接口监管器应用于传入数据包, 请使用语句。
policer input policer-name要将逻辑接口监管器应用于传出数据包, 请使用语句。policer output policer-name在此示例中,CLI 命令和输出基于逻辑接口 上的 IPv4 输入流量的速率限制。
ge-1/3/1.0[edit interfaces ge-1/3/1 unit 0] user@host# set family inet policer input policer_IFL
成果
通过输入 配置模式命令确认接口的配置。show interfaces 如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
policer input policer_IFL;
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
如果完成设备配置,请从配置模式输入 commit。
验证
确认配置工作正常。
显示逻辑接口的流量统计数据和监管器
目的
验证通过逻辑接口的信息流,以及在逻辑接口上收到数据包时是否评估监管器。
操作
对逻辑接口使用操作模式命令,并包括或选项。show interfacesge-1/3/1.0detailextensive 的命令输出部分列出了逻辑接口上接收和传输的 字节数和数据包数。Traffic statistics 该小节包含一个字段,该字段将监管器列为输入或输出逻辑接口监管器,如下所示:Protocol inetPolicerpolicer_IFL
Input: policer_IFL-ge-1/3/1.0-log_int-i
Output: policer_IFL-ge-1/3/1.0-log_int-o
后缀表示应用于输入流量的逻辑接口监管器,而后缀表示应用于输出流量的逻辑接口监管器。log_int-ilog_int-o 在此示例中,逻辑接口监管器仅适用于输入流量。
示例:配置三色逻辑接口(聚合)监管器
此示例说明如何将双速率三色盲监管器配置为逻辑接口(聚合)监管器,并将监管器直接应用于支持的逻辑接口上的第 2 层输入流量。
要求
开始之前,请确保应用三色逻辑接口监管器的逻辑接口托管在 MX 系列路由器上的千兆以太网接口 () 或 10 千兆以太网接口 () 上。ge-xe-
概述
双速率三色监管器根据带宽限制和突发大小限制来计量流量,以实现有保证的流量,以及针对峰值流量的第二组带宽和突发大小限制。符合保证流量限制的流量归类为绿色,不符合流量分为两类:
不超过峰值流量的带宽和突发大小限制的不合格流量被归类为黄色。
超出峰值流量的带宽和突发大小限制的不合格流量被归类为红色。
逻辑接口监管器定义流量速率限制规则,您可以将这些规则应用于同一逻辑接口上的多个协议家族,而无需创建监管器的多个实例。
您可以将逻辑接口监管器直接应用于逻辑单元级别的逻辑接口,而不是通过在无状态防火墙过滤器中引用监管器,然后将过滤器应用于协议家族级别的逻辑接口。
拓扑
在此示例中,您将双速率三色监管器配置为色盲逻辑接口监管器,并将监管器 应用于逻辑接口 上的传入第 2 层流量。trTCM2-cbge-1/3/1.0
使用三色监管器对第 2 层流量进行速率限制时,颜色感知型监管只能应用于出口流量。
监管器定义有保证的流量速率限制,以便符合 40 Mbps 带宽限制且流量突发限额为 100 KB 的流量(基于令牌桶公式)被归类为绿色。与任何监管流量一样,绿色流中的数据包被隐式设置为 丢失优先级,然后进行传输。low
属于 60 Mbps 带宽限制和 200 KB 流量突增限额(基于令牌桶公式)峰值流量限制的不合格流量被归类为黄色。黄色流量流中的数据包被隐式设置为丢失优先级, 然后进行传输。medium-high
超过峰值流量限制的不合格流量被归类为红色。红色流量流中的数据包隐式设置为 丢失优先级。high 在此示例中,配置了针对红色流量 () 的可选监管器操作,因此红色流量流中的数据包将被丢弃而不是传输。loss-priority high then discard
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 。在配置模式下使用 CLI 编辑器
要配置此示例,请执行以下操作:
CLI 快速配置
要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI 中。[edit]
set interfaces ge-1/3/1 vlan-tagging set interfaces ge-1/3/1 unit 0 vlan-id 100 set interfaces ge-1/3/1 unit 0 family inet address 10.10.10.1/30 set interfaces ge-1/3/1 unit 1 vlan-id 101 set interfaces ge-1/3/1 unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44 set firewall three-color-policer trTCM2-cb logical-interface-policer set firewall three-color-policer trTCM2-cb two-rate color-blind set firewall three-color-policer trTCM2-cb two-rate committed-information-rate 40m set firewall three-color-policer trTCM2-cb two-rate committed-burst-size 100k set firewall three-color-policer trTCM2-cb two-rate peak-information-rate 60m set firewall three-color-policer trTCM2-cb two-rate peak-burst-size 200k set firewall three-color-policer trTCM2-cb action loss-priority high then discard set interfaces ge-1/3/1 unit 0 layer2-policer input-three-color trTCM2-cb
配置逻辑接口
分步过程
要配置逻辑接口,请执行以下操作:
启用接口配置。
[edit] user@host# edit interfaces ge-1/3/1
配置单个标记。
[edit interfaces ge-1/3/1] user@host# set vlan-tagging
配置逻辑接口 。
ge-1/3/1.0[edit interfaces ge-1/3/1] user@host# set unit 0 vlan-id 100 user@host# set unit 0 family inet address 10.10.10.1/30
配置逻辑接口 。
ge-1/3/1.0[edit interfaces ge-1/3/1] user@host# set unit 1 vlan-id 101 user@host# set unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44
成果
通过输入 配置模式命令来确认逻辑接口的配置。show interfaces 如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
将双速率三色监管器配置为逻辑接口监管器
分步过程
要将双速率三色监管器配置为逻辑接口监管器:
启用三色监管器的配置。
[edit] user@host# edit firewall three-color-policer trTCM2-cb
指定监管器是逻辑接口(聚合)监管器。
[edit firewall three-color-policer trTCM2-cb] user@host# set logical-interface-policer
逻辑接口监管器根据应用监管器的逻辑接口底层物理接口的媒体速率的百分比来限制流量,监管器直接应用于接口,而不是由防火墙过滤器引用。
指定监管器为双速率和色盲。
[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate color-blind
颜色感知型三色监管器会考虑在先前网络节点上配置的另一个流量监管器可能为数据包设置的任何着色标记,并且任何预先存在的颜色标记都用于确定数据包的适当监管操作。
由于您将此三色监管器应用于第 2 层的输入,因此您必须将监管器配置为色盲。
指定用于对绿色流量进行分类的监管器流量限制。
[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate committed-information-rate 40m user@host# set two-rate committed-burst-size 100k
指定用于对黄色或红色流量进行分类的附加监管器流量限制。
[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate peak-information-rate 60m user@host# set two-rate peak-burst-size 200k
(可选)为红色流量流中的数据包指定配置的监管器操作。
[edit firewall three-color-policer trTCM2-cb] user@host# set action loss-priority high then discard
在颜色感知模式下,三色监管器配置的操作可以提高数据包的丢包优先级 (PLP) 级别,但绝不能降低。例如,如果颜色感知型三色监管器计量具有中等 PLP 标记的数据包,它可以将 PLP 级别提高到高,但不能将 PLP 级别降低到低。
成果
通过输入 配置模式命令确认三色监管器的配置。show firewall 如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show firewall
three-color-policer trTCM2-cb {
logical-interface-policer;
action {
loss-priority high then discard;
}
two-rate {
color-blind;
committed-information-rate 40m;
committed-burst-size 100k;
peak-information-rate 60m;
peak-burst-size 200k;
}
}
将三色监管器应用于逻辑接口上的第 2 层输入
分步过程
要将三色监管器应用于逻辑接口上的第 2 层输入,请执行以下操作:
启用第 2 层逻辑接口监管器的应用。
[edit] user@host# edit interfaces ge-1/3/1 unit 0
将三色逻辑接口监管器应用于逻辑接口输入。
[edit interfaces ge-1/3/1 unit 0] user@host# set layer2-policerinput-three-color trTCM2-cb
成果
通过输入 配置模式命令来确认逻辑接口的配置。show interfaces 如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
layer2-policer {
input-three-color trTCM2-cb;
}
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
如果完成设备配置,请从配置模式输入 commit。
验证
确认配置工作正常。
显示逻辑接口的流量统计数据和监管器
目的
验证通过逻辑接口的信息流,以及在逻辑接口上收到数据包时是否评估监管器。
操作
对逻辑接口使用操作模式命令,并包括或选项。show interfacesge-1/3/1.0detailextensive 的命令输出部分列出了逻辑接口上接收和传输的 字节数和数据包数,该 部分包含一个 字段,该字段将监管器列为输入或输出监管器 ,如下所示:Traffic statisticsProtocol inetPolicertrTCM2-cb
Input: trTCM2-cb-ge-1/3/1.0-log_int-i
Output: trTCM2-cb-ge-1/3/1.0-log_int-o
后缀表示应用于输入流量的逻辑接口监管器,而后缀表示应用于输出流量的逻辑接口监管器。log_int-ilog_int-o 在此示例中,逻辑接口监管器仅在输入方向上应用。
显示监管器的统计信息
目的
验证监管器评估的数据包数。
操作
使用操作模式命令并选择性地指定监管器的名称。show policer命令输出显示每个已配置的监管器(或指定的监管器)在每个方向上评估的数据包数。对于监管器,输入和输出监管器 名称显示如下:trTCM2-cb
trTCM2-cb-ge-1/3/1.0-log_int-i
trTCM2-cb-e-1/3/1.0-log_int-o
后缀表示应用于输入流量的逻辑接口监管器,而后缀表示应用于输出流量的逻辑接口监管器。log_int-ilog_int-o 在此示例中,逻辑接口监管器仅适用于输入流量。