Konfigurieren von Gigabit Ethernet-Policern
Policer ermöglichen es Ihnen, einfache Datenverkehrs-Policing an Gigabit-Ethernet-Schnittstellen durchzuführen, ohne einen Firewall-Filter zu konfigurieren. Sie können dieses Thema verwenden, um eine Eingangsprioritätszuordnung, eine Ausgabeprioritätszuordnung zu konfigurieren und dann die Richtlinie anzuwenden. Verwenden Sie dieses Thema für Informationen zur Konfiguration eines Zwei-Farb-Policers und eines Tri-Color-Policers.
Funktionen von Gigabit Ethernet IQ-PICs und Gigabit Ethernet-PICs mit SFPs
Für Gigabit Ethernet-IQ-PICs und Gigabit Ethernet-PICs mit SFPs (außer der 10-Port-Gigabit Ethernet-PIC und dem integrierten Gigabit Ethernet-Port auf dem M7i-Router) können Sie granulare Class-of-Service-Funktionen (CoS) pro VLAN und MAC konfigurieren und umfangreiche Instrumentierung und Diagnose je nach VLAN und MAC-Adresse durchführen.
VLAN-Umschreiben, -Tagging und -löschen ermöglicht es Ihnen, den VLAN-Adressraum zur Unterstützung von mehr Kunden und Services zu verwenden.
VPLS ermöglicht die Bereitstellung eines Point-to-Multipoint-LAN zwischen einer Reihe von Standorten in einem VPN. Ethernet-IQ-PICs und Gigabit Ethernet-PICs mit SFPs (außer der 10-Port-Gigabit Ethernet-PIC und der integrierte Gigabit Ethernet-Port auf dem M7i-Router) werden zur Bereitstellung von Metro Ethernet-Diensten mit VPLS kombiniert.
Für Gigabit Ethernet IQ2- und IQ2-E- sowie 10-Gigabit Ethernet IQ2- und IQ2-E-Schnittstellen können Sie Layer 2-Policing auf logische Schnittstellen in die Ausgangs- oder Ingress-Richtung anwenden. Layer 2-Policer werden auf der Hierarchieebene [edit firewall] konfiguriert. Sie können auch die Rate des Datenverkehrs, der an einer Schnittstelle gesendet oder empfangen wird, steuern, indem Sie einen Policer-Overhead auf der [edit chassis fpc slot-number pic slot-number] Hierarchieebene konfigurieren.
Tabelle 1 Listen Sie die Funktionen von Gigabit Ethernet IQ-PICs und Gigabit Ethernet-PICs mit SFPs auf (außer der 10-Port-Gigabit Ethernet-PIC und dem integrierten Gigabit Ethernet-Port auf dem M7i Router).
Fähigkeit |
Gigabit Ethernet-IQ (SFP) |
Gigabit Ethernet (SFP) |
|---|---|---|
| Layer 2 | ||
802.3ad-Linkaggregation |
Ja |
Ja |
Maximale Anzahl an VLANs pro Port |
384 |
1023 |
Größe der maximal übertragenen Einheit (MTU) |
9192 |
9192 |
MAC-Learning |
Ja |
Ja |
MAC-Accounting |
Ja |
Ja |
MAC-Filterung |
Ja |
Ja |
Ziele pro Port |
960 |
960 |
Quellen pro Port |
64 |
64 |
Hierarchische MAC-Policer |
Ja, Premium und aggregiert |
Nein, nur aggregiert |
Mehrere TPID-Unterstützung und IP-Dienste für nicht standardisierte TPIDs |
Ja |
Ja |
Mehrere Ethernet-Einkapselungen |
Ja |
Ja |
Zwei VLAN-Tags |
Ja |
Nein |
VLAN-Umschreiben |
Ja |
Nein |
| Layer 2 VPNs | ||
VLAN CCC |
Ja |
Ja |
Port-basierter CCC |
Ja |
Ja |
Erweitertes VLAN CCC Virtual Metropolitan Area Network (VMAN)-Tag-Protokoll |
Ja |
Ja |
| CoS | ||
PIC-basierte Ausgangswarteschlangen |
Ja |
Ja |
Warteschlangen-VLANs |
Ja |
Nein |
VPLS |
Ja |
Ja |
Weitere Informationen zur Konfiguration von VPLS finden Sie in der Junos OS VPNs-Bibliothek für Routinggeräte.
Sie können die Konfiguration CoS auch auf logischen IQ-Schnittstellen konfigurieren. Weitere Informationen finden Sie im Benutzerhandbuch Junos OS Class of Service für Routinggeräte.
Siehe auch
Konfigurieren von Gigabit Ethernet-Policern
- Überblick
- Konfigurieren eines Policers
- Eingabe einer Eingangsprioritätszuordnung
- Festlegen einer Ausgabeprioritätszuordnung
- Anwenden eines Policers
- Konfigurieren von MAC-Adressenfilterung
- Beispiel: Konfigurieren von Gigabit Ethernet-Policern
Überblick
Auf Gigabit Ethernet-IQ- und Gigabit Ethernet-PICs mit SFPs (außer der 10-Port-Gigabit Ethernet-PIC und dem integrierten Gigabit Ethernet-Port des M7i-Routers) können Sie Begrenzungen der Raten für Premium-Raten definieren und an der Schnittstelle gesammelten Datenverkehr aggregieren. Mit diesen Policern können Sie einfache Datenverkehrs-Policing durchführen, ohne einen Firewall-Filter zu konfigurieren. Zuerst konfigurieren Sie das Ethernet-Policer-Profil, anschließend klassifizieren Sie den ingress- und egress-Datenverkehr, und Sie können den Policer auf eine logische Schnittstelle anwenden.
Bei Gigabit Ethernet-PICs mit SFPs (außer der 10-Port-Gigabit Ethernet-PIC und dem integrierten Gigabit-Ethernet-Port auf dem M7i-Router) können die konfigurierten Policer-Raten von den Raten in der Packet Forward Engine unterscheiden. Der Unterschied ergibt sich aus dem Layer-2-Overhead. Die PIC macht diesen Unterschied aus.
Auf Routern der MX-Serie mit Gigabit Ethernet- oder Fast Ethernet-PICs gelten die folgenden Überlegungen:
Schnittstellenzähler zählen die 7-Byte-Frame-Delimiter in Ethernet-Frames nicht.
In den MAC-Statistiken umfasst die Framegröße MAC-Header und CRC, bevor VLAN-Rewrite/Imposition-Regeln angewendet werden.
In der Datenverkehrsstatistik umfasst die Framegröße den L2-Header ohne CRC nach einer VLAN-Rewrite/Imposition-Regel.
Informationen zum Verständnis der Ethernet-Frame-Statistiken finden Sie im Layer 2-Konfigurationshandbuch der MX-Serie.
Konfigurieren eines Policers
Um ein Ethernet-Policer-Profil zu konfigurieren, fügen Sie die ethernet-policer-profile Anweisung auf der [edit interfaces interface-name gigether-options ethernet-switch-profile] Hierarchieebene hinzu:
[edit interfaces interface-name gigether-options ethernet-switch-profile] ethernet-policer-profile { policer cos-policer-name { aggregate { bandwidth-limit bps; burst-size-limit bytes; } premium { bandwidth-limit bps; burst-size-limit bytes; } } }
Im Ethernet-Policer-Profil ist der Policer mit aggregierter Priorität Pflicht. ist der Premium-Priority-Policer optional.
Bei Aggregierten und Premium-Policern geben Sie die Bandbreitenbegrenzung in Bits pro Sekunde an. Sie können den Wert als vollständige Dezimalnummer oder als Dezimalnummer des Mitarbeiters km (1000), (1.000.000) oder g (1.000.000.000) angeben. Für die Bandbreitenbegrenzung gibt es kein absolutes Minimum, aber jeder Wert unter 61.040 Bit/s führt zu einer effektiven Rate von 30.520 Bps. Die maximale Bandbreitenbegrenzung beträgt 4,29 Gbit/s.
Die maximale Burst-Größe steuert die Menge des zulässigen Datenverkehrs. Um die Begrenzung der Burst-Größe zu bestimmen, können Sie die Bandbreite der Schnittstelle, auf der Sie den Filter anwenden, mit der Zeit vervielfachen, in der ein Datenverkehrsfluss bei dieser Bandbreite ermöglicht wird:
burst size = bandwidth x allowable time for burst traffic
Wenn Sie die Schnittstellenbandbreite nicht kennen, können Sie die maximale Anzahl MTU Datenverkehrs an der Schnittstelle mit 10 multiplizieren, um einen Wert zu erhalten. Die Burst-Größe für einen Umfang von MTU von 4700 beträgt beispielsweise 47.000 Byte. Die Burst-Größe sollte mindestens 10 Schnittstellen-MTUs sein. Der maximale Wert für die Begrenzung der Übergröße beträgt 100 MB.
Eingabe einer Eingangsprioritätszuordnung
Eine Karte der Eingangspriorität identifiziert den eingangsden Datenverkehr mit den angegebenen IEEE 802.1p-Prioritätswerten und klassifiziert diesen Datenverkehr als Premium.
Wenn Sie einen Premium-Prioritäts-Policer angeben, können Sie eine Zuordnung der Eingangspriorität angeben, indem Sie die Anweisung ieee802.1 premium auf der [edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map] Hierarchieebene angeben:
[edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map] ieee802.1p premium [ values ];
Die Prioritätswerte können zwischen 0 und 7 liegen. Der verbleibende Datenverkehr wird als Nicht-Premium klassifiziert (oder aggregiert). Ein Konfigurationsbeispiel finden Sie unter Beispiel: Konfigurieren von Gigabit Ethernet-Policern .
Auf IQ2- und IQ2-E-Schnittstellen und Schnittstellen der MX-Serie, wenn ein VLAN-Tag ge pusht wird, werden die inneren VLAN IEEE 802.1p-Bits auf die IEEE-Bits des VLANs oder VLANs, die ge pusht werden, kopiert. Wenn das Originalpaket nichttagged ist, werden IEEE bits des VLANs oder VLANs auf 0 festgelegt.
Festlegen einer Ausgabeprioritätszuordnung
Eine Karte der Ausgangspriorität identifiziert den ausgehenden Datenverkehr mit der angegebenen Warteschlangenklassifizierung und Paketverlustpriorität (PLP) und klassifiziert diesen Datenverkehr als Premium.
Wenn Sie einen Premium-Prioritäts-Policer angeben, können Sie eine Ausgabeprioritätszuordnung angeben, indem Sie die Anweisung classifier auf der [edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map] Hierarchieebene einordnen:
[edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map] classifier { premium { forwarding-class class-name { loss-priority (high | low); } } }
Sie können eine Weiterleitungsklasse oder eine vordefinierte Weiterleitungsklasse definieren. Tabelle 2 zeigt die vordefinierten Weiterleitungsklassen und die zugehörigen Warteschlangenzuweisungen an.
Name der Weiterleitungsklasse |
Warteschlange |
|---|---|
Best Effort |
Warteschlange 0 |
beschleunigte Weiterleitung |
Warteschlange 1 |
Gesicherte Weiterleitung |
Warteschlange 2 |
Netzwerkkontrolle |
Warteschlange 3 |
Weitere Informationen zu den CoS Weiterleitungsklassen finden Sie im benutzerhandbuch Junos OS Class of Service für Routinggeräte. Ein Konfigurationsbeispiel finden Sie unter Beispiel: Konfigurieren von Gigabit Ethernet-Policern .
Anwenden eines Policers
Auf allen Router-Schnittstellen der MX-Serie, Gigabit Ethernet-IQ, IQ2 und IQ2-E-PICs sowie Gigabit Ethernet-PICs mit SFPs (mit Ausnahme der 10-Port-Gigabit Ethernet-PIC und des integrierten Gigabit Ethernet-Ports auf dem M7i-Router) können Sie I- und Output-Policer anwenden, die Die Höchstwerte für Premium definieren und Datenverkehr an der logischen Schnittstelle aggregieren. Auf Gigabit Ethernet-PICs werden aggregierte Policer mit SFPs unterstützt (außer der 10-Port-Gigabit Ethernet-PIC und dem integrierten Gigabit Ethernet-Port auf dem M7i Router).
Mit diesen Policern können Sie einfache Datenverkehrs-Policing durchführen, ohne einen Firewall-Filter zu konfigurieren.
Um Policer auf bestimmte MAC-Quelladressen anzuwenden, müssen Sie die Aussage accept-source-mac beinhalten:
accept-source-mac { mac-address mac-address { policer { input cos-policer-name; output cos-policer-name; } } }
Sie können diese Anweisungen in den folgenden Hierarchieebenen enthalten:
[edit interfaces interface-name unit logical-unit-number ][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Sie können die MAC-Adresse als nn:nn:nn:nn : nn:nn oder nnnn.n.nnnn,hier einen Hexadezimalnummer angeben. Sie können bis zu 64 Quelladressen konfigurieren. Um mehr als eine Adresse anzugeben, geben Sie in die Konfiguration mac-address der logischen Schnittstellen mehrere Anweisungen ein.
Bei nicht tags gebundenen Gigabit Ethernet-Schnittstellen sollte die Anweisung nicht gleichzeitig auf Hierarchie- und Hierarchieebene source-address-filter[edit interfaces ge-fpc/pic/port gigether-options] konfiguriert accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] werden. Wenn diese Anweisungen für dieselben Schnittstellen gleichzeitig konfiguriert sind, wird eine Fehlermeldung angezeigt.
Wenn Sie die Tagged Gigabit Ethernet-Schnittstellen verwenden, sollten Sie die Anweisung nicht auf Der Hierarchieebene und der Anweisung auf der Hierarchieebene mit einer identischen MAC-Adresse konfigurieren, die in beiden Filtern source-address-filter[edit interfaces ge-fpc/pic/port gigether-options] angegeben accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] ist. Wenn diese Anweisungen für dieselben Schnittstellen mit einer identischen angegebenen MAC-Adresse konfiguriert sind, wird eine Fehlermeldung angezeigt.
Wenn die Remote-Ethernet-Karte geändert wird, kann der Datenverkehr von der neuen Karte nicht von der Schnittstelle akzeptiert werden, da die neue Karte über eine andere MAC-Adresse verfügt.
Die in der Konfiguration enthaltenen MAC-Adressen werden in die MAC-Datenbank des Routers eingegeben. Wenn Sie die MAC-Datenbank des Routers anzeigen möchten, geben Sie den folgenden show interfaces mac-database interface-name Befehl ein:
user@host> show interfaces mac-database interface-name
Listen Sie in der Anweisung den Namen einer Policer-Vorlage auf, die nach dem Empfangen von Paketen an der input Schnittstelle bewertet werden soll.
Listen Sie output in der Anweisung den Namen einer Policer-Vorlage auf, die bewertet werden soll, wenn Pakete an der Schnittstelle übertragen werden.
An IQ2- und IQ2-E-PIC-Schnittstellen hat sich der Standardwert für die maximale Aufbewahrung von Einträgen in der MAC-Adresstabelle geändert, für Fälle, in denen die Tabelle nicht voll ist. Die neue Haltezeit beträgt 12 Stunden. Die vorherige Aufbewahrungszeit von 3 Minuten bleibt weiterhin in Kraft, wenn die Tabelle voll ist.
Sie können denselben Policer mindestens ein Mal verwenden.
Wenn Sie sowohl Policer- als auch Firewall-Filter auf eine Schnittstelle anwenden, werden Eingangs-Policer ausgewertet, bevor Eingangs-Firewall-Filter und Ausgabe-Policer nach Ausgabe-Firewall-Filtern bewertet werden.
Konfigurieren von MAC-Adressenfilterung
Datenverkehr kann nicht speziell mit bestimmten MAC-Quelladressen definiert werden, die abzulehnen sind. Bei Gigabit Ethernet-IQ- und Gigabit Ethernet-PICs mit SFPs (mit Ausnahme der 10-Port-Gigabit Ethernet-PIC und des integrierten Gigabit Ethernet-Ports auf dem M7i-Router) und für Gigabit Ethernet-DPCs auf Routern der MX-Serie können Sie jedoch alle eingehenden Pakete blockieren, die nicht über eine in der Erklärung angegebene Quelladresse accept-source-mac verfügen. Weitere Informationen zur Aussage accept-source-mac finden Sie unter Anwenden eines Policers .
Um diese Blockierung zu aktivieren, fügen Sie die source-filtering Anweisung auf der [edit interfaces interface-name gigether-options] Hierarchieebene hinzu:
[edit interfaces interface-name gigether-options] source-filtering;
Weitere Informationen zur Aussage finden Sie source-filtering unter Konfigurieren von MAC-Adressenfilterung für Ethernet-Schnittstellen.
Um Datenverkehr zu akzeptieren, auch wenn in der Anweisung keine Quelladresse angegeben ist, schließt die Anweisung accept-source-macno-source-filtering auf der [edit interfaces interface-name gigether-options] Hierarchieebene ein:
[edit interfaces interface-name gigether-options] no-source-filtering;
Beispiel: Konfigurieren von Gigabit Ethernet-Policern
Beispiel
In diesem Beispiel wird Folgendes veranschaulicht:
Konfigurieren Sie die
ge-6/0/0Schnittstelle, um Prioritätswerte 2 und 3 als Premium zu behandeln. Ingress bedeutet dies, dass IEEE 802.1p-Prioritätswerte erhalten und23als Premium behandelt werden. Ausgehend bedeutet es, dass Datenverkehr, der in die Warteschlange 0 oder 1 mit PLP von niedrig und Warteschlange 2 oder 3 mit PLP von hoch klassifiziert ist, als Premium behandelt wird.Definieren Sie einen Policer, der die Premium-Bandbreite auf 100 Mbit/s und die Burst-Größe auf 3 k und die aggregierte Bandbreite auf 200 Mbit/s und Burst-Größe auf 3 k begrenzt.
Bitte geben Sie an, dass von der MAC-Adresse und der VLAN-ID empfangene Frames dem Policer bei Eingaben
00:01:02:03:04:05600und Ausgaben unterliegen. Bei Eingaben bedeutet das, dass Frames, die mit der MAC-Adresse der Quelle und der VLAN-ID 600 empfangen werden, dem00:01:02:03:04:05Policer unterliegen. Bei der Ausgabe bedeutet das, dass vom Router übertragene Frames mit der MAC-Zieladresse und der00:01:02:03:04:05VLAN-ID dem600Policer unterliegen.
Beispielkonfiguration
[edit interfaces]
ge-6/0/0 {
gigether-options {
ether-switch-profile {
ether-policer-profile {
input-priority-map {
ieee-802.1p {
premium [ 2 3 ];
}
}
output-priority-map {
classifier {
premium {
forwarding-class best-effort {
loss-priority low;
}
forwarding-class expedited-forwarding {
loss-priority low;
}
forwarding-class assured-forwarding {
loss-priority high;
}
forwarding-class network-control {
loss-priority high;
}
}
}
}
policer policer-1 {
premium {
bandwidth-limit 100m;
burst-size-limit 3k;
}
aggregate {
bandwidth-limit 200m;
burst-size-limit 3k;
}
}
}
}
}
unit 0 {
accept-source-mac {
mac-address 00:01:02:03:04:05 {
policer {
input policer-1;
output policer-1;
}
}
}
}
}
Konfigurieren von Gigabit Ethernet Zweifarbige und dreifarbige Policer
- Überblick
- Konfigurieren eines Policers
- Anwenden eines Policers
- Beispiel: Konfigurieren und Anwenden eines Policers
Überblick
Für Gigabit Ethernet- und 10-Gigabit Ethernet-IQ2- und IQ2-E-Schnittstellen an M Series- und T-Serie-Routern können Sie zweifarbige und dreifarbige Markierungs-Policer konfigurieren und auf logische Schnittstellen anwenden, um zu verhindern, dass der Datenverkehr an der Schnittstelle die Bandbreite unangemessen in Anspruch nimmt.
Netzwerke policen Datenverkehr durch Begrenzung der Ein- und Ausgangsübertragungsrate einer Datenverkehrsklasse auf der Grundlage benutzerdefinierter Kriterien. Policing-Datenverkehr ermöglicht Ihnen die Kontrolle der maximalen Rate von Datenverkehr, der an einer Schnittstelle gesendet oder empfangen wird, und die Partitionierung eines Netzwerks in mehrere Prioritätsebenen oder Serviceklassen.
Policer setzen voraus, dass Sie eine Über burst-Größe und Bandbreitenbegrenzung auf den Datenverkehrsfluss anwenden und eine Konsequenz für Pakete setzen, die diese Grenzen überschreiten – in der Regel eine höhere Verlustpriorität, sodass Pakete, die die Policer-Grenzen übersteigen, zuerst verworfen werden.
Juniper Networks-Routerarchitekturen unterstützen drei Arten von Policer:
Zwei-Farb-Policer: Ein Zwei-Farb-Policer (oder "Policer", wenn er ohne Qualifizierung verwendet wird), metert den Datenverkehrsstrom und klassifiziert Pakete in zwei Kategorien von Paketverlustpriorität (PLP) entsprechend einer konfigurierten Bandbreiten- und Burst-Größenbegrenzung. Sie können Pakete, die die Begrenzung der Bandbreite und Burst-Größe überschreiten, auf irgendeine Weise markieren oder einfach verwerfen. Ein Policer ist am nützlichsten für die Messung des Datenverkehrs auf Portebene (physische Schnittstelle).
Dreifarbige Einzelrate-Markierung (Single-Rate-TCM) – Ein einfarbiger dreifarbiger Markierungs-Policer wird im RFC 2697, A Single Rate Three Color Marker,als Teil eines gesicherten PHB-Klassifizierungssystems (Forwarding Per-Hop-Behavior) für eine DiffServ-Umgebung (differentiated Services) definiert. Diese Art von Policer ermittelt den Datenverkehr basierend auf der konfigurierten committed information rate (CIR), committed burst size (CBS) und excess burst size (EBS).
Der Datenverkehr beginnt Junos OS Version 13.1 und wird in drei Kategorien klassifiziert: Grün, Rot und Gelb. Die folgende Liste enthält Beschreibungen der Kategorien:
Grün: Die Burst-Größe der eintreffenden Pakete ist weniger als die Summe der konfigurierten CIR und CBS.
Rot: Die Burst-Größe der eingehenden Pakete ist größer als die Summe konfigurierter CIR und EBS.
Gelb: Die Burst-Größe der eintreffenden Pakete ist größer als die CBS, jedoch weniger als die EBS.
TCM in Einzelrate ist am nützlichsten, wenn ein Service nach Paketlänge und nicht mit Spitzenleistung strukturiert ist.
Zweifarbige Markierung (Zwei-Prozent-TCM) – Dieser Policer-Typ ist in RFC 2698, eineZwei-Rate-Drei-Farb-Marker, als Teil eines sicheren PHB-Klassifizierungssystems (Forwarding Per-Hop-Behavior) für eine DiffServ-Umgebung (differentiated Services) definiert. Diese Policer-Art ermittelt den Datenverkehr auf Grundlage der konfigurierten CIR und Peak Information Rate (CIR) und der zugehörigen Burst-Größen, dem CBS und EBS.
Der Datenverkehr ist in die folgenden drei Kategorien klassifiziert:
Grün: Die Burst-Größe der eintreffenden Pakete ist weniger als die Summe der konfigurierten CIR und CBS.
Rot: Die Burst-Größe der eingehenden Pakete ist größer als die Summe der konfigurierten PIM-Datei und EBS.
Gelb: Datenverkehr gehört weder der grünen noch der roten Kategorie.
TCM in Zwei-Raten ist am nützlichsten, wenn ein Service nach Den Ankunftsraten und nicht unbedingt nach Paketlänge strukturiert ist.
Im Gegensatz zu Policing (wie bei der Konfiguration von Gigabit-Ethernet-Policernbeschrieben), müssen Sie für die Konfiguration von zweifarbigen Policern und dreifarbigen Policern einen Firewall-Filter konfigurieren.
Konfigurieren eines Policers
Zweifarbige und dreifarbige Markierungs-Policer werden auf der [edit firewall] Hierarchieebene konfiguriert.
Ein dreifarbiger Markierungs-Policer ermittelt den Datenverkehr anhand der Messraten, einschließlich DES CIR, der CIR, der CIR, der zugehörigen Überflussgrößen sowie aller für den Datenverkehr konfigurierten Policing-Aktionen.
Um die dreifarbige Policer-Markierung zu konfigurieren, fügen Sie die three-color-policer Anweisung mit Optionen auf der [edit firewall] Hierarchieebene hinzu:
[edit firewall]
three-color-policer name {
action {
loss-priority high {
then discard;
}
}
single-rate {
(color-aware | color-blind);
committed-information-rate bps;
committed-burst-size bytes;
excess-burst-size bytes;
}
two-rate {
(color-aware | color-blind);
committed-information-rate bps;
committed-burst-size bytes;
peak-information-rate bps;
peak-burst-size bytes;
}
}
Weitere Informationen zur Konfiguration dreifarbiger Policer-Markierungen finden Sie im Benutzerhandbuch Routing-Richtlinien, Firewall-Filter und Verkehrs-Policer sowie im Benutzerhandbuch Junos OS Class of Service für Routinggeräte.
Anwenden eines Policers
Wenden Sie einen zweifarbigen Policer oder dreifarbigen Policer auf eine logische Schnittstelle an, um zu verhindern, dass der Datenverkehr an der Schnittstelle unangemessen hohe Bandbreite verbraucht. Um zweifarbige oder dreifarbige Policer anzuwenden, fügen Sie die Aussage layer2-policer hinzu:
layer2-policer { input-policer policer-name; input-three-color policer-name; output-policer policer-name; policer-name; }
Sie können diese Anweisungen in den folgenden Hierarchieebenen enthalten:
[edit interfaces interface-name unit logical-unit-number][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Verwenden Sie die Anweisung zum Anwenden eines zweifarbigen Policers auf empfangene Pakete auf einer logischen Schnittstelle und die Anweisung zum Anwenden input-policerinput-three-color eines dreifarbigen Policers. Verwenden Sie die Anweisung, um einen zweifarbigen Policer auf übertragene Pakete auf einer logischen Schnittstelle und die Anweisung einen output-policeroutput-three-color dreifarbigen Policer anzuwenden. Die angegebenen Policer müssen auf der Hierarchieebene [edit firewall] konfiguriert sein. Für jede Schnittstelle können Sie einen dreifarbigen Policer oder zweifarbige Eingangs-Policer oder Output-Policer konfigurieren. Sie können weder einen dreifarbigen als auch einen Zwei-Farb-Policer konfigurieren.
Beispiel: Konfigurieren und Anwenden eines Policers
Dreifarbige Policer konfigurieren und auf eine Schnittstelle anwenden:
[edit firewall]
three-color-policer three-color-policer-color-blind {
logical-interface-policer;
two-rate {
color-blind;
committed-information-rate 1500000;
committed-burst-size 150;
peak-information-rate 3;
peak-burst-size 300;
}
}
three-color-policer three-color-policer-color-aware {
logical-interface-policer;
two-rate {
color-aware;
committed-information-rate 1500000;
committed-burst-size 150;
peak-information-rate 3;
peak-burst-size 300;
}
}
[edit interfaces ge-1/1/0]
unit 1 {
layer2-policer {
input-three-color three-color-policer-color-blind;
output-three-color three-color-policer-color-aware;
}
}
Konfigurieren Sie einen Zwei-Farb-Policer, und wenden Sie ihn auf eine Schnittstelle an:
[edit firewall]
policer two-color-policer {
logical-interface-policer;
if-exceeding {
bandwidth-percent 90;
burst-size-limit 300;
}
then loss-priority-high;
}
[edit interfaces ge-1/1/0]
unit 2 {
layer2-policer {
input-policer two-color-policer;
output-policer two-color-policer;
}
}