Auf dieser Seite
Grundlegende einstufige zweifarbige Policer
Einstufiger zweifarbiger Policer Übersicht
Bei der zweifarbigen Überwachung mit einer Rate pro Rate wird eine konfigurierte Rate des Datenverkehrsflusses für einen bestimmten Servicelevel erzwungen, indem implizite oder konfigurierte Aktionen auf Datenverkehr angewendet werden, der nicht den Grenzwerten entspricht. Wenn Sie einen zweifarbigen Single-Rate-Policer auf den Eingabe- oder Ausgabedatenverkehr an einer Schnittstelle anwenden, misst der Policer den Datenverkehrsfluss bis zu der Ratengrenze, die durch die folgenden Komponenten definiert ist:
-
Bandbreitenbegrenzung - Die durchschnittliche Anzahl von Bits pro Sekunde, die für Pakete zulässig sind, die an der Schnittstelle empfangen oder übertragen werden. Sie können die Bandbreitenbegrenzung als absolute Anzahl von Bits pro Sekunde oder als Prozentwert zwischen 1 und 100 angeben. Wenn ein Prozentwert angegeben wird, wird der effektive Bandbreitengrenzwert als Prozentsatz der Medienrate der physischen Schnittstelle oder der für die logische Schnittstelle konfigurierten Shaping-Rate berechnet.
-
Limit für Pakete pro Sekunde (pps) (MX-Serie nur mit MPC): Die durchschnittliche Anzahl von Paketen pro Sekunde, die für Pakete zulässig sind, die an der Schnittstelle empfangen oder übertragen werden. Sie geben das pps-Limit als absolute Anzahl von Paketen pro Sekunde an.
-
Burst-Größenbeschränkung: Die maximal zulässige Größe für Datenbursts.
-
Paket-Burst-Limit –
Für einen Datenverkehrsfluss, der den konfigurierten Grenzwerten entspricht (kategorisiert als grüner Datenverkehr), werden Pakete implizit mit einer Paketverlustpriorität (PLP) von gekennzeichnet und dürfen die Schnittstelle uneingeschränkt passieren.low
Für einen Datenverkehrsfluss, der die konfigurierten Grenzwerte überschreitet (als roter Datenverkehr kategorisiert), werden Pakete gemäß den für den Policer konfigurierten Datenverkehrsüberwachungsaktionen verarbeitet. Die Aktion kann darin bestehen, das Paket zu verwerfen, oder die Aktion kann darin bestehen, das Paket mit einer angegebenen Weiterleitungsklasse, einem angegebenen PLP oder beidem neu zu markieren und dann das Paket zu übertragen.
Um die Rate des Layer-3-Datenverkehrs zu begrenzen, können Sie einen zweifarbigen Policer auf folgende Weise anwenden:
-
Direkt an eine logische Schnittstelle auf einer bestimmten Protokollebene.
-
Als Aktion eines standardmäßigen zustandslosen Firewallfilters , der auf eine logische Schnittstelle auf einer bestimmten Protokollebene angewendet wird.
Um die Rate des Layer-2-Datenverkehrs zu begrenzen, können Sie einen zweifarbigen Policer nur als logischen Schnittstellen-Policer anwenden. Es ist nicht möglich, einen zweifarbigen Policer über einen Firewallfilter auf Layer-2-Datenverkehr anzuwenden.
Auf MX-Plattformen ist die Paketverlustpriorität (PLP) nicht implizit zu niedrig (grün), wenn der Datenverkehrsfluss das konfigurierte Policer-Limit bestätigt. Stattdessen werden vom Benutzer konfigurierte PLP-Werte wie hoch, mittel-hoch, mittel-niedrig verwendet. Verwenden Sie unter , um dieses Verhalten auf MX-Plattformen zu aktivieren.dp-rewrite
edit firewall policer <policer-name>
Wenn der Knopf nicht aktiviert ist, haben die Pakete möglicherweise ihre ursprüngliche Farbe und Verlustpriorität.
Siehe auch
Beispiel: Begrenzen des eingehenden Datenverkehrs an Ihrer Netzwerkgrenze durch Konfigurieren eines einstufigen, zweifarbigen Policers mit einer Eingangsrate
In diesem Beispiel wird gezeigt, wie Sie einen einstufigen, zweifarbigen Policer für den Eingang konfigurieren, um eingehenden Datenverkehr zu filtern. Der Policer setzt die Class-of-Service-Strategie (CoS) für vertragsinternen und vertragsfremden Datenverkehr durch. Sie können einen zweifarbigen Policer mit einer Rate auf eingehende Pakete, ausgehende Pakete oder beides anwenden. In diesem Beispiel wird der Policer als Eingabe-Policer (Eingangs-Policer) angewendet. Das Ziel dieses Themas ist es, Ihnen eine Einführung in die Polizeiarbeit zu geben, indem Sie ein Beispiel verwenden, das die Verkehrspolizei in Aktion zeigt.
Policer verwenden ein Konzept, das als Token-Bucket bekannt ist, um Systemressourcen basierend auf den für den Policer definierten Parametern zuzuweisen. Eine ausführliche Erläuterung des Token-Bucket-Konzepts und der zugrunde liegenden Algorithmen würde den Rahmen dieses Dokuments sprengen. Weitere Informationen zu Traffic Policing und CoS im Allgemeinen finden Sie unter QOS-fähige Netzwerke – Tools und Grundlagen von Miguel Barreiros und Peter Lundqvist. Dieses Buch ist bei vielen Online-Buchhändlern und bei www.juniper.net/books erhältlich.
Anforderungen
Um dieses Verfahren zu überprüfen, wird in diesem Beispiel ein Datenverkehrsgenerator verwendet. Der Datenverkehrsgenerator kann hardwarebasiert sein oder Software, die auf einem Server oder Hostcomputer ausgeführt wird.
Die Funktionen dieses Verfahrens werden auf Geräten mit Junos OS weitgehend unterstützt. Das hier gezeigte Beispiel wurde auf Routern der MX-Serie mit Junos OS Version 10.4 getestet und verifiziert.
Überblick
Single-Rate Two-Color Policing erzwingt eine konfigurierte Rate des Datenverkehrsflusses für einen bestimmten Servicelevel, indem implizite oder konfigurierte Aktionen auf Datenverkehr angewendet werden, der nicht den Grenzwerten entspricht. Wenn Sie einen zweifarbigen Single-Rate-Policer auf den Eingabe- oder Ausgabedatenverkehr an einer Schnittstelle anwenden, misst der Policer den Datenverkehrsfluss bis zu der Ratengrenze, die durch die folgenden Komponenten definiert ist:
Bandbreitenbegrenzung - Die durchschnittliche Anzahl von Bits pro Sekunde, die für Pakete zulässig sind, die an der Schnittstelle empfangen oder übertragen werden. Sie können die Bandbreitenbegrenzung als absolute Anzahl von Bits pro Sekunde oder als Prozentwert zwischen 1 und 100 angeben. Wenn ein Prozentwert angegeben wird, wird der effektive Bandbreitengrenzwert als Prozentsatz der Medienrate der physischen Schnittstelle oder der für die logische Schnittstelle konfigurierten Shaping-Rate berechnet.
Burst-Größenbeschränkung: Die maximal zulässige Größe für Datenbursts. Burst-Größen werden in Byte gemessen. Wir empfehlen zwei Formeln zum Berechnen der Burst-Größe:
Burst-Größe = Bandbreite x zulässige Zeit für Burst-Datenverkehr / 8
Oder
Burst-Größe = Schnittstelle mtu x 10
Weitere Informationen zum Konfigurieren der Burst-Größe finden Sie unter Bestimmen der richtigen Burst-Größe für Datenverkehrs-Policer.Bestimmen der richtigen Burst-Größe für Verkehrspolizisten
HINWEIS:Es gibt einen endlichen Pufferspeicher für eine Schnittstelle. Im Allgemeinen beträgt die geschätzte Gesamtpuffertiefe für eine Schnittstelle etwa 125 ms.
Für einen Datenverkehrsfluss, der den konfigurierten Grenzwerten entspricht (als grüner Datenverkehr kategorisiert), werden Pakete implizit mit einer Paketverlustpriorität (PLP) von niedrig gekennzeichnet und dürfen die Schnittstelle uneingeschränkt passieren.
Für einen Datenverkehrsfluss, der die konfigurierten Grenzwerte überschreitet (als roter Datenverkehr kategorisiert), werden Pakete gemäß den für den Policer konfigurierten Datenverkehrsüberwachungsaktionen verarbeitet. In diesem Beispiel werden Pakete verworfen, die den Grenzwert von 15 KBit/s überschreiten.
Um die Rate des Layer-3-Datenverkehrs zu begrenzen, können Sie einen zweifarbigen Policer auf folgende Weise anwenden:
Direkt an eine logische Schnittstelle auf einer bestimmten Protokollebene.
Als Aktion eines standardmäßigen zustandslosen Firewallfilters, der auf eine logische Schnittstelle auf einer bestimmten Protokollebene angewendet wird. Dies ist die Technik, die in diesem Beispiel verwendet wird.
Um die Rate des Layer-2-Datenverkehrs zu begrenzen, können Sie einen zweifarbigen Policer nur als logischen Schnittstellen-Policer anwenden. Es ist nicht möglich, einen zweifarbigen Policer über einen Firewallfilter auf Layer-2-Datenverkehr anzuwenden.
Sie können entweder Bandbreitenlimit oder Bandbreitenprozent innerhalb des Policers auswählen, da sie sich gegenseitig ausschließen. Sie können einen Policer nicht so konfigurieren, dass er die prozentuale Bandbreite für Aggregat-, Tunnel- und Softwareschnittstellen verwendet.
In diesem Beispiel ist der Host ein Datenverkehrsgenerator, der einen Webserver emuliert. Die Geräte R1 und R2 sind im Besitz eines Dienstanbieters. Der Webserver wird von Benutzern auf Gerät Host2 aufgerufen. Gerät Host1 sendet Datenverkehr mit einem TCP-Quell-HTTP-Port von 80 an die Benutzer. Ein zweifarbiger Policer mit einer Rate wird konfiguriert und auf die Schnittstelle auf Gerät R1 angewendet, die eine Verbindung zu Gerät Host1 herstellt. Der Policer erzwingt die vertragliche Bandbreitenverfügbarkeit zwischen dem Besitzer des Webservers und dem Dienstanbieter, der Gerät R1 besitzt, für den Webdatenverkehr, der über die Verbindung fließt, die Gerät Host1 mit Gerät R1 verbindet.
In Übereinstimmung mit der vertraglichen Bandbreitenverfügbarkeit, die zwischen dem Eigentümer des Webservers und dem Dienstanbieter, dem die Geräte R1 und R2 gehören, vereinbart wurde, begrenzt der Policer den HTTP-Port 80-Datenverkehr, der von Gerät Host1 stammt, auf die Nutzung von 700 Mbit/s (70 Prozent) der verfügbaren Bandbreite mit einer zulässigen Burst-Rate von 10x der MTU-Größe der Gigabit-Ethernet-Schnittstelle zwischen dem Hostgerät Host1 und Gerät R1.
In einem realen Szenario würden Sie wahrscheinlich auch den Datenverkehr für eine Vielzahl anderer Ports wie FTP, SFTP, SSH, TELNET, SMTP, IMAP und POP3 begrenzen, da sie oft als zusätzliche Dienste in Webhostingdiensten enthalten sind.
Sie müssen zusätzliche Bandbreite zur Verfügung stellen, die nicht für Netzwerksteuerungsprotokolle wie Routingprotokolle, DNS und andere Protokolle beschränkt ist, die erforderlich sind, um die Netzwerkkonnektivität betriebsbereit zu halten. Aus diesem Grund verfügt der Firewall-Filter über eine endgültige Annahmebedingung.
Topologie
In diesem Beispiel wird die Topologie in Abbildung 1.
Abbildung 2 zeigt das Verhalten der Polizei.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein.[edit]
Gerät R1
set interfaces ge-2/0/5 description to-Host set interfaces ge-2/0/5 unit 0 family inet address 172.16.70.2/30 set interfaces ge-2/0/5 unit 0 family inet filter input mf-classifier set interfaces ge-2/0/8 description to-R2 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.1/30 set interfaces lo0 unit 0 description looback-interface set interfaces lo0 unit 0 family inet address 192.168.13.1/32 set firewall policer discard if-exceeding bandwidth-limit 700m set firewall policer discard if-exceeding burst-size-limit 15k set firewall policer discard then discard set firewall family inet filter mf-classifier term t1 from protocol tcp set firewall family inet filter mf-classifier term t1 from port 80 set firewall family inet filter mf-classifier term t1 then policer discard set firewall family inet filter mf-classifier term t2 then accept set protocols ospf area 0.0.0.0 interface ge-2/0/5.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Gerät R2
set interfaces ge-2/0/8 description to-R1 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.2/30 set interfaces ge-2/0/7 description to-Host set interfaces ge-2/0/7 unit 0 family inet address 172.16.80.2/30 set interfaces lo0 unit 0 description looback-interface set interfaces lo0 unit 0 family inet address 192.168.14.1/32 set protocols ospf area 0.0.0.0 interface ge-2/0/7.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
So konfigurieren Sie Gerät R1:
Konfigurieren Sie die Geräteschnittstellen.
[edit interfaces] user@R1# set ge-2/0/5 description to-Host user@R1# set ge-2/0/5 unit 0 family inet address 172.16.70.2/30 user@R1# set ge-2/0/8 description to-R2 user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.1/30 user@R1# set lo0 unit 0 description looback-interface user@R1# set lo0 unit 0 family inet address 192.168.13.1/32
Wenden Sie den Firewall-Filter auf die Schnittstelle ge-2/0/5 als Eingabefilter an.
[edit interfaces ge-2/0/5 unit 0 family inet] user@R1# set filter input mf-classifier
Konfigurieren Sie den Policer so, dass die Rate für HTTP-Datenverkehr (TCP-Port 80) auf eine Bandbreite von 700 Mbit/s und eine Burst-Größe von 15000 KBit/s begrenzt wird.
[edit firewall policer discard] user@R1# set if-exceeding bandwidth-limit 700m user@R1# set if-exceeding burst-size-limit 15k
Konfigurieren Sie den Policer so, dass Pakete im roten Datenverkehrsfluss verworfen werden.
[edit firewall policer discard] user@R1# set then discard
Konfigurieren Sie die beiden Bedingungen der Firewall so, dass der gesamte TCP-Datenverkehr an Port HTTP (Port 80) akzeptiert wird.
[edit firewall family inet filter mf-classifier] user@R1# set term t1 from protocol tcp user@R1# set term t1 from port 80
Konfigurieren Sie die Firewallaktion so, dass die Rate des HTTP-TCP-Datenverkehrs mithilfe des Policers begrenzt wird.
[edit firewall family inet filter mf-classifier] user@R1# set term t1 then policer discard
Konfigurieren Sie am Ende des Firewallfilters eine Standardaktion, die den gesamten anderen Datenverkehr akzeptiert.
Andernfalls wird der gesamte Datenverkehr, der auf der Schnittstelle eingeht und nicht explizit von der Firewall akzeptiert wird, verworfen.
[edit firewall family inet filter mf-classifier] user@R1# set term t2 then accept
Konfigurieren Sie OSPF.
[edit protocols ospf] user@R1# set area 0.0.0.0 interface ge-2/0/5.0 passive user@R1# set area 0.0.0.0 interface lo0.0 passive user@R1# set area 0.0.0.0 interface ge-2/0/8.0
Schritt-für-Schritt-Anleitung
So konfigurieren Sie Gerät R2:
Konfigurieren Sie die Geräteschnittstellen.
[edit interfaces] user@R1# set ge-2/0/8 description to-R1 user@R1# set ge-2/0/7 description to-Host user@R1# set lo0 unit 0 description looback-interface user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.2/30 user@R1# set ge-2/0/7 unit 0 family inet address 172.16.80.2/30 user@R1# set lo0 unit 0 family inet address 192.168.14.1/32
Konfigurieren Sie OSPF.
[edit protocols ospf] user@R1# set area 0.0.0.0 interface ge-2/0/7.0 passive user@R1# set area 0.0.0.0 interface lo0.0 passive user@R1# set area 0.0.0.0 interface ge-2/0/8.0
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , und eingeben.show interfaces
show firewall
show protocols ospf
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@R1# show interfaces ge-2/0/5 { description to-Host; unit 0 { family inet { filter { input mf-classifier; } address 172.16.70.2/30; } } } ge-2/0/8 { description to-R2; unit 0 { family inet { address 10.50.0.1/30; } } } lo0 { unit 0 { description looback-interface; family inet { address 192.168.13.1/32; } } }
user@R1# show firewall family inet { filter mf-classifier { term t1 { from { protocol tcp; port 80; } then policer discard; } term t2 { then accept; } } } policer discard { if-exceeding { bandwidth-limit 700m; burst-size-limit 15k; } then discard; }
user@R1# show protocols ospf area 0.0.0.0 { interface ge-2/0/5.0 { passive; } interface lo0.0 { passive; } interface ge-2/0/8.0; }
Wenn Sie mit der Konfiguration von Gerät R1 fertig sind, wechseln Sie in den Konfigurationsmodus.commit
user@R2# show interfaces ge-2/0/7 { description to-Host; unit 0 { family inet { address 172.16.80.2/30; } } } ge-2/0/8 { description to-R1; unit 0 { family inet { address 10.50.0.2/30; } } } lo0 { unit 0 { description looback-interface; family inet { address 192.168.14.1/32; } } }
user@R2# show protocols ospf area 0.0.0.0 { interface ge-2/0/7.0 { passive; } interface lo0.0 { passive; } interface ge-2/0/8.0; }
Wenn Sie mit der Konfiguration von Gerät R2 fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Löschen der Zähler
Zweck
Vergewissern Sie sich, dass die Firewallzähler gelöscht sind.
Was
Führen Sie auf Gerät R1 den Befehl aus, um die Firewallindikatoren auf 0 zurückzusetzen.clear firewall all
user@R1> clear firewall all
Senden von TCP-Datenverkehr an das Netzwerk und Überwachen der Verwerfungen
Zweck
Stellen Sie sicher, dass der gesendete Datenverkehr auf der Eingabeschnittstelle ratenbegrenzt ist (ge-2/0/5).
Was
Verwenden Sie einen Datenverkehrsgenerator, um 10 TCP-Pakete mit einem Quellport von 80 zu senden.
Das Flag -s legt den Quellport fest. Das Flag -k bewirkt, dass der Quellport bei 80 stabil bleibt, anstatt zu inkrementieren. Das Flag -c setzt die Anzahl der Pakete auf 10. Das Flag -d legt die Paketgröße fest.
Die Ziel-IP-Adresse 172.16.80.1 gehört zu Gerätehost 2, der mit Gerät R2 verbunden ist. Der Benutzer auf Gerätehost 2 hat eine Webseite von Gerätehost 1 (dem Webserver, der vom Datenverkehrsgenerator auf Gerät Host 1 emuliert wird) angefordert. Die Pakete, deren Rate begrenzt ist, werden von Gerätehost 1 als Antwort auf die Anforderung von Gerätehost 2 gesendet.
HINWEIS:In diesem Beispiel werden die Policer-Nummern auf ein Bandbreitenlimit von 8 KBit/s und ein Burst-Größenlimit von 1500 KBps reduziert, um sicherzustellen, dass einige Pakete während dieses Tests verworfen werden.
[root@host]# hping 172.16.80.1 -c 10 -s 80 -k -d 300 [User@Host]# hping 172.16.80.1 -c 10 -s 80 -k -d 350 HPING 172.16.80.1 (eth1 172.16.80.1): NO FLAGS are set, 40 headers + 350 data bytes len=46 ip=172.16.80.1 ttl=62 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=0.5 ms . . . --- 172.16.80.1 hping statistic --- 10 packets transmitted, 6 packets received, 40% packet loss round-trip min/avg/max = 0.5/3000.8/7001.3 ms
Überprüfen Sie auf Gerät R1 die Firewallindikatoren mithilfe des Befehls.
show firewall
user@R1> show firewall User@R1# run show firewall Filter: __default_bpdu_filter__ Filter: mf-classifier Policers: Name Bytes Packets discard-t1 1560 4
Bedeutung
In den Schritten 1 und 2 zeigt die Ausgabe beider Geräte, dass 4 Pakete verworfen wurden. Dies bedeutet, dass mindestens 8 KBit/s grüner Datenverkehr (vertragsinterner HTTP-Port 80) vorhanden waren und dass die Burst-Option von 1500 KBit/s für roten nicht vertragsgemäßen HTTP-Port 80-Datenverkehr überschritten wurde.
Beispiel: Konfigurieren von Schnittstellen- und Firewallfilter-Policern an derselben Schnittstelle
In diesem Beispiel wird gezeigt, wie drei zweifarbige Single-Rate-Policer konfiguriert und auf den IPv4-Eingabedatenverkehr an derselben logischen VLAN-Schnittstelle (Single-Tag-Virtual LAN) angewendet werden.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel konfigurieren Sie drei zweifarbige Single-Rate-Policer und wenden die Policer auf den IPv4-Eingabedatenverkehr an derselben logischen Single-Tag-VLAN-Schnittstelle an. Zwei Policer werden über einen Firewallfilter auf die Schnittstelle angewendet, und ein Policer wird direkt auf die Schnittstelle angewendet.
Sie konfigurieren einen Policer mit dem Namen , um den Datenverkehr auf 1 Mbit/s mit einer Burstgröße von 5000 Byte zu begrenzen.p-all-1m-5k-discard
Sie wenden diesen Policer direkt auf IPv4-Eingabedatenverkehr an der logischen Schnittstelle an. Wenn Sie einen Policer direkt auf protokollspezifischen Datenverkehr an einer logischen Schnittstelle anwenden, wird der Policer als Schnittstellen-Policer angewendet.
Sie konfigurieren die beiden anderen Policer so, dass sie Burstgrößen von 500 KB zulassen, und wenden diese Policer mithilfe eines zustandslosen IPv4-Standardfirewallfilters auf IPv4-Eingabedatenverkehr an der logischen Schnittstelle an. Wenn Sie einen Policer auf protokollspezifischen Datenverkehr an einer logischen Schnittstelle über eine Firewallfilteraktion anwenden, wird der Policer als Firewallfilter-Policer angewendet.
Sie konfigurieren den benannten Policer so, dass die Rate des Datenverkehrs auf 500 KBit/s mit einer Burstgröße von 500 KB Byte begrenzt wird, indem Pakete, die diesen Grenzwerten nicht entsprechen, verworfen werden.
p-icmp-500k-500k-discard
Sie konfigurieren einen der Firewallfilterbegriffe so, dass dieser Policer auf ICMP-Pakete (Internet Control Message Protocol) angewendet wird.Sie konfigurieren den benannten Policer so, dass die Rate des Datenverkehrs auf eine Bandbreite von 10 Prozent mit einer Burstgröße von 500 KB begrenzt wird, indem Pakete, die diesen Grenzwerten nicht entsprechen, verworfen werden.
p-ftp-10p-500k-discard
Sie konfigurieren einen anderen Firewallfilterbegriff, um diesen Policer auf FTP-Pakete (File Transfer Protocol) anzuwenden.
Ein Policer, den Sie mit einer Bandbreitenbegrenzung konfigurieren, die als Prozentwert (und nicht als absoluter Bandbreitenwert) ausgedrückt wird, wird als Bandbreiten-Policer bezeichnet. Es können nur zweifarbige Single-Rate-Policer mit einer prozentualen Bandbreitenspezifikation konfiguriert werden. Standardmäßig begrenzt ein Bandbreiten-Policer den Datenverkehr auf den angegebenen Prozentsatz der Leitungsrate der physischen Schnittstelle, die der logischen Zielschnittstelle zugrunde liegt.
Topologie
Sie konfigurieren die logische Zielschnittstelle als logische Single-Tag-VLAN-Schnittstelle auf einer Fast Ethernet-Schnittstelle mit 100 Mbit/s. Dies bedeutet, dass der Policer, den Sie mit der Bandbreitenbegrenzung von 10 Prozent konfigurieren (der Policer, den Sie auf FTP-Pakete anwenden), den FTP-Datenverkehr auf dieser Schnittstelle auf 10 Mbit/s begrenzt.
In diesem Beispiel konfigurieren Sie den Bandbreiten-Policer nicht als logischen Bandbreiten-Policer. Daher basiert der Prozentsatz auf der Rate der physischen Medien und nicht auf der konfigurierten Shaping-Rate der logischen Schnittstelle.
Der Firewallfilter, den Sie so konfigurieren, dass er auf zwei der Policer verweist, muss als schnittstellenspezifischer Filter konfiguriert sein. Da der Policer, der zur Ratenbegrenzung von FTP-Paketen verwendet wird, die Bandbreitenbegrenzung als Prozentwert angibt, muss der Firewallfilter, der auf diesen Policer verweist, als schnittstellenspezifischer Filter konfiguriert werden. Wenn also dieser Firewallfilter auf mehrere Schnittstellen angewendet würde, anstatt nur auf die Fast Ethernet-Schnittstelle in diesem Beispiel, würden für jede Schnittstelle, auf die der Filter angewendet wird, eindeutige Policer und Zähler erstellt.
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren der logischen Single-Tag-VLAN-Schnittstelle
- Konfiguration der drei Policer
- Konfigurieren des IPv4-Firewallfilters
- Anwenden der Schnittstellen-Policer und Firewall-Filter-Policer auf die logische Schnittstelle
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set interfaces fe-0/1/1 vlan-tagging set interfaces fe-0/1/1 unit 0 vlan-id 100 set interfaces fe-0/1/1 unit 0 family inet address 10.20.15.1/24 set interfaces fe-0/1/1 unit 1 vlan-id 101 set interfaces fe-0/1/1 unit 1 family inet address 10.20.240.1/24 set firewall policer p-all-1m-5k-discard if-exceeding bandwidth-limit 1m set firewall policer p-all-1m-5k-discard if-exceeding burst-size-limit 5k set firewall policer p-all-1m-5k-discard then discard set firewall policer p-ftp-10p-500k-discard if-exceeding bandwidth-percent 10 set firewall policer p-ftp-10p-500k-discard if-exceeding burst-size-limit 500k set firewall policer p-ftp-10p-500k-discard then discard set firewall policer p-icmp-500k-500k-discard if-exceeding bandwidth-limit 500k set firewall policer p-icmp-500k-500k-discard if-exceeding burst-size-limit 500k set firewall policer p-icmp-500k-500k-discard then discard set firewall family inet filter filter-ipv4-with-limits interface-specific set firewall family inet filter filter-ipv4-with-limits term t-ftp from protocol tcp set firewall family inet filter filter-ipv4-with-limits term t-ftp from port ftp set firewall family inet filter filter-ipv4-with-limits term t-ftp from port ftp-data set firewall family inet filter filter-ipv4-with-limits term t-ftp then policer p-ftp-10p-500k-discard set firewall family inet filter filter-ipv4-with-limits term t-icmp from protocol icmp set firewall family inet filter filter-ipv4-with-limits term t-icmp then policer p-icmp-500k-500k-discard set firewall family inet filter filter-ipv4-with-limits term catch-all then accept set interfaces fe-0/1/1 unit 1 family inet filter input filter-ipv4-with-limits set interfaces fe-0/1/1 unit 1 family inet policer input p-all-1m-5k-discard
Konfigurieren der logischen Single-Tag-VLAN-Schnittstelle
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die logische Single-Tag-VLAN-Schnittstelle:
Aktivieren Sie die Konfiguration der Fast Ethernet-Schnittstelle.
[edit] user@host# edit interfaces fe-0/1/1
Aktivieren Sie das Single-Tag-VLAN-Framing.
[edit interfaces fe-0/1/1] user@host# set vlan-tagging
Binden Sie VLAN-IDs an die logischen Schnittstellen.
[edit interfaces fe-0/1/1] user@host# set unit 0 vlan-id 100 user@host# set unit 1 vlan-id 101
Konfigurieren Sie IPv4 auf den logischen Single-Tag-VLAN-Schnittstellen.
[edit interfaces fe-0/1/1] user@host# set unit 0 family inet address 10.20.15.1/24 user@host# set unit 1 family inet address 10.20.240.1/24
Ergebnisse
Bestätigen Sie die Konfiguration des VLANs, indem Sie den Befehl Konfigurationsmodus eingeben.show interfaces
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show interfaces fe-0/1/1 { vlan-tagging; unit 0 { vlan-id 100; family inet { address 10.20.15.1/24; } } unit 1 { vlan-id 101; family inet { address 10.20.240.1/24; } } }
Konfiguration der drei Policer
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die drei Policer:
Aktivieren Sie die Konfiguration eines zweifarbigen Policers, der Pakete verwirft, die nicht einer Bandbreite von 1 Mbit/s und einer Burst-Größe von 5000 Byte entsprechen.
HINWEIS:Sie wenden diesen Policer direkt auf den gesamten IPv4-Eingangsdatenverkehr an der logischen VLAN-Schnittstelle mit einem einzelnen Tag an, sodass die Pakete nicht gefiltert werden, bevor sie einer Ratenbegrenzung unterzogen werden.
[edit] user@host# edit firewall policer p-all-1m-5k-discard
Konfigurieren Sie den ersten Policer.
[edit firewall policer p-all-1m-5k-discard] user@host# set if-exceeding bandwidth-limit 1m user@host# set if-exceeding burst-size-limit 5k user@host# set then discard
Aktivieren Sie die Konfiguration eines zweifarbigen Policers, der Pakete verwirft, die nicht einer als "10 Prozent" angegebenen Bandbreite und einer Burst-Größe von 500.000 Byte entsprechen.
Sie wenden diesen Policer nur auf den FTP-Datenverkehr an der logischen VLAN-Schnittstelle mit einem einzelnen Tag an.
Sie wenden diesen Policer als Aktion eines IPv4-Firewallfilterbegriffs an, der FTP-Pakete von TCP abgleicht.
[edit firewall policer p-all-1m-5k-discard] user@host# up [edit] user@host# edit firewall policer p-ftp-10p-500k-discard
Konfigurieren Sie Grenzwerte und Aktionen für die Polizeiarbeit.
[edit firewall policer p-ftp-10p-500k-discard] user@host# set if-exceeding bandwidth-percent 10 user@host# set if-exceeding burst-size-limit 500k user@host# set then discard
Da die Bandbreitenbeschränkung als Prozentsatz angegeben wird, muss der Firewallfilter, der auf diesen Policer verweist, als schnittstellenspezifischer Filter konfiguriert werden.
HINWEIS:Wenn Sie möchten, dass dieser Policer die Rate auf 10 Prozent der für die logische Schnittstelle konfigurierten Shaping-Rate (und nicht auf 10 Prozent der Medienrate der physischen Schnittstelle) begrenzt, müssen Sie die Anweisung auf Hierarchieebene einschließen.
logical-bandwidth-policer
[edit firewall policer p-all-1m-5k-discard]
Diese Art von Policer wird als Policer mit logischer Bandbreite bezeichnet.Aktivieren Sie die Konfiguration des IPv4-Firewall-Filter-Policers für ICMP-Pakete.
[edit firewall policer p-ftp-10p-500k-discard] user@host# up [edit] user@host# edit firewall policer p-icmp-500k-500k-discard
Konfigurieren Sie Grenzwerte und Aktionen für die Polizeiarbeit.
[edit firewall policer p-icmp-500k-500k-discard] user@host# set if-exceeding bandwidth-limit 500k user@host# set if-exceeding burst-size-limit 500k user@host# set then discard
Ergebnisse
Bestätigen Sie die Konfiguration der Policer, indem Sie den Befehl configuration mode eingeben.show firewall
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show firewall policer p-all-1m-5k-discard { if-exceeding { bandwidth-limit 1m; burst-size-limit 5k; } then discard; } policer p-ftp-10p-500k-discard { if-exceeding { bandwidth-percent 10; burst-size-limit 500k; } then discard; } policer p-icmp-500k-500k-discard { if-exceeding { bandwidth-limit 500k; burst-size-limit 500k; } then discard; }
Konfigurieren des IPv4-Firewallfilters
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den IPv4-Firewallfilter:
Aktivieren Sie die Konfiguration des IPv4-Firewallfilters.
[edit] user@host# edit firewall family inet filter filter-ipv4-with-limits
Konfigurieren Sie den Firewall-Filter als schnittstellenspezifisch.
[edit firewall family inet filter filter-ipv4-with-limits] user@host# set interface-specific
Der Firewallfilter muss schnittstellenspezifisch sein, da einer der Policer, auf die verwiesen wird, mit einer Bandbreitenbeschränkung konfiguriert ist, die als Prozentwert ausgedrückt wird.
Aktivieren Sie die Konfiguration eines Filterbegriffs zur Ratenbegrenzung von FTP-Paketen.
[edit firewall family inet filter filter-ipv4-with-limits] user@host# edit term t-ftp [edit firewall family inet filter filter-ipv4-with-limits term t-ftp] user@host# set from protocol tcp user@host# set from port [ ftp ftp-data ]
FTP-Nachrichten werden über TCP-Port 20 () gesendet und über TCP-Port 21 () empfangen.
ftp
ftp-data
Konfigurieren Sie den Filterbegriff so, dass er mit FTP-Paketen übereinstimmt.
[edit firewall family inet filter filter-ipv4-with-limits term t-ftp] user@host# set then policer p-ftp-10p-500k-discard
Aktivieren Sie die Konfiguration eines Filterbegriffs zur Ratenbegrenzung von ICMP-Paketen.
[edit firewall family inet filter filter-ipv4-with-limits term t-ftp] user@host# up [edit firewall family inet filter filter-ipv4-with-limits] user@host# edit term t-icmp
Konfigurieren des Filterbegriffs für ICMP-Pakete
[edit firewall family inet filter filter-ipv4-with-limits term t-icmp] user@host# set from protocol icmp user@host# set then policer p-icmp-500k-500k-discard
Konfigurieren Sie einen Filterbegriff so, dass alle anderen Pakete ohne Überwachung akzeptiert werden.
[edit firewall family inet filter filter-ipv4-with-limits term t-icmp] user@host# up [edit firewall family inet filter filter-ipv4-with-limits] user@host# set term catch-all then accept
Ergebnisse
Bestätigen Sie die Konfiguration des Firewall-Filters, indem Sie den Befehl configuration mode eingeben.show firewall
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show firewall family inet { filter filter-ipv4-with-limits { interface-specific; term t-ftp { from { protocol tcp; port [ ftp ftp-data ]; } then policer p-ftp-10p-500k-discard; } term t-icmp { from { protocol icmp; } then policer p-icmp-500k-500k-discard; } term catch-all { then accept; } } } policer p-all-1m-5k-discard { if-exceeding { bandwidth-limit 1m; burst-size-limit 5k; } then discard; } policer p-ftp-10p-500k-discard { if-exceeding { bandwidth-percent 10; burst-size-limit 500k; } then discard; } policer p-icmp-500k-500k-discard { if-exceeding { bandwidth-limit 500k; burst-size-limit 500k; } then discard; }
Anwenden der Schnittstellen-Policer und Firewall-Filter-Policer auf die logische Schnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie die drei Policer auf das VLAN an:
Aktivieren Sie die Konfiguration von IPv4 auf der logischen Schnittstelle.
[edit] user@host# edit interfaces fe-0/1/1 unit 1 family inet
Wenden Sie die Firewall-Filter-Policer auf die Schnittstelle an.
[edit interfaces fe-0/1/1 unit 1 family inet] user@host# set filter input filter-ipv4-with-limits
Wenden Sie den Schnittstellen-Policer auf die Schnittstelle an.
[edit interfaces fe-0/1/1 unit 1 family inet] user@host# set policer input p-all-1m-5k-discard
Eingabepakete werden gegen den Schnittstellen-Policer ausgewertet, bevor sie gegen die Firewall-Filter-Policer ausgewertet werden.
fe-0/1/1.0
Weitere Informationen finden Sie unter .Reihenfolge der Policer- und Firewall-Filteroperationen
Ergebnisse
Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den Befehl Konfigurationsmodus eingeben.show interfaces
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show interfaces fe-0/1/1 { vlan-tagging; unit 0 { vlan-id 100; family inet { address 10.20.15.1/24; } } unit 1 { vlan-id 101; family inet { filter { input filter-ipv4-with-limits; } policer { input p-all-1m-5k-discard; } address 10.20.240.1/24; } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Anzeigen von Richtlinien, die direkt auf die logische Schnittstelle angewendet werden
- Anzeigen von Statistiken für den Policer, der direkt auf die logische Schnittstelle angewendet wird
- Anzeigen der auf eine Schnittstelle angewendeten Policer- und Firewall-Filter
- Anzeigen von Statistiken für die Firewall-Filter-Policer
Anzeigen von Richtlinien, die direkt auf die logische Schnittstelle angewendet werden
Zweck
Stellen Sie sicher, dass der Schnittstellen-Policer ausgewertet wird, wenn Pakete auf der logischen Schnittstelle empfangen werden.
Was
Verwenden Sie den Befehl Betriebsmodus für die logische Schnittstelle .show interfaces policers
fe-0/1/1.1
Der Befehlsausgabeabschnitt für die Spalte und die Spalte zeigt, dass der Policer ausgewertet wird, wenn Pakete auf der logischen Schnittstelle empfangen werden.ProtoInput Policerp-all-1m-5k-discard
user@host> show interfaces policers fe-0/1/1.1 Interface Admin Link Proto Input Policer Output Policer fe-0/1/1.1 up up inet p-all-1m-5k-discard-fe-0/1/1.1-inet-i
In diesem Beispiel wird der Schnittstellenpolicer nur auf den logischen Schnittstellendatenverkehr in Eingaberichtung angewendet.
Anzeigen von Statistiken für den Policer, der direkt auf die logische Schnittstelle angewendet wird
Zweck
Überprüfen Sie die Anzahl der Pakete, die vom Schnittstellen-Policer ausgewertet wurden.
Was
Verwenden Sie den Befehl operational mode, und geben Sie optional den Namen des Policers an.show policer
Die Befehlsausgabe zeigt die Anzahl der Pakete an, die von jedem konfigurierten Policer (oder dem angegebenen Policer) in jede Richtung ausgewertet wurden.
user@host> show policer p-all-1m-5k-discard-fe-0/1/1.1-inet-i Policers: Name Bytes Packets p-all-1m-5k-discard-fe-0/1/1.1-inet-i 200 5
Anzeigen der auf eine Schnittstelle angewendeten Policer- und Firewall-Filter
Zweck
Stellen Sie sicher, dass der Firewallfilter auf den IPv4-Eingabedatenverkehr an der logischen Schnittstelle angewendet wird.filter-ipv4-with-limits
fe-0/1/1.1
Was
Verwenden Sie den Befehl Betriebsmodus für die logische Schnittstelle und schließen Sie die Option ein.show interfaces statistics
fe-0/1/1.1
detail
Unter dem Abschnitt des Befehlsausgabeabschnitts zeigen die Zeilen und die Namen des Filters und des Policers an, die auf die logische Schnittstelle in Eingaberichtung angewendet wurden.Protocol inetInput FiltersPolicer
user@host> show interfaces statistics fe-0/1/1.1 detail Logical interface fe-0/1/1.1 (Index 83) (SNMP ifIndex 545) (Generation 153) Flags: SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.100 ] Encapsulation: ENET2 Traffic statistics: Input bytes : 0 Output bytes : 46 Input packets: 0 Output packets: 1 Local statistics: Input bytes : 0 Output bytes : 46 Input packets: 0 Output packets: 1 Transit statistics: Input bytes : 0 0 bps Output bytes : 0 0 bps Input packets: 0 0 pps Output packets: 0 0 pps Protocol inet, MTU: 1500, Generation: 176, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter-ipv4-with-limits-fe-0/1/1.1-i Policer: Input: p-all-1m-5k-discard-fe-0/1/1.1-inet-i Addresses, Flags: Is-Preferred Is-Primary Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255, Generation: 169
In diesem Beispiel werden die beiden Firewallfilter-Policer nur auf den logischen Schnittstellendatenverkehr in Eingaberichtung angewendet.
Anzeigen von Statistiken für die Firewall-Filter-Policer
Zweck
Überprüfen Sie die Anzahl der Pakete, die von den Firewall-Filter-Policern ausgewertet wurden.
Was
Verwenden Sie den Befehl Betriebsmodus für den Filter, den Sie auf die logische Schnittstelle angewendet haben.show firewall
[edit] user@host> show firewall filter filter-ipv4-with-limits-fe-0/1/1.1-i Filter: filter-ipv4-with-limits-fe-0/1/1.1-i Policers: Name Bytes Packets p-ftp-10p-500k-discard-t-ftp-fe-0/1/1.1-i 0 0 p-icmp-500k-500k-discard-t-icmp-fe-0/1/1.1-i 0 0
Die Befehlsausgabe zeigt die Namen der Policer ( und ) in Kombination mit den Namen der Filterbegriffe ( bzw. , an), unter denen die Policer-Aktion angegeben ist.p-ftp-10p-500k-discard
p-icmp-500k-500k-discard
t-ftp
t-icmp
Die policerspezifischen Ausgabezeilen zeigen die Anzahl der Pakete an, die mit dem Filterbegriff übereinstimmten. Dies ist nur die Anzahl der Pakete, die außerhalb der Spezifikation (außerhalb der Spezifikationen) liegen, nicht alle Pakete, die vom Policer überwacht werden.