Auf dieser Seite
Beispiel: Konfigurieren eines zweistufigen dreifarbigen Policers
In diesem Beispiel wird gezeigt, wie ein zweistufiger, dreifarbiger Policer konfiguriert wird.
Anforderungen
Die Unterstützung für zweistufige dreifarbige Policer variiert je nach Gerät. Sie umfasst SRX1400-, SRX3400-, SRX3600-, SRX5400-, SRX5600- und SRX5800-Firewall-Geräte, auf denen eine kompatible Version von Junos OS ausgeführt wird.
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
Ein dreifarbiger Policer mit zwei Raten misst den Datenverkehrsfluss anhand einer Bandbreitenbegrenzung und einer Burst-Größengrenze für garantierten Datenverkehr sowie einer Bandbreitenbegrenzung und einer Burst-Größenbegrenzung für Spitzendatenverkehr. Datenverkehr, der den Grenzwerten für garantierten Datenverkehr entspricht, wird als grün kategorisiert, und nicht konformer Datenverkehr fällt in eine von zwei Kategorien:
Nicht konformer Datenverkehr, der die Grenzwerte für den Spitzendatenverkehr nicht überschreitet, wird als gelb kategorisiert.
Nicht konformer Datenverkehr, der die Grenzwerte für den Spitzendatenverkehr überschreitet, wird als rot kategorisiert.
Jede Kategorie ist mit einer Aktion verknüpft. Für grünen Datenverkehr werden Pakete implizit mit einem Verlustprioritätswert von festgelegt und dann übertragen.low
Bei gelbem Datenverkehr werden Pakete implizit mit einem Verlustprioritätswert von festgelegt und dann übertragen.medium-high
Bei rotem Datenverkehr werden Pakete implizit mit einem Verlustprioritätswert von festgelegt und dann übertragen.high
Wenn die Policer-Konfiguration die optionale Anweisung () enthält, werden stattdessen Pakete in einem roten Fluss verworfen.action
action loss-priority high then discard
Sie können einen dreifarbigen Policer nur als Firewallfilter-Policer auf Layer-3-Datenverkehr anwenden. Sie verweisen von einem zustandslosen Firewallfilterbegriff auf den Policer und wenden den Filter dann auf die Ein- oder Ausgabe einer logischen Schnittstelle auf Protokollebene an.
Topologie
In diesem Beispiel wenden Sie einen farbbewussten, zweistufigen dreifarbigen Policer auf den IPv4-Eingangsdatenverkehr an der logischen Schnittstelle an.fe-0/1/1.0
Der IPv4-Firewallfilterbegriff, der auf den Policer verweist, wendet keine Paketfilterung an. Der Filter wird nur verwendet, um den dreifarbigen Policer auf die Benutzeroberfläche anzuwenden.
Sie konfigurieren den Policer so, dass die Ratenbegrenzung des Datenverkehrs auf ein Bandbreitenlimit von 40 Mbit/s und ein Burst-Größenlimit von 100 KB für grünen Datenverkehr begrenzt wird, und Sie konfigurieren den Policer so, dass auch ein Spitzenbandbreitenlimit von 60 Mbit/s und ein Spitzenlimit für die Burst-Größe von 200 KB für gelben Datenverkehr zulässig ist. Nur nicht konformer Datenverkehr, der die Grenzwerte für den Spitzendatenverkehr überschreitet, wird als rot kategorisiert. In diesem Beispiel konfigurieren Sie die dreifarbige Policer-Aktion , die die implizite Markierung von rotem Datenverkehr mit einer Verlustpriorität überschreibt.loss-priority high then discard
high
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.Verwenden des CLI-Editors im Konfigurationsmodus
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren eines zweistufigen dreifarbigen Policers
- Konfigurieren eines zustandslosen IPv4-Firewallfilters, der auf den Policer verweist
- Anwenden des Filters auf eine logische Schnittstelle auf der Ebene der Protokollfamilie
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie dann auf Hierarchieebene in die CLI ein, und geben Sie sie dann aus dem Konfigurationsmodus ein .[edit]
commit
set firewall three-color-policer trTCM1-ca two-rate color-aware set firewall three-color-policer trTCM1-ca two-rate committed-information-rate 40m set firewall three-color-policer trTCM1-ca two-rate committed-burst-size 100k set firewall three-color-policer trTCM1-ca two-rate peak-information-rate 60m set firewall three-color-policer trTCM1-ca two-rate peak-burst-size 200k set firewall three-color-policer trTCM1-ca action loss-priority high then discard set firewall family inet filter filter-trtcm1ca-all term 1 then three-color-policer two-rate trTCM1-ca set interfaces ge-2/0/5 unit 0 family inet address 10.10.10.1/30 set interfaces ge-2/0/5 unit 0 family inet filter input filter-trtcm1ca-all set class-of-service interfaces ge-2/0/5 forwarding-class af
Konfigurieren eines zweistufigen dreifarbigen Policers
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen zweistufigen dreifarbigen Policer:
Aktivieren Sie die Konfiguration eines dreifarbigen Policers.
[edit] user@host# set firewall three-color-policer trTCM1-ca
Konfigurieren Sie den Farbmodus des zweistufigen, dreifarbigen Policers.
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate color-aware
Konfigurieren Sie die garantierten Datenverkehrslimits mit zwei Raten.
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate committed-information-rate 40m user@host# set two-rate committed-burst-size 100k
Datenverkehr, der diese beiden Grenzwerte nicht überschreitet, wird als grün kategorisiert. Pakete in einem grünen Fluss werden implizit auf Verlustpriorität gesetzt und dann übertragen.
low
Konfigurieren Sie die Grenzwerte für den Spitzendatenverkehr mit zwei Raten.
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate peak-information-rate 60m user@host# set two-rate peak-burst-size 200k
Nicht konformer Datenverkehr, der diese beiden Grenzwerte nicht überschreitet, wird als gelb kategorisiert. Pakete in einem gelben Datenstrom werden implizit auf Verlustpriorität gesetzt und dann übertragen.
medium-high
Nicht konformer Datenverkehr, der diese beiden Grenzwerte überschreitet, wird als rot kategorisiert. Paketen in einem roten Datenstrom wird implizit die Verlustpriorität zugewiesen .high
(Optional) Konfigurieren Sie die Polizeiaktion für roten Datenverkehr.
[edit firewall three-color-policer trTCM1-ca] user@host# set action loss-priority high then discard
Bei dreifarbigen Policern besteht die einzige konfigurierbare Aktion darin, rote Pakete zu verwerfen. Rote Pakete sind Pakete, denen eine hohe Verlustpriorität zugewiesen wurde, weil sie die Peak Information Rate (PIR) und die Peak Burst Size (PBS) überschritten haben.
Ergebnisse
Bestätigen Sie die Konfiguration des Policers, indem Sie den Befehl Konfigurationsmodus eingeben.show firewall
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show firewall three-color-policer trTCM1-ca { action { loss-priority high then discard; } two-rate { color-aware; committed-information-rate 40m; committed-burst-size 100k; peak-information-rate 60m; peak-burst-size 200k; } }
Konfigurieren eines zustandslosen IPv4-Firewallfilters, der auf den Policer verweist
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen zustandslosen IPv4-Firewallfilter, der auf den Policer verweist:
Aktivieren Sie die Konfiguration eines zustandslosen IPv4-Standard-Firewallfilters.
[edit] user@host# set firewall family inet filter filter-trtcm1ca-all
Geben Sie den Filterbegriff an, der auf den Policer verweist.
[edit firewall family inet filter filter-trtcm1ca-all] user@host# set term 1 then three-color-policer two-rate trTCM1-ca
Beachten Sie, dass der Begriff keine Übereinstimmungsbedingungen angibt. Der Firewall-Filter leitet alle Pakete an den Policer weiter.
Ergebnisse
Bestätigen Sie die Konfiguration des Firewall-Filters, indem Sie den Befehl configuration mode eingeben.show firewall
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show firewall family inet { filter filter-trtcm1ca-all { term 1 { then { three-color-policer { two-rate trTCM1-ca; } } } } } three-color-policer trTCM1-ca { action { loss-priority high then discard; } two-rate { color-aware; committed-information-rate 40m; committed-burst-size 100k; peak-information-rate 60m; peak-burst-size 200k; } }
Anwenden des Filters auf eine logische Schnittstelle auf der Ebene der Protokollfamilie
Schritt-für-Schritt-Anleitung
So wenden Sie den Filter auf die logische Schnittstelle auf der Ebene der Protokollfamilie an:
Aktivieren Sie die Konfiguration eines IPv4-Firewallfilters.
[edit] user@host# edit interfaces ge-2/0/5 unit 0 family inet
Wenden Sie den Policer auf die logische Schnittstelle auf der Ebene der Protokollfamilie an.
[edit interfaces ge-2/0/5 unit 0 family inet] user@host# set address 10.10.10.1/30 user@host# set filter input filter-trtcm1ca-all
(Nur Router der MX-Serie und Switches der EX-Serie) (Optional) Für Eingabe-Policer können Sie einen festen Klassifikator konfigurieren. Ein fester Klassifikator klassifiziert alle eingehenden Pakete neu, unabhängig von einer bereits vorhandenen Klassifizierung.
HINWEIS:Die Plattformunterstützung hängt von der Junos OS-Version in Ihrer Implementierung ab.
[edit] user@host# set class-of-service interfaces ge-2/0/5 forwarding-class af
Der Name des Klassifizierers kann ein konfigurierter Klassifikator oder einer der Standardklassifizierer sein.
Ergebnisse
Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den Befehl Konfigurationsmodus eingeben.show interfaces
Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit] user@host# show interfaces ge-2/0/5 { unit 0 { family inet { address 10.10.10.1/30; filter { input filter-trtcm1ca-all; } } } }
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Anzeigen der Firewall-Filter, die auf die logische Schnittstelle angewendet werden
Zweck
Stellen Sie sicher, dass der Firewallfilter auf IPv4-Eingabedatenverkehr an der logischen Schnittstelle angewendet wird.
Was
Verwenden Sie den Befehl Betriebsmodus für die logische Schnittstelle und geben Sie den Modus an.show interfaces
ge-2/0/5.0
detail
Im Abschnitt der Befehlsausgabe werden IPv4-Informationen für die logische Schnittstelle angezeigt.Protocol inet Innerhalb dieses Abschnitts zeigt das Feld die Namen der IPv4-Firewallfilter an, die der logischen Schnittstelle zugeordnet sind.Input Filters
user@host> show interfaces ge-2/0/5.0 detail Logical interface ge-2/0/5.0 (Index 105) (SNMP ifIndex 556) (Generation 170) Flags: Device-Down SNMP-Traps 0x4004000 Encapsulation: ENET2 Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 0 bps Output bytes : 0 0 bps Input packets: 0 0 pps Output packets: 0 0 pps Protocol inet, MTU: 1500, Generation: 242, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter-trtcm1ca-all Addresses, Flags: Dest-route-down Is-Preferred Is-Primary Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255, Generation: 171 Protocol multiservice, MTU: Unlimited, Generation: 243, Route table: 0 Policer: Input: __default_arp_policer__