基本单速率三色监管器
单速率三色监管器概述
单速率三色监管器定义保证流量的带宽限制和最大突发大小,为峰值流量定义第二个突发大小。如果根据数据包长度而不是峰值到达速率来构建服务,则单速率三色监管器最有用。
单速率三色监管会根据以下配置的流量标准对流量流进行计量:
承诺信息速率 (CIR) — 保证流量的带宽限制。
承诺的突发大小 (CBS) — 对于超过 CIR 的突发数据,允许的最大数据包大小。
超额突发大小 (EBS) — 高峰流量允许的最大数据包大小。
单速率三色标记(单速率 TCM)将流量分类为属于三个颜色类别之一,并根据颜色标记对数据包执行拥塞控制操作:
绿色 — 符合保证 流量的带宽 限制 或 突发大小的流量(CIR 或 CBS)。对于绿色流量,单速率使用数据包的隐式丢失优先级
low标记并传输数据包。黄色 — 超出 保证流量的带宽限制 和 突发大小的流量(CIR 和 CBS),但未达到峰值流量 (EBS) 的突发大小。对于黄色流量,单速率使用隐式丢失优先级
medium-high标记数据包并传输数据包。红色 — 超过峰值流量突发大小的流量 (EBS),具有隐式丢失优先级的单
high速率标记数据包,并选择性地丢弃数据包。
如果下游出现拥塞,则丢失优先级较高的数据包更容易被丢弃。
对于单速率和双速率三色监管器,唯一 可配置 的操作是在红色流量流中丢弃数据包。
M120 路由器、具有增强型 III FPC 的 M320 路由器、带有增强型 CFEB (CFEB-E) 的 M7i 和 M10i 路由器以及带有 MPC 的 MX 系列路由器支持三色标记监管器的操作,因此无需包括这些路由器的logical-interface-policer语句。discard
另请参阅
示例:配置单速率三色监管器
此示例说明如何配置单速率三色监管器。
要求
配置此示例之前,不需要除设备初始化之外的特殊配置。
概述
单速率三色监管器根据保证流量的带宽限制和突发大小限制,以及针对超额流量的第二个突发大小限制来计量流量。符合保证流量限制的流量被归类为绿色,不合格流量可分为两类之一:
未超过过量流量的突发大小的不符合流量被归类为黄色。
超过多余流量突发大小的不合格流量被归类为红色。
每个类别都与一个操作相关联。对于绿色流量,将数据包隐式设置为丢失优先级值, low 然后传输。对于黄色流量,将数据包隐式设置为丢失优先级值, medium-high 然后传输。对于红色流量,将数据包隐式设置为丢失优先级值, high 然后传输。如果监管器配置包括可选 action 语句 (action loss-priority high then discard),则会丢弃红色流中的数据包。
您只能将三色监管器作为防火墙过滤器监管器应用于第 3 层流量。您可以从无状态防火墙过滤器术语中引用监管器,然后将过滤器应用于协议级别的逻辑接口的输入或输出。
拓扑
在此示例中,您将一个颜色感知的单速率三色监管器应用于逻辑接口 ge-2/0/5.0上的输入 IPv4 流量。引用监管器的 IPv4 防火墙过滤器术语不会应用任何数据包过滤。过滤器仅用于将三色监管器应用于接口。
您可将监管器配置为将流量速率限制为 40 Mbps 的带宽限制,将绿色流量的突发大小限制为 100 KB,同时允许黄色流量的突发大小限制超过 200 KB。只有超过峰值突发大小限制的不合格流量才被归类为红色。在此示例中,您将配置三色监管器操作,该操作 loss-priority high then discard会将红色流量的隐式标记覆盖到 high 丢失优先级。
配置
以下示例要求您在配置层次结构中的各个级别上导航。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器。
要配置此示例,请执行以下操作:
CLI 快速配置
要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI 中 [edit] 。
set firewall three-color-policer srTCM1-ca single-rate color-aware set firewall three-color-policer srTCM1-ca single-rate committed-information-rate 40m set firewall three-color-policer srTCM1-ca single-rate committed-burst-size 100k set firewall three-color-policer srTCM1-ca single-rate excess-burst-size 200k set firewall three-color-policer srTCM1-ca action loss-priority high then discard set firewall family inet filter filter-srtcm1ca-all term 1 then three-color-policer single-rate srTCM1-ca set class-of-service interfaces ge-2/0/5 unit 0 forwarding-class af set interfaces ge-2/0/5 unit 0 family inet address 10.20.130.1/24 set interfaces ge-2/0/5 unit 0 family inet filter input filter-srtcm1ca-all
配置单速率三色监管器
逐步过程
要配置单速率三色监管器:
启用三色监管器配置。
[edit] user@host# edit firewall three-color-policer srTCM1-ca
配置单速率三色监管器的颜色模式。
[edit firewall three-color-policer srTCM1-ca] user@host# set single-rate color-aware
配置单速率保证流量限制。
[edit firewall three-color-policer srTCM1-ca] user@host# set single-rate committed-information-rate 40m user@host# set single-rate committed-burst-size 100k
配置用于对不一致的流量进行分类的单速率突发大小限制。
[edit firewall three-color-policer srTCM1-ca] user@host# set single-rate excess-burst-size 200k
(可选)为不符合的流量配置操作。
[edit firewall three-color-policer srTCM1-ca] user@host# set action loss-priority high then discard
对于三色监管器,唯一可配置的操作是在红色流量中丢弃数据包。在此示例中,红色流量中的数据包被隐式标记为
high数据包丢失优先级 (PLP) 级别,因为流量超过了单速率限制(由committed-information-rate 40m语句指定)定义的速率限制和更大的突发大小限制(由excess-burst-size 200k语句指定)。由于随附了 optionalaction语句,因此此示例会采取更严厉的操作,即丢弃红色流量中的数据包。
结果
输入 show firewall 配置命令,确认分层监管器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明,以更正配置。
three-color-policer srTCM1-ca {
action {
loss-priority high then discard;
}
single-rate {
color-aware;
committed-information-rate 40m;
committed-burst-size 100k;
excess-burst-size 200k;
}
}
配置引用监管器的 IPv4 无状态防火墙过滤器
逐步过程
要配置引用监管器的标准无状态防火墙过滤器:
启用 IPv4 标准无状态防火墙过滤器的配置。
[edit] user@host# edit firewall family inet filter filter-srtcm1ca-all
指定引用监管器的过滤器术语。
[edit firewall family inet filter filter-srtcm1ca-all] user@host# set term 1 then three-color-policer single-rate srTCM1-ca
请注意,术语不会指定任何匹配条件。防火墙过滤器会将所有数据包传递给监管器。
结果
输入 show firewall 配置模式命令,确认防火墙过滤器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明,以更正配置。
[edit]
user@host# show firewall
family inet {
filter filter-srtcm1ca-all {
term 1 {
then {
three-color-policer {
single-rate srTCM1-ca;
}
}
}
}
}
three-color-policer srTCM1-ca {
action {
loss-priority high then discard;
}
single-rate {
color-aware;
committed-information-rate 40m;
committed-burst-size 100k;
excess-burst-size 200k;
}
}
将过滤器应用于逻辑接口
逐步过程
将过滤器应用于逻辑接口:
(仅限 MX 系列路由器)(可选)将逻辑接口
ge-2/0/5.0上的所有传入数据包重新分类为保证转发,无论预先存在任何分类。[edit] user@host# set class-of-service interfaces ge-2/0/5 unit 0 forwarding-class af
分类器名称可以是配置的分类器,也可以是默认分类器之一。
启用逻辑接口配置。
[edit] user@host# edit interfaces ge-2/0/5 unit 0 family inet
配置 IP 地址。
[edit interfaces ge-2/0/5 unit 0 family inet] user@host# set address 10.20.130.1/24
将过滤器引用为输入过滤器。
[edit interfaces ge-2/0/5 unit 0 family inet] user@host# set filter input filter-srtcm1ca-all
结果
输入和 show interfaces 配置模式命令,show class-of-service确认接口的配置。如果命令输出未显示预期的配置,请重复此过程中的说明,以更正配置。
[edit]
user@host# show class-of-service
interfaces {
ge-2/0/5 {
unit 0 {
forwarding-class af;
}
}
}
[edit]
user@host# show interfaces
ge-2/0/5 {
unit 0 {
family inet {
filter {
input filter-srtcm1ca-all;
}
address 10.20.130.1/24;
}
}
}
完成设备配置后,请从配置模式进入 commit 。
验证
确认配置工作正常。
显示应用于逻辑接口的防火墙过滤器
目的
验证防火墙过滤器是否已应用于逻辑接口上的 IPv4 输入流量。
行动
对 show interfaces 逻辑接口 ge-2/0/5.0使用操作模式命令并指定 detail 模式。Protocol inet命令输出部分显示逻辑接口的 IPv4 信息。在该部分内,字段 Input Filters 显示应用于逻辑接口上 IPv4 输入流量的防火墙过滤器的名称。
user@host> show interfaces ge-2/0/5.0 detail
Logical interface ge-2/0/5.0 (Index 105) (SNMP ifIndex 556) (Generation 170)
Flags: Device-Down SNMP-Traps 0x4004000 Encapsulation: ENET2
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Local statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Protocol inet, MTU: 1500, Generation: 242, Route table: 0
Flags: Sendbcast-pkt-to-re
Input Filters: filter-srtcm1ca-all
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255,
Generation: 171
Protocol multiservice, MTU: Unlimited, Generation: 243, Route table: 0
Policer: Input: __default_arp_policer__