Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

两色和三色物理接口监管器

物理接口监管器概述

物理接口监管器是一种双色或三色监管器,用于定义流量速率限制,您可将其应用于物理接口上配置的所有逻辑接口和协议家族的输入或输出流量,即使逻辑接口属于不同的路由实例。当您希望针对同一物理接口上不同的协议系列和不同的逻辑接口执行聚合监管时,此功能很有用。

例如,假设一台提供商边缘(PE)路由器具有多个逻辑接口,每个都对应于一个客户边缘(CE)设备的相同链路上配置的不同客户。现在假设客户想要对单个物理接口上的某些类型的流量应用一组聚合速率限制。为此,您可以将单个物理接口监管器应用于物理接口,这会对接口上配置的所有逻辑接口以及这些接口所属的所有路由实例进行速率限制。

要配置单速率双色物理接口监管器,请将该physical-interface-policer语句包含在以下层次结构级别之一:

要配置单速率或双速率三色物理接口监管器,请将该physical-interface-policer语句包含在以下层次结构级别之一:

通过引用无状态防火墙过滤器术语中的策略程序,然后将过滤器应用于逻辑接口,将物理接口策略器应用于第 3 层信息流。不能将物理接口直接应用于接口配置第 3 层流量。

要从无状态防火墙过滤器术语中引用单速率双色监管器,请使用policer nonterminating 操作。要从无状态防火墙过滤器术语中引用单速率或双速率三色监管器,请使用three-color-policer nonterminating 操作。

以下要求适用于引用物理接口监管器的无状态防火墙过滤器:

  • 您必须为特定的、支持的协议系列配置防火墙过滤器:ipv4ipv6mplsvpls、或电路交叉连接(ccc),但不用于。 family any

  • 您必须将防火墙过滤器配置为物理接口过滤器,方法是将physical-interface-filter该语句包含[edit firewall family family-name filter filter-name]在层次结构级别。

  • 定义为物理接口过滤器的防火墙过滤器只能引用物理接口监管器。

  • 在全局(非逻辑)系统中定义的防火墙过滤器不能在逻辑系统中用于接口特定的过滤器实例。更具体地说,您不能为在全局系统中创建的包含在逻辑系统上创建的过滤器 physical-interface-filter 附件的 模板。模板和附件都必须驻留在逻辑系统上,进行过滤,方能正常工作。这是因为,对于逻辑系统,过滤器实例命名从物理接口派生,但对于接口特定的过滤器实例则不同。

  • 定义为物理接口过滤器的防火墙过滤器不能引用使用该interface-specific语句配置的监管器。

  • 您不能将防火墙过滤器同时配置为物理接口过滤器和逻辑接口过滤器(也包括该interface-specific语句)。

示例:在物理接口上为聚合流量配置物理接口监管器

此示例显示如何将单速率双色监管器配置为物理接口监管器。

要求

配置此示例之前,不需要在设备初始化之外进行特殊配置。

概述

物理接口监管器指定聚合流量的速率限制,包括物理接口上配置的所有协议系列和逻辑接口,即使这些接口属于不同的路由实例也是如此。

只能参考为特定协议系列(非 )配置并配置为物理接口过滤器的无状态防火墙过滤器中的策略程序,来将物理接口策略器应用于第 3 层输入或输出信息流。 family any 您可以使用匹配条件来配置过滤条件,以选择要进行分级限制的数据包类型,并将物理接口监管器指定为要应用于匹配数据包的操作。

拓扑

此示例中的物理接口管制器,速率限制为 shared-policer-A 10,000,000 bps,允许最大 500,000 字节的流量突发。您可以将监管器配置为丢弃不一致性流中的数据包,但您可以将监管器配置为使用转发类、数据包丢失优先级(PLP)级别或两者来重新标记不符合的流量。

为了能够使用监管器对 IPv4 流量进行速率限制,您需要从 IPv4 物理接口过滤器中引用监管器。在此示例中,您将过滤器配置为通过满足以下任一匹配条件的监管器 IPv4 数据包:

  • 通过 TCP 接收的数据包以及 IP 优先级字段 critical-ecp (0xa0)、(0x40) immediatepriority (0x20)

  • 通过 TCP 接收的数据包以及 IP 优先级字段 internet-control (0xc0) routine 或 (0x00)

您也可以从物理接口过滤器中参考其他协议系列的监管器。

配置

下面的示例要求您在配置层次结构中导航各个级别。有关导航导航CLI,请参阅 在配置模式中使用 CLI 编辑器

要配置此示例,请执行以下任务:

CLI 快速配置

要快速配置此示例,请将以下配置命令复制到一个文本文件中,卸下任何换行符,然后将命令粘贴到[edit]层次结构级别的 CLI 中。

在物理接口上配置逻辑接口

分步过程

要在物理接口上配置逻辑接口:

  1. 启用逻辑接口的配置。

  2. 在逻辑单元0上配置协议族。

  3. 在逻辑单元1上配置协议族。

成果

输入show interfaces配置模式命令,确认防火墙过滤器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。

配置物理接口监管器

分步过程

要配置物理接口监管器:

  1. 启用双色监管器的配置。

  2. 配置双色监管器的类型。

  3. 配置未达标信息流中的数据包的流量限制和操作。

    对于物理接口过滤器,您可以为未达标信息流中的数据包配置的操作包括丢弃数据包、分配转发类、分配 PLP 值,或者同时分配转发类和 PLP 值。

成果

输入show firewall配置模式命令,确认监管器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。

配置 IPv4 物理接口过滤器

分步过程

要将物理接口监管器配置为 IPv4 物理接口监管器中的条款操作:

  1. 在特定协议系列下配置标准无状态防火墙过滤器。

    不能为family any配置物理接口防火墙过滤器。

  2. 将过滤器配置为物理接口过滤器,以便您可以将物理接口监管器用作操作。

  3. 将第一项配置为匹配通过 TCP 接收的 IPv4 数据包和 IP 优先级critical-ecp字段immediate,或者priority将物理接口监管器用作过滤器操作。

  4. 配置第一项以匹配通过 TCP 接收的 IPv4 数据包和 IP 优先级字段internet-controlroutine或者将物理接口监管器用作筛选器操作。

成果

输入show firewall配置模式命令,确认防火墙过滤器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。

应用 IPv4 物理接口过滤器以引用物理接口监管器

分步过程

要应用物理接口过滤器以使其参考物理接口监管器:

  1. 启用逻辑接口上的 IPv4 配置。

  2. 按输入方向应用 IPv4 物理接口过滤器。

成果

输入show interfaces配置模式命令,确认防火墙过滤器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

针对

确认配置是否正常工作。

显示应用于接口的防火墙过滤器

用途

验证是否已在逻辑ipv4-filter接口so-1/0/0.0上将防火墙过滤器应用于 IPv4 输入流量。

行动

使用逻辑显示接口统计信息接口so-1/0/0.0的操作模式命令,并包括该detail选项。在 Protocol inet 命令输出的 部分中, Input Filters 字段显示防火墙过滤器 ipv4-filter 在输入方向上应用。

在逻辑接口上显示监管器处理的数据包数量

用途

验证通过逻辑接口的信息流,以及在逻辑接口上接收数据包时是否评估监管器。

行动

对应用show firewall于逻辑接口的过滤器使用操作模式命令。

命令输出显示监管器(shared-policer-A)的名称、指定监管器操作所依据的过滤器术语(police-1)的名称,以及与过滤器条目匹配的数据包数量。这只是不规范的数据包计数数量,不是所有由监管器 policed 的数据包。