监管器概述
交换机根据用户定义的标准,通过限制一类流量的输入或输出传输速率来监管流量。管制(或速率限制)流量允许您控制接口上发送或接收的最大流量速率,并提供多个优先级或服务等级。
监管也是防火墙过滤器的重要组成部分。您可以通过在 防火墙过滤器 配置中包含监管器来实现监管。
监管器概述
您可以使用监管器对流量应用限制,并为超过这些限制的数据包设置后果(通常应用更高的丢失优先级),以便在数据包遇到下游拥塞时,可以先将其丢弃。监管器仅适用于单播数据包。
监管器提供两个功能:计量和标记。监管器根据您配置的流量速率和突发大小来计量(测量)每个数据包。然后,它会将数据包和计量结果传递给标记器,标记器会分配与计量结果相对应的数据包丢弃优先级。 图 1 说明了这个过程。
监管器以每个 PFE 配置的传输速率限制流量。在 QFX10016、QFX10002、QFX10002-60C 和 QFX10008 交换机中,当聚合以太网 (AE) 接口捆绑包跨多个 PFE 时,用户监管器的总传输速率可能会超过监管器的配置传输速率(取决于涉及的 PFE 数量)。
例如:
-
在具有成员链路 xe-1/0/0 (fpc1-pfe0) 和 xe-1/0/30 (fpc1-pfe1) 的 AE 接口上配置带宽限制为 100 mbps 的监管器。此处,两个成员链路属于 FPC1,但位于不同的 PFE 上。将监管器应用于 AE 接口时,将导致总带宽为 200 Mbps,因为为两个 PFE 配置了监管器。
-
在具有成员链路 xe-1/0/0 (fpc1-pfe0)、et-2/0/1 (fpc2-pfe1) 和 xe-2/0/18:0 (fpc2-pfe2) 的 AE 接口上配置带宽限制为 100 mbps 的监管器。此处,一个成员链路属于此 FPC 上的 FPC1 和 PFE0。其余两个成员链路属于 FPC2,但 PFE 不同。将监管器应用于 AE 接口时,将导致总带宽为 300 Mbps,因为监管器配置了三个 PFE。
-
在单个 PFE (fpc1-pfe0) 上具有成员链路 xe-1/0/0 和 xe-1/0/1 的 AE 接口上配置带宽限制为 100 mbps 的监管器。在这里,成员链路属于 FPC1 和同一个 PFE。将监管器应用于 AE 接口时,将导致总带宽为 100 Mbps,因为监管器基于每个 PFE 进行配置。
流程
命名和配置监管器后,可以通过将其指定为一个或多个防火墙过滤器中的作来使用它。
监管器类型
交换机支持三种类型的监管器:
单速率双色标记 — 双色监管器(或“监管器”,在未经限定使用时)计量流量流,并根据配置的带宽和突发大小限制,将数据包分为两类丢包优先级 (PLP)。您可以使用指定的 PLP 标记超过带宽和突发大小限制的数据包,也可以直接将其丢弃。
您可以在入口或出口防火墙中指定这种类型的监管器。
注意:双色监管器对于在端口(物理接口)级别计量流量最有用。
单速率三色标记 — RFC 2697 单速率三色标记中定义了这种类型的监管器,作为差异服务 (DiffServ) 环境的保证转发 (AF) 单跃点行为 (PHB) 分类系统的一部分。这种类型的监管器基于一种速率来计量流量,即配置的保证信息速率 (CIR) 以及承诺的突发大小 (CBS) 和超额突发大小 (EBS)。CIR 指定交换机接纳比特的平均速率。CBS 指定通常的突发大小(以字节为单位),EBS 指定最大突发大小(以字节为单位)。EBS 必须大于或等于 CBS,两者都不能为 0。
您可以在入口或出口防火墙中指定这种类型的监管器。
注意:当根据数据包长度(而不是峰值到达速率)构建服务时,单速率三色标记 (TCM) 最为有用。
双速率三色标记 — RFC 2698( 一种双速率三色标记)中定义了这种类型的监管器,作为差异服务环境中有保证的转发单跃点行为分类系统的一部分。这种类型的监管器基于两种速率来计量流量:CIR 和峰值信息速率 (PIR) 及其关联的突发大小、CBS 和峰值突发大小 (PBS)。PIR 指定接纳比特进入网络的最大速率,并且必须大于或等于 CIR。
您可以在入口或出口防火墙中指定这种类型的监管器。
注意:当根据到达率(而不一定是数据包长度)构建服务时,双速率三色监管器最有用。
有关如何将计量结果应用于每种监管器类型的信息,请参阅 表 1 。
监管器作
监管器作是隐式或显式的,因监管器类型而异。 隐 式表示 Junos OS 会自动分配丢失优先级。监管器作说明如 表 1 所示。
监管器 |
标记 |
隐式作 |
可配置作 |
|---|---|---|---|
单速率双色 |
绿色(符合要求) |
分配低损耗优先级 |
没有 |
红色(不合格) |
没有 |
丢弃 |
|
单速率三色 |
绿色(符合要求) |
分配低损耗优先级 |
没有 |
黄色(CIR 和 CBS 上方) |
分配中高损耗优先级 |
没有 |
|
红色(EBS 上方) |
分配高损耗优先级 |
丢弃 |
|
双速率三色 |
绿色(符合要求) |
分配低损耗优先级 |
没有 |
黄色(CIR 和 CBS 上方) |
分配中高损耗优先级 |
没有 |
|
红色(PIR 和 PBS 上方) |
分配高损耗优先级 |
丢弃 |
如果在出口 防火墙过滤器中指定监管器,则唯一支持的作是 discard。
监管器颜色
单速率和双速率三色监管器可在两种模式下运行:
色盲 — 在色盲模式下,三色监管器假定之前未标记或计量所有检查的数据包。换言之,三色监管器对数据包可能具有的任何先前颜色“视而不见”。
颜色感知 — 在颜色感知模式下,三色监管器假定之前已标记或计量的所有数据包。换言之,三色监管器“知道”数据包可能具有的先前着色。在颜色感知模式下,三色监管器可以增加数据包的 PLP,但不能降低它。例如,如果颜色感知型三色监管器对带有中等 PLP 标记的数据包进行计量,则可以将 PLP 级别提高到高,但不能将 PLP 级别降低到低。
特定于过滤器的监管器
您可以将监管器配置为特定于过滤器,这意味着无论监管器被引用多少次,Junos OS 都只会创建一个监管器实例。在某些 QFX 交换机上执行此作时,系统会聚合应用速率限制,因此,如果您将监管器配置为丢弃超过 1 Gbps 的流量,并以三种不同的术语引用该监管器,则过滤器允许的总带宽为 1 Gbps。但是,特定于过滤器的监管器的行为受引用监管器的防火墙过滤器术语在 TCAM 中的存储方式的影响。如果创建特定于过滤器的监管器并在多个防火墙过滤器术语中引用它,则如果这些术语存储在不同的 TCAM 切片中,则监管器允许的流量会超过预期。例如,如果将监管器配置为丢弃超过 1 Gbps 的流量,并以存储在三个单独内存切片中的三种不同术语引用该监管器,则过滤器允许的总带宽为 3 Gbps,而非 1 Gbps。 (此行为不会在QFX10000交换机中发生。)
若要防止发生此意外行为,请使用 规划要创建的防火墙过滤器数量 中提供的有关 TCAM 切片的信息来组织配置文件,以便引用给定过滤器特定监管器的所有防火墙过滤器术语都存储在同一 TCAM 切片中。
建议的监管器命名约定
建议在配置三色监管器和policer#配置双色监管器时使用命名约定policertypeTCM#-color type。TCM代表三色标记。由于监管器可能数量众多,必须正确应用才能正常工作,因此使用简单的命名约定可以更轻松地正确应用监管器。例如,配置的第一个单速率颜色感知三色监管器将命名为 srTCM1-ca。配置的第二个双速率色盲三色将命名为 trTCM2-cb。此命名约定的元素说明如下:
SR(单速率)
TR(双速率)
TCM(三色标记)
1 或 2(标记数)
CA(颜色感知)
CB(色盲)
监管器计数器
在某些 QFX 交换机上,您配置的每个监管器都包含一个隐式计数器,用于计算超过为监管器指定的速率限制的数据包数。如果在多个术语中使用相同的监管器(在同一过滤器中或在不同过滤器中),则隐式计数器将计算所有这些术语中监管的所有数据包,并提供总量。(该方法不适用于QFX10000交换机。)如果您希望在受影响的交换机上获取每个术语的单独数据包计数,请使用以下选项:
为每个术语配置唯一的监管器。
仅配置一个监管器,但在每个术语中使用唯一的显式计数器。
监管器算法
管制使用 令牌桶算法,该算法对平均带宽实施限制,同时允许突发达到指定的最大值。与 泄漏桶算法 相比,它提供了更大的灵活性,在开始丢弃数据包之前允许一定数量的突发流量。
在猝发流量较轻的环境中,QFX5200可能无法将所有组播数据包复制到两个或更多下行接口。这仅在线速突发时发生 - 如果流量一致,则不会发生此问题。此外,仅当 1 GB 流量中的数据包大小增加到 6k 以上时,才会发生此问题。
支持多少个监管器?
QFX10000交换机支持 8K 监管器(所有监管器类型)。QFX5100 和 QFX5200 交换机支持 1535 个入口监管器和 1024 个出口监管器(假设每个防火墙过滤器术语有一个监管器)。QFX5110交换机支持 6144 个入口监管器和 1024 个出口监管器(假设每个防火墙过滤器术语有一个监管器)。
QFX3500 和 QFX3600 独立交换机以及 QFabric 节点设备支持以下数量的监管器(假设每个防火墙过滤器术语有一个监管器):
入口防火墙过滤器中使用的双色监管器:767
入口防火墙过滤器中使用的三色监管器:767
出口防火墙过滤器中使用的双色监管器:1022
出口防火墙过滤器中使用的三色监管器:512
监管器可以限制出口防火墙过滤器
在某些交换机上,您配置的出口监管器数量可能会影响允许的出口防火墙过滤器的总数。每个监管器都有两个隐式计数器,它们在 1024 个条目的 TCAM 中占用两个条目。它们用于计数器,包括在防火墙筛选器术语中配置为作修饰符的计数器。(监管器使用两个条目,因为无论监管器类型如何,一个用于绿色数据包,一个用于非绿色数据包。如果 TCAM 已满,则无法再提交任何具有计数器条款的出口防火墙过滤器。例如,如果配置并提交 512 出口监管器(双色、三色或两种监管器类型的组合),则计数器的所有内存条目都将耗尽。如果在稍后的配置文件中插入使用术语也包含计数器的其他出口防火墙过滤器,则这些过滤器中 的任何 术语都不会提交,因为计数器没有可用的内存空间。
以下是一些其他示例:
假设您配置的出口过滤器总共包含 512 个监管器,并且没有计数器。在配置文件的后面部分,您将包含另一个包含 10 个术语的出口过滤器,其中 1 个带有反作修饰符。此筛选器中的任何术语均未提交,因为计数器没有足够的 TCAM 空间。
假设您配置的出口过滤器总共包含 500 个监管器,因此占用了 1000 个 TCAM 条目。稍后在配置文件中,包括以下两个出口过滤器:
具有 20 个术语和 20 个计数器的过滤器 A。此筛选器中的所有术语都已提交,因为所有计数器都有足够的 TCAM 空间。
过滤器 B 位于过滤器 A 之后,有五个术语和五个计数器。此筛选器中 的任何 项均未提交,因为没有足够的内存空间供 所有 计数器使用。(需要 5 个 TCAM 条目,但只有 4 个可用。
可以通过确保将带有反作的出口防火墙过滤器术语放在配置文件中的位置早于包含监管器的术语来防止此问题。在这种情况下,即使隐式计数器没有足够的 TCAM 空间,Junos OS 也会提交监管器。例如,假设存在以下情况:
您有 1024 出口防火墙过滤器条款和反击作。
在配置文件的后面部分,您有一个包含 10 个术语的出口过滤器。没有一个术语有计数器,但有一个术语有一个监管器作修饰符。
即使没有足够的 TCAM 空间用于监管器的隐式计数器,也可以成功提交具有 10 个术语的筛选器。监管器在没有计数器的情况下提交。