Hierarchische Polizisten
Hierarchical Policer – Übersicht
Sie können einen hierarchischen Policer verwenden, um die Rate des eingehenden Layer-2-Datenverkehrs an einer physischen oder logischen Schnittstelle zu begrenzen und unterschiedliche Überwachungsaktionen anzuwenden, je nachdem, ob die Pakete für die beschleunigte Weiterleitung (EF) oder für eine niedrigere Priorität klassifiziert sind.
Hierarchische Überwachung wird auf M40 E-, M120- und M320-Edge-Routern mit eingehenden Flexible PIC Concentrators (FPCs) als SFPC und ausgehenden FPCs als FFPC sowie auf Core-Routern der MX-Serie, ACX7100-L, T320, T640 und T1600mit Enhanced Intelligent Queuing (IQE) PICs unterstützt.
Sie können hierarchische Überwachung auf eine logische Schnittstelle anwenden.
Eine hierarchische Policerkonfiguration definiert zwei Policer – einen nur für EF-Datenverkehr und einen für Nicht-EF-Datenverkehr –, die hierarchisch funktionieren:
-
Premium-Policer: Sie konfigurieren den Premium-Policer mit Datenverkehrsbeschränkungen nur für EF-Datenverkehr mit hoher Priorität: eine garantierte Bandbreite und eine entsprechende Begrenzung der Burst-Größe. EF-Datenverkehr wird als nicht konform kategorisiert, wenn seine durchschnittliche Ankunftsrate die garantierte Bandbreite und seine durchschnittliche Paketgröße den Premium-Grenzwert für die Burstgröße überschreitet. Bei einem Premium-Policer besteht die einzige konfigurierbare Aktion für nicht konformen Datenverkehr darin, die Pakete zu verwerfen.
-
Aggregierter Policer: Sie konfigurieren den aggregierten Policer mit einer aggregierten Bandbreite (um sowohl EF-Datenverkehr mit hoher Priorität bis zur garantierten Bandbreite als auch Nicht-EF-Datenverkehr mit normaler Priorität aufzunehmen) und einer Burst-Größenbeschränkung nur für Nicht-EF-Datenverkehr. Nicht-EF-Datenverkehr wird als nicht konform kategorisiert, wenn seine durchschnittliche Ankunftsrate die Menge an aggregierter Bandbreite überschreitet, die derzeit nicht vom EF-Datenverkehr verbraucht wird, und seine durchschnittliche Paketgröße die im aggregierten Policer definierte Burstgrößengrenze überschreitet. Für einen aggregierten Policer sind die konfigurierbaren Aktionen für nicht konformen Datenverkehr das Verwerfen der Pakete, das Zuweisen einer Weiterleitungsklasse oder das Zuweisen einer Paketverlustpriorität (PLP).
Sie müssen das Bandbreitenlimit des Premium-Policers auf oder unter dem Bandbreitenlimit des aggregierten Policers konfigurieren. Wenn die beiden Bandbreitenbeschränkungen gleich sind, wird Nicht-EF-Datenverkehr nur uneingeschränkt durch die Schnittstelle geleitet, solange kein EF-Datenverkehr an der Schnittstelle ankommt.
EF-Datenverkehr wird die Bandbreite garantiert, die als Premium-Bandbreitenlimit angegeben ist, während Nicht-EF-Datenverkehr auf die Menge der aggregierten Bandbreite begrenzt ist, die derzeit nicht vom EF-Datenverkehr verbraucht wird. Die Rate von Nicht-EF-Datenverkehr ist nur dann auf die gesamte aggregierte Bandbreite beschränkt, wenn kein EF-Datenverkehr vorhanden ist.
Angenommen, Sie konfigurieren einen hierarchischen Policer mit den folgenden Komponenten:
-
Premium-Policer mit einer Bandbreitenbegrenzung von 2 Mbit/s, einer Burst-Größenbeschränkung von 3000 Byte und einer nicht konformen Aktion, die Pakete verwirft.
-
Aggregieren Sie den Policer mit einer Bandbreitenbegrenzung von 10 Mbit/s, einer Burst-Größenbeschränkung von 3000 Byte und einer nicht konformen Aktion, die Pakete verwirft.
EF-Datenverkehr wird eine Bandbreite von 2 Mbit/s garantiert. EF-Datenverkehrsspitzen – EF-Datenverkehr, der mit Raten über 2 Mbit/s an der Schnittstelle eintrifft – können ebenfalls die Schnittstelle passieren, sofern genügend Token im 3000-Byte-Bucket verfügbar sind. Wenn keine Token für einen Burst von Nicht-EF-Datenverkehr verfügbar sind, werden Pakete mithilfe von Überwachungsaktionen für den Premium-Policer ratenbegrenzt.
Nicht-EF-Datenverkehr wird bis zu einer Bandbreitenbegrenzung gemessen, die abhängig von der durchschnittlichen Ankunftsrate des EF-Datenverkehrs zwischen 8 und 10 Mbit/s liegt. Spitzen von Nicht-EF-Datenverkehr – Nicht-EF-Datenverkehr, der mit Raten über dem aktuellen Grenzwert für Nicht-EF-Datenverkehr an der Schnittstelle eintrifft – passieren ebenfalls die Schnittstelle, sofern genügend Token im 3000-Byte-Bucket verfügbar sind. Wenn Nicht-EF-Datenverkehr die derzeit zulässige Bandbreite überschreitet oder wenn keine Token für einen Burst von Nicht-EF-Datenverkehr verfügbar sind, werden Pakete mithilfe von Überwachungsaktionen für den aggregierten Policer ratenbegrenzt.
Abonnentendienste Firewall Policer (ACX7100-48L-Geräte)
-
Ab Junos Evolved Version 23.4R1 können Sie den hierarchischen Policer für DHCP- und PPPoE-Zugriffsmodelle an Teilnehmerschnittstellen konfigurieren, der während der Abonnentenanmeldung oder CoA aktiviert wird. Diese Funktion unterstützt die farbcodierte Verkehrsüberwachung entsprechend der Farbklassifizierung eines Pakets. Die Paketfarbe wird mit Paketübereinstimmungskriterien klassifiziert, die für zwei benutzerdefinierte Datenverkehrsklassen festgelegt sind. In diesem Abschnitt finden Sie verwandte Konfigurationsbeispiele und Einschränkungen der Funktion.Beispiel: Konfigurieren eines hierarchischen Policers für die Subscriber Services Firewall (ACX7100-48L-Geräte)
Siehe auch
Beispiel: Konfigurieren eines hierarchischen Policers
In diesem Beispiel wird gezeigt, wie ein hierarchischer Policer konfiguriert und angewendet wird, um eingehenden Layer-2-Datenverkehr an einer logischen Schnittstelle auf einer unterstützten Plattform zu leiten.
Anforderungen
Bevor Sie beginnen, stellen Sie sicher, dass Ihre Umgebung die folgenden Anforderungen erfüllt:
Die Schnittstelle, auf die Sie den hierarchischen Policer anwenden, ist eine SONET-Schnittstelle, die auf einer der folgenden Routing-Plattformen gehostet wird:
M40e-, M120- oder M320-Edge-Router mit eingehenden FPCs als SFPC und ausgehenden FPCs als FFPC.
Core-Router der MX-Serie, T320, T640 oder T1600 mit Enhanced Intelligent Queuing (IQE) PICs.
Auf die Eingabe der Schnittstelle, auf die Sie den hierarchischen Policer anwenden, wird kein anderer Policer angewendet.
Sie wissen, dass, wenn Sie den hierarchischen Policer auf logische Schnittstellen anwenden, auf die auch ein Eingabefilter angewendet wird, der Policer zuerst ausgeführt wird.
Überblick
In diesem Beispiel konfigurieren Sie einen hierarchischen Policer und wenden den Policer an, um eingehenden Layer-2-Datenverkehr an einer logischen Schnittstelle zu leiten.
Topologie
Sie wenden den Policer auf die logische SONET-Schnittstelle an, die Sie für IPv4- und VPLS-Datenverkehr konfigurieren.so-1/0/0.0
Wenn Sie den hierarchischen Policer auf diese logische Schnittstelle anwenden, ist sowohl IPv4- als auch VPLS-Datenverkehr hierarchisch ratenbegrenzt.
Außerdem konfigurieren Sie die logische Schnittstelle für den MPLS-Datenverkehr.so-1/0/0.1
Wenn Sie sich dafür entscheiden, den hierarchischen Policer auf die physische Schnittstelle anzuwenden, gilt die hierarchische Überwachung für IPv4- und VPLS-Datenverkehr bei und für MPLS-Datenverkehr bei .so-1/0/0
so-1/0/0.0
so-1/0/0.1
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Definieren der Schnittstellen
- Weiterleitungsklassen definieren
- Konfigurieren des hierarchischen Policers
- Anwenden des hierarchischen Policers auf eingehenden Layer-2-Datenverkehr an einer physischen oder logischen Schnittstelle
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set interfaces so-1/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces so-1/0/0 unit 0 family vpls set interfaces so-1/0/0 unit 1 family mpls set class-of-service forwarding-classes class fc0 queue-num 0 priority high policing-priority premium set class-of-service forwarding-classes class fc1 queue-num 1 priority low policing-priority normal set class-of-service forwarding-classes class fc2 queue-num 2 priority low policing-priority normal set class-of-service forwarding-classes class fc3 queue-num 3 priority low policing-priority normal set firewall hierarchical-policer policer1 aggregate if-exceeding bandwidth-limit 300m burst-size-limit 30k set firewall hierarchical-policer policer1 aggregate then forwarding-class fc1 set firewall hierarchical-policer policer1 premium if-exceeding bandwidth-limit 100m burst-size-limit 50k set firewall hierarchical-policer policer1 premium then discard set interfaces so-1/0/0 unit 0 layer2-policer input-hierarchical-policer policer1
Definieren der Schnittstellen
Schritt-für-Schritt-Anleitung
So definieren Sie die Schnittstellen:
Aktivieren Sie die Konfiguration der physischen Schnittstelle.
[edit] user@host# edit interfaces so-1/0/0
Konfigurieren Sie die logische Einheit 0.
[edit interfaces so-1/0/0] user@host# set unit 0 family inet address 192.168.1.1/24 user@host# set unit 0 family vpls
Wenn Sie einen Layer-2-Policer auf diese logische Schnittstelle anwenden, müssen Sie mindestens eine Protokollfamilie konfigurieren.
Konfigurieren Sie die logische Einheit 1.
[edit interfaces so-1/0/0] user@host# set unit 1 family mpls
Ergebnisse
Bestätigen Sie die Konfiguration der Schnittstellen, indem Sie den Konfigurationsbefehl eingeben.show interfaces
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show interfaces so-1/0/0 { unit 0 { family inet { address 192.168.1.1/24; } family vpls; } unit 1 { family mpls; } }
Weiterleitungsklassen definieren
Schritt-für-Schritt-Anleitung
So definieren Sie die Weiterleitungsklassen, auf die als aggregierte Policeraktionen verwiesen wird:
Aktivieren Sie die Konfiguration der Weiterleitungsklassen.
[edit] user@host# edit class-of-service forwarding-classes
Definieren Sie die Weiterleitungsklassen.
[edit class-of-service forwarding-classes] user@host# set class fc0 queue-num 0 priority high policing-priority premium user@host# set class fc1 queue-num 1 priority low policing-priority normal user@host# set class fc2 queue-num 2 priority low policing-priority normal user@host# set class fc3 queue-num 3 priority low policing-priority normal
Ergebnisse
Bestätigen Sie die Konfiguration der Weiterleitungsklassen, auf die als aggregierte Polizeiaktionen verwiesen wird, indem Sie den Befehl configuration eingeben.show class-of-service
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show class-of-service forwarding-classes { class fc0 queue-num 0 priority high policing-priority premium; class fc1 queue-num 1 priority low policing-priority normal; class fc2 queue-num 2 priority low policing-priority normal; class fc3 queue-num 3 priority low policing-priority normal; }
Konfigurieren des hierarchischen Policers
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen hierarchischen Policer:
Aktivieren Sie die Konfiguration des hierarchischen Policers.
[edit] user@host# edit firewall hierarchical-policer policer1
Konfigurieren Sie den aggregierten Policer.
[edit firewall hierarchical-policer policer1] user@host# set aggregate if-exceeding bandwidth-limit 300m burst-size-limit 30k user@host# set aggregate then forwarding-class fc1
Für den aggregierten Policer sind die konfigurierbaren Aktionen für ein Paket in einem nicht konformen Datenfluss das Verwerfen des Pakets, das Ändern der Verlustpriorität oder das Ändern der Weiterleitungsklasse.
Konfigurieren Sie den Premium-Policer.
[edit firewall hierarchical-policer policer1] user@host# set premium if-exceeding bandwidth-limit 100m burst-size-limit 50k user@host# set premium then discard
Die Bandbreitenbegrenzung für den Premium-Policer darf nicht größer sein als die des aggregierten Policers.
Für den Premium-Policer besteht die einzige konfigurierbare Aktion für ein Paket in einem nicht konformen Datenverkehrsfluss darin, das Paket zu verwerfen.
Ergebnisse
Bestätigen Sie die Konfiguration des hierarchischen Policers, indem Sie den Konfigurationsbefehl eingeben.show firewall
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show firewall hierarchical-policer policer1 { aggregate { if-exceeding { bandwidth-limit 300m; burst-size-limit 30k; } then { forwarding-class fc1; } } premium { if-exceeding { bandwidth-limit 100m; burst-size-limit 50k; } then { discard; } } }
Anwenden des hierarchischen Policers auf eingehenden Layer-2-Datenverkehr an einer physischen oder logischen Schnittstelle
Schritt-für-Schritt-Anleitung
Um den eingehenden Layer-2-Datenverkehr für IPv4- und VPLS-Datenverkehr nur auf der logischen Schnittstelle hierarchisch zu begrenzen, verweisen Sie in der Konfiguration der logischen Schnittstelle auf den Policer:so-1/0/0.0
Aktivieren Sie die Konfiguration der logischen Schnittstelle.
[edit] user@host# edit interfaces so-1/0/0 unit 0
Wenn Sie einen Policer auf Layer-2-Datenverkehr an einer logischen Schnittstelle anwenden, müssen Sie mindestens eine Protokollfamilie für die logische Schnittstelle definieren.
Wenden Sie den Policer auf die logische Schnittstelle an.
[edit] user@host# set layer2-policer input-hierarchical-policer policer1
Alternativ können Sie zur hierarchischen Begrenzung des eingehenden Layer-2-Datenverkehrs für alle Protokollfamilien und für alle logischen Schnittstellen , die auf der physischen Schnittstelle konfiguriert sind, auf den Policer aus der Konfiguration der physischen Schnittstelle verweisen.
so-1/0/0
Ergebnisse
Bestätigen Sie die Konfiguration des hierarchischen Policers, indem Sie den Konfigurationsbefehl eingeben.show interfaces
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show interfaces so-1/0/0 { unit 0 { layer2-policer { input-hierarchical-policer policer1; } family inet { address 192.168.1.1/24; } family vpls; } unit 1 { family mpls; } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Anzeige von Datenverkehrsstatistiken und Policern für die logische Schnittstelle
- Anzeigen von Statistiken für den Policer
Anzeige von Datenverkehrsstatistiken und Policern für die logische Schnittstelle
Zweck
Überprüfen Sie, ob der Datenverkehr über die logische Schnittstelle fließt und ob der Policer ausgewertet wird, wenn Pakete auf der logischen Schnittstelle empfangen werden.
Was
Verwenden Sie den Befehl Betriebsmodus für die logische Schnittstelle und fügen Sie die Option oder hinzu.show interfaces
so-1/0/0.0
detail
extensive
Der Befehlsausgabeabschnitt für listet die Anzahl der Bytes und Pakete auf, die auf der logischen Schnittstelle empfangen und übertragen wurden, und der Abschnitt enthält ein Feld, das den Policer wie folgt als Eingabe- oder Ausgabepolicer auflistet:Traffic statisticsProtocol inetPolicerpolicer1
Input: policer1-so-1/0/0.0-inet-i
Output: policer1-so-1/0/0.0-inet-o
In diesem Beispiel wird der Policer nur auf den logischen Schnittstellenverkehr in Eingaberichtung angewendet.
Anzeigen von Statistiken für den Policer
Zweck
Überprüfen Sie die Anzahl der vom Policer ausgewerteten Pakete.
Was
Verwenden Sie den Befehl operational mode, und geben Sie optional den Namen des Policers an.show policer
Die Befehlsausgabe zeigt die Anzahl der Pakete an, die von jedem konfigurierten Policer (oder dem angegebenen Policer) in jede Richtung ausgewertet wurden. Für den Policer werden die Namen der Eingabe- und Ausgabepolicer wie folgt angezeigt:policer1
policer1-so-1/0/0.0-inet-i
policer1-so-1/0/0.0-inet-o
Das Suffix bezeichnet einen Policer, der auf IPv4-Eingabedatenverkehr angewendet wird, während das Suffix einen Policer bezeichnet, der auf IPv4-Ausgabedatenverkehr angewendet wird.-inet-i-inet-o In diesem Beispiel wird der Policer nur auf den Eingabedatenverkehr angewendet.
Beispiel: Konfigurieren eines hierarchischen Policers für die Subscriber Services Firewall (ACX7100-48L-Geräte)
In diesem Beispiel wird gezeigt, wie ein hierarchischer Policer konfiguriert und auf eingehenden Datenverkehr an einer Teilnehmerschnittstelle auf einer unterstützten Plattform (ACX7100-48L) angewendet wird.
Überblick
Ab Junos Evolved Version 23.4R1 können Sie hierarchische Policer konfigurieren und die Policer auf eingehenden Datenverkehr an einer Abonnentenschnittstelle anwenden. Diese Funktion wird auf Geräten mit ACX7100-48L unterstützt.
-
Der hierarchische Policer für Abonnentendienste weist die folgenden Einschränkungen auf:
-
Sie können nur vier Ebenen von hierarchischen Policern konfigurieren, wobei jede Ebene über eine Aggregat- und eine Premium-Konfiguration verfügt.
-
Logische Schnittstellen-Policer und aggregierte Policer werden für Abonnentendienste nicht unterstützt.
- Das Überwachen der innerhalb der Weiterleitungsklasse festgelegten Priorität wird nicht unterstützt. Hier einige Zahlen zum Generationswechsel:
class-of-service { forwarding-classes { class BestEffort queue-num 0 priority low policing-priority normal; } }
next term
ist nur für hierarchische Policer und nicht für Filter zulässig.- Das direkte Anhängen von Policern an eine Schnittstelle oder Familie wird nicht unterstützt. Policer werden nur durch Firewall-Filteraktionen unterstützt.
- Die Polizeiaktion wird in Eingang und Ausgang nicht unterstützt. action wird in Eingang unterstützt.
forwarding-class
loss-priority high
Beim Ausgang wird nur die Aktion unterstützt.discard
- Eine einzelne Richtlinie kann keine Aktionen konfigurieren.
loss-priority
policer
Es wird jeweils nur eine der beiden Aktionen unterstützt. filter-specific
wird in der Policer-Konfiguration nicht unterstützt.- Hierarchische Policer und dreifarbige Policer werden in Ausgangsrichtung nicht unterstützt.
-
Die Funktion zur Verkettung von Filterbegriffen ist nicht verfügbar.
-
Dreifarbige Policer und hierarchische Policer werden in Ausgangsrichtung nicht unterstützt.
-
Konfigurationsszenarien
Im folgenden Abschnitt werden die verschiedenen Konfigurationen für verschiedene hierarchische Richtlinienoptionen beschrieben:
- Single-Rate Zweifarbige Markierungs-Policer-Konfiguration Single-Rate-Dreifarbige Markierungs-Policer-Konfiguration
- Zweistufiger dreifarbiger Markierungspolizist
- Hierarchischer Policer für DHCP und PPPoE
Single-Rate Zweifarbige Markierungs-Policer-Konfiguration
Sie können einen zweifarbigen Markierungspolicer mit einer Rate für DHCP- und PPPoE-Zugriffsmodelle konfigurieren. Die Konfiguration wird während der Abonnentenanmeldung oder CoA aktiviert. Zeigen Sie die Konfiguration an, indem Sie den Befehl eingeben.show dynamic-profiles pppoe-client-policer-1-profile
Eine Beispielkonfiguration sieht wie folgt aus:
[edit] root@bng-controller# show dynamic-profiles pppoe-client-policer-1-profile variables { downstream-inet uid; upstream-inet uid; HPolicer-in uid; HPolicer-out uid; } interfaces { pp0 { unit "$junos-interface-unit" { actual-transit-statistics; no-traps; ppp-options { chap; pap; } pppoe-options { underlying-interface "$junos-underlying-interface"; server; } keepalives interval 30; family inet { filter { input "$upstream-inet"; output "$downstream-inet"; } unnumbered-address lo0.0; } family inet6 { unnumbered-address lo0.0; } } } } firewall { family inet { filter "$downstream-inet" { interface-specific; term t1 { from { source-port 80; } then { policer "$HPolicer-in"; accept; } } } filter "$upstream-inet" { interface-specific; term t1 { from { source-port 80; } then { policer "$HPolicer-out"; accept; } } } } policer "$HPolicer-in" { if-exceeding { bandwidth-limit 5m; burst-size-limit 5k; } then discard; } policer "$HPolicer-out" { if-exceeding { bandwidth-limit 10m; burst-size-limit 10k; } then discard; } }
Sie können einen dreifarbigen Markierungspolicer mit einer Rate für DHCP- und PPPoE-Zugriffsmodelle konfigurieren. Es wird während der Abonnentenanmeldung oder CoA aktiviert. Zeigen Sie die Konfiguration an, indem Sie den Befehl eingeben.show dynamic-profiles pppoe-client-policer-1-profile
Eine Beispielkonfiguration sieht wie folgt aus:
[edit] user@bng-controller# show dynamic-profiles pppoe-client-policer-2-profile | no-more variables { downstream-inet uid; upstream-inet uid; HPolicer-in uid; HPolicer-out uid; } interfaces { pp0 { unit "$junos-interface-unit" { actual-transit-statistics; no-traps; ppp-options { chap; pap; } pppoe-options { underlying-interface "$junos-underlying-interface"; server; } keepalives interval 30; family inet { filter { input "$upstream-inet"; output "$downstream-inet"; } unnumbered-address lo0.0; } family inet6 { unnumbered-address lo0.0; } } } } firewall { family inet { filter "$downstream-inet" { interface-specific; term t1 { from { source-port 80; } then { policer "$HPolicer-out"; accept; } } } filter "$upstream-inet" { interface-specific; term t1 { from { source-port 80; } then { three-color-policer { single-rate "$HPolicer-in"; } count three-color-policer-count; accept; } } } } policer "$HPolicer-out" { if-exceeding { bandwidth-limit 10m; burst-size-limit 10k; } then discard; } three-color-policer "$HPolicer-in" { action { loss-priority high then discard; } single-rate { color-blind; committed-information-rate 5m; committed-burst-size 5k; excess-burst-size 15k; } } }
Zweistufiger dreifarbiger Markierungspolizist
Sie können dreifarbige Markierungspolicer mit zwei Raten für DHCP- und PPPoE-Zugriffsmodelle konfigurieren. Es wird während der Abonnentenanmeldung oder CoA aktiviert.
In diesem Abschnitt sehen Sie ein Beispiel für eine dynamische Profilkonfiguration am Controller-Punkt. Der Inhalt des dynamischen Profils wird während der Abonnentenanmeldung für ein Clientprofil oder während der Dienstaktivierung für ein Dienstprofil weitergegeben. Zeigen Sie die Konfiguration an, indem Sie den Befehl eingeben.show dynamic-profiles pppoe-client-policer-1-profile
Eine Beispielkonfiguration sieht wie folgt aus:
[edit] root@bng-controller# show dynamic-profiles pppoe-client-policer-3-profile | no-more variables { downstream-inet uid; upstream-inet uid; HPolicer-in uid; HPolicer-out uid; } interfaces { pp0 { unit "$junos-interface-unit" { actual-transit-statistics; no-traps; ppp-options { chap; pap; } pppoe-options { underlying-interface "$junos-underlying-interface"; server; } keepalives interval 30; family inet { filter { input "$upstream-inet"; output "$downstream-inet"; } unnumbered-address lo0.0; } family inet6 { unnumbered-address lo0.0; } } } } firewall { family inet { filter "$downstream-inet" { interface-specific; term t1 { from { source-port 80; } then { policer "$HPolicer-out"; accept; } } } filter "$upstream-inet" { interface-specific; term t1 { from { source-port 80; } then { three-color-policer { two-rate "$HPolicer-in"; } count three-color-policer-count; accept; } } } } policer "$HPolicer-out" { if-exceeding { bandwidth-limit 10m; burst-size-limit 10k; } then discard; } three-color-policer "$HPolicer-in" { action { loss-priority high then discard; } two-rate { color-blind; committed-information-rate 5m; committed-burst-size 5k; peak-information-rate 10m; peak-burst-size 10k; } } }
Hierarchischer Policer für DHCP und PPPoE
In diesem Abschnitt sehen Sie ein Beispiel für eine dynamische Profilkonfiguration am Controllerpunkt für DHCP- und PPPoE-Zugriffsmodelle. Der Inhalt des dynamischen Profils wird während der Abonnentenanmeldung für ein Clientprofil oder während der Dienstaktivierung für ein Dienstprofil weitergegeben. Zeigen Sie die Konfiguration an, indem Sie den Befehl eingeben.show dynamic-profiles pppoe-client-policer-1-profile
Eine Beispielkonfiguration sieht wie folgt aus:
[edit] user@host# show dynamic-profiles pppoe-client-policer-4-profile variables { downstream-inet uid; upstream-inet uid; HPolicer-in uid; HPolicer-out uid; P0-IN uid; P1-IN uid; P2-IN uid; Session-IN uid; } interfaces { pp0 { unit "$junos-interface-unit" { actual-transit-statistics; no-traps; ppp-options { chap; pap; } pppoe-options { underlying-interface "$junos-underlying-interface"; server; } keepalives interval 30; family inet { filter { input "$upstream-inet"; output "$downstream-inet"; } unnumbered-address lo0.0; } family inet6 { unnumbered-address lo0.0; } } } } firewall { family inet { filter "$downstream-inet" { interface-specific; term t1 { from { source-port 80; } then { policer "$HPolicer-out"; accept; } } } filter "$upstream-inet" { interface-specific; term P0-Aggregate { from { dscp 46; } then { hierarchical-policer "$P0-IN"; next term; } } term P1-Premium { from { dscp [ 46 22 ]; } then { force-premium; next term; } } term P1-Aggregate { from { dscp [ 46 22 ]; } then { hierarchical-policer "$P1-IN"; next term; } } term P2-Premium { from { dscp [ 46 22 56 ]; } then { force-premium; next term; } } term P2-Aggregate { from { dscp [ 46 22 56 ]; } then { hierarchical-policer "$P2-IN"; next term; } } term final-Premium { from { dscp [ 46 22 56 00 ]; } then { force-premium; next term; } } term final { then { hierarchical-policer "$Session-IN"; accept; } } } } policer "$HPolicer-out" { if-exceeding { bandwidth-limit 10m; burst-size-limit 10k; } then discard; } hierarchical-policer "$HPolicer-in" { aggregate { if-exceeding { bandwidth-limit 30m; burst-size-limit 30k; } then { loss-priority high; } } premium { if-exceeding { bandwidth-limit 10m; burst-size-limit 10k; } then { discard; } } } hierarchical-policer "$P0-IN" { logical-interface-policer; aggregate { if-exceeding { bandwidth-limit 5m; burst-size-limit 5k; } then { discard; } } premium { if-exceeding { bandwidth-limit 5m; burst-size-limit 5k; } then { discard; } } } hierarchical-policer "$P1-IN" { logical-interface-policer; aggregate { if-exceeding { bandwidth-limit 5m; burst-size-limit 5k; } then { discard; } } premium { if-exceeding { bandwidth-limit 5m; burst-size-limit 5k; } then { discard; } } } hierarchical-policer "$P2-IN" { logical-interface-policer; aggregate { if-exceeding { bandwidth-limit 5m; burst-size-limit 5k; } then { discard; } } premium { if-exceeding { bandwidth-limit 5m; burst-size-limit 5k; } then { discard; } } } hierarchical-policer "$Session-IN" { logical-interface-policer; aggregate { if-exceeding { bandwidth-limit 5m; burst-size-limit 5k; } then { discard; } } premium { if-exceeding { bandwidth-limit 5m; burst-size-limit 5k; } then { discard; } } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit