Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Gigabit-Ethernet-Policer

Mit Policers können Sie eine einfache Datenverkehrsüberwachung an Gigabit-Ethernet-Schnittstellen durchführen, ohne einen Firewall-Filter konfigurieren zu müssen. In diesem Thema können Sie eine Eingabeprioritätszuordnung und eine Ausgabeprioritätszuordnung konfigurieren und dann die Richtlinie anwenden. In diesem Thema finden Sie Informationen zum Konfigurieren eines zweifarbigen und eines dreifarbigen Policers.

Funktionen von Gigabit Ethernet IQ PICs und Gigabit Ethernet PICs mit SFPs

Für Gigabit-Ethernet-IQ-PICs und Gigabit-Ethernet-PICs mit SFPs können Sie granulare Class-of-Service-Funktionen (CoS) pro VLAN sowie umfangreiche Instrumentierung und Diagnose pro VLAN und pro MAC-Adresse konfigurieren.

Mit dem Umschreiben, Markieren und Löschen von VLANs können Sie den VLAN-Adressraum nutzen, um mehr Kunden und Services zu unterstützen.

Mit VPLS können Sie ein Punkt-zu-Mehrpunkt-LAN zwischen einer Reihe von Standorten in einem VPN bereitstellen. Ethernet IQ PICs und Gigabit Ethernet PICs mit SFPs (mit Ausnahme des Gigabit-Ethernet-PIC mit 10 Ports und des integrierten Gigabit-Ethernet-Ports des M7i-Routers) werden mit VPLS kombiniert, um Metro-Ethernet-Service bereitzustellen.

Für Gigabit-Ethernet-IQ2- und IQ2-E- und 10-Gigabit-Ethernet-IQ2- und IQ2-E-Schnittstellen können Sie Layer-2-Überwachung auf logische Schnittstellen in Ausgangs- oder Eingangsrichtung anwenden. Layer-2-Policer werden auf Hierarchieebene [edit firewall] konfiguriert. Sie können auch die Rate des an einer Schnittstelle gesendeten oder empfangenen Datenverkehrs steuern, indem Sie einen Policer-Overhead auf Hierarchieebene [edit chassis fpc slot-number pic slot-number] konfigurieren.

Tabelle 1 listet die Funktionen von Gigabit Ethernet IQ PICs und Gigabit Ethernet PICs mit SFPs auf (mit Ausnahme des Gigabit-Ethernet-PIC mit 10 Ports und des integrierten Gigabit-Ethernet-Ports des M7i-Routers).

Tabelle 1: Leistungsmerkmale von Gigabit Ethernet IQ und Gigabit Ethernet mit SFPs

Fähigkeit

Gigabit Ethernet IQ (SFP)

Gigabit-Ethernet (SFP)

Layer 2

802.3Ad-Link-Aggregation

Ja

Ja

Maximale VLANs pro Port

384

1023

Maximale Größe der Übertragungseinheit (MTU)

9192

9192

MAC-Lernen

Ja

Ja

MAC-Buchhaltung

Ja

Ja

MAC-Filterung

Ja

Ja

Ziele pro Hafen

960

960

Quellen pro Port

64

64

Hierarchische MAC-Policer

Ja, Premium und Aggregat

Nein, nur aggregieren

Unterstützung mehrerer TPIDs und IP-Service für nicht standardmäßige TPIDs

Ja

Ja

Mehrere Ethernet-Kapselungen

Ja

Ja

Zwei VLAN-Tags

Ja

Nein

VLAN-Umschreibung

Ja

Nein

Layer 2-VPNs

VLAN CCC

Ja

Ja

Port-basierter CCC

Ja

Ja

Erweitertes VLAN CCC Virtual Metropolitan Area Network (VMAN) Tag Protocol

Ja

Ja

CoS

PIC-basierte Ausgangswarteschlangen

Ja

Ja

In der Warteschlange befindliche VLANs

Ja

Nein

VPLS

Ja

Ja

Weitere Informationen zum Konfigurieren von VPLS finden Sie in der Junos OS VPNs-Bibliothek für Routing-Geräte.

Sie können CoS auch auf logischen IQ-Schnittstellen konfigurieren. Weitere Informationen finden Sie im Junos OS Class of Service User Guide for Routing Devices.

Konfigurieren von Gigabit-Ethernet-Policern

Überblick

In Gigabit Ethernet IQ und Gigabit Ethernet PICs mit SFPs können Sie Ratenlimits für Premium- und aggregierten Datenverkehr definieren, der über die Schnittstelle empfangen wird. Mit diesen Policern können Sie eine einfache Datenverkehrsüberwachung durchführen, ohne einen Firewallfilter konfigurieren zu müssen. Zuerst konfigurieren Sie das Ethernet-Policer-Profil, als nächstes klassifizieren Sie den ein- und ausgehenden Datenverkehr, und dann können Sie den Policer auf eine logische Schnittstelle anwenden.

Bei Gigabit-Ethernet-PICs mit SFPs können sich die von Ihnen konfigurierten Policer-Tarife von denen der Packet Forward Engine unterscheiden. Der Unterschied ergibt sich aus dem Layer-2-Overhead. Der PIC berücksichtigt diesen Unterschied.

Auf Routern mit Gigabit-Ethernet- oder Fast-Ethernet-PICs gelten die folgenden Überlegungen:

  • Schnittstellenzähler zählen die 7-Byte-Präambel und das 1-Byte-Frame-Trennzeichen in Ethernet-Frames nicht.

  • In den MAC-Statistiken umfasst die Framegröße MAC-Header und CRC, bevor Regeln zum Umschreiben/Ausschießen von VLANs angewendet werden.

  • In der Datenverkehrsstatistik umfasst die Framegröße den L2-Header ohne CRC nach einer VLAN-Umschreibungs-/Ausschießregel.

Konfigurieren eines Policers

Um ein Ethernet-Policer-Profil zu konfigurieren, fügen Sie die ethernet-policer-profile Anweisung auf Hierarchieebene [edit interfaces interface-name gigether-options ethernet-switch-profile] ein:

Im Ethernet-Policer-Profil ist der Policer mit aggregierter Priorität obligatorisch. Der Premium-Priority-Policer ist optional.

Für aggregierte und Premium-Policer geben Sie die Bandbreitenbegrenzung in Bits pro Sekunde an. Sie können den Wert als vollständige Dezimalzahl oder als Dezimalzahl gefolgt von der Abkürzung k (1000), (1.000.000) oder g (1.000.000.000) angeben. Es gibt keinen absoluten Mindestwert für die Bandbreitengrenze, aber jeder Wert unter 61.040 Bps führt zu einer effektiven Rate von 30.520 Bps. Die maximale Bandbreite beträgt 4,29 Gbit/s.

Die maximale Burst-Größe steuert die Menge des zulässigen Datenverkehrs-Burstings. Um die Begrenzung der Burst-Größe zu bestimmen, können Sie die Bandbreite der Schnittstelle, auf die Sie den Filter anwenden, mit der Zeitspanne multiplizieren, die Sie für einen Burst von Datenverkehr bei dieser Bandbreite zulassen:

Wenn Sie die Schnittstellenbandbreite nicht kennen, können Sie die maximale MTU des Datenverkehrs auf der Schnittstelle mit 10 multiplizieren, um einen Wert zu erhalten. Die Burstgröße für eine MTU von 4700 beträgt beispielsweise 47.000 Byte. Die Burstgröße sollte mindestens 10 Schnittstellen-MTUs betragen. Der Maximalwert für die Burstgröße beträgt 100 MB.

Angeben einer Eingabeprioritätszuordnung

Eine Eingabeprioritätszuordnung identifiziert eingehenden Datenverkehr mit bestimmten IEEE 802.1p-Prioritätswerten und klassifiziert diesen Datenverkehr als Premium-Datenverkehr.

Wenn Sie einen Policer mit höchster Priorität einschließen, können Sie eine Eingabeprioritätszuordnung angeben, indem Sie die ieee802.1 premium Anweisung auf Hierarchieebene [edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map] einfügen:

Die Prioritätswerte können zwischen 0 und 7 liegen. Der verbleibende Datenverkehr wird als Nicht-Premium-Datenverkehr (oder aggregiert) klassifiziert.

Angeben einer Ausgabeprioritätszuordnung

Eine Ausgabeprioritätszuordnung identifiziert ausgehenden Datenverkehr mit der angegebenen Warteschlangenklassifizierung und Paketverlustpriorität (PLP) und klassifiziert diesen Datenverkehr als Premium.

Wenn Sie einen Policer mit höherer Priorität einschließen, können Sie eine Ausgabeprioritätszuordnung angeben, indem Sie die classifier Anweisung auf Hierarchieebene [edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map] einfügen:

Sie können eine Weiterleitungsklasse definieren oder eine vordefinierte Weiterleitungsklasse verwenden. Tabelle 2 Zeigt die vordefinierten Weiterleitungsklassen und die zugehörigen Warteschlangenzuweisungen an.

Tabelle 2: Standard-Weiterleitungsklassen

Name der Weiterleitungsklassen

Schlange

Bemühen Sie sich nach besten Kräften

Warteschlange 0

Beschleunigte Weiterleitung

Warteschlange 1

Gesicherte Weiterleitung

Warteschlange 2

Netzwerk-Steuerung

Warteschlange 3

Anwenden eines Policers

Auf allen Ethernet-Schnittstellen, Gigabit-Ethernet-IQ-, IQ2- und IQ2-E-PICs sowie Gigabit-Ethernet-PICs mit SFPs können Sie Eingabe- und Ausgabepolicer anwenden, die Ratenlimits für Premium- und aggregierten Datenverkehr definieren, der über die logische Schnittstelle empfangen wird. Aggregierte Policer werden auf Gigabit-Ethernet-PICs mit SFPs unterstützt.

Mit diesen Policern können Sie eine einfache Datenverkehrsüberwachung durchführen, ohne einen Firewallfilter konfigurieren zu müssen.

Um Policer auf bestimmte MAC-Quelladressen anzuwenden, fügen Sie die accept-source-mac folgende Anweisung ein:

Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:

  • [edit interfaces interface-name unit logical-unit-number ]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Sie können die MAC-Adresse als ::::: oder angeben, wobei n es sich um eine Hexadezimalzahl handelt.nnnnnn.nnnn.nnnnnnnnnnnnnn Sie können bis zu 64 Quelladressen konfigurieren. Wenn Sie mehr als eine Adresse angeben möchten, schließen Sie mehrere mac-address Anweisungen in die Konfiguration der logischen Schnittstelle ein.

Bei nicht getaggten Gigabit-Ethernet-Schnittstellen sollten Sie die source-address-filter Anweisung auf der [edit interfaces ge-fpc/pic/port gigether-options] Hierarchieebene und die accept-source-mac Anweisung auf der [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] Hierarchieebene nicht gleichzeitig konfigurieren. Wenn diese Anweisungen gleichzeitig für dieselben Schnittstellen konfiguriert sind, wird eine Fehlermeldung angezeigt.

Auf getaggten Gigabit-Ethernet-Schnittstellen sollten Sie die source-address-filter Anweisung auf der [edit interfaces ge-fpc/pic/port gigether-options] Hierarchieebene und die accept-source-mac Anweisung auf der [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] Hierarchieebene nicht mit einer identischen MAC-Adresse konfigurieren, die in beiden Filtern angegeben ist. Wenn diese Anweisungen für dieselben Schnittstellen mit einer identischen MAC-Adresse konfiguriert sind, wird eine Fehlermeldung angezeigt.

Wenn die Remote-Ethernet-Karte gewechselt wird, akzeptiert die Schnittstelle keinen Datenverkehr von der neuen Karte, da die neue Karte eine andere MAC-Adresse hat.

Die MAC-Adressen, die Sie in die Konfiguration aufnehmen, werden in die MAC-Datenbank des Routers eingegeben. Um die MAC-Datenbank des Routers anzuzeigen, geben Sie den show interfaces mac-database interface-name folgenden Befehl ein:

Geben Sie in der input Anweisung den Namen einer Policer-Vorlage an, die ausgewertet werden soll, wenn Pakete auf der Schnittstelle empfangen werden. Geben Sie in der output Anweisung den Namen einer Policer-Vorlage an, die ausgewertet werden soll, wenn Pakete über die Schnittstelle übertragen werden.

Auf IQ2- und IQ2-E PIC-Schnittstellen hat sich der Standardwert für die maximale Beibehaltung von Einträgen in der MAC-Adresstabelle geändert, wenn die Tabelle nicht voll ist. Die neue Haltezeit beträgt 12 Stunden. Die bisherige Aufbewahrungszeit von 3 Minuten gilt auch dann, wenn die Tabelle voll ist.

Sie können denselben Policer ein- oder mehrmals verwenden. Wenn Sie sowohl Policer- als auch Firewallfilter auf eine Schnittstelle anwenden, werden Eingabe-Policer vor Eingabe-Firewall-Filtern und Ausgabe-Policer nach Ausgabe-Firewall-Filtern ausgewertet.

Beispiel: Konfigurieren von Gigabit-Ethernet-Policern

Beispiel

Dieses Beispiel veranschaulicht Folgendes:

  • Konfigurieren Sie die Schnittstelle ge-6/0/0 so, dass die Prioritätswerte 2 und 3 als Premium behandelt werden. Bei eingehendem Datenverkehr bedeutet dies, dass IEEE 802.1p-Prioritätswerte 2 und 3 als Premium behandelt werden. Beim Ausgang bedeutet dies, dass Datenverkehr, der in Warteschlange 0 oder 1 mit einem niedrigen PLP und 2 oder 3 mit einem hohen PLP klassifiziert ist, als Premium behandelt wird.

  • Definieren Sie einen Policer, der die Premium-Bandbreite auf 100 Mbit/s und die Burst-Größe auf 3 k, die Gesamtbandbreite auf 200 Mbit/s und die Burst-Größe auf 3 K begrenzt.

  • Geben Sie an, dass Frames, die von der MAC-Adresse 00:01:02:03:04:05 und der VLAN- ID 600 empfangen werden, dem Policer bei Ein- und Ausgabe unterliegen. Bei der Eingabe bedeutet dies, dass Frames, die mit der Quell-MAC-Adresse 00:01:02:03:04:05 und der VLAN-ID 600 empfangen werden, dem Policer unterliegen. Bei der Ausgabe bedeutet dies, dass Frames, die vom Router mit der Ziel-MAC-Adresse 00:01:02:03:04:05 und der VLAN-ID 600 übertragen werden, dem Policer unterliegen.

Beispielkonfiguration

Konfiguration von zweifarbigen und dreifarbigen Policern für Gigabit-Ethernet

Überblick

Für Gigabit-Ethernet- und 10-Gigabit-Ethernet-IQ2- und IQ2-E-Schnittstellen auf Routern der M- und T-Serie können Sie zweifarbige und dreifarbige Markierungspolicer konfigurieren und auf logische Schnittstellen anwenden, um zu verhindern, dass der Datenverkehr auf der Schnittstelle unangemessen Bandbreite verbraucht.

Netzwerke überwachen den Datenverkehr, indem sie die Eingangs- oder Ausgangsübertragungsrate einer Datenverkehrsklasse auf der Grundlage benutzerdefinierter Kriterien begrenzen. Durch die Überwachung des Datenverkehrs können Sie die maximale Rate des an einer Schnittstelle gesendeten oder empfangenen Datenverkehrs steuern und ein Netzwerk in mehrere Prioritätsstufen oder Serviceklassen partitionieren.

Policer verlangen von Ihnen, dass Sie eine Burst-Größe und Bandbreitenbegrenzung auf den Datenverkehrsfluss anwenden und eine Konsequenz für Pakete festlegen, die diese Grenzwerte überschreiten – in der Regel eine höhere Verlustpriorität, sodass Pakete, die die Policer-Limits überschreiten, zuerst verworfen werden.

Die Router-Architekturen von Juniper Networks unterstützen drei Arten von Policer:

  • Zweifarbiger Policer: Ein zweifarbiger Policer (oder "Policer", wenn er ohne Qualifikation verwendet wird) misst den Datenverkehrsstrom und klassifiziert Pakete entsprechend einer konfigurierten Bandbreiten- und Burst-Größenbeschränkung in zwei Kategorien von Paketverlustpriorität (Packet Loss Priority, PLP). Sie können Pakete, die die Bandbreiten- und Burst-Größenbeschränkung überschreiten, in irgendeiner Weise markieren oder einfach verwerfen. Ein Policer eignet sich am besten für die Messung des Datenverkehrs auf Portebene (physische Schnittstelle).

  • Single-Rate Tricolor-Markierung (Single-Rate TCM): Ein Single-Rate Tricolor-Markierungspolicer ist in RFC 2697 ( A Single Rate Three Color Marker) als Teil eines PHB-Klassifizierungssystems (Assured Forwarding Per-Hop-Behavior) für eine DiffServ-Umgebung (Differentiated Services) definiert. Diese Art von Policer misst den Datenverkehr basierend auf der konfigurierten Committed Information Rate (CIR), der zugesagten Burst-Größe (CBS) und der überschüssigen Burst-Größe (EBS).

    Ab Junos OS Version 13.1 wird der Datenverkehr in drei Kategorien eingeteilt: Grün, Rot und Gelb. In der folgenden Liste werden die Kategorien beschrieben:

    • Grün - Die Burst-Größe der ankommenden Pakete ist kleiner als die Summe der konfigurierten CIR und CBS.

    • Rot - Die Burst-Größe der ankommenden Pakete ist größer als die Summe der konfigurierten CIR und EBS.

    • Gelb - Die Burst-Größe der ankommenden Pakete ist größer als die von CBS, aber kleiner als die von EBS.

    Single-Rate-TCM ist am nützlichsten, wenn ein Service nach Paketlänge und nicht nach Spitzenankunftsrate strukturiert ist.

  • Two-Rate Tricolor Marking (Two-Rate TCM): Dieser Policyr-Typ ist in RFC 2698, A Two Rate Three Color Marker, als Teil eines PHB-Klassifizierungssystems (Assured Forwarding per-Hop-Behavior) für eine DiffServ-Umgebung (Differentiated Services) definiert. Diese Art von Policer misst den Datenverkehr basierend auf dem konfigurierten CIR und der Peak Information Rate (PIR) sowie den zugehörigen Burst-Größen, CBS und EBS.

    Der Datenverkehr wird in die folgenden drei Kategorien eingeteilt:

    • Grün - Die Burst-Größe der ankommenden Pakete ist kleiner als die Summe der konfigurierten CIR und CBS.

    • Rot: Die Burst-Größe der ankommenden Pakete ist größer als die Summe der konfigurierten PIR und EBS.

    • Gelb: Traffic gehört weder zur grünen noch zur roten Kategorie.

    Two-Rate-TCM ist am nützlichsten, wenn ein Service nach Ankunftsraten und nicht unbedingt nach Paketlänge strukturiert ist.

HINWEIS:

Im Gegensatz zur Überwachung (beschrieben unter Konfigurieren von Gigabit-Ethernet-Policern) erfordert die Konfiguration von zweifarbigen Policern und dreifarbigen Markierungspolicern die Konfiguration eines Firewallfilters.

Konfigurieren eines Policers

Zweifarbige und dreifarbige Markierungspolicer werden auf Hierarchieebene [edit firewall] konfiguriert.

Ein dreifarbiger Markierungspolizist überwacht den Datenverkehr auf der Grundlage von Messraten, einschließlich CIR, PIR, den zugehörigen Burst-Größen und allen für den Verkehr konfigurierten Polizeimaßnahmen.

Um die dreifarbige Policer-Markierung zu konfigurieren, fügen Sie die three-color-policer Anweisung mit Optionen auf Hierarchieebene [edit firewall] ein:

Weitere Informationen zum Konfigurieren von dreifarbigen Policer-Markierungen finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Traffic Policers und im Junos OS Class-of-Service-Benutzerhandbuch für Routing-Geräte.

Anwenden eines Policers

Wenden Sie einen zweifarbigen oder dreifarbigen Policer auf eine logische Schnittstelle an, um zu verhindern, dass der Datenverkehr auf der Schnittstelle unangemessen Bandbreite verbraucht. Um zweifarbige oder dreifarbige Policer anzuwenden, fügen Sie die layer2-policer folgende Erklärung hinzu:

Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Verwenden Sie die input-policer Anweisung, um einen zweifarbigen Policer auf empfangene Pakete auf einer logischen Schnittstelle anzuwenden, und die input-three-color Anweisung, um einen dreifarbigen Policer anzuwenden. Verwenden Sie die output-policer Anweisung, um einen zweifarbigen Policer auf übertragene Pakete auf einer logischen Schnittstelle anzuwenden, und die output-three-color Anweisung, um einen dreifarbigen Policer anzuwenden. Die angegebenen Policer müssen auf der [edit firewall] Hierarchieebene konfiguriert werden. Für jede Schnittstelle können Sie einen dreifarbigen Policer oder einen zweifarbigen Eingabe- oder Ausgabe-Policer konfigurieren – Sie können nicht sowohl einen dreifarbigen als auch einen zweifarbigen Policer konfigurieren.

Konfigurieren und Anwenden eines Policers

Konfigurieren Sie dreifarbige Policer und wenden Sie sie auf eine Schnittstelle an:

Konfigurieren Sie einen zweifarbigen Policer und wenden Sie ihn auf eine Schnittstelle an:

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
13.1
Ab Junos OS Version 13.1 wird der Datenverkehr in drei Kategorien eingeteilt: Grün, Rot und Gelb.