Grundlegende einstufige dreifarbige Policer
Einstufiger dreifarbiger Policer Übersicht
Ein Single-Rate-Policer mit drei Farben definiert eine Bandbreitenbegrenzung und eine maximale Burst-Größe für garantierten Datenverkehr sowie eine zweite Burst-Größe für Spitzendatenverkehr. Ein dreifarbiger Single-Rate-Policer ist am nützlichsten, wenn ein Dienst nach Paketlänge und nicht nach Spitzenankunftsrate strukturiert ist.
Die dreifarbige Single-Rate-Überwachung misst einen Datenverkehrsstrom basierend auf den folgenden konfigurierten Datenverkehrskriterien:
Committed Information Rate (CIR): Bandbreitenlimit für garantierten Datenverkehr.
Committed Burst Size (CBS): Maximal zulässige Paketgröße für Datenbursts, die die CIR überschreiten.
Excess Burst Size (EBS): Maximal zulässige Paketgröße für Spitzenlastverkehr.
Single-Rate-Tricolor-Markierung (Single-Rate-TCM) klassifiziert Datenverkehr als zu einer von drei Farbkategorien gehörend und führt auf der Grundlage der Farbmarkierung Überlastungskontrollaktionen für die Pakete durch:
Grün - Datenverkehr, der entweder dem Bandbreitenlimit oder der Burst-Größe für garantierten Datenverkehr (CIR oder CBS) entspricht. Für einen grünen Datenverkehrsfluss markiert Single-Rate die Pakete mit einer impliziten Verlustpriorität von
lowund überträgt die Pakete.Gelb – Datenverkehr, der sowohl das Bandbreitenlimit als auch die Burst-Größe für garantierten Datenverkehr (CIR und CBS), aber nicht die Burst-Größe für Spitzendatenverkehr (EBS) überschreitet. Bei einem gelben Datenverkehrsfluss markiert Single-Rate die Pakete mit einer impliziten Verlustpriorität von
medium-highund überträgt die Pakete.Rot: Datenverkehr, der die Burst-Größe für Peak Traffic (EBS) überschreitet, markiert Pakete mit einer impliziten Verlustpriorität von
highund verwirft die Pakete optional.
Wenn nachgelagert eine Überlastung auftritt, ist es wahrscheinlicher, dass die Pakete mit höherer Verlustpriorität verworfen werden.
Sowohl für Single-Rate- als auch für Two-Rate-Policer mit drei Farben besteht die einzige konfigurierbare Aktion darin, Pakete in einem roten Datenverkehrsfluss zu verwerfen.
Die discard Aktion für einen dreifarbigen Markierungspolicer für einen Firewall-Filter wird auf den M120-Routern, M320-Routern mit Enhanced-III-FPCs, M7i- und M10i-Routern mit Enhanced CFEB (CFEB-E) und Routern der MX- Serie mit MPCs unterstützt, sodass es nicht erforderlich ist, die logical-interface-policer Anweisung für sie einzufügen.
Siehe auch
Beispiel: Konfigurieren eines Single-Rate-Dreifarben-Policers
In diesem Beispiel wird gezeigt, wie ein dreifarbiger Policer mit einer Rate konfiguriert wird.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
Ein dreifarbiger Single-Rate-Policer misst den Datenverkehrsfluss anhand eines Bandbreitenlimits und eines Grenzwerts für die Burst-Größe für garantierten Datenverkehr sowie eines zweiten Grenzwerts für die Burst-Größe für überschüssigen Datenverkehr. Datenverkehr, der den Grenzwerten für garantierten Datenverkehr entspricht, wird als grün kategorisiert, und nicht konformer Datenverkehr fällt in eine von zwei Kategorien:
Nicht konformer Datenverkehr, der die Burst-Größe für überschüssigen Datenverkehr nicht überschreitet, wird als gelb kategorisiert.
Nicht konformer Datenverkehr, der die Burst-Größe für überschüssigen Datenverkehr überschreitet, wird als rot kategorisiert.
Jede Kategorie ist mit einer Aktion verknüpft. Für grünen Datenverkehr werden Pakete implizit mit einem Verlustprioritätswert von low festgelegt und dann übertragen. Bei gelbem Datenverkehr werden Pakete implizit mit einem Verlustprioritätswert von medium-high festgelegt und dann übertragen. Bei rotem Datenverkehr werden Pakete implizit mit einem Verlustprioritätswert von high festgelegt und dann übertragen. Wenn die Policer-Konfiguration die optionale action Anweisung (action loss-priority high then discard) enthält, werden stattdessen Pakete in einem roten Fluss verworfen.
Sie können einen dreifarbigen Policer nur als Firewallfilter-Policer auf Layer-3-Datenverkehr anwenden. Sie verweisen von einem zustandslosen Firewallfilterbegriff auf den Policer und wenden den Filter dann auf die Ein- oder Ausgabe einer logischen Schnittstelle auf Protokollebene an.
Topologie
In diesem Beispiel wenden Sie einen farbbewussten, dreifarbigen Single-Rate-Policer auf den IPv4-Eingangsdatenverkehr an der logischen Schnittstelle ge-2/0/5.0an. Der IPv4-Firewallfilterbegriff, der auf den Policer verweist, wendet keine Paketfilterung an. Der Filter wird nur verwendet, um den dreifarbigen Policer auf die Benutzeroberfläche anzuwenden.
Sie konfigurieren den Policer so, dass die Rate des Datenverkehrs auf eine Bandbreitenbegrenzung von 40 Mbit/s und eine Burst-Größenbeschränkung von 100 KB für grünen Datenverkehr begrenzt wird, aber auch eine übermäßige Burst-Größenbeschränkung von 200 KB für gelben Datenverkehr zulässig ist. Nur nicht konformer Datenverkehr, der den Grenzwert für die maximale Burst-Größe überschreitet, wird als rot kategorisiert. In diesem Beispiel konfigurieren Sie die dreifarbige Policer-Aktion loss-priority high then discard, die die implizite Markierung von rotem Datenverkehr mit einer high Verlustpriorität überschreibt.
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren eines Single-Rate-Dreifarben-Policers
- Konfigurieren eines zustandslosen IPv4-Firewallfilters, der auf den Policer verweist
- Anwenden des Filters auf die logische Schnittstelle
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene [edit] in die CLI ein.
set firewall three-color-policer srTCM1-ca single-rate color-aware set firewall three-color-policer srTCM1-ca single-rate committed-information-rate 40m set firewall three-color-policer srTCM1-ca single-rate committed-burst-size 100k set firewall three-color-policer srTCM1-ca single-rate excess-burst-size 200k set firewall three-color-policer srTCM1-ca action loss-priority high then discard set firewall family inet filter filter-srtcm1ca-all term 1 then three-color-policer single-rate srTCM1-ca set class-of-service interfaces ge-2/0/5 unit 0 forwarding-class af set interfaces ge-2/0/5 unit 0 family inet address 10.20.130.1/24 set interfaces ge-2/0/5 unit 0 family inet filter input filter-srtcm1ca-all
Konfigurieren eines Single-Rate-Dreifarben-Policers
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen dreifarbigen Policer mit einer Rate:
Aktivieren Sie die Konfiguration eines dreifarbigen Policers.
[edit] user@host# edit firewall three-color-policer srTCM1-ca
Konfigurieren Sie den Farbmodus des dreifarbigen Policers mit einer Rate.
[edit firewall three-color-policer srTCM1-ca] user@host# set single-rate color-aware
Konfigurieren Sie die garantierten Datenverkehrslimits mit einem einzigen Tarif.
[edit firewall three-color-policer srTCM1-ca] user@host# set single-rate committed-information-rate 40m user@host# set single-rate committed-burst-size 100k
Konfigurieren Sie die Burst-Größenbeschränkung mit einer einzigen Rate, die zur Klassifizierung von nicht konformem Datenverkehr verwendet wird.
[edit firewall three-color-policer srTCM1-ca] user@host# set single-rate excess-burst-size 200k
(Optional) Konfigurieren Sie die Aktion für nicht konformen Datenverkehr.
[edit firewall three-color-policer srTCM1-ca] user@host# set action loss-priority high then discard
Bei dreifarbigen Policern besteht die einzige konfigurierbare Aktion darin, Pakete in einem roten Datenverkehrsfluss zu verwerfen. In diesem Beispiel wurden Pakete in einem roten Datenverkehrsfluss implizit mit einer
highPaketverlustpriorität (PLP) markiert, da der Datenverkehrsfluss die Ratenbegrenzung überschritten hat, die durch das einzelne Ratenlimit (durch diecommitted-information-rate 40mAnweisung angegeben) und das größere Burst-Size-Limit (durch dieexcess-burst-size 200kAnweisung angegeben) definiert ist. Da die optionaleactionAnweisung enthalten ist, wird in diesem Beispiel die schwerwiegendere Aktion des Verwerfens von Paketen in einem roten Datenverkehrsfluss durchgeführt.
Ergebnisse
Bestätigen Sie die Konfiguration des hierarchischen Policers, indem Sie den show firewall Konfigurationsbefehl eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
three-color-policer srTCM1-ca {
action {
loss-priority high then discard;
}
single-rate {
color-aware;
committed-information-rate 40m;
committed-burst-size 100k;
excess-burst-size 200k;
}
}
Konfigurieren eines zustandslosen IPv4-Firewallfilters, der auf den Policer verweist
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen standardmäßigen zustandslosen Firewallfilter, der auf den Policer verweist:
Aktivieren Sie die Konfiguration eines zustandslosen IPv4-Standard-Firewallfilters.
[edit] user@host# edit firewall family inet filter filter-srtcm1ca-all
Geben Sie den Filterbegriff an, der auf den Policer verweist.
[edit firewall family inet filter filter-srtcm1ca-all] user@host# set term 1 then three-color-policer single-rate srTCM1-ca
Beachten Sie, dass der Begriff keine Übereinstimmungsbedingungen angibt. Der Firewall-Filter leitet alle Pakete an den Policer weiter.
Ergebnisse
Bestätigen Sie die Konfiguration des Firewall-Filters, indem Sie den show firewall Befehl configuration mode eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit]
user@host# show firewall
family inet {
filter filter-srtcm1ca-all {
term 1 {
then {
three-color-policer {
single-rate srTCM1-ca;
}
}
}
}
}
three-color-policer srTCM1-ca {
action {
loss-priority high then discard;
}
single-rate {
color-aware;
committed-information-rate 40m;
committed-burst-size 100k;
excess-burst-size 200k;
}
}
Anwenden des Filters auf die logische Schnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie den Filter auf die logische Schnittstelle an:
(Nur Router der MX- Serie) (Optional) Reklassifizieren Sie alle eingehenden Pakete auf der logischen Schnittstelle
ge-2/0/5.0in gesicherte Weiterleitung, unabhängig von einer bereits vorhandenen Klassifizierung.[edit] user@host# set class-of-service interfaces ge-2/0/5 unit 0 forwarding-class af
Der Name des Klassifizierers kann ein konfigurierter Klassifikator oder einer der Standardklassifizierer sein.
Aktivieren Sie die Konfiguration der logischen Schnittstelle.
[edit] user@host# edit interfaces ge-2/0/5 unit 0 family inet
Konfigurieren Sie eine IP-Adresse.
[edit interfaces ge-2/0/5 unit 0 family inet] user@host# set address 10.20.130.1/24
Verweisen Sie auf den Filter als Eingabefilter.
[edit interfaces ge-2/0/5 unit 0 family inet] user@host# set filter input filter-srtcm1ca-all
Ergebnisse
Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie die show class-of-service Befehle und show interfaces Konfigurationsmodus eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit]
user@host# show class-of-service
interfaces {
ge-2/0/5 {
unit 0 {
forwarding-class af;
}
}
}
[edit]
user@host# show interfaces
ge-2/0/5 {
unit 0 {
family inet {
filter {
input filter-srtcm1ca-all;
}
address 10.20.130.1/24;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Anzeigen der Firewall-Filter, die auf die logische Schnittstelle angewendet werden
Zweck
Stellen Sie sicher, dass der Firewallfilter auf IPv4-Eingabedatenverkehr an der logischen Schnittstelle angewendet wird.
Action!
Verwenden Sie den show interfaces Befehl Betriebsmodus für die logische Schnittstelle ge-2/0/5.0und geben Sie den Modus an detail . Im Protocol inet Abschnitt der Befehlsausgabe werden IPv4-Informationen für die logische Schnittstelle angezeigt. Innerhalb dieses Abschnitts zeigt das Input Filters Feld den Namen des Firewallfilters an, der auf IPv4-Eingabedatenverkehr an der logischen Schnittstelle angewendet wird.
user@host> show interfaces ge-2/0/5.0 detail
Logical interface ge-2/0/5.0 (Index 105) (SNMP ifIndex 556) (Generation 170)
Flags: Device-Down SNMP-Traps 0x4004000 Encapsulation: ENET2
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Local statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Protocol inet, MTU: 1500, Generation: 242, Route table: 0
Flags: Sendbcast-pkt-to-re
Input Filters: filter-srtcm1ca-all
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255,
Generation: 171
Protocol multiservice, MTU: Unlimited, Generation: 243, Route table: 0
Policer: Input: __default_arp_policer__