Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

基本单速率双色监管器

单速率双色监管器概述

单速率双色管制通过对不符合这些限制的流量应用隐式或配置的操作,来实施特定服务级别的流量配置速率。在将单速率双色监管器应用于接口上的输入或输出流量时,监管器将流量流向由以下组件定义的速率限制:

  • 带宽限制 — 接口上接收或传输的数据包允许的平均位/秒数。您可以将带宽限制指定为每秒绝对位数或从1到100的百分比值。如果指定了百分比值,则有效带宽限制将计算为物理接口媒体速率或配置整形速率的逻辑接口的百分比。

  • 每秒数据包数 (pps) 限制(仅包含 MPC 的 MX 系列)– 接口上接收或传输的数据包允许的平均每秒数据包数。您将 pps 限制指定为每秒绝对数量的数据包。

  • 突发大小限制 — 允许数据突发的最大大小。

  • 数据包突发限制 –

对于符合已配置限制(分类为绿色流量)的流量,数据包将被隐式标记为数据包丢失优先级(PLP)级别, low并允许通过接口无限制地进行。

对于超过配置限制的信息流(归为红色信息流),数据包将根据为监管器配置的流量监管操作进行处理。该操作可能是丢弃数据包,或者操作可能是使用指定的转发类、指定的 PLP 或两者重新标记数据包,然后传输数据包。

要限制第 3 层流量的速率,可以通过以下方式应用双色策略器:

  • 在特定协议级别直接转到逻辑接口。

  • 在特定协议级别应用于逻辑接口的标准无状态防火墙过滤器的操作。

要限制第 2 层流量,只能将双色策略器应用为逻辑 接口策略器 。不能通过防火墙过滤器将双色策略器应用于第 2 层流量。

示例:通过配置入口单速率双色监管器,限制网络边界上的入站流量

本示例显示如何配置入口单速率双色监管器以过滤传入信息流。监管器对合同内和合同外信息流实施服务等级(CoS)战略。您可以将单速率双色监管器应用于传入数据包、传出数据包或两者兼有。本示例将监管器作为输入(入口)监管器。本主题的目标是通过使用显示流量监管的示例为您提供管制介绍。

监管器使用称为令牌桶的概念,根据为监管器定义的参数分配系统资源。有关令牌桶概念及其底层算法的详尽说明超出了本文档的范畴。有关流量管制和常规信息流控制 CoS《QOS-Enabled Networks— Tools and Foundations》,由 Miguel Barreiros 和 Peter Lundqvist 提供。这本书可在多个在线 booksellers 和 www.juniper.net/books。

要求

要验证此过程,此示例使用信息流生成器。信息流生成器可以基于硬件,也可以是在服务器或主机上运行的软件。

在 Junos OS 运行的设备上广泛支持此过程中的功能。此处显示的示例在 MX 系列路由器上经过测试和验证,运行 Junos OS 版本10.4。

概述

单速率双色监察通过对不符合限制的流量应用隐式或配置的操作,来实施特定服务级别的信息流流量的配置速率。在将单速率双色监管器应用于接口上的输入或输出流量时,监管器将流量流向由以下组件定义的速率限制:

  • 带宽限制 — 接口上接收或传输的数据包允许的平均位/秒数。您可以将带宽限制指定为每秒绝对位数或从1到100的百分比值。如果指定了百分比值,则有效带宽限制将计算为物理接口媒体速率或配置整形速率的逻辑接口的百分比。

  • 突发大小限制 — 允许数据突发的最大大小。突发流量大小以字节为单位。我们建议用两个公式来计算突发容量:

    脉冲大小 = 带宽 x 允许突发流量的时间/8

    或者

    脉冲大小 = 接口 mtu x 10

    有关配置爆发大小的信息,请参阅确定信息流监管器的正确突发流量大小

    注:

    接口具有有限缓冲区空间。一般表示,接口的总缓冲区总深度约为 125 毫秒。

对于符合已配置限制(分类为绿色信息流)的信息流,数据包将被隐式标记为低到高的数据包丢失优先级(PLP),允许通过接口无限制。

对于超过配置限制的信息流(归为红色信息流),数据包将根据为监管器配置的流量监管操作进行处理。此示例将丢弃超过 15 KBps 限制的数据包。

要对3层流量进行速率限制,可按以下方式应用双色监管器:

  • 在特定协议级别直接转到逻辑接口。

  • 在特定协议级别应用于逻辑接口的标准无状态防火墙过滤器的操作。这是本示例中使用的技术。

要对2层流量进行速率限制,只能将双色监管器用作逻辑接口监管器。不能将双色监管器应用于通过防火墙过滤器的2层流量。

警告:

您可以选择监管器内的带宽限制或带宽百分比,因为它们相互排斥。您不能将监管器配置为对聚合、隧道和软件接口使用带宽百分比。

在此示例中,主机是模拟 web 带宽的信息流生成器。设备 R1 和 R2 由服务提供商拥有。用户可通过设备 Host2 访问 web 服务。设备 Host1 将使用源 TCP HTTP 端口80向用户发送流量。单速率双色监管器配置并应用于设备 R1 上连接到设备 Host1 的接口。监管器实施了在 web 服务器和服务提供商的所有者之间建立的合同带宽可用性,这些流量在将设备 Host1 连接到设备 R1 的链路上流动的网络信息流。

根据 Web 服务器所有者与拥有设备 R1 和 R2 的服务提供商之间的合同带宽可用性,管制器将源自设备 Host1 的 HTTP 端口 80 流量限制为使用 700 Mbps (70%) 可用带宽,允许的爆发速率为 10 x 主机主机 1 和设备 R1 之间的千兆位以太网接口大小 MTU。

注:

在实际情景中,您可能还会对各种其他端口(如 FTP、SFTP、SSH、TELNET、SMTP、IMAP 和 POP3)的流量进行评级,因为它们通常作为使用 web 托管服务的附加服务包括在内。

注:

您需要保留一些对网络控制协议(例如路由协议、DNS 和保持网络连接运行所需的任何其他协议)不会对其进行速率限制的额外带宽。这就是防火墙过滤器对其具有最后接受条件的原因。

拓扑

此示例使用中图 1的拓扑。

图 1: 单速率双色监管器方案单速率双色监管器方案

图 2显示了监管行为。

图 2: 单速率双色监管器情景中的流量限制单速率双色监管器情景中的流量限制

配置

操作

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,然后将命令复制并粘贴到[edit]层次结构级别的 CLI 中。

设备 R1

设备 R2

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关导航指南CLI,请参阅 Junos OS CLI 指南 中的 在配置模式下使用 CLI编辑器

要配置设备 R1:

  1. 配置设备接口。

  2. 将防火墙过滤器应用于接口 ge-2/0/5 作为输入过滤器。

  3. 将策略程序配置为对 700 Mbps 的带宽和 15000 KBps 的突发大小进行速率限制,以用于 HTTP 流量(TCP 端口 80)。

  4. 配置监管器以丢弃红色信息流中的数据包。

  5. 配置防火墙的两个条件,以接受到端口 HTTP 的所有 TCP 流量(端口80)。

  6. 将防火墙操作配置为使用监管器的速率限制 HTTP TCP 流量。

  7. 在防火墙过滤器的末尾,配置接受所有其他流量的默认操作。

    否则,防火墙将丢弃到达接口且未明确接受的所有流量。

  8. 配置 OSPF。

分步过程

配置设备 R2:

  1. 配置设备接口。

  2. 配置 OSPF。

成果

从配置模式,输入show interfacesshow firewallshow protocols ospf命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。

如果您完成了设备 R1 的配置, commit请从配置模式进入。

如果您完成配置设备 R2,请从commit配置模式进入。

针对

确认配置是否正常工作。

清除计数器

用途

确认防火墙计数器已清除。

行动

在设备 R1 上运行clear firewall all命令,将防火墙计数器重置为0。

将 TCP 信息流发送到网络并监控丢弃

用途

请确保发送的感兴趣信息流在输入接口(ge-2/0/5)上的速率有限。

行动
  1. 使用流量生成器发送带80的源端口的10个 TCP 数据包。

    -S 标志设置源端口。-K 标志会导致源端口在80上保持稳定,而不是递增。-C 标志将数据包数量设置为10。-D 标志设置数据包大小。

    172.16.80.1 的目标 IP 地址属于连接到设备 R2 的设备 Host 2。设备 Host 2 上的用户已从设备 Host 1 (设备 Host 1 上的信息流生成器仿真的 web 服务)请求了一个网页。为响应来自设备 Host 2 的请求,从设备 Host 1 发送的数据包将受到速率限制。

    注:

    此示例将管理程序编号减少到 8 Kbps 的带宽限制和 1500 KBps 的突发大小限制,以确保在此测试期间丢失一些数据包。

  2. 在设备 R1 上,使用show firewall命令检查防火墙计数器。

含义

在步骤 1 和 2 中,两台设备的输出显示,4 个数据包被丢弃 这意味着至少有 8 Kbps 的绿色(合同内 HTTP 端口 80) 流量,并且超过 1500 KBps 突发选项(用于合同外红色 HTTP 端口 80 流量)。

示例:在同一接口上配置接口和防火墙过滤器监管器

此示例演示如何配置三个单速率双色监管器,并将监管器应用于同一单标记虚拟 LAN (VLAN)逻辑接口上的 IPv4 输入流量。

要求

配置此示例之前,不需要在设备初始化之外进行特殊配置。

概述

在此示例中,您将配置三个单速率双色监管器,并将监管器应用于同一单标记 VLAN 逻辑接口上的 IPv4 输入流量。两个监管器通过防火墙过滤器应用于接口,而另一个监管器则直接应用于接口。

您可将一个名为 的策略程序配置为以 5000 字节的突发大小将流量速率限制为 p-all-1m-5k-discard 1 Mbps。您可以在逻辑接口上直接将此监管器应用于 IPv4 输入流量。将策略程序直接应用于逻辑接口上的协议特定信息流时,该策略程序表示用作 接口策略程序

您可将另外两个策略器配置为允许 500 KB 的突发大小,然后通过使用 IPv4 标准无状态防火墙过滤器,将这些策略应用于逻辑接口上的 IPv4 输入流量。通过防火墙过滤器操作将策略器应用于逻辑接口上的协议特定信息流时,该策略程序表示用作防火墙 过滤器策略器

  • 您可将名为 的策略程序配置为将流量速率限制为 p-icmp-500k-500k-discard 500 Kbps,突发大小为 500 K 字节,方法为丢弃不满足这些限制的数据包。您可以将其中一个防火墙过滤器术语配置为将此监管器应用于互联网控制消息协议(ICMP)数据包。

  • 您可将名为 的策略程序配置为将信息流速率限制为 p-ftp-10p-500k-discard 突发大小为 500 KB 的 10%带宽,方法为丢弃不满足这些限制的数据包。您可以将另一个防火墙过滤器术语配置为将此监管器应用于文件传输协议(FTP)数据包。

您配置有带宽限制(表示为百分比值(而不是绝对带宽值)的策略程序称为 带宽策略器。只有一速率双色监管器可配置为百分比带宽规格。默认情况下,带宽监管器速率将流量限制为以目标逻辑接口为基础的物理接口线路速率的指定百分比。

拓扑

可以将目标逻辑接口配置为快速以太网接口上以 100 Mbps 运行的单标记 VLAN 逻辑接口。这意味着使用 10% 带宽限制(应用于 FTP 数据包的策略程序)配置的策略程序将此接口上的 FTP 流量限制为 10 Mbps。

注:

此示例不会将带宽策略器配置为逻辑 带宽策略器。因此,百分比以物理媒体速率为基础,而不是基于配置的逻辑接口整形速率。

配置为引用两个监管器的防火墙过滤器必须配置为接口特定的过滤器。由于用于速率限制 FTP 数据包的监管器指定带宽限制为百分比值,因此引用此监管器的防火墙过滤器必须配置为特定于接口的过滤器。因此,如果此防火墙过滤器要应用于多个接口,而不是仅适用于此示例中的快速以太网接口,则将为应用该过滤器的每个接口创建唯一的监管器和计数器。

配置

下面的示例要求您在配置层次结构中导航各个级别。有关导航导航CLI,请参阅 在配置模式中使用 CLI 编辑器

要配置此示例,请执行以下任务:

CLI 快速配置

要快速配置此示例,请将以下配置命令复制到一个文本文件中,卸下任何换行符,然后将命令粘贴到[edit]层次结构级别的 CLI 中。

配置单标记 VLAN 逻辑接口

分步过程

要配置单标记 VLAN 逻辑接口:

  1. 启用快速以太网接口的配置。

  2. 启用单标记 VLAN 帧。

  3. 将 VLAN Id 绑定到逻辑接口。

  4. 在单标记 VLAN 逻辑接口上配置 IPv4。

成果

输入show interfaces配置模式命令,确认 VLAN 的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。

配置三个监管器

分步过程

要配置三个监管器:

  1. 启用双色管理程序配置,该配置将丢弃不满足 1 Mbps 带宽和 5000 字节突发大小的数据包。

    注:

    您可将此策略直接应用于单标记 VLAN 逻辑接口上的所有 IPv4 输入流量,因此数据包不会在受到速率限制之前过滤。

  2. 配置第一个监管器。

  3. 启用双色管理程序配置,该配置将丢弃不满足指定为"10%"的带宽和 500,000 字节突发大小的数据包。

    只能将此监管器应用于单标记 VLAN 逻辑接口上的 FTP 流量。

    您将此监管器作为与 TCP 中的 FTP 数据包匹配的 IPv4 防火墙过滤器术语的操作。

  4. 配置监管限制和操作。

    由于带宽限制指定为百分比,因此引用此监管器的防火墙过滤器必须配置为特定于接口的过滤器。

    注:

    如果您希望此策略程序将速率限制为逻辑接口配置的整形速率的 10%(而不是物理接口媒体速率的 10%),则需要在 层次结构级别中包括 语句。 logical-bandwidth-policer[edit firewall policer p-all-1m-5k-discard] 这种类型的监管器称为逻辑带宽监管器

  5. 为 ICMP 数据包启用 IPv4 防火墙过滤器监管器配置。

  6. 配置监管限制和操作。

成果

输入show firewall配置模式命令,确认监管器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。

配置 IPv4 防火墙过滤器

分步过程

要配置 IPv4 防火墙过滤器:

  1. 启用 IPv4 防火墙过滤器配置。

  2. 将防火墙过滤器配置为特定于接口。

    防火墙过滤器必须是特定于接口的,因为其中一个引用的监管器配置了带宽限制,表示为百分比值。

  3. 启用对过滤器术语的配置,以便对 FTP 数据包进行速率限制。

    FTP 消息通过 TCP 端口 20 ( ) 发送,通过 TCP 端口 ftp 21 ( ) 接收 ftp-data

  4. 配置过滤器术语以匹配 FTP 数据包。

  5. 启用对过滤器术语的配置,以便对 ICMP 数据包进行速率限制。

  6. 配置 ICMP 数据包的过滤术语

  7. 配置过滤器术语,以便在不管制的情况下接受所有其他数据包。

成果

输入show firewall配置模式命令,确认防火墙过滤器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。

将接口监管器和防火墙过滤器监管器应用于逻辑接口

分步过程

要将这三个监管器应用于 VLAN:

  1. 启用逻辑接口上的 IPv4 配置。

  2. 将防火墙过滤器监管器应用于接口。

  3. 将接口监管器应用于接口。

    根据接口监管器fe-0/1/1.0评估输入数据包,然后再针对防火墙过滤器监管器进行评估。有关更多详细信息,请参阅监管器和防火墙过滤器操作的顺序

成果

进入show interfaces配置模式命令,确认接口配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。

如果您完成了设备配置,请从commit配置模式进入。

针对

确认配置是否正常工作。

显示直接应用于逻辑接口的监管器

用途

验证接口监管器在逻辑接口上接收数据包时进行评估。

行动

使用逻辑show interfaces policers接口fe-0/1/1.1的操作模式命令。列和列的命令输出部分显示,当在逻辑接口上接收数据包时 ProtoInput Policerp-all-1m-5k-discard ,将评估管理程序。

在此示例中,接口监管器仅适用于输入方向上的逻辑接口流量。

显示直接应用于逻辑接口的监管器的统计信息

用途

验证由接口监管器评估的数据包数量。

行动

使用show policer操作模式命令,并可选择指定监管器的名称。命令输出显示每个方向上配置的监管器(或指定的监管器)评估的数据包数量。

显示应用于接口的监管器和防火墙过滤器

用途

验证是否已在逻辑filter-ipv4-with-limits接口fe-0/1/1.1上将防火墙过滤器应用于 IPv4 输入流量。

行动

使用逻辑show interfaces statistics接口fe-0/1/1.1的操作模式命令,并包括该detail选项。在命令输出部分下,和 行显示应用于输入方向逻辑接口的过滤器和 Protocol inetInput FiltersPolicer 策略程序的名称。

在此示例中,两个防火墙过滤器监管器仅适用于输入方向上的逻辑接口信息流。

显示防火墙过滤器监管器的统计信息

用途

验证由防火墙过滤器监管器评估的数据包数量。

行动

对应用show firewall于逻辑接口的过滤器使用操作模式命令。

命令输出显示监管器p-ftp-10p-500k-discard (和p-icmp-500k-500k-discard)的名称,并与过滤器术语(t-ftpt-icmp分别是用于指定监管器操作的名称)相结合。监管器特定的输出行显示与过滤器术语匹配的数据包数量。这只是不规范的数据包计数数量,不是所有由监管器 policed 的数据包。