Eingangswarteschlangenfilter mit Policing-Funktionen
Ab Junos OS Version 18.1R1 können Sie auf MPCs, die Eingangswarteschlangen unterstützen, Policer-Aktionen zusammen mit anderen Filteraktionen auf den Datenverkehr implementieren, bevor der Datenverkehr eingehenden Warteschlangen zugewiesen wird. Policing-Filter für Eingangswarteschlangen ermöglichen Es Ihnen, den begrenzten Datenverkehr zu bewerten sowie die Weiterleitungsklasse und die Paketverlustpriorität für Pakete vor der Auswahl der Eingangswarteschlange zu zählen und festzulegen. Class-of-Service -Befehle (CoS) können dann verwendet werden, um Eingangswarteschlangenparameter auszuwählen.
Grundlegendes zum Eingangswarteschlangen-Policing-Filter
Der Eingangswarteschlangen-Policing-Filter (iq-policing-filter) funktioniert ähnlich und am gleichen Punkt wie der Eingangs-Policing-Filter (ingress-queuing-filter), der in Junos OS Version 16.1 eingeführt wurde, bietet aber den zusätzlichen Vorteil, dass fast alle Filteraktionen akzeptiert werden, einschließlich Policing und Zählaktionen. Der Eingangswarteschlangenfilter ist auch effizienter und erfordert weniger Systemressourcen.
Eingangswarteschlangenfilter sind nur verfügbar, wenn der Datenverkehrsmanager-Modus auf ingress-and-egress [edit chassis fpc fpc-id pic pic-id traffic-manager mode] Hierarchieebene festgelegt ist.
Die iq-policing-filter Konfigurationsaussage wird auf Der [edit interfaces interface-name unit unit-number family family-name] Hierarchieebene verwendet, um einen zuvor konfigurierten Firewall-Filter anzugeben, der als Eingangswarteschlangen-Filter verwendet werden soll. Die folgende Liste zeigt, welche Protokollfamilien mit der iq-policing-filter Anweisung kompatibel sind:
bridgeinetvpls
Siehe auch
Beispiel: Konfigurieren eines Filters zur Verwendung als Eingangswarteschlangen-Policing-Filter
In diesem Beispiel wird gezeigt, wie Sie einen Firewall-Filter für die Verwendung als Eingangswarteschlangen-Policing-Filter konfigurieren. Der Eingangswarteschlangenfilter unterstützt bei der Überwachung des eingehenden Datenverkehrs, indem er Ihnen ermöglicht, die Begrenzung des Datenverkehrs vor der Auswahl der Eingangswarteschlange zu bewerten. Der Firewallfilter muss in einer der folgenden Protokollfamilien konfiguriert werden: bridge, oder inetvpls.
Der Eingangswarteschlangenfilter kann nur auf Routern der MX-Serie mit MPCs verwendet werden, die Eingangswarteschlangen unterstützen. Beim Commit wird ein Fehler generiert, wenn der Eingangswarteschlangenfilter auf eine Schnittstelle auf einer beliebigen anderen Art von Portkonzentrator angewendet wird.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Router der MX-Serie mit MPC, der Eingangswarteschlangen unterstützt
Damit Eingangswarteschlangenfilter funktionieren, ingress-and-egress müssen sie als traffic-manager Modus auf [edit chassis fpc slot pic slot traffic-manager mode] Hierarchieebene konfiguriert werden.
Übersicht
In diesem Beispiel erstellen Sie einen Firewall-Filter, der in der vpls Protokollfamilie benannt vpls_iqp_filter ist und den Sprach- und Best-Effort-Datenverkehr zählt und kontrolliert. Anschließend wenden Sie den vpls_iqp_filter Filter auf die logische Schnittstelle xe-0/0/0.0 als Eingangswarteschlangen-Policing-Filter an.
Um einen Firewall-Filter zu konfigurieren und ihn zur Verwendung als Eingangswarteschlangenfilter anzuwenden, umfasst Folgendes:
Erstellen eines Firewallfilters, der in der Protokollfamilie mit den folgenden Aktionen benannt ist
vpls_iqp_filter:countundforwarding- classpolicer.vplsAnwendung des Firewall-Filters auf die xe-0/0/0/0.0-Schnittstelle als Eingangswarteschlangen-Policing-Filter.
Konfiguration
- CLI-Schnellkonfiguration
- Konfigurieren des Firewall-Filters und Anwendung auf eine Schnittstelle als Input Queuing Policing Filter
- Ergebnisse
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, und kopieren Sie dann die Befehle und fügen sie auf Hierarchieebene in die [edit] CLI ein.
set firewall family vpls filter vpls_iqp_filter interface-specific set firewall family vpls filter vpls_iqp_filter term VoiceSum from learn-vlan-1p-priority 5 set firewall family vpls filter vpls_iqp_filter term VoiceSum then count VoiceSum set firewall family vpls filter vpls_iqp_filter term VoiceSum then forwarding-class Voice set firewall family vpls filter vpls_iqp_filter term VoiceSum then next term set firewall family vpls filter vpls_iqp_filter term Voice from learn-vlan-1p-priority 5 set firewall family vpls filter vpls_iqp_filter term Voice then policer Voice-IN set firewall family vpls filter vpls_iqp_filter term Voice then count Voice set firewall family vpls filter vpls_iqp_filter term Voice then accept set firewall family vpls filter vpls_iqp_filter term BestEffortSum then count BestEffortSum set firewall family vpls filter vpls_iqp_filter term BestEffortSum then next term set firewall family vpls filter vpls_iqp_filter term BestEffort then policer BestEffort-IN set firewall family vpls filter vpls_iqp_filter term BestEffort then count BestEffort set firewall family vpls filter vpls_iqp_filter term BestEffort then accept set firewall family vpls filter vpls_iqp_filter policer pol-vpls if-exceeding bandwidth-limit 400m set firewall family vpls filter vpls_iqp_filter policer pol-vpls if-exceeding burst-size-limit 40m set firewall family vpls filter vpls_iqp_filter policer pol-vpls then discard set firewall family vpls filter vpls_iqp_filter policer Voice-IN if-exceeding bandwidth-limit 100m set firewall family vpls filter vpls_iqp_filter policer Voice-IN if-exceeding burst-size-limit 10m set firewall family vpls filter vpls_iqp_filter policer Voice-IN then loss-priority high set firewall family vpls filter vpls_iqp_filter policer BestEffort-IN if-exceeding bandwidth-limit 350m set firewall family vpls filter vpls_iqp_filter policer BestEffort-IN if-exceeding burst-size-limit 30m set firewall family vpls filter vpls_iqp_filter policer BestEffort-IN then loss-priority high set interfaces xe-0/0/0 unit 0 family vpls iq-policing-filter vpls_iqp_filter
Konfigurieren des Firewall-Filters und Anwendung auf eine Schnittstelle als Input Queuing Policing Filter
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie den Firewall-Filter vpls_iqp_filterund wenden ihn auf die logische Schnittstelle xe-0/0/0 Unit 0 an:
Erstellen Sie einen Firewall-Filter mit dem Namen
vpls_iqp_filter.[edit firewall family vpls filter vpls_iqp_filter]user@router# set interface-specific user@router# set term VoiceSum from learn-vlan-1p-priority 5 user@router# set term VoiceSum then count VoiceSum user@router# set term VoiceSum then forwarding-class Voice user@router# set term VoiceSum then next term user@router# set term Voice from learn-vlan-1p-priority 5 user@router# set term Voice then policer Voice-IN user@router# set term Voice then count Voice user@router# set term Voice then accept user@router# set term BestEffortSum then count BestEffortSum user@router# set term BestEffortSum then next term user@router# set term BestEffort then policer BestEffort-IN user@router# set term BestEffort then count BestEffort user@router# set term BestEffort then accept user@router# set policer pol-vpls if-exceeding bandwidth-limit 400m user@router# set policer pol-vpls if-exceeding burst-size-limit 40m user@router# set policer pol-vpls then discard user@router# set policer Voice-IN if-exceeding bandwidth-limit 100m user@router# set policer Voice-IN if-exceeding burst-size-limit 10m user@router# set policer Voice-IN then loss-priority high user@router# set policer BestEffort-IN if-exceeding bandwidth-limit 350m user@router# set policer BestEffort-IN if-exceeding burst-size-limit 30m user@router# set policer BestEffort-IN then loss-priority highWenden Sie den Firewall-Filter auf die logische Schnittstelle an.
[edit interfaces xe-0/0/0]user@router# set unit 0 family vpls iq-policing-filter vpls_iqp_filter
Ergebnisse
Bestätigen Sie ihre Konfiguration im Konfigurationsmodus, indem Sie die show firewall Befehle und die show interfaces xe-0/0/0.0 Befehle eingeben. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@router# show firewall family vpls filter vpls_iqp_filter
interface-specific;
term VoiceSum {
from {
learn-vlan-1p-priority 5;
}
then {
count VoiceSum;
forwarding-class Voice;
next term;
}
}
term Voice {
from {
learn-vlan-1p-priority 5;
}
then {
policer Voice-IN;
count Voice;
accept;
}
}
term BestEffortSum {
then {
count BestEffortSum;
next term;
}
}
term BestEffort {
then {
policer BestEffort-IN;
count BestEffort;
accept;
}
}
policer pol_vpls {
if-exceeding {
bandwidth-limit 400m;
burst-size-limit 40m;
}
then discard;
}
policer Voice-IN {
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 10m;
}
then loss-priority high;
}
policer BestEffort-IN {
if-exceeding {
bandwidth-limit 350m;
burst-size-limit 30m;
}
then loss-priority high;
}
user@router# show interfaces xe-0/0/0 unit 0
family vpls {
iq-policing-filter vpls_iqp_filter;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
user@router# commit