Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Anwenden von Policern

Übersicht über die Anwendung von Policern

Policer ermöglichen die Durchführung einfacher Datenverkehr-Policing auf bestimmten Schnittstellen oder Layer-2-VPNs (Virtual Private Networks), ohne einen Firewall-Filter zu konfigurieren. Zur Anwendung von Policern müssen Sie die Aussage policer beinhalten:

Sie können diese Anweisungen in den folgenden Hierarchieebenen enthalten:

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

In der family Anweisung kann die Protokollfamilie von cccinet bzw. inet6 oder mpls . tccvpls

In der Aussage wird der Name einer Policer-Vorlage aufgeführt, die bewertet werden soll, wenn ARP-Pakete (Address Resolution Protocol) an der arp Schnittstelle empfangen werden. Standardmäßig wird ein ARP-Policer installiert, der von allen Ethernet-Schnittstellen, auf denen Sie die Anweisung konfiguriert haben, gemeinsam genutzt family inet wird. Wenn Sie strengere oder nachdenkliche Richtlinien für ARP-Pakete wünschen, können Sie einen schnittstellenspezifischen Policer konfigurieren und auf die Schnittstelle anwenden. Sie konfigurieren einen ARP-Policer genauso wie jeder andere Policer auf [edit firewall policer] Hierarchieebene. Wenn Sie diesen Policer auf eine Schnittstelle anwenden, wird der standardmäßige ARP-Paket-Policer außer Kraft gesetzt. Wenn Sie diesen Policer löschen, tritt der Standard-Policer erneut in Kraft.

  • Sie können auf jeder Protokollfamilie auf einer Schnittstelle einen unterschiedlichen Policer konfigurieren, mit einem Eingangs-Policer und einem Ausgabe-Policer für jede Familie. Wenn Sie Policer anwenden, können Sie die Familie (oder oder nur) und einen cccinetinet6mplstccvpls ARP-Policer nur für das inet Familienprotokoll konfigurieren. Jedes Mal, wenn auf einen Policer Bezug nimmt, wird eine separate Kopie des Policers auf den Paketweiterleitungskomponenten für diese Schnittstelle installiert.

  • Wenn Sie sowohl Policer- als auch Firewall-Filter auf eine Schnittstelle anwenden, werden Eingangs-Policer ausgewertet, bevor Eingangs-Firewall-Filter und Ausgabe-Policer nach Ausgabe-Firewall-Filtern bewertet werden. Listen Sie in der Anweisung den Namen einer Policer-Vorlage auf, die nach dem Empfangen von Paketen an der input Schnittstelle bewertet werden soll. Listen Sie output in der Anweisung den Namen einer Policer-Vorlage auf, die bewertet werden soll, wenn Pakete an der Schnittstelle übertragen werden.

  • Für Abonnenten, die auf Routern der MX-Serie über eine AE-Schnittstelle (Aggregated Ethernet) terminieren, die mehrere FPCs umfasst, ist es möglich, dass eine Abonnentenrate insgesamt die konfigurierte Rate überschreitet, da der im Policer konfigurierte Limit separat auf jede Schnittstelle im AE-Bündel angewendet wird. Wenn Sie z. B. einen Policer auf einer 3-mitglieder-AE-Schnittstelle von bandwidth-limit600 merzwingen möchten, müssten Sie den Policer für 200 m konfigurieren, um die drei Schnittstellen im AE zu berücksichtigen (d. h. 200 Mbit/s pro Schnittstelle und insgesamt bandwidth-limit 600 Mbit/s).

  • Wenn Sie den Policer auf die Schnittstelle anwenden, wird er auf vom Paket empfangene oder lo0 übertragene Routing-Engine.

  • Wenn T-Serie-, M120- und M320-Plattformen sich die Schnittstellen auf derselben FPC befinden, verwenden die Filter oder Policer nicht die Summe des Datenverkehrs, der die Schnittstellen ein- oder austritt.

Anwenden aggregierter Policer

Anwenden aggregierter Policer

Wenn Sie standardmäßig einen Policer auf mehrere Protokollfamilien auf der gleichen logischen Schnittstelle anwenden, beschränkt der Policer den Datenverkehr für jede Protokollfamilie einzeln. Ein Policer mit einer Bandbreitenbegrenzung von 50 Mbit/s, der sowohl auf IPv4- als auch IPv6-Datenverkehr angewendet wird, ermöglicht es der Schnittstelle, 50 Mbit/s von IPv4-Datenverkehr und 50 Mbit/s von IPv6-Datenverkehr zu akzeptieren. Wenn Sie einen aggregierten Policer anwenden, ermöglicht der Policer der Schnittstelle den Erhalt von nur 50 Mbit/s an IPv4- und IPv6-Datenverkehr zusammen.

Um einen aggregierten Policer zu konfigurieren, umfassen Sie die logical-interface-policer Anweisung auf der [edit firewall policer policer-template-name] Hierarchieebene:

Damit der Policer als aggregiert behandelt wird, müssen Sie ihn auf mehrere Protokollfamilien auf einer einzigen logischen Schnittstelle anwenden, indem Sie ihn mit der Anweisung policer anwenden:

Sie können diese Anweisungen in den folgenden Hierarchieebenen enthalten:

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

In der family Anweisung kann die Protokollfamilie von cccinet bzw. inet6 oder mpls . tccvpls

Die Protokollfamilien, auf denen Sie den Policer nicht anwenden, sind vom Policer nicht betroffen. Wenn Sie beispielsweise eine einzelne logische Schnittstelle konfigurieren, um MPLS-, IPv4- und IPv6-Datenverkehr zu akzeptieren, und Sie den logischen Schnittstellen-Policer nur auf die IPv4- und IPv6-Protokollfamilien anwenden, ist der MPLS-Datenverkehr nicht den Beschränkungen von policer1policer1 .

Wenn Sie sich für eine andere logische Schnittstelle bewerben, gibt es zwei policer1 Instanzen des Policers. Das bedeutet, dass Junos OS Den Datenverkehr auf verschiedenen logischen Schnittstellen separat und nicht als Aggregat berechnet, selbst wenn der gleiche Policer für logische Schnittstellen auf mehrere logische Schnittstellen auf dem gleichen physischen Schnittstellenport angewendet wird.

Beispiel: Anwenden aggregierter Policer

Konfigurieren Sie zwei Logical Interface Policer: aggregate_police1 und aggregate_police2 . Wenden aggregate_police1 Sie sich auf IPv4- und IPv6-Datenverkehr an, der an einer logischen Schnittstelle empfangen fe-0/0/0.0 wird. Wenden Sie auf CCC und MPLS Datenverkehr, der aggregate_police2 auf der logischen Schnittstelle FE-0/0/0.0 empfangen wird, an. Diese Konfiguration bewirkt, dass die Software nur eine Instanz von aggregate_police1 und eine Instanz von aggregate_police2 erstellt.

Wenden aggregate_police1 Sie sich auf IPv4- und IPv6-Datenverkehr an einer anderen logischen Schnittstelle fe-0/0/0.1 an. Diese Konfiguration bewirkt, dass die Software eine neue Instanz von erstellt , eine für Unit 0 und eine andere für aggregate_police1 Unit 1.

Anwenden hierarchischer Policer auf erweiterte intelligente Queuing-PICs

Anwenden hierarchischer Policer auf erweiterte intelligente Queuing-PICs

M40e-, M120- und M320-Edge-Router und T-Serie Core-Router mit Enhanced Intelligent Queuing (IQE)-PICs unterstützen hierarchische Policer in der Richtung des Ingress und ermöglichen die Anwendung eines hierarchischen Policers für die Premium- und aggregierten (Premium plus normal) Datenverkehrsebenen auf eine Schnittstelle. Hierarchische Policer bieten funktionsübergreifende Funktionen zwischen der konfigurierten physischen Schnittstelle und dem Packet Forwarding Engine.

Bevor Sie beginnen, gibt es einige allgemeine Einschränkungen für hierarchische Policer:

  • Es kann nur ein Policer-Typ für eine logische oder physische Schnittstelle konfiguriert werden. Beispielsweise sind ein hierarchischer Policer und ein regulärer Policer in der gleichen Richtung für dieselbe logische Schnittstelle nicht zulässig.

  • Die Verkettung der Policer – d. s. die Anwendung von Policern sowohl auf einen Port als auch auf die logischen Schnittstellen dieses Ports – ist nicht zulässig.

  • Für den Fall, dass es keine BA-Klassifizierung gibt, sind 64 Policer pro Schnittstelle limitiert, so dass pro DLCI ein einzelner Policer verfügbar ist.

  • Es kann nur eine Art Policer auf eine physische oder logische Schnittstelle angewendet werden.

  • Der Policer sollte unabhängig von der BA-Klassifizierung sein. Ohne BA-Klassifizierung wird der ganze Datenverkehr an einer Schnittstelle je nach Konfiguration entweder als EF oder Nicht-EF behandelt. Mit BA-Klassifizierung kann eine Schnittstelle bis zu 64 Policer unterstützen. Hier kann es sich um eine physische oder logische Schnittstelle (z. B. DLCI) machen.

  • Mit der BA-Klassifizierung wird der verschiedene Datenverkehr (der nicht an einen der BA-Klassifizierungs-DSCP/EXP-Bits anpasst) als Nicht-EF-Datenverkehr ge policet. Es werden keine separaten Policer für diesen Datenverkehr installiert.

Übersicht hierarchischer Policer

Hierarchische Überwachung verwendet zwei Token-Wannen, einen für aggregierten (Nicht-EF)-Datenverkehr und einen für Premium (EF)-Datenverkehr. Welcher Datenverkehr EF ist und welcher nicht-EF ist, wird von der Class-of-Service-Konfiguration bestimmt. Logischer Aufbau einer hierarchischen Überwachung ist die Verkettung von zwei Policern.

Abbildung 1: Hierarchischer PolicerHierarchischer Policer

In einem Beispiel wird Abbildung 1 DER EF-Datenverkehr vom Premium Policer ge policet, und Nicht-EF-Datenverkehr wird von Aggregate Policer gemeistert. Das bedeutet, dass für EF-Datenverkehr die out-of-spec-Aktion die für Premium Policer konfiguriert ist, aber der in-spec EF-Datenverkehr verwendet weiterhin die Token aus dem Aggregate Policer.

Der EF-Datenverkehr wird jedoch nie den spezifikationen des Aggregate Policer übermittelt. Wenn die out-of-spec-Aktion des Premium Policer nicht auf Discard festgelegt ist, werden diese out-of-spec-Pakete die Token des Aggregate Policer nicht verbrauchen. Aggregierter Policer nur für den Nicht-EF-Datenverkehr. Wie Sie sehen können, kann der Aggregate Policer-Token-Token negativ werden, wenn alle Token vom Nicht-EF-Datenverkehr verbraucht werden, und dann erhalten Sie Auf bursts des EF-Datenverkehrs. Das wird aber nur für sehr kurze Zeit und über einen bestimmten Zeitraum im Durchschnitt sein. Zum Beispiel:

  • Premium Policer: Bandbreite 2 Mbit/s, OOS-Aktion: Verwerfen

  • Aggregierter Policer: Bandbreite 10 Mbit/s, OOS-Aktion: Verwerfen

Im Beispiel oben beträgt der EF-Datenverkehr 2 Mbit/s, und der Nicht-EF-Datenverkehr beträgt je nach Eingangsrate des EF-Datenverkehrs 8 Mbit/s bis 10 Mbit/s.

Merkmale der hierarchischen Überwachung

Zu den hierarchischen Token-Funktionen gehören:

  • Der eindringende Datenverkehr wird zuerst in EF- und Nicht-EF-Datenverkehr klassifiziert, bevor ein Policer gilt:

    • Klassifizierung wird durch Q-Tree-Suche durchgeführt

  • Channel-Nummer wählt einen gemeinsamen Token-Policer aus:

    • Dual Token Token Policer ist in zwei Single-Token-Policer unterteilt:

      • Policer1 – EF-Datenverkehr

      • Policer2 – Nicht-EF-Datenverkehr

  • Gemeinsame Token werden verwendet, um den Datenverkehr wie folgt zu policen:

    • Policer1 wird auf EF-Rate festgelegt (z. B. 2 Mbit/s)

    • Policer2 wird festgelegt, um die über die Schnittstelle policed Rate (z. B. 10 Mbit/s) zu aggregieren.

    • EF-Datenverkehr wird auf Policer1 angewendet.

      • Wenn der Datenverkehr in allen Spezifikationen ist, ist es sowohl von Policer1 als auch von Policer2 erlaubt, diese zu passieren und zu dekrementieren.

      • Wenn Der Datenverkehr nicht spezifikationslos ist, kann er verworfen oder mit einer neuen Priorität FC Verlust markiert werden. Policer2 kann bei out-of-spec-EF-Datenverkehr nichts tun.

    • Nicht-EF-Datenverkehr wird nur auf Policer2 angewendet.

      • Wenn der Datenverkehr in spezifikationensmäßig ist, ist es erlaubt, Policer2 zu passieren und zu dekrementieren.

      • Wenn der Datenverkehr nicht spezifikationsgef wege ist, wird er verworfen oder mit einer neuen FC oder mit einer neuen Dropdown-Priorität markiert.

  • Begrenzung der Portgeschwindigkeit auf die gewünschte Geschwindigkeit auf Ebene 2

  • Begrenzung der Raten des EF-Datenverkehrs

  • Begrenzung der Raten des Nicht-EF-Datenverkehrs

  • Policing-Drops pro Farbe gezählt

Konfigurieren hierarchischer Policer

Um einen hierarchischen Policer zu konfigurieren, wenden Sie die Anweisung auf die richtige Weiterleitungsklasse an und konfigurieren Sie einen hierarchischen Policer für die aggregierte policing-priority und Premium-Ebene. Weitere Informationen zu diesen Class-of-Service finden Sie im Benutzerhandbuch Junos OS Class of Service für Routinggeräte.

Anmerkung:

Hierarchische Policer können nur auf auf IQE-PIC gehosteten SONET-physischen Schnittstellen konfiguriert werden. Es werden nur aggregierte und Premium-Ebenen unterstützt.

CoS Konfiguration von Weiterleitungsklassen für hierarchische Policer

Ausführliche Informationen zur Class-of-Service-Konfiguration und -Anweisungen finden Sie im Benutzerhandbuch Junos OS Class of Service für Routinggeräte.

Firewall-Konfiguration für hierarchische Policer

Sie können den hierarchischen Policer wie folgt anwenden:

Sie haben außerdem die Option, den Policer auf der physischen Portebene wie folgt anzuwenden:

Konfigurieren eines Single-Rate Two-Color Policer

Sie können einen Single-Rate-Zwei-Farb-Policer wie folgt konfigurieren:

Sie können den Policer wie folgt anwenden:

Sie haben außerdem die Option, den Policer auf der physischen Portebene wie folgt anzuwenden:

Konfigurieren eines Single-Rate Color-Blind Policer

In diesem Abschnitt werden Single-Rate-Color Blind- und Color Aware-Policer beschrieben.

Sie können einen Single-Rate Color Blind Policer wie folgt konfigurieren:

Sie können den Single-Rate Color Blind Policer wie folgt anwenden:

Sie können einen single-rate color-aware Policer wie folgt konfigurieren:

Sie können den single-rate color-aware Policer wie folgt anwenden:

Sie haben außerdem die Option, den Policer auf der physischen Portebene wie folgt anzuwenden:

Konfigurieren eines dreifarbigen Marker-Policer mit zwei Geschwindigkeiten

Die Ingress-Policing wird mithilfe einer zweifarbigen dreifarbigen Markierung (trTCM) implementiert. Dies wird mit einem Dual-Token-Paket (DTB) erreicht, das zwei Sätze, zugesagt und einen Spitzenwert hat. Die Egress Static Policing verwendet auch einen Token-Nachspiel.

Die Token-Token übernehmen die folgenden Ingress-Überwachungsfunktionen:

  • (1K) trTCM – Dual-Token-Beschriftung (rot, gelb und grün)

  • Die Überwachung basiert auf der Layer 2-Paketgröße:

    • Nach +/- Byte passen Sie den Versatz an

  • Die Kennzeichnung ist farb- und farblos:

    • Color Aware muss die Farbe durch Q-Tree-Suche basierend auf:

      • ToS

      • Exp

  • Programmierbare Kennzeichnungsmaßnahmen:

    • Farbe (rot, gelb, grün)

    • Dropdown basierend auf Farb- und Überlastungsprofil

  • Policer wird basierend auf der neuen Channel-Nummer ausgewählt:

    • Channel-Nummer NR: erzeugt Policer-Index und Warteschlangen-Index

    • Mehrere Kanäle können denselben Policer nutzen (WORDEN erzeugt den gleichen Policer-Index)

  • Unterstützung von Ingress-Policing und trTCM auf den folgenden Ebenen:

    • Warteschlange

    • Logische Schnittstelle (ifl/DLCI)

    • Physische Schnittstelle (ifd)

    • Physischer Port (Controller ifd)

    • Beliebige Kombinationen von logischer Schnittstelle, physischer Schnittstelle und Port

  • Unterstützung des Prozentualen Anteils der Schnittstellengeschwindigkeit und Bits pro Sekunde

Geschwindigkeitsbeschränkungen können auf ausgewählte Warteschlangen am Ingress und auf vordefinierten Warteschlangen am Egress angewendet werden. Der Token-Eimer wird im farbsenserkennen und farbb blinden Modus (gemäß RFC 2698 angegeben) betrieben.

Konfigurieren eines Color-Blind TrTCM

Sie können den dreifarbigen Farb-Blind-Policer wie folgt anwenden:

Sie haben außerdem die Option, den Policer auf der physischen Portebene wie folgt anzuwenden:

Konfigurieren eines color-aware trTCM

Sie können den dreifarbigen farborientierten Policer mit zwei Geschwindigkeiten wie folgt anwenden:

Sie haben außerdem die Option, den Policer auf der physischen Portebene wie folgt anzuwenden: