Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Grundlegende Zwei-Rate-Drei-Farben-Policer

Two-Rate Three-Color Policer – Überblick

Ein zweistufiger, dreifarbiger Policer definiert zwei Bandbreitengrenzen (eine für garantierten Datenverkehr und eine für Spitzendatenverkehr) und zwei Burst-Größen (eine für jedes der Bandbreitengrenzen). Ein zweistufiger, dreifarbiger Policer ist am nützlichsten, wenn ein Service nach Ankunftsraten und nicht unbedingt nach Paketlänge strukturiert ist.

Zwei-Rate-3-Farben-Policing-Meter ein Datenverkehrsstrom basierend auf den folgenden konfigurierten Datenverkehrskriterien:

  • Committed Information Rate (CIR) – Bandbreitenlimit für garantierten Datenverkehr.

  • Committed Burst Size (CBS): Die maximale Paketgröße ist für Daten-Bursts zulässig, die den CIR überschreiten.

  • Peak Information Rate (PIR) – Bandbreitengrenze für Spitzendatenverkehr.

  • Peak Burst Size (PBS): Die maximale Paketgröße ist für Daten-Bursts zulässig, die den PIR überschreiten.

Die Zwei-Rate-Tricolor-Markierung (Zwei-Rate-TCM) klassifiziert den Datenverkehr als zu einer von drei Farbkategorien und führt auf Grundlage der Farbmarkierung Aktionen zur Kontrolle der Überlastung der Pakete durch:

  • Grün – Datenverkehr, der dem Bandbreitenlimit und der Burst-Größe für garantierten Datenverkehr (CIR und CBS) entspricht. Für einen grünen Datenverkehrsfluss markiert TCM mit zwei Geschwindigkeiten die Pakete mit einer impliziten Verlustpriorität und low überträgt die Pakete.

  • Gelb: Datenverkehr, der das Bandbreitenlimit oder die Burst-Größe für garantierten Datenverkehr (CIR oder CBS) überschreitet, nicht jedoch die Bandbreitengrenze und die Burst-Größe für Spitzendatenverkehr (PIR und PBS). Bei einem gelben Datenverkehrsfluss markiert TCM mit zwei Geschwindigkeiten Pakete mit einer impliziten Verlustpriorität und medium-high überträgt die Pakete.

  • Rot : Datenverkehr, der die Bandbreitengrenze und die Burst-Größe für Spitzendatenverkehr (PIR und PBS) überschreitet. Bei einem roten Datenverkehrsfluss markiert TCM mit zwei Geschwindigkeiten Pakete mit einer impliziten Verlustpriorität von high und verwirft die Pakete optional.

Wenn eine Überlastung nachgelagert wird, werden Pakete mit höherer Verlustpriorität mit höherer Verlustpriorität mit höherer Wahrscheinlichkeit verworfen.

HINWEIS:

Für Policer mit einer und zwei Geschwindigkeiten mit drei Farben besteht die einzige konfigurierbare Aktion darin, Pakete in einem roten Datenverkehrsfluss zu verwerfen.

Bei einem Tricolor-Markierungs-Policer, auf den ein Firewall-Filterbegriff verweist, wird die discard Policing-Aktion auf den folgenden Routing-Plattformen unterstützt:

  • Switches der EX-Serie

  • M7i- und M10i-Router mit dem Erweiterten CFEB (CFEB-E)

  • M120- und M320-Router mit Enhanced-III-FPCs

  • Router der MX-Serie mit Trio MPCs

Um auf diesen Routing-Plattformen einen Tricolor Marking Policer anzuwenden, ist es nicht erforderlich, die logical-interface-policer Anweisung beizudrucken.

Beispiel: Konfigurieren eines zweistufigen, dreifarbigen Policers

Dieses Beispiel zeigt, wie Sie einen zweistufigen, dreifarbigen Policer konfigurieren.

Anforderungen

Die Unterstützung für zwei ratende dreifarbige Policer variiert je nach Gerät. Es umfasst Firewall-Geräte der Serie SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 und SRX5800, auf denen eine kompatible Version von Junos OS ausgeführt wird.

Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.

Überblick

Ein zweistufiger, dreifarbiger Policer misst einen Datenverkehrsfluss gegen eine Bandbreiten- und Burst-Größenbeschränkung für garantierten Datenverkehr sowie ein Bandbreiten- und Burst-Größenlimit für Spitzenverkehr. Datenverkehr, der den Grenzwerten für garantierten Datenverkehr entspricht, wird als grün kategorisiert, und nichtkonformierender Datenverkehr fällt in eine von zwei Kategorien:

  • Nichtkonformierender Datenverkehr, der spitzen Datenverkehrsgrenzen nicht überschreitet, wird als gelb kategorisiert.

  • Nichtkonformierender Datenverkehr, der spitzen Datenverkehrsgrenzen überschreitet, wird als rot kategorisiert.

Jede Kategorie ist mit einer Aktion verknüpft. Für grünen Datenverkehr werden Pakete implizit mit einem Verlustprioritätswert low festgelegt und dann übertragen. Für gelben Datenverkehr werden Pakete implizit mit einem Verlustprioritätswert medium-high festgelegt und dann übertragen. Für roten Datenverkehr werden Pakete implizit mit einem Verlustprioritätswert high festgelegt und dann übertragen. Wenn die Policer-Konfiguration die optionale action Anweisung (action loss-priority high then discard) enthält, werden stattdessen Pakete in einem roten Datenstrom verworfen.

Sie können einen dreifarbigen Policer nur als Firewall-Filter-Policer auf Layer-3-Datenverkehr anwenden. Sie verweisen auf den Policer von einem zustandslosen Firewall-Filterbegriff und wenden den Filter dann auf die Ein- oder Ausgabe einer logischen Schnittstelle auf Protokollebene an.

Topologie

In diesem Beispiel wenden Sie einen farbgesteuerten, zweifachen, dreifarbigen Policer auf den IPv4-Input-Datenverkehr an der logischen Schnittstelle fe-0/1/1.0an. Der IPv4-Firewall-Filterbegriff, der auf den Policer verweist, wendet keine Paketfilterung an. Der Filter wird nur verwendet, um den dreifarbigen Policer auf die Schnittstelle anzuwenden.

Sie konfigurieren den Policer so, dass der Datenverkehr auf eine Bandbreitengrenze von 40 Mbit/s und eine Burst-Größe von 100 KB für grünen Datenverkehr begrenzt wird, und Sie konfigurieren den Policer so, dass er auch eine Spitzenbandbreitengrenze von 60 Mbit/s und eine Spitzen-Burst-Größengrenze von 200 KB für gelben Datenverkehr zulässt. Nur nicht kondensierender Datenverkehr, der die Spitzengrenzen des Datenverkehrs überschreitet, wird als rot kategorisiert. In diesem Beispiel konfigurieren Sie die dreifarbige Policer-Aktion loss-priority high then discard, die die implizite Markierung von rotem Datenverkehr zu einer high Verlustpriorität überschreibt.

Konfiguration

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.

Führen Sie zum Konfigurieren dieses Beispiels die folgenden Aufgaben aus:

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, kopieren Sie die Befehle, fügen Sie sie dann auf Hierarchieebene in die [edit] CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .

Konfigurieren eines zweistufigen, dreifarbigen Policers

Schritt-für-Schritt-Verfahren

So konfigurieren Sie einen zweistufigen, dreifarbigen Policer:

  1. Aktivieren Sie die Konfiguration eines dreifarbigen Policers.

  2. Konfigurieren Sie den Farbmodus des zweistufigen dreifarbigen Policers.

  3. Konfigurieren Sie die garantierten Zwei-Rate-Datenverkehrsbeschränkungen.

    Datenverkehr, der beide Grenzwerte nicht überschreitet, wird als grün eingestuft. Pakete in einem grünen Datenstrom werden implizit auf low Verlustpriorität festgelegt und dann übertragen.

  4. Konfigurieren Sie die Zwei-Raten-Spitzenverkehrsbeschränkungen.

    Nichtkonformierender Datenverkehr, der beide Grenzwerte nicht überschreitet, wird als gelb kategorisiert. Pakete in einem gelben Datenstrom werden implizit auf medium-high Verlustpriorität festgelegt und dann übertragen. Nichtkonformierender Datenverkehr, der beide Grenzwerte überschreitet, wird als rot kategorisiert. Pakete in einem roten Datenstrom werden implizit auf high Verlustpriorität festgelegt.

  5. (Optional) Konfigurieren Sie die Policer-Aktion für roten Datenverkehr.

    Für Drei-Farben-Policer besteht die einzige konfigurierbare Aktion darin, rote Pakete zu verwerfen. Rote Pakete sind Pakete, denen eine hohe Verlustpriorität zugewiesen wurde, weil sie die Peak Information Rate (PIR) und die Peak Burst Size (PBS) überschritten haben.

Ergebnisse

Bestätigen Sie die Konfiguration des Policers, indem Sie den show firewall Konfigurationsmodus-Befehl eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in dieser Prozedur, um die Konfiguration zu korrigieren.

Konfigurieren eines IPv4 Stateless Firewall-Filters, der auf den Policer verweist

Schritt-für-Schritt-Verfahren

So konfigurieren Sie einen IPv4-Firewall-Filter ohne Status, der auf den Policer verweist:

  1. Aktivieren Sie die Konfiguration eines zustandslosen IPv4-Standard-Firewall-Filters.

  2. Geben Sie den Filterbegriff an, der auf den Policer verweist.

    Beachten Sie, dass der Begriff keine Übereinstimmungsbedingungen angibt. Der Firewall-Filter leitet alle Pakete an den Policer weiter.

Ergebnisse

Bestätigen Sie die Konfiguration des Firewall-Filters durch Eingabe des show firewall Befehls "Konfigurationsmodus". Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in dieser Prozedur, um die Konfiguration zu korrigieren.

Anwendung des Filters auf einer logischen Schnittstelle auf Der Ebene der Protokollfamilie

Schritt-für-Schritt-Verfahren

So wenden Sie den Filter auf der Ebene der Protokollfamilie auf die logische Schnittstelle an:

  1. Aktivieren Sie die Konfiguration eines IPv4-Firewall-Filters.

  2. Wenden Sie den Policer auf die logische Schnittstelle auf Der Ebene der Protokollfamilie an.

  3. (Nur Router der MX-Serie und Switches der EX-Serie) (Optional) Für Eingabe-Policer können Sie einen festen Klassifizierer konfigurieren. Ein fester Klassifizierer klassifiziert alle eingehenden Pakete neu, unabhängig von einer bereits vorhandenen Klassifizierung.

    HINWEIS:

    Die Plattformunterstützung hängt von der Version von Junos OS in Ihrer Implementierung ab.

    Der Klassifizierername kann ein konfigurierter Klassifizierer oder einer der Standardklassifizierer sein.

Ergebnisse

Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den show interfaces Konfigurationsmodus-Befehl eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in dieser Prozedur, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Anzeige der auf die logische Schnittstelle angewendeten Firewall-Filter

Zweck

Stellen Sie sicher, dass der Firewall-Filter auf IPv4-Eingabedatenverkehr an der logischen Schnittstelle angewendet wird.

Aktion

Verwenden Sie den show interfaces Betriebsmodus-Befehl für die logische Schnittstelle ge-2/0/5.0, und geben Sie den Modus an detail . Im Protocol inet Abschnitt der Befehlsausgabe werden IPv4-Informationen für die logische Schnittstelle angezeigt. In diesem Abschnitt zeigt das Input Filters Feld den Namen der IPv4-Firewall-Filter an, die der logischen Schnittstelle zugeordnet sind.