Anwenden von Policern
Übersicht über die Anwendung von Policern
Mit Policern können Sie eine einfache Datenverkehrsüberwachung auf bestimmten Schnittstellen oder Layer 2 Virtual Private Networks (VPNs) durchführen, ohne einen Firewall-Filter konfigurieren zu müssen. Um Policer anzuwenden, fügen Sie die policer folgende Erklärung hinzu:
policer { arp policer-template-name; input policer-template-name; output policer-template-name; }
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit interfaces interface-name unit logical-unit-number family family][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
In der family Anweisung kann cccdie Protokollfamilie , inet, inet6, mpls, tccoder vpls.
Geben Sie in der arp Anweisung den Namen einer Polizeivorlage an, die ausgewertet werden soll, wenn ARP-Pakete (Address Resolution Protocol) auf der Schnittstelle empfangen werden. Standardmäßig wird ein ARP-Policer installiert, der von allen Ethernet-Schnittstellen, auf denen Sie die family inet Anweisung konfiguriert haben, gemeinsam genutzt wird. Wenn Sie eine strengere oder nachsichtigere Überwachung von ARP-Paketen wünschen, können Sie einen schnittstellenspezifischen Policer konfigurieren und auf die Schnittstelle anwenden. Sie konfigurieren einen ARP-Policer wie jeden anderen Policer auf Hierarchieebene [edit firewall policer] . Wenn Sie diesen Policer auf eine Schnittstelle anwenden, wird der standardmäßige ARP-Paketpolicer überschrieben. Wenn Sie diesen Policer löschen, wird der Standard-Policer wieder wirksam.
Sie können für jede Protokollfamilie auf einer Schnittstelle einen anderen Policer konfigurieren, wobei für jede Familie ein Eingabe- und ein Ausgabepolicer vorhanden sind. Wenn Sie Policer anwenden, können Sie die Familie
ccc,inet,inet6,mpls,tccodervplsnur und einen ARP-Policer nur für das Familienprotokollinetkonfigurieren. Jedes Mal, wenn auf einen Policer verwiesen wird, wird eine separate Kopie des Policers auf den Paketweiterleitungskomponenten für diese Schnittstelle installiert.Wenn Sie sowohl Policer- als auch Firewallfilter auf eine Schnittstelle anwenden, werden Eingabe-Policer vor Eingabe-Firewall-Filtern und Ausgabe-Policer nach Ausgabe-Firewall-Filtern ausgewertet. Geben Sie in der
inputAnweisung den Namen einer Policer-Vorlage an, die ausgewertet werden soll, wenn Pakete auf der Schnittstelle empfangen werden. Geben Sie in deroutputAnweisung den Namen einer Policer-Vorlage an, die ausgewertet werden soll, wenn Pakete über die Schnittstelle übertragen werden.Bei Anwendern, die auf Routern der MX-Serie über eine aggregierte Ethernet-Schnittstelle (AE) terminieren, die sich über mehrere FPCs erstreckt, ist es möglich, dass die Gesamtteilnehmerrate die konfigurierte Rate überschreitet, da der im Policer konfigurierte Grenzwert separat auf jede Schnittstelle im AE-Bundle angewendet wird. Wenn Sie z. B. beabsichtigen, dass ein Policer auf einer AE-Schnittstelle mit drei Mitgliedern eine
bandwidth-limitvon 600merzwingt, müssten Sie diebandwidth-limitim Policer für 200m konfigurieren, um die drei Schnittstellen in der AE zu berücksichtigen (d. h. 200 Mbit/s pro Schnittstelle, also insgesamt 600 Mbit/s).Wenn Sie den Policer auf die Schnittstelle
lo0anwenden, wird er auf Pakete angewendet, die von der Routing-Engine empfangen oder übertragen werden.Wenn sich die Schnittstellen auf Plattformen der T-Serie, M120 und M320 auf demselben FPC befinden, wirken die Filter oder Policer nicht auf die Summe des Datenverkehrs, der in die Schnittstellen ein- und ausgeht.
Anwenden von aggregierten Policern
Anwenden von aggregierten Policern
Wenn Sie einen Policer auf mehrere Protokollfamilien auf derselben logischen Schnittstelle anwenden, schränkt der Policer standardmäßig den Datenverkehr für jede Protokollfamilie einzeln ein. Ein Policer mit einer Bandbreitenbeschränkung von 50 Mbit/s, die sowohl auf IPv4- als auch auf IPv6-Datenverkehr angewendet wird, würde es der Schnittstelle beispielsweise ermöglichen, 50 Mbit/s IPv4-Datenverkehr und 50 Mbit/s IPv6-Datenverkehr zu akzeptieren. Wenn Sie einen aggregierten Policer anwenden, lässt der Policer zu, dass die Schnittstelle nur 50 Mbit/s IPv4- und IPv6-Datenverkehr zusammen empfängt.
Um einen aggregierten Policer zu konfigurieren, fügen Sie die logical-interface-policer Anweisung auf Hierarchieebene [edit firewall policer policer-template-name] ein:
[edit firewall policer policer-template-name] logical-interface-policer;
Damit der Policer als Aggregat behandelt wird, müssen Sie ihn auf mehrere Protokollfamilien auf einer einzigen logischen Schnittstelle anwenden, indem Sie die policer folgende Anweisung einfügen:
policer { arp policer-template-name; input policer-template-name; output policer-template-name; }
Sie können diese Anweisungen auf den folgenden Hierarchieebenen einbinden:
[edit interfaces interface-name unit logical-unit-number family family][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
In der family Anweisung kann cccdie Protokollfamilie , inet, inet6, mpls, tccoder vpls.
Die Protokollfamilien, auf die Sie den Policer nicht anwenden, sind vom Policer nicht betroffen. Wenn Sie z. B. eine einzelne logische Schnittstelle so konfigurieren, dass sie MPLS-, IPv4- und IPv6-Datenverkehr akzeptiert, und Sie den Policer policer1 für logische Schnittstellen nur auf die IPv4- und IPv6-Protokollfamilien anwenden, unterliegt MPLS-Datenverkehr nicht den Einschränkungen von policer1.
Wenn Sie sich auf eine andere logische Schnittstelle anwenden policer1 , gibt es zwei Instanzen des Policers. Dies bedeutet, dass das Junos-Betriebssystem den Datenverkehr auf separaten logischen Schnittstellen separat und nicht als Aggregat überwacht, selbst wenn derselbe Policer für logische Schnittstellen auf mehrere logische Schnittstellen auf demselben physischen Schnittstellenport angewendet wird.
Beispiel: Anwenden von aggregierten Policern
Konfigurieren Sie zwei Policer für logische Schnittstellen: aggregate_police1 und aggregate_police2. Gilt aggregate_police1 für IPv4- und IPv6-Datenverkehr, der über die logische Schnittstelle fe-0/0/0.0empfangen wird. Gilt aggregate_police2 für CCC- und MPLS-Datenverkehr, der auf der logischen Schnittstelle fe-0/0/0.0 empfangen wird. Diese Konfiguration bewirkt, dass die Software nur eine Instanz von aggregate_police1 und eine Instanz von aggregate_police2erstellt.
Anwenden auf aggregate_police1 IPv4- und IPv6-Datenverkehr, der auf einer anderen logischen Schnittstelle fe-0/0/0.1empfangen wird. Diese Konfiguration bewirkt, dass die Software eine neue Instanz von aggregate_police1erstellt, eine, die für Einheit 0 gilt, und eine andere, die für Einheit 1 gilt.
[edit firewall]
policer aggregate_police1 {
logical-interface-policer;
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 500k;
}
then {
discard;
}
}
policer aggregate_police2 {
logical-interface-policer;
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 200k;
}
then {
discard;
}
}
[edit interfaces fe-0/0/0]
unit 0 {
family inet {
policer {
input aggregate_police1;
}
}
family inet6 {
policer {
input aggregate_police1;
}
}
family ccc {
policer {
input aggregate_police2;
}
}
family mpls {
policer {
input aggregate_police2;
}
}
}
unit 1 {
family inet {
policer {
input aggregate_police1;
}
}
family inet6 {
policer {
input aggregate_police1;
}
}
}
Anwenden hierarchischer Policer auf erweiterte intelligente Warteschlangen-PICs
Anwenden hierarchischer Policer auf erweiterte intelligente Warteschlangen-PICs
M40e-, M120- und M320-Edge-Router und Core-Router der T-Serie mit IQE-PICs (Enhanced Intelligent Queuing) unterstützen hierarchische Policer in Eingangsrichtung und ermöglichen es Ihnen, einen hierarchischen Policer für die Premium- und aggregierten Datenverkehrsebenen (Premium plus Normal) auf eine Schnittstelle anzuwenden. Hierarchische Policer bieten eine Kreuzfunktionalität zwischen der konfigurierten physischen Schnittstelle und der Paketweiterleitungs-Engine.
Bevor Sie beginnen, gibt es einige allgemeine Einschränkungen, die für hierarchische Policer gelten:
Es kann nur ein Policertyp für eine logische oder physische Schnittstelle konfiguriert werden. Beispielsweise ist ein hierarchischer und ein regulärer Policer in die gleiche Richtung für dieselbe logische Schnittstelle nicht zulässig.
Die Verkettung der Policer, d. h. das Anwenden von Policern sowohl auf einen Port als auch auf die logischen Schnittstellen dieses Ports, ist nicht zulässig.
Es gibt ein Limit von 64 Policern pro Schnittstelle, falls es keine BA-Klassifizierung gibt, so dass ein einzelner Policer pro DLCI zur Verfügung steht.
Es kann nur eine Art von Policer auf eine physische oder logische Schnittstelle angewendet werden.
Der Polizist sollte unabhängig von der BA-Einstufung sein. Ohne BA-Klassifizierung wird der gesamte Datenverkehr auf einer Schnittstelle je nach Konfiguration entweder als EF oder Nicht-EF behandelt. Mit der BA-Klassifizierung kann eine Schnittstelle bis zu 64 Polizisten unterstützen. Auch hier kann es sich bei der Schnittstelle um eine physische oder logische Schnittstelle (z. B. DLCI) handeln.
Bei der BA-Klassifizierung wird der sonstige Datenverkehr (der Datenverkehr, der mit keinem der DSCP/EXP-Bits der BA-Klassifizierung übereinstimmt) als Nicht-EF-Datenverkehr überwacht. Für diesen Verkehr werden keine separaten Polizisten installiert.
Hierarchical Policer – Übersicht
Bei der hierarchischen Überwachung werden zwei Token-Buckets verwendet, einer für aggregierten (Nicht-EF-)Datenverkehr und einer für Premium-Datenverkehr (EF). Welcher Datenverkehr EF und welcher Nicht-EF ist, hängt von der Class-of-Service-Konfiguration ab. Logischerweise wird hierarchische Polizeiarbeit durch die Verkettung von zwei Polizisten erreicht.
Im Beispiel in Abbildung 1wird der EF-Datenverkehr von Premium Policer und der Nicht-EF-Datenverkehr von Aggregate Policer überwacht. Das bedeutet, dass für EF-Datenverkehr die Aktion außerhalb der Spezifikationen diejenige ist, die für Premium Policer konfiguriert ist, aber der spezifikationsinterne EF-Datenverkehr weiterhin die Token vom Aggregate Policer verbraucht.
EF-Datenverkehr wird jedoch niemals der außerhalb der Spezifikation liegenden Aktion des Aggregate Policer unterworfen. Wenn die Out-of-Spec-Aktion des Premium-Policers nicht auf Discard gesetzt ist, verbrauchen diese Out-Spec-Pakete nicht die Token des Aggregate-Policers. Aggregate Policer überwacht nur den Nicht-EF-Datenverkehr. Wie Sie sehen können, kann der Bucket für aggregierte Policer-Token negativ werden, wenn alle Token vom Nicht-EF-Datenverkehr verbraucht werden und Sie dann Spitzen von EF-Datenverkehr erhalten. Aber das wird nur für eine sehr kurze Zeit sein, und im Laufe der Zeit wird es sich ausgleichen. Beispiele:
Premium-Polizei: Bandbreite 2 Mbit/s, OOS Aktion: Abwerfen
Aggregierter Policer: Bandbreite 10 Mbit/s, OOS Aktion: Abwerfen
Im obigen Fall werden dem EF-Datenverkehr 2 Mbit/s garantiert, und der Nicht-EF-Datenverkehr wird abhängig von der Eingaberate des EF-Datenverkehrs zwischen 8 und 10 Mbit/s erreicht.
Merkmale der hierarchischen Polizeiarbeit
Zu den hierarchischen Token-Bucket-Funktionen gehören:
Der eingehende Datenverkehr wird zunächst in EF- und Nicht-EF-Datenverkehr klassifiziert, bevor ein Policer angewendet wird:
Die Klassifizierung erfolgt durch Q-Tree-Lookup
Die Kanalnummer wählt einen gemeinsam genutzten Token-Bucket aus:
Der Dual-Token-Bucket-Policer ist in zwei Single-Bucket-Policer unterteilt:
Policer1 – EF-Datenverkehr
Policer2 – Nicht-EF-Datenverkehr
Der gemeinsam genutzte Token-Bucket wird verwendet, um den Datenverkehr wie folgt zu überwachen:
Policer1 ist auf EF-Rate festgelegt (z. B. 2 Mbit/s)
Policer2 ist auf die aggregierte überwachte Schnittstellenrate festgelegt (z. B. 10 Mbit/s).
EF-Datenverkehr wird auf Policer1 angewendet.
Wenn der Datenverkehr innerhalb der Spezifikationen liegt, darf er sowohl von Policer1 als auch von Policer2 übergeben und dekrementiert werden.
Wenn der Datenverkehr außerhalb der Spezifikationen liegt, kann er verworfen oder mit einer neuen FC- oder Verlustpriorität markiert werden. Policer2 macht nichts mit EF-Datenverkehr, der nicht den Spezifikationen entspricht.
Nicht-EF-Datenverkehr wird nur auf Policer2 angewendet.
Wenn der Datenverkehr den Spezifikationen entspricht, darf er Policer2 passieren und dekrementieren.
Wenn der Datenverkehr nicht den Spezifikationen entspricht, wird er verworfen oder mit einem neuen FC markiert oder mit einer neuen Drop-Priorität festgelegt.
Begrenzen Sie die Portgeschwindigkeit auf eine gewünschte Rate auf Layer 2
Ratenbegrenzung des EF-Datenverkehrs
Begrenzen der Ratenbegrenzung des Nicht-EF-Datenverkehrs
Überwachung von Drops pro Farbe gezählt
Siehe auch
Hierarchische Policer konfigurieren
Um einen hierarchischen Policer zu konfigurieren, wenden Sie die policing-priority Anweisung auf die richtige Weiterleitungsklasse an, und konfigurieren Sie einen hierarchischen Policer für die Aggregat- und Premium-Ebene. Weitere Informationen zur Class of Service finden Sie im Junos OS Class of Service User Guide for Routing Devices.
Hierarchische Policer können nur auf physischen SONET-Schnittstellen konfiguriert werden, die auf einem IQE-PIC gehostet werden. Es werden nur die Aggregat- und Premium-Stufen unterstützt.
CoS-Konfiguration von Weiterleitungsklassen für hierarchische Policer
[edit class-of-service forwarding-classes] class fc1 queue-num 0 priority high policing-priority premium; class fc2 queue-num 1 priority low policing-priority normal; class fc3 queue-num 2 priority low policing-priority normal; class fc4 queue-num 3 priority low policing-priority normal;
Ausführliche Informationen zur Class-of-Service-Konfiguration und zu den Anweisungen finden Sie im Junos OS Class of Service-Benutzerhandbuch für Routing-Geräte.
Firewall-Konfiguration für hierarchische Policer
[edit firewall hierarchical-policer foo]
aggregate {
if-exceeding {
bandwidth-limit 70m;
burst-size-limit 1500;
}
then {
discard;
}
premium {
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 1500;
}
then {
discard;
}
}
Sie können den hierarchischen Policer wie folgt anwenden:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-hierarchical-policer foo;
Sie haben auch die Möglichkeit, den Policer auf der Ebene des physischen Ports wie folgt anzuwenden:
[edit interfaces so-0/1/0 layer2-policer] input-hierarchical-policer foo;
Konfigurieren eines zweifarbigen Policers mit einer Rate
Sie können einen zweifarbigen Policer mit einer Rate wie folgt konfigurieren:
[edit firewall policer foo]
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 1500;
}
then {
discard;
}
Sie können den Policer wie folgt anwenden:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-policer foo;
Sie haben auch die Möglichkeit, den Policer auf der Ebene des physischen Ports wie folgt anzuwenden:
[edit interfaces so-0/1/0 layer2-policer] input-policer foo;
Konfigurieren eines Single-Rate-Policers für Farbenblinde
In diesem Abschnitt werden einstufige farbenblinde und farbbewusste Polizisten beschrieben.
Sie können einen einstufigen farbenblinden Policer wie folgt konfigurieren:
[edit firewall three-color-policer foo]
single-rate {
color-blind;
committed-information-rate 50m;
committed-burst-size 1500;
excess-burst-size 1500;
}
Sie können den einstufigen farbenblinden Policer wie folgt anwenden:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
Sie können einen farbabhängigen Policer mit einer Rate wie folgt konfigurieren:
[edit firewall three-color-policer bar]
single-rate {
color-aware;
committed-information-rate 50m;
committed-burst-size 1500;
excess-burst-size 1500;
}
Sie können den einstufigen farbsensitiven Policer wie folgt anwenden:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
Sie haben auch die Möglichkeit, den Policer auf der Ebene des physischen Ports wie folgt anzuwenden:
[edit interfaces so-0/1/0 layer2-policer] input-three-color bar;
Konfigurieren eines zweistufigen dreifarbigen Markierungs-Policers
Ingress Policing wird mit einem zweistufigen Tricolor-Marker (trTCM) implementiert. Dies geschieht mit einem Dual-Token-Bucket (DTB), der zwei Raten, einen Commit und einen Peak, beibehält. Bei der statischen Ausgangssteuerung wird ebenfalls ein Token-Bucket verwendet.
Die Token-Buckets führen die folgenden Ingress-Policing-Funktionen aus:
(1K) trTCM - Dual-Token-Bucket (rote, gelbe und grüne Markierung)
Die Überwachung basiert auf der Layer-2-Paketgröße:
Nach +/- Byte-Anpassung Offset
Die Markierung ist farbbewusst und farbenblind:
Color Aware muss die Farbe durch Q-Tree-Suche basierend auf Folgendem festgelegt haben:
Tos
EXP
Programmierbare Markierungsaktionen:
Farbe (rot, gelb, grün)
Drop basierend auf Farbe und Überlastungsprofil
Policer wird basierend auf der Nummer des ankommenden Kanals ausgewählt:
Die Kanalnummern-LUT erzeugt einen Policer-Index und einen Warteschlangenindex
Mehrere Kanäle können denselben Policer teilen (LUT erzeugt denselben Policer-Index)
Unterstützung von Ingress Policing und trTCM auf den folgenden Ebenen:
Schlange
Logische Schnittstelle (ifl/DLCI)
Physikalische Schnittstelle (ifd)
Physikalischer Port (Controller ifd)
Beliebige Kombinationen aus logischer Schnittstelle, physischer Schnittstelle und Port
Prozentualer Anteil der Schnittstellengeschwindigkeit und Bits pro Sekunde unterstützen
Ratenbegrenzungen können auf ausgewählte Warteschlangen am Eingang und auf vordefinierte Warteschlangen am Ausgang angewendet werden. Der Token-Bucket arbeitet im Modus "Farben" und "Farbenblind" (spezifiziert durch RFC 2698).
Konfigurieren eines trTCM für Farbenblinde
[edit firewall three-color-policer foo]
two-rate {
color-blind;
committed-information-rate 50m;
committed-burst-size 1500;
peak-information-rate 100m;
peak-burst-size 3k;
}
Sie können den dreifarbigen, zweistufigen farbenblinden Policer wie folgt anwenden:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
Sie haben auch die Möglichkeit, den Policer auf der Ebene des physischen Ports wie folgt anzuwenden:
[edit interfaces so-0/1/0 layer2-policer] input-three-color foo;
Konfigurieren eines farbsensitiven trTCM
[edit firewall three-color-policer bar]
two-rate {
color-aware;
committed-information-rate 50m;
committed-burst-size 1500;
peak-information-rate 100m;
peak-burst-size 3k;
}
Sie können den dreifarbigen, zweistufigen farbbewussten Policer wie folgt anwenden:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color bar;
Sie haben auch die Möglichkeit, den Policer auf der Ebene des physischen Ports wie folgt anzuwenden:
[edit interfaces so-0/1/0 layer2-policer] input-three-color bar;