Zwei- und dreifarbige Policer auf Layer 2
Zweifarbige Polizeiarbeit auf Layer 2 – Übersicht
- Richtlinien für die Konfiguration der zweifarbigen Überwachung des Layer-2-Datenverkehrs
- Anweisungshierarchie zur Konfiguration eines zweifarbigen Policers für Layer-2-Datenverkehr
- Anweisungshierarchie zum Anwenden eines zweifarbigen Policers auf Layer-2-Datenverkehr
Richtlinien für die Konfiguration der zweifarbigen Überwachung des Layer-2-Datenverkehrs
Die folgenden Richtlinien gelten für die zweifarbige Überwachung des Layer-2-Datenverkehrs:
Sie können einen zweifarbigen Policer nur auf ein- oder ausgehenden Layer- 2-Datenverkehr an einer logischen Schnittstelle anwenden, die auf einer Gigabit-Ethernet-Schnittstelle (
ge-) oder einer 10-Gigabit-Ethernet-Schnittstelle (xe-) gehostet wird.Eine einzige logische Schnittstelle unterstützt die Layer-2-Überwachung in beide Richtungen.
Sie können einen zweifarbigen Policer nur als logischen Schnittstellen-Policer auf Layer-2-Datenverkehr anwenden. Sie können einen zweifarbigen Policer nicht als zustandslose Firewall-Filteraktion auf Layer- 2-Datenverkehr anwenden.
Sie können einen zweifarbigen Policer auf Layer-2-Datenverkehr anwenden, indem Sie in der Schnittstellenkonfiguration auf der Ebene der logischen Einheit und nicht auf der Protokollebene auf den Policer verweisen.
Weitere Informationen zum Konfigurieren der dreifarbigen Überwachung des Layer- 2-Datenverkehrs finden Sie unter Dreifarbige Polizeiarbeit auf Layer 2 – Übersicht.
Anweisungshierarchie zur Konfiguration eines zweifarbigen Policers für Layer-2-Datenverkehr
Um einen zweifarbigen Single-Rate-Policer zur Ratenbegrenzung des Layer- 2-Datenverkehrs zu aktivieren, schließen Sie die logical-interface-policer Anweisung in die policer Konfiguration ein.
firewall {
policer policer-name {
logical-interface-policer;
if-exceeding {
(bandwidth-limit bps | bandwidth-percent percentage);
burst-size-limit bytes;
}
then {
discard;
forwarding-class class-name;
loss-priority (high | low | medium-high | medium-low);
}
}
}
Sie können die Konfiguration auf folgenden Hierarchieebenen einbinden:
[edit][edit logical-systems logical-system-name]
Anweisungshierarchie zum Anwenden eines zweifarbigen Policers auf Layer-2-Datenverkehr
Um einen Policer für logische Schnittstellen auf Layer- 2-Datenverkehr anzuwenden, schließen Sie die layer2-policer input-policer policer-name Anweisung oder die layer2-policer output-policer policer-name Anweisung in eine unterstützte logische Schnittstelle ein. Verwenden Sie die input-policer oder-Anweisungen output-policer , um einen zweifarbigen Policer auf Ebene 2 anzuwenden.
interfaces {
(ge-fpc/pic/port | xe-fpc/pic/port) {
unit unit-number {
layer2-policer {
input-policer policer-name;
output-policer policer-name;
}
}
}
}
Sie können die Konfiguration auf folgenden Hierarchieebenen einbinden:
[edit][edit logical-systems logical-system-name]
Siehe auch
Dreifarbige Polizeiarbeit auf Layer 2 – Übersicht
- Richtlinien für die Konfiguration der dreifarbigen Überwachung des Layer-2-Datenverkehrs
- Anweisungshierarchie für die Konfiguration eines dreifarbigen Policers für Layer-2-Datenverkehr
- Anweisungshierarchie zum Anwenden eines dreifarbigen Policers auf Layer-2-Datenverkehr
Richtlinien für die Konfiguration der dreifarbigen Überwachung des Layer-2-Datenverkehrs
Die folgenden Richtlinien gelten für die dreifarbige Überwachung des Layer-2-Datenverkehrs:
Sie können einen dreifarbigen Policer nur auf Layer- 2-Datenverkehr an einer logischen Schnittstelle anwenden, die auf einer Gigabit-Ethernet-Schnittstelle (
ge-) oder einer 10-Gigabit-Ethernet-Schnittstelle (xe-) gehostet wird.Eine einzige logische Schnittstelle unterstützt die Layer-2-Überwachung in beide Richtungen.
Sie können einen dreifarbigen Policer nur als logischen Schnittstellen-Policer auf Layer-2-Datenverkehr anwenden. Sie können einen zweifarbigen Policer nicht als zustandslose Firewall-Filteraktion auf Layer- 2-Datenverkehr anwenden.
Sie können einen dreifarbigen Policer auf Layer-2-Datenverkehr anwenden, indem Sie in der Schnittstellenkonfiguration auf der Ebene der logischen Einheit und nicht auf der Protokollebene auf den Policer verweisen.
Sie können einen farbabhängigen dreifarbigen Policer nur auf den Layer-2-Datenverkehr in Ausgangsrichtung anwenden, aber Sie wenden einen farbenblinden dreifarbigen Policer auf den Layer-2-Datenverkehr in beide Richtungen an.
Weitere Informationen zum Konfigurieren der zweifarbigen Überwachung von Layer- 2-Datenverkehr finden Sie unter Zweifarbige Polizeiarbeit auf Layer 2 – Übersicht.
Anweisungshierarchie für die Konfiguration eines dreifarbigen Policers für Layer-2-Datenverkehr
Um einen Single-Rate- oder Two-Rate-Policer mit drei Farben zur Ratenbegrenzung des Layer- 2-Datenverkehrs zu aktivieren, schließen Sie die logical-interface-policer Anweisung in die three-color-policer Konfiguration ein.
firewall {
three-color-policer policer-name {
action {
loss-priority high then discard;
}
logical-interface-policer;
single-rate {
(color-aware | color-blind);
committed-burst-size bytes;
committed-information-rate bps;
excess-burst-size bytes;
}
two-rate {
(color-aware | color-blind);
committed-burst-size bytes;
committed-information-rate bps;
peak-burst-size bytes;
peak-information-rate bps;
}
}
}
Sie können die Konfiguration auf folgenden Hierarchieebenen einbinden:
[edit][edit logical-systems logical-system-name]
Anweisungshierarchie zum Anwenden eines dreifarbigen Policers auf Layer-2-Datenverkehr
Um einen Policer für logische Schnittstellen auf Layer- 2-Datenverkehr anzuwenden, schließen Sie die layer2-policer Anweisung für eine unterstützte logische Schnittstelle auf der Ebene der logischen Einheit ein. Verwenden Sie die Anweisung oder output-three-color policer-name Anweisunginput-three-color policer-name, um die Richtung des Datenverkehrs anzugeben, der überwacht werden soll.
interfaces {
(ge-fpc/pic/port | xe-fpc/pic/port) {
unit unit-number {
layer2-policer {
input-three-color policer-name;
output-three-color policer-name;
}
}
}
}
Sie können die Konfiguration auf folgenden Hierarchieebenen einbinden:
[edit][edit logical-systems logical-system-name]
Siehe auch
Beispiel: Konfigurieren eines dreifarbigen Policers für logische Schnittstellen (aggregiert)
In diesem Beispiel wird gezeigt, wie ein zweistufiger, dreifarbig blinder Policer als Policer für logische Schnittstellen (aggregiert) konfiguriert und direkt auf den Layer-2-Eingabedatenverkehr an einer unterstützten logischen Schnittstelle angewendet wird.
Anforderungen
Bevor Sie beginnen, stellen Sie sicher, dass die logische Schnittstelle, auf die Sie den dreifarbigen Policer für logische Schnittstellen anwenden, auf einer Gigabit-Ethernet-Schnittstelle (ge-) oder einer 10-Gigabit-Ethernet-Schnittstelle (xe-) auf einem Router der MX- Serie gehostet wird.
Überblick
Ein dreifarbiger Policer mit zwei Raten misst den Datenverkehrsfluss anhand einer Bandbreiten- und Burstgrößengrenze für garantierten Datenverkehr sowie einer zweiten Gruppe von Bandbreiten- und Burstgrößengrenzwerten für Spitzendatenverkehr. Datenverkehr, der den Grenzwerten für garantierten Datenverkehr entspricht, wird als grün kategorisiert, und nicht konformer Datenverkehr fällt in eine von zwei Kategorien:
Nicht konformer Datenverkehr, der die Bandbreiten- und Burstgrößenbeschränkungen für Spitzendatenverkehr nicht überschreitet, wird als gelb kategorisiert.
Nicht konformer Datenverkehr, der die Bandbreiten- und Burstgrößenbeschränkungen für Spitzendatenverkehr überschreitet, wird als rot kategorisiert.
Ein Policer für logische Schnittstellen definiert Regeln zur Begrenzung der Datenverkehrsrate, die Sie auf mehrere Protokollfamilien auf derselben logischen Schnittstelle anwenden können, ohne mehrere Instanzen des Policers zu erstellen.
Sie wenden einen logischen Schnittstellen-Policer direkt auf eine logische Schnittstelle auf der Ebene der logischen Einheit an, und nicht, indem Sie in einem zustandslosen Firewallfilter auf den Policer verweisen und dann den Filter auf die logische Schnittstelle auf der Protokollfamilienebene anwenden.
Topologie
In diesem Beispiel konfigurieren Sie den zweistufigen dreifarbigen Policer trTCM2-cb als farbenblinden logischen Schnittstellen-Policer und wenden den Policer auf eingehenden Layer- 2-Datenverkehr auf der logischen Schnittstelle ge-1/3/1.0an.
Wenn Sie einen dreifarbigen Policer zur Ratenbegrenzung des Layer-2-Datenverkehrs verwenden, kann die farbabhängige Überwachung nur auf den ausgehenden Datenverkehr angewendet werden.
Der Policer definiert garantierte Grenzwerte für die Datenverkehrsrate so, dass Datenverkehr, der dem Bandbreitenlimit von 40 Mbit/s mit einem Kontingent von 100 KB für Datenverkehrsbursting (basierend auf der Token-Bucket-Formel) entspricht, als grün kategorisiert wird. Wie bei jedem überwachten Datenverkehr werden die Pakete in einem grünen Datenstrom implizit auf eine low Verlustpriorität gesetzt und dann übertragen.
Nicht konformer Datenverkehr, der innerhalb der maximalen Datenverkehrsgrenzen eines Bandbreitenlimits von 60 Mbit/s und einer zulässigen Datenverkehrskapazität von 200 KB für Datenverkehrsbursting (basierend auf der Token-Bucket-Formel) liegt, wird als gelb kategorisiert. Die Pakete in einem gelben Datenverkehrsfluss werden implizit auf eine medium-high Verlustpriorität gesetzt und dann übertragen.
Nicht konformer Datenverkehr, der die Grenzwerte für den Spitzendatenverkehr überschreitet, wird als rot kategorisiert. Die Pakete in einem roten Datenverkehrsfluss werden implizit auf eine high Verlustpriorität festgelegt. In diesem Beispiel ist die optionale Policer-Aktion für roten Datenverkehr (loss-priority high then discard) konfiguriert, sodass Pakete in einem roten Datenverkehrsfluss verworfen und nicht übertragen werden.
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfiguration der logischen Schnittstellen
- Konfigurieren des zweistufigen dreifarbigen Policers als logischen Schnittstellen-Policer
- Anwenden des dreifarbigen Policers auf den Layer-2-Eingang an der logischen Schnittstelle
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene [edit] in die CLI ein.
set interfaces ge-1/3/1 vlan-tagging set interfaces ge-1/3/1 unit 0 vlan-id 100 set interfaces ge-1/3/1 unit 0 family inet address 10.10.10.1/30 set interfaces ge-1/3/1 unit 1 vlan-id 101 set interfaces ge-1/3/1 unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44 set firewall three-color-policer trTCM2-cb logical-interface-policer set firewall three-color-policer trTCM2-cb two-rate color-blind set firewall three-color-policer trTCM2-cb two-rate committed-information-rate 40m set firewall three-color-policer trTCM2-cb two-rate committed-burst-size 100k set firewall three-color-policer trTCM2-cb two-rate peak-information-rate 60m set firewall three-color-policer trTCM2-cb two-rate peak-burst-size 200k set firewall three-color-policer trTCM2-cb action loss-priority high then discard set interfaces ge-1/3/1 unit 0 layer2-policer input-three-color trTCM2-cb
Konfiguration der logischen Schnittstellen
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die logischen Schnittstellen:
Aktivieren Sie die Konfiguration der Schnittstelle.
[edit] user@host# edit interfaces ge-1/3/1
Konfigurieren Sie das einzelne Tagging.
[edit interfaces ge-1/3/1] user@host# set vlan-tagging
Logische Schnittstelle
ge-1/3/1.0konfigurieren .[edit interfaces ge-1/3/1] user@host# set unit 0 vlan-id 100 user@host# set unit 0 family inet address 10.10.10.1/30
Logische Schnittstelle
ge-1/3/1.0konfigurieren .[edit interfaces ge-1/3/1] user@host# set unit 1 vlan-id 101 user@host# set unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44
Ergebnisse
Bestätigen Sie die Konfiguration der logischen Schnittstellen, indem Sie den show interfaces Befehl Konfigurationsmodus eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
Konfigurieren des zweistufigen dreifarbigen Policers als logischen Schnittstellen-Policer
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den zweistufigen dreifarbigen Policer als logischen Schnittstellen-Policer:
Aktivieren Sie die Konfiguration eines dreifarbigen Policers.
[edit] user@host# edit firewall three-color-policer trTCM2-cb
Geben Sie an, dass es sich bei dem Policer um einen Policer mit logischer Schnittstelle (aggregiert) handelt.
[edit firewall three-color-policer trTCM2-cb] user@host# set logical-interface-policer
Ein logischer Schnittstellen-Policer begrenzt die Datenrate basierend auf einem Prozentsatz der Medienrate der physischen Schnittstelle, die der logischen Schnittstelle zugrunde liegt, auf die der Policer angewendet wird, und der Policer wird direkt auf die Schnittstelle angewendet, anstatt von einem Firewallfilter referenziert zu werden.
Geben Sie an, dass der Policer zweistufig und farbenblind ist.
[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate color-blind
Ein farbbewusster dreifarbiger Policer berücksichtigt alle Farbmarkierungen, die möglicherweise von einem anderen Datenverkehrspolicer, der an einem früheren Netzwerkknoten konfiguriert ist, für ein Paket festgelegt wurden, und alle bereits vorhandenen Farbmarkierungen werden verwendet, um die geeignete Überwachungsaktion für das Paket zu bestimmen.
Da Sie diesen dreifarbigen Policer anwenden, der auf die Eingabe auf Ebene 2 angewendet wird, müssen Sie den Policer so konfigurieren, dass er farbenblind ist.
Geben Sie die Policer-Datenverkehrslimits an, die zur Klassifizierung eines grünen Datenverkehrsflusses verwendet werden.
[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate committed-information-rate 40m user@host# set two-rate committed-burst-size 100k
Geben Sie die zusätzlichen Policer-Datenverkehrslimits an, die zur Klassifizierung eines gelben oder roten Datenverkehrsflusses verwendet werden.
[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate peak-information-rate 60m user@host# set two-rate peak-burst-size 200k
(Optional) Geben Sie die konfigurierte Policer-Aktion für Pakete in einem roten Datenverkehrsfluss an.
[edit firewall three-color-policer trTCM2-cb] user@host# set action loss-priority high then discard
Im farbsensitiven Modus kann die dreifarbige Policer-konfigurierte Aktion die Paketverlustpriorität (PLP) eines Pakets erhöhen, aber niemals verringern. Wenn beispielsweise ein farbbewusster dreifarbiger Policer ein Paket mit einer mittleren PLP-Markierung misst, kann er den PLP-Wert auf hoch anheben, aber nicht auf niedrig senken.
Ergebnisse
Bestätigen Sie die Konfiguration des dreifarbigen Policers, indem Sie den show firewall Befehl Konfigurationsmodus eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit]
user@host# show firewall
three-color-policer trTCM2-cb {
logical-interface-policer;
action {
loss-priority high then discard;
}
two-rate {
color-blind;
committed-information-rate 40m;
committed-burst-size 100k;
peak-information-rate 60m;
peak-burst-size 200k;
}
}
Anwenden des dreifarbigen Policers auf den Layer-2-Eingang an der logischen Schnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie den dreifarbigen Policer auf den Layer-2-Eingang an der logischen Schnittstelle an:
Aktivieren Sie die Anwendung von logischen Layer-2-Schnittstellen-Policern.
[edit] user@host# edit interfaces ge-1/3/1 unit 0
Wenden Sie den dreifarbigen Policer für logische Schnittstellen auf eine logische Schnittstelleneingabe an.
[edit interfaces ge-1/3/1 unit 0] user@host# set layer2-policerinput-three-color trTCM2-cb
Ergebnisse
Bestätigen Sie die Konfiguration der logischen Schnittstellen, indem Sie den show interfaces Befehl Konfigurationsmodus eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
layer2-policer {
input-three-color trTCM2-cb;
}
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Anzeige von Datenverkehrsstatistiken und Policern für die logische Schnittstelle
- Anzeigen von Statistiken für den Policer
Anzeige von Datenverkehrsstatistiken und Policern für die logische Schnittstelle
Zweck
Überprüfen Sie, ob der Datenverkehr über die logische Schnittstelle fließt und ob der Policer ausgewertet wird, wenn Pakete auf der logischen Schnittstelle empfangen werden.
Action!
Verwenden Sie den show interfaces Befehl Betriebsmodus für die logische Schnittstelle ge-1/3/1.0und fügen Sie die detail Option oder extensive hinzu. Der Befehlsausgabeabschnitt für Traffic statistics listet die Anzahl der Bytes und Pakete auf, die auf der logischen Schnittstelle empfangen und übertragen wurden, und der Protocol inet Abschnitt enthält ein Policer Feld, das den Policer trTCM2-cb wie folgt als Eingabe- oder Ausgabepolicer auflistet:
Input: trTCM2-cb-ge-1/3/1.0-log_int-i
Output: trTCM2-cb-ge-1/3/1.0-log_int-o
Das log_int-i Suffix bezeichnet einen logischen Schnittstellen-Policer, der auf den Eingabedatenverkehr angewendet wird, während das log_int-o Suffix einen logischen Schnittstellen-Policer bezeichnet, der auf den Ausgabedatenverkehr angewendet wird. In diesem Beispiel wird der Policer der logischen Schnittstelle nur in Eingaberichtung angewendet.
Anzeigen von Statistiken für den Policer
Zweck
Überprüfen Sie die Anzahl der vom Policer ausgewerteten Pakete.
Action!
Verwenden Sie den show policer Befehl operational mode, und geben Sie optional den Namen des Policers an. Die Befehlsausgabe zeigt die Anzahl der Pakete an, die von jedem konfigurierten Policer (oder dem angegebenen Policer) in jede Richtung ausgewertet wurden. Für den Policer trTCM2-cbwerden die Namen der Eingabe- und Ausgabepolicer wie folgt angezeigt:
trTCM2-cb-ge-1/3/1.0-log_int-i
trTCM2-cb-e-1/3/1.0-log_int-o
Das log_int-i Suffix bezeichnet einen logischen Schnittstellen-Policer, der auf den Eingabedatenverkehr angewendet wird, während das log_int-o Suffix einen logischen Schnittstellen-Policer bezeichnet, der auf den Ausgabedatenverkehr angewendet wird. In diesem Beispiel wird der Policer für logische Schnittstellen nur auf den Eingabedatenverkehr angewendet.