Gigabit-Ethernet-Policer konfigurieren
Mit Policers können Sie eine einfache Datenverkehrsüberwachung an Gigabit-Ethernet-Schnittstellen durchführen, ohne einen Firewall-Filter konfigurieren zu müssen. In diesem Thema können Sie eine Eingabeprioritätszuordnung und eine Ausgabeprioritätszuordnung konfigurieren und dann die Richtlinie anwenden. In diesem Thema finden Sie Informationen zum Konfigurieren eines zweifarbigen und dreifarbigen Policers.
Funktionen von Gigabit Ethernet IQ PICs und Gigabit Ethernet PICs mit SFPs
Für Gigabit Ethernet IQ PICs und Gigabit Ethernet PICs mit SFPs (mit Ausnahme des Gigabit-Ethernet-PIC mit 10 Ports und des integrierten Gigabit-Ethernet-Ports des M7i-Routers) können Sie granulare Class-of-Service-Funktionen (CoS) pro VLAN und umfangreiche Instrumentierung und Diagnose pro VLAN und pro MAC-Adresse konfigurieren.
Mit dem Umschreiben, Markieren und Löschen von VLANs können Sie den VLAN-Adressraum nutzen, um mehr Kunden und Services zu unterstützen.
Mit VPLS können Sie ein Punkt-zu-Mehrpunkt-LAN zwischen einer Reihe von Standorten in einem VPN bereitstellen. Ethernet IQ PICs und Gigabit Ethernet PICs mit SFPs (mit Ausnahme des Gigabit-Ethernet-PIC mit 10 Ports und des integrierten Gigabit-Ethernet-Ports des M7i-Routers) werden mit VPLS kombiniert, um Metro-Ethernet-Service bereitzustellen.
Für Gigabit-Ethernet-IQ2- und IQ2-E- und 10-Gigabit-Ethernet-IQ2- und IQ2-E-Schnittstellen können Sie Layer-2-Überwachung auf logische Schnittstellen in Ausgangs- oder Eingangsrichtung anwenden. Layer-2-Policer werden auf Hierarchieebene konfiguriert.[edit firewall]
Sie können auch die Rate des an einer Schnittstelle gesendeten oder empfangenen Datenverkehrs steuern, indem Sie einen Policer-Overhead auf Hierarchieebene konfigurieren.[edit chassis fpc slot-number pic slot-number]
Tabelle 1 listet die Funktionen von Gigabit Ethernet IQ PICs und Gigabit Ethernet PICs mit SFPs auf (mit Ausnahme des Gigabit-Ethernet-PIC mit 10 Ports und des integrierten Gigabit-Ethernet-Ports des M7i-Routers).
Fähigkeit |
Gigabit Ethernet IQ (SFP) |
Gigabit-Ethernet (SFP) |
---|---|---|
Layer 2 | ||
802.3Ad-Link-Aggregation |
Ja |
Ja |
Maximale VLANs pro Port |
384 |
1023 |
Maximale Größe der Übertragungseinheit (MTU) |
9192 |
9192 |
MAC-Lernen |
Ja |
Ja |
MAC-Buchhaltung |
Ja |
Ja |
MAC-Filterung |
Ja |
Ja |
Ziele pro Hafen |
960 |
960 |
Quellen pro Port |
64 |
64 |
Hierarchische MAC-Policer |
Ja, Premium und Aggregat |
Nein, nur aggregieren |
Unterstützung mehrerer TPIDs und IP-Service für nicht standardmäßige TPIDs |
Ja |
Ja |
Mehrere Ethernet-Kapselungen |
Ja |
Ja |
Zwei VLAN-Tags |
Ja |
Nein |
VLAN-Umschreibung |
Ja |
Nein |
Layer 2 VPNs | ||
VLAN CCC |
Ja |
Ja |
Port-basierter CCC |
Ja |
Ja |
Erweitertes VLAN CCC Virtual Metropolitan Area Network (VMAN) Tag Protocol |
Ja |
Ja |
CoS | ||
PIC-basierte Ausgangswarteschlangen |
Ja |
Ja |
In der Warteschlange befindliche VLANs |
Ja |
Nein |
VPLS |
Ja |
Ja |
Weitere Informationen zum Konfigurieren von VPLS finden Sie in der Junos OS VPNs-Bibliothek für Routing-Geräte.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html
Sie können CoS auch auf logischen IQ-Schnittstellen konfigurieren. Weitere Informationen finden Sie im Junos OS Class of Service User Guide for Routing Devices.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/cos/config-guide-cos.html
Siehe auch
Gigabit-Ethernet-Policer konfigurieren
- Überblick
- Konfigurieren eines Policers
- Angeben einer Eingabeprioritätszuordnung
- Festlegen einer Ausgabeprioritätszuordnung
- Anwenden eines Policers
- Konfigurieren der MAC-Adressfilterung
- Beispiel: Gigabit-Ethernet-Policer konfigurieren
Überblick
Bei Gigabit Ethernet IQ- und Gigabit-Ethernet-PICs mit SFPs (mit Ausnahme des Gigabit-Ethernet-PIC mit 10 Ports und des integrierten Gigabit-Ethernet-Ports des M7i-Routers) können Sie Ratenbegrenzungen für Premium- und aggregierten Datenverkehr definieren, der über die Schnittstelle empfangen wird. Mit diesen Policern können Sie eine einfache Datenverkehrsüberwachung durchführen, ohne einen Firewallfilter konfigurieren zu müssen. Zuerst konfigurieren Sie das Ethernet-Policer-Profil, als nächstes klassifizieren Sie den ein- und ausgehenden Datenverkehr, und dann können Sie den Policer auf eine logische Schnittstelle anwenden.
Bei Gigabit-Ethernet-PICs mit SFPs (mit Ausnahme des Gigabit-Ethernet-PIC mit 10 Ports und des integrierten Gigabit-Ethernet-Ports des M7i-Routers) können sich die von Ihnen konfigurierten Policer-Raten von den Raten der Packet Forward Engine unterscheiden. Der Unterschied ergibt sich aus dem Layer-2-Overhead. Der PIC berücksichtigt diesen Unterschied.
Bei Routern der MX-Serie mit Gigabit-Ethernet- oder Fast-Ethernet-PICs gelten die folgenden Überlegungen:
Schnittstellenzähler zählen die 7-Byte-Präambel und das 1-Byte-Frame-Trennzeichen in Ethernet-Frames nicht.
In den MAC-Statistiken umfasst die Framegröße MAC-Header und CRC, bevor Regeln zum Umschreiben/Ausschießen von VLANs angewendet werden.
In der Datenverkehrsstatistik umfasst die Framegröße den L2-Header ohne CRC nach einer VLAN-Umschreibungs-/Ausschießregel.
Weitere Informationen zu Ethernet-Frame-Statistiken finden Sie im Layer-2-Konfigurationshandbuch der MX-Serie.
Konfigurieren eines Policers
Um ein Ethernet-Policer-Profil zu konfigurieren, fügen Sie die Anweisung auf Hierarchieebene ein:ethernet-policer-profile
[edit interfaces interface-name gigether-options ethernet-switch-profile]
[edit interfaces interface-name gigether-options ethernet-switch-profile] ethernet-policer-profile { policer cos-policer-name { aggregate { bandwidth-limit bps; burst-size-limit bytes; } premium { bandwidth-limit bps; burst-size-limit bytes; } } }
Im Ethernet-Policer-Profil ist der Policer mit aggregierter Priorität obligatorisch. Der Premium-Priority-Policer ist optional.
Für aggregierte und Premium-Policer geben Sie die Bandbreitenbegrenzung in Bits pro Sekunde an. Sie können den Wert als vollständige Dezimalzahl oder als Dezimalzahl gefolgt von der Abkürzung (1000), (1.000.000) oder (1.000.000.000) angeben.k
m
g
Es gibt keinen absoluten Mindestwert für die Bandbreitengrenze, aber jeder Wert unter 61.040 Bps führt zu einer effektiven Rate von 30.520 Bps. Die maximale Bandbreite beträgt 4,29 Gbit/s.
Die maximale Burst-Größe steuert die Menge des zulässigen Datenverkehrs-Burstings. Um die Begrenzung der Burst-Größe zu bestimmen, können Sie die Bandbreite der Schnittstelle, auf die Sie den Filter anwenden, mit der Zeitspanne multiplizieren, die Sie für einen Burst von Datenverkehr bei dieser Bandbreite zulassen:
burst size = bandwidth x allowable time for burst traffic
Wenn Sie die Schnittstellenbandbreite nicht kennen, können Sie die maximale MTU des Datenverkehrs auf der Schnittstelle mit 10 multiplizieren, um einen Wert zu erhalten. Die Burstgröße für eine MTU von 4700 beträgt beispielsweise 47.000 Byte. Die Burstgröße sollte mindestens 10 Schnittstellen-MTUs betragen. Der Maximalwert für die Burstgröße beträgt 100 MB.
Angeben einer Eingabeprioritätszuordnung
Eine Eingabeprioritätszuordnung identifiziert eingehenden Datenverkehr mit bestimmten IEEE 802.1p-Prioritätswerten und klassifiziert diesen Datenverkehr als Premium-Datenverkehr.
Wenn Sie einen Policer mit höchster Priorität einschließen, können Sie eine Eingabeprioritätszuordnung angeben, indem Sie die Anweisung auf Hierarchieebene einfügen:ieee802.1 premium
[edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map]
[edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map]
ieee802.1p premium [ values ];
Die Prioritätswerte können zwischen 0 und 7 liegen. Der verbleibende Datenverkehr wird als Nicht-Premium-Datenverkehr (oder aggregiert) klassifiziert. Ein Konfigurationsbeispiel finden Sie unter .Beispiel: Gigabit-Ethernet-Policer konfigurieren
Bei IQ2- und IQ2-E-Schnittstellen und Schnittstellen der MX-Serie werden beim Pushen eines VLAN-Tags die inneren IEEE 802.1p-Bits des VLANs in die IEEE-Bits des VLANs kopiert, die gepusht werden. Wenn das ursprüngliche Paket nicht markiert ist, werden die IEEE-Bits des VLANs oder der VLANs, die übertragen werden, auf 0 gesetzt.
Festlegen einer Ausgabeprioritätszuordnung
Eine Ausgabeprioritätszuordnung identifiziert ausgehenden Datenverkehr mit der angegebenen Warteschlangenklassifizierung und Paketverlustpriorität (PLP) und klassifiziert diesen Datenverkehr als Premium.
Wenn Sie einen Policer mit höherer Priorität einschließen, können Sie eine Ausgabeprioritätszuordnung angeben, indem Sie die Anweisung auf Hierarchieebene einfügen:classifier
[edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map]
[edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map] classifier { premium { forwarding-class class-name { loss-priority (high | low); } } }
Sie können eine Weiterleitungsklasse definieren oder eine vordefinierte Weiterleitungsklasse verwenden. Zeigt die vordefinierten Weiterleitungsklassen und die zugehörigen Warteschlangenzuweisungen an.Tabelle 2
Name der Weiterleitungsklassen |
Warteschlange |
---|---|
Bemühen Sie sich nach besten Kräften |
Warteschlange 0 |
Beschleunigte Weiterleitung |
Warteschlange 1 |
Gesicherte Weiterleitung |
Warteschlange 2 |
Netzwerk-Steuerung |
Warteschlange 3 |
Weitere Informationen zu CoS-Weiterleitungsklassen finden Sie im Junos OS Class of Service-Benutzerhandbuch für Routing-Geräte.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/cos/config-guide-cos.html Ein Konfigurationsbeispiel finden Sie unter .Beispiel: Gigabit-Ethernet-Policer konfigurieren
Anwenden eines Policers
Auf allen Routerschnittstellen der MX-Serie, Gigabit Ethernet IQ-, IQ2- und IQ2-E-PICs sowie Gigabit-Ethernet-PICs mit SFPs (mit Ausnahme des Gigabit-Ethernet-PIC mit 10 Ports und des integrierten Gigabit-Ethernet-Ports des M7i-Routers) können Sie Eingabe- und Ausgabepolicer anwenden, die Ratenbegrenzungen für Premium- und aggregierten Datenverkehr definieren, der auf der logischen Schnittstelle empfangen wird. Aggregierte Policer werden auf Gigabit-Ethernet-PICs mit SFPs unterstützt (mit Ausnahme des Gigabit-Ethernet-PIC mit 10 Ports und des integrierten Gigabit-Ethernet-Ports des M7i-Routers).
Mit diesen Policern können Sie eine einfache Datenverkehrsüberwachung durchführen, ohne einen Firewallfilter konfigurieren zu müssen.
Um Policer auf bestimmte MAC-Quelladressen anzuwenden, fügen Sie die folgende Anweisung ein:accept-source-mac
accept-source-mac { mac-address mac-address { policer { input cos-policer-name; output cos-policer-name; } } }
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit interfaces interface-name unit logical-unit-number ]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Sie können die MAC-Adresse als ::::: oder angeben, wobei es sich um eine Hexadezimalzahl handelt.nnnnnnnnnnnnnnnn.
nnnn.
nnnnn
Sie können bis zu 64 Quelladressen konfigurieren. Wenn Sie mehr als eine Adresse angeben möchten, schließen Sie mehrere Anweisungen in die Konfiguration der logischen Schnittstelle ein.mac-address
Bei nicht getaggten Gigabit-Ethernet-Schnittstellen sollten Sie die Anweisung auf der Hierarchieebene und die Anweisung auf der Hierarchieebene nicht gleichzeitig konfigurieren.source-address-filter
[edit interfaces ge-fpc/pic/port gigether-options]
accept-source-mac
[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number]
Wenn diese Anweisungen gleichzeitig für dieselben Schnittstellen konfiguriert sind, wird eine Fehlermeldung angezeigt.
Auf getaggten Gigabit-Ethernet-Schnittstellen sollten Sie die Anweisung auf der Hierarchieebene und die Anweisung auf der Hierarchieebene nicht mit einer identischen MAC-Adresse konfigurieren, die in beiden Filtern angegeben ist.source-address-filter
[edit interfaces ge-fpc/pic/port gigether-options]
accept-source-mac
[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number]
Wenn diese Anweisungen für dieselben Schnittstellen mit einer identischen MAC-Adresse konfiguriert sind, wird eine Fehlermeldung angezeigt.
Wenn die Remote-Ethernet-Karte gewechselt wird, akzeptiert die Schnittstelle keinen Datenverkehr von der neuen Karte, da die neue Karte eine andere MAC-Adresse hat.
Die MAC-Adressen, die Sie in die Konfiguration aufnehmen, werden in die MAC-Datenbank des Routers eingegeben. Um die MAC-Datenbank des Routers anzuzeigen, geben Sie den folgenden Befehl ein:show interfaces mac-database interface-name
user@host> show interfaces mac-database interface-name
Geben Sie in der Anweisung den Namen einer Policer-Vorlage an, die ausgewertet werden soll, wenn Pakete auf der Schnittstelle empfangen werden.input
Geben Sie in der Anweisung den Namen einer Policer-Vorlage an, die ausgewertet werden soll, wenn Pakete über die Schnittstelle übertragen werden.output
Auf IQ2- und IQ2-E PIC-Schnittstellen hat sich der Standardwert für die maximale Beibehaltung von Einträgen in der MAC-Adresstabelle geändert, wenn die Tabelle nicht voll ist. Die neue Haltezeit beträgt 12 Stunden. Die bisherige Aufbewahrungszeit von 3 Minuten gilt auch dann, wenn die Tabelle voll ist.
Sie können denselben Policer ein- oder mehrmals verwenden.
Wenn Sie sowohl Policer- als auch Firewallfilter auf eine Schnittstelle anwenden, werden Eingabe-Policer vor Eingabe-Firewall-Filtern und Ausgabe-Policer nach Ausgabe-Firewall-Filtern ausgewertet.
Konfigurieren der MAC-Adressfilterung
Sie können Datenverkehr mit bestimmten Quell-MAC-Adressen, die abgelehnt werden sollen, nicht explizit definieren. Für Gigabit Ethernet IQ- und Gigabit-Ethernet-PICs mit SFPs (mit Ausnahme des Gigabit-Ethernet-PIC mit 10 Ports und des integrierten Gigabit-Ethernet-Ports des M7i-Routers) sowie für Gigabit-Ethernet-DPCs auf Routern der MX-Serie können Sie jedoch alle eingehenden Pakete blockieren, für die keine in der Anweisung angegebene Quelladresse angegeben ist.accept-source-mac
Weitere Informationen zur Anweisung finden Sie unter .accept-source-mac
Anwenden eines Policers
Um diese Blockierung zu aktivieren, fügen Sie die Anweisung auf Hierarchieebene ein:source-filtering
[edit interfaces interface-name gigether-options]
[edit interfaces interface-name gigether-options] source-filtering;
Weitere Informationen zu dieser Anweisung finden Sie unter Konfigurieren der MAC-Adressfilterung für Ethernet-Schnittstellen.source-filtering
Konfigurieren der MAC-Adressfilterung für Ethernet-Schnittstellen
Um Datenverkehr zu akzeptieren, obwohl in der Anweisung keine Quelladresse angegeben ist, schließen Sie die Anweisung auf Hierarchieebene ein:accept-source-mac
no-source-filtering
[edit interfaces interface-name gigether-options]
[edit interfaces interface-name gigether-options] no-source-filtering;
Beispiel: Gigabit-Ethernet-Policer konfigurieren
Beispiel
Dieses Beispiel veranschaulicht Folgendes:
Konfigurieren Sie die Schnittstelle so, dass die Prioritätswerte 2 und 3 als Premium behandelt werden.
ge-6/0/0
Bei eingehendem Datenverkehr bedeutet dies, dass IEEE 802.1p-Prioritätswerte und als Premium behandelt werden.2
3
Beim Ausgang bedeutet dies, dass Datenverkehr, der in Warteschlange 0 oder 1 mit einem niedrigen PLP und 2 oder 3 mit einem hohen PLP klassifiziert ist, als Premium behandelt wird.Definieren Sie einen Policer, der die Premium-Bandbreite auf 100 Mbit/s und die Burst-Größe auf 3 k, die Gesamtbandbreite auf 200 Mbit/s und die Burst-Größe auf 3 K begrenzt.
Geben Sie an, dass Frames, die von der MAC-Adresse und der VLAN-ID empfangen werden, dem Policer bei Ein- und Ausgabe unterliegen.
00:01:02:03:04:05
600
Bei der Eingabe bedeutet dies, dass Frames, die mit der Quell-MAC-Adresse und der VLAN-ID 600 empfangen werden, dem Policer unterliegen.00:01:02:03:04:05
Bei der Ausgabe bedeutet dies, dass Frames, die vom Router mit der Ziel-MAC-Adresse und der VLAN-ID übertragen werden, dem Policer unterliegen.00:01:02:03:04:05
600
Beispielkonfiguration
[edit interfaces] ge-6/0/0 { gigether-options { ether-switch-profile { ether-policer-profile { input-priority-map { ieee-802.1p { premium [ 2 3 ]; } } output-priority-map { classifier { premium { forwarding-class best-effort { loss-priority low; } forwarding-class expedited-forwarding { loss-priority low; } forwarding-class assured-forwarding { loss-priority high; } forwarding-class network-control { loss-priority high; } } } } policer policer-1 { premium { bandwidth-limit 100m; burst-size-limit 3k; } aggregate { bandwidth-limit 200m; burst-size-limit 3k; } } } } } unit 0 { accept-source-mac { mac-address 00:01:02:03:04:05 { policer { input policer-1; output policer-1; } } } } }
Konfigurieren von Gigabit-Ethernet-Zweifarbigen und dreifarbigen Policern
- Überblick
- Konfigurieren eines Policers
- Anwenden eines Policers
- Beispiel: Konfigurieren und Anwenden eines Policers
Überblick
Für Gigabit-Ethernet- und 10-Gigabit-Ethernet-IQ2- und IQ2-E-Schnittstellen auf Routern der M- und T-Serie können Sie zweifarbige und dreifarbige Markierungspolicer konfigurieren und auf logische Schnittstellen anwenden, um zu verhindern, dass der Datenverkehr auf der Schnittstelle unangemessen Bandbreite verbraucht.
Netzwerke überwachen den Datenverkehr, indem sie die Eingangs- oder Ausgangsübertragungsrate einer Datenverkehrsklasse auf der Grundlage benutzerdefinierter Kriterien begrenzen. Durch die Überwachung des Datenverkehrs können Sie die maximale Rate des an einer Schnittstelle gesendeten oder empfangenen Datenverkehrs steuern und ein Netzwerk in mehrere Prioritätsstufen oder Serviceklassen partitionieren.
Policer verlangen von Ihnen, dass Sie eine Burst-Größe und Bandbreitenbegrenzung auf den Datenverkehrsfluss anwenden und eine Konsequenz für Pakete festlegen, die diese Grenzwerte überschreiten – in der Regel eine höhere Verlustpriorität, sodass Pakete, die die Policer-Limits überschreiten, zuerst verworfen werden.
Die Router-Architekturen von Juniper Networks unterstützen drei Arten von Policer:
Zweifarbiger Policer: Ein zweifarbiger Policer (oder "Policer", wenn er ohne Qualifikation verwendet wird) misst den Datenverkehrsstrom und klassifiziert Pakete entsprechend einer konfigurierten Bandbreiten- und Burst-Größenbeschränkung in zwei Kategorien von Paketverlustpriorität (Packet Loss Priority, PLP). Sie können Pakete, die die Bandbreiten- und Burst-Größenbeschränkung überschreiten, in irgendeiner Weise markieren oder einfach verwerfen. Ein Policer eignet sich am besten für die Messung des Datenverkehrs auf Portebene (physische Schnittstelle).
Single-Rate Tricolor-Markierung (Single-Rate TCM): Ein Single-Rate Tricolor-Markierungspolicer ist in RFC 2697 ( A Single Rate Three Color Marker) als Teil eines PHB-Klassifizierungssystems (Assured Forwarding Per-Hop-Behavior) für eine DiffServ-Umgebung (Differentiated Services) definiert. Diese Art von Policer misst den Datenverkehr basierend auf der konfigurierten Committed Information Rate (CIR), der zugesagten Burst-Größe (CBS) und der überschüssigen Burst-Größe (EBS).
Ab Junos OS Version 13.1 wird der Datenverkehr in drei Kategorien eingeteilt: Grün, Rot und Gelb. In der folgenden Liste werden die Kategorien beschrieben:
Grün - Die Burst-Größe der ankommenden Pakete ist kleiner als die Summe der konfigurierten CIR und CBS.
Rot - Die Burst-Größe der ankommenden Pakete ist größer als die Summe der konfigurierten CIR und EBS.
Gelb - Die Burst-Größe der ankommenden Pakete ist größer als die von CBS, aber kleiner als die von EBS.
Single-Rate-TCM ist am nützlichsten, wenn ein Service nach Paketlänge und nicht nach Spitzenankunftsrate strukturiert ist.
Two-Rate Tricolor Marking (Two-Rate TCM): Dieser Policyr-Typ ist in RFC 2698, A Two Rate Three Color Marker, als Teil eines PHB-Klassifizierungssystems (Assured Forwarding per-Hop-Behavior) für eine DiffServ-Umgebung (Differentiated Services) definiert. Diese Art von Policer misst den Datenverkehr basierend auf dem konfigurierten CIR und der Peak Information Rate (PIR) sowie den zugehörigen Burst-Größen, CBS und EBS.
Der Datenverkehr wird in die folgenden drei Kategorien eingeteilt:
Grün - Die Burst-Größe der ankommenden Pakete ist kleiner als die Summe der konfigurierten CIR und CBS.
Rot: Die Burst-Größe der ankommenden Pakete ist größer als die Summe der konfigurierten PIR und EBS.
Gelb: Traffic gehört weder zur grünen noch zur roten Kategorie.
Two-Rate-TCM ist am nützlichsten, wenn ein Service nach Ankunftsraten und nicht unbedingt nach Paketlänge strukturiert ist.
Im Gegensatz zur Überwachung (beschrieben unter Konfigurieren von Gigabit-Ethernet-Policern) erfordert die Konfiguration von zweifarbigen Policern und dreifarbigen Markierungspolicern die Konfiguration eines Firewallfilters.Gigabit-Ethernet-Policer konfigurieren
Konfigurieren eines Policers
Zweifarbige und dreifarbige Markierungspolicer werden auf Hierarchieebene konfiguriert.[edit firewall]
Ein dreifarbiger Markierungspolizist überwacht den Datenverkehr auf der Grundlage von Messraten, einschließlich CIR, PIR, den zugehörigen Burst-Größen und allen für den Verkehr konfigurierten Polizeimaßnahmen.
Um die dreifarbige Policer-Markierung zu konfigurieren, fügen Sie die Anweisung mit Optionen auf Hierarchieebene ein:three-color-policer
[edit firewall]
[edit firewall] three-color-policer name { action { loss-priority high { then discard; } } single-rate { (color-aware | color-blind); committed-information-rate bps; committed-burst-size bytes; excess-burst-size bytes; } two-rate { (color-aware | color-blind); committed-information-rate bps; committed-burst-size bytes; peak-information-rate bps; peak-burst-size bytes; } }
Weitere Informationen zum Konfigurieren von dreifarbigen Policer-Markierungen finden Sie im Benutzerhandbuch für Routing-Richtlinien, Firewall-Filter und Traffic Policers und im Junos OS Class-of-Service-Benutzerhandbuch für Routing-Geräte.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.htmlhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/cos/config-guide-cos.html
Anwenden eines Policers
Wenden Sie einen zweifarbigen oder dreifarbigen Policer auf eine logische Schnittstelle an, um zu verhindern, dass der Datenverkehr auf der Schnittstelle unangemessen Bandbreite verbraucht. Um zweifarbige oder dreifarbige Policer anzuwenden, fügen Sie die folgende Erklärung hinzu:layer2-policer
layer2-policer { input-policer policer-name; input-three-color policer-name; output-policer policer-name; policer-name; }
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit interfaces interface-name unit logical-unit-number]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Verwenden Sie die Anweisung, um einen zweifarbigen Policer auf empfangene Pakete auf einer logischen Schnittstelle anzuwenden, und die Anweisung, um einen dreifarbigen Policer anzuwenden.input-policer
input-three-color
Verwenden Sie die Anweisung, um einen zweifarbigen Policer auf übertragene Pakete auf einer logischen Schnittstelle anzuwenden, und die Anweisung, um einen dreifarbigen Policer anzuwenden.output-policer
output-three-color
Die angegebenen Policer müssen auf der Hierarchieebene konfiguriert werden.[edit firewall]
Für jede Schnittstelle können Sie einen dreifarbigen Policer oder einen zweifarbigen Eingabe- oder Ausgabe-Policer konfigurieren – Sie können nicht sowohl einen dreifarbigen als auch einen zweifarbigen Policer konfigurieren.
Beispiel: Konfigurieren und Anwenden eines Policers
Konfigurieren Sie dreifarbige Policer und wenden Sie sie auf eine Schnittstelle an:
[edit firewall] three-color-policer three-color-policer-color-blind { logical-interface-policer; two-rate { color-blind; committed-information-rate 1500000; committed-burst-size 150; peak-information-rate 3; peak-burst-size 300; } } three-color-policer three-color-policer-color-aware { logical-interface-policer; two-rate { color-aware; committed-information-rate 1500000; committed-burst-size 150; peak-information-rate 3; peak-burst-size 300; } } [edit interfaces ge-1/1/0] unit 1 { layer2-policer { input-three-color three-color-policer-color-blind; output-three-color three-color-policer-color-aware; } }
Konfigurieren Sie einen zweifarbigen Policer und wenden Sie ihn auf eine Schnittstelle an:
[edit firewall] policer two-color-policer { logical-interface-policer; if-exceeding { bandwidth-percent 90; burst-size-limit 300; } then loss-priority-high; } [edit interfaces ge-1/1/0] unit 2 { layer2-policer { input-policer two-color-policer; output-policer two-color-policer; } }
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.