Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Aplicación de políticas

 

Descripción general de la aplicación de policiales

Las políticas de policía permiten llevar a cabo tareas sencillas de tráfico en interfaces específicas o VPN (Virtual Private Networks) de capa 2 sin necesidad de configurar un filtro de Firewall. Para aplicar las políticas de policía, policer incluya la siguiente instrucción:

Estas instrucciones se pueden incluir en los siguientes niveles jerárquicos:

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

En la family instrucción, la familia de protocolos puede cccser inet, inet6, mpls, tcc, o vpls.

En la arp instrucción, indique el nombre de una plantilla de policía que se evaluará cuando se reciban paquetes del Protocolo de resolución de direcciones (ARP) en la interfaz. De forma predeterminada, se instala una policíaización ARP que se comparte entre todas las interfaces Ethernet en las que se ha family inet configurado la instrucción. Si desea una políticas más rigurosas o estrictas de los paquetes ARP, puede configurar un policial específico de la interfaz y aplicarlo a la interfaz. Puede configurar una policíaa ARP igual que configuraría cualquier otro policía, en el nivel [edit firewall policer] de jerarquía. Si aplica esta policía a una interfaz, se invalidará el policía del paquete ARP predeterminado. Si elimina esta policía, el policial predeterminado se volverá a aplicar.

En la input instrucción, indique el nombre de una plantilla de policía que se evaluará cuando se reciban paquetes en la interfaz.

En la output instrucción, indique el nombre de una plantilla de policía que se evaluará cuando los paquetes se transmitan en la interfaz.

Nota

Para usar las políticas en una interfaz CCC o TCC, debe configurar la familia de protocolos CCC o TCC.

Puede configurar un cumplimiento distinto en cada familia de protocolos de una interfaz, con un responsable de entrada y un único policía de salida para cada familia. Cuando se aplican políticas de policía, puede configurar la cccfamilia inet, inet6, mplstcc,, o vpls solamente, y una policía de ARP para el protocolo inet de familia solamente. Cada vez que se hace referencia a una policía, en los componentes de reenvío de paquetes de dicha interfaz se instala una copia independiente de la policía.

Si aplica a una interfaz tanto los filtros de las políticas como del cortafuegos, las políticas de entrada se evalúan antes que los filtros de entrada del cortafuegos y las políticas de salida se evalúan detrás de los filtros del cortafuegos de salida.

Si aplica la policía a la interfaz lo0, ésta se aplicará a los paquetes que reciba o transmita el motor de enrutamiento.

En las plataformas serie T, M120 y M320, si las interfaces se encuentran en la misma FPC, los filtros o las políticas no actúan sobre la suma del tráfico que entra y sale de las interfaces.

Para obtener más información acerca de las políticas, Guía de funciones de directivas de enrutamiento, filtros firewall y políticas de tráficoconsulte el.

Aplicación de políticas agregadas

Aplicación de políticas agregadas

De forma predeterminada, si aplica una policía a varias familias de protocolos en la misma interfaz lógica, el responsable de la policía restringe de forma individual el tráfico de cada familia de protocolos. Por ejemplo, una policía con un límite de ancho de banda de 50 Mbps aplicado al tráfico IPv4 e IPv6 permitiría que la interfaz aceptara 50 Mbps de tráfico IPv4 y 50 Mbps de tráfico IPv6. Si aplica una agregación de políticas, la policía permitiría que la interfaz solo reciba 50 Mbps de tráfico IPv4 e IPv6 combinado.

Para configurar una agregación de políticas, incluya la logical-interface-policer instrucción en el [edit firewall policer policer-template-name] nivel de jerarquía:

Para que la policía se trate como un agregado, debe aplicarla a varias familias de protocolos en una sola interfaz lógica mediante la inclusión de la policer siguiente declaración:

Estas instrucciones se pueden incluir en los siguientes niveles jerárquicos:

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

En la family instrucción, la familia de protocolos puede cccser inet, inet6, mpls, tcc, o vpls.

Las familias de protocolos en las que no se aplica la policía no se ven afectadas por la policía. Por ejemplo, si configura una sola interfaz lógica para aceptar tráfico de MPLS, IPv4 e IPv6, y aplica el responsable de interfaz lógica policer1 a solo las familias de protocolos IPv4 e ipv6, MPLS tráfico no está sujeto a las limitaciones de. policer1

Si aplica policer1 a una interfaz lógica diferente, hay dos instancias del policial. Esto significa que el Junos OS las políticas de tráfico en interfaces lógicas separadas de forma independiente, no como un agregado, incluso si se aplica el mismo operador de políticas lógicas (Logical-Interface) a varias interfaces lógicas del mismo puerto de interfaz físico.

Ejemplo Aplicación de políticas agregadas

Configure dos políticas de interfaces lógicas: aggregate_police1y aggregate_police2. Aplicar aggregate_police1 al tráfico IPv4 e IPv6 que se recibe en fe-0/0/0.0la interfaz lógica. Aplicable aggregate_police2 al tráfico CCC y MPLS recibidos en la interfaz lógica fe-0/0/0.0. Esta configuración hace que el software cree solo una instancia de aggregate_police1 y una instancia de aggregate_police2.

Aplicar aggregate_police1 al tráfico IPv4 e IPv6 recibido en otra interfaz fe-0/0/0.1lógica. Esta configuración hace que el software cree una nueva instancia de aggregate_police1, una que se aplique a la unidad 0 y otra que se aplique a la unidad 1.

Aplicación de políticas jerárquicas sobre la foto mejorada de puesta en cola inteligente

Aplicación de políticas jerárquicas sobre la foto mejorada de puesta en cola inteligente

M40e, M120 y M320 enrutadores de borde y serie T principales enrutadores con la cola inteligente mejorada (IQE) PICs son compatibles con las políticas jerárquicas de la dirección de la entrada y le permiten aplicar una aplicación de policía jerárquica para el tráfico de primas y de agregado (Premium Plus normal) niveles a una interfaz. Las microplataformas jerárquicas proporcionan funcionalidad entre la interfaz física configurada y el motor de reenvío de paquetes.

Antes de comenzar, hay algunas restricciones generales que se aplican a las políticas jerárquicas:

  • Solo se puede configurar un tipo de policía para una interfaz física o lógica. Por ejemplo, no se permite una policialidad jerárquica y una policía de regular en la misma dirección que la de la misma interfaz lógica.

  • No se permite el encadenamiento—de las políticas de policía, es decir, la aplicación de policía a un puerto y—a las interfaces lógicas de dicho puerto.

  • Existe un límite de 64 de micropolicíaes por interfaz en caso de que no haya clasificación de BA, lo que proporciona un único policía de por DLCI.

  • Solo se puede aplicar un tipo de policía a una interfaz física o lógica.

  • La policía debe ser independiente de la clasificación de BA. Sin la clasificación de BA, todo el tráfico de una interfaz se tratará como EF o no EF, basándose en la configuración. Gracias a la clasificación de BA, una interfaz puede soportar hasta 64 policiales. Una vez más, la interfaz puede ser una interfaz física o una interfaz lógica (por ejemplo, DLCI).

  • Con la clasificación de BA, el tráfico de cargos varios (el tráfico que no coincide con ninguno de los bits DSCP/exp de la clasificación de BA) se considerará tráfico no EF. Para este tráfico no se instalarán otras políticas independientes.

Descripción general del Policíaismo jerárquico

La políticas jerárquicas utilizan dos depósitos de testigos, uno para el tráfico agregado (no EF) y otro para el tráfico Premium (EF). La configuración del tipo de servicio determina qué tráfico es EF y qué no es EF. Lógicamente, las políticas jerárquicas se consiguen encadenando dos policiales.

Figura 1: Policiales jerárquicos
Policiales jerárquicos

En el ejemplo de Figura 1que se trata, el tráfico EF es superpuesto por el policíaismo de la prima y el tráfico no EF es superpuesto a una policía de agregado. Esto significa que, para el tráfico EF, la acción fuera de la especificación será la que esté configurada para el responsable de la prima Premium, pero el tráfico de EF dentro de la especificación seguirá consumiendo los testigos de la policía de agregado.

Sin embargo, nunca se someterá al tráfico EF a la acción fuera de la especificación de la policía de agregado. Además, si la acción fuera de la especificación del Policíaismo no está definida como descartado (discard), los paquetes fuera de la especificación no consumirán los testigos de la policía de agregado. Las directivas de agregación de agregado solo imhacen el tráfico no EF. Como puede ver, el depósito de token de la policía de agregación puede ser negativo, si todos los tokens son consumidos por el tráfico que no es EF y, a continuación, se obtienen ráfagas de tráfico EF. Pero que será durante un tiempo muy corto y durante un periodo de tiempo que pueda mediar. Por ejemplo:

  • Policía de alta calidad: Ancho de banda 2 Mbps, OOS acción: Rechaza

  • Policía de agregado: Ancho de banda 10 Mbps, OOS acción: Rechaza

En el caso anterior, el tráfico EF está garantizado por 2 Mbps y el tráfico no EF va de 8 Mbps a 10 Mbps, dependiendo de la velocidad de entrada del tráfico EF.

Características de las políticas jerárquicas

Las características de depósitos de tokens jerárquicos incluyen:

  • El tráfico de entrada se clasifica primero en el tráfico EF y no EF antes de aplicar un policía:

    • La clasificación de Q-Tree lo realiza

  • Número de canal selecciona un policía de depósito de testigo compartido:

    • La policía de depósito de doble símboloje se divide en dos políticas de depósitos únicos:

      • Tráfico—de Policer1 EF

      • Policer2—tráfico no EF

  • El depósito compartido de tokens se utiliza para vigilar el tráfico de la siguiente manera:

    • Policer1 se establece en la velocidad de EF (por ejemplo, 2 Mbps)

    • Policer2 se establece en una velocidad de agregación por políticas de interfaz (por ejemplo, 10 Mbps).

    • El tráfico EF se aplica a Policer1.

      • Si el tráfico se encuentra en la especificación, se le permite el paso y el decremento tanto de Policer1 como de Policer2.

      • Si el tráfico no está en la especificación, puede descartarlo o marcarlo con una nueva prioridad de FC o pérdida. Policer2 no hará nada con el tráfico EF que no esté en la especificación.

    • El tráfico no EF solo se aplica a Policer2.

      • Si el tráfico se encuentra en la especificación, se le permite atravesar y reducir Policer2.

      • Si el tráfico no está en la especificación, se descarta o se marca con un nuevo FC o se establece con una nueva prioridad de colocación.

  • Velocidad: limite la velocidad del puerto a la velocidad deseada en la capa 2

  • Velocidad: limita el tráfico EF

  • Límite de velocidad de tráfico no EF

  • Las caídas de políticas se contabilizan por color

Configuración de las políticas jerárquicas

Para configurar un responsable jerárquico, aplique la policing-priority instrucción a la clase de reenvío adecuada y configure una de las políticas jerárquicas para el nivel agregado y Premium. Para obtener más información acerca de la clase de servicio Junos OS Class of Service User Guide for Routing Devices, consulte el.

Nota

Las políticas de policía jerárquicas solo se pueden configurar en interfaces físicas SONET alojadas en un PIC IQE. Solo se admiten los niveles de agregación y Premium.

Configuración de la CES de las clases de reenvío para las políticas jerárquicas

Para obtener más información acerca de la configuración e instrucciones de la clase de servicio Junos OS Class of Service User Guide for Routing Devices, consulte el.

Configuración de Firewall para las políticas jerárquicas

Puede aplicar la policial jerárquica de la siguiente manera:

También tiene la opción de aplicar la policía en el nivel de puerto físico de la siguiente manera:

Configuración de políticas de dos colores de una sola tasa

Puede configurar una sola clase de policía de dos colores de la manera siguiente:

Puede aplicar la policía de la siguiente manera:

También tiene la opción de aplicar la policía en el nivel de puerto físico de la siguiente manera:

Configuración de una clase de policiales ciegas de una sola vez

Esta sección describe las políticas de color monocromática y con reconocimiento de color.

Puede configurar una configuración ciega de un solo color de tasa de la siguiente manera:

Puede aplicar la policía a una sola velocidad ciega del color, de la siguiente manera:

Puede configurar una sola clase de policía que tenga en cuenta el color de la siguiente manera:

Puede aplicar la policía de una sola vez a la de tipo de color de la siguiente manera:

También tiene la opción de aplicar la policía en el nivel de puerto físico de la siguiente manera:

Configuración de una policía de marcador tricolor de dos tasas

Las políticas de entrada se implementan mediante un marcador tricolor de dos tasas (trTCM). Esto se hace con un depósito de símbolo (token) dual (DTB) que mantiene dos tasas, comprometidas y un pico. Las políticas de salida estáticas también utilizan un depósito de tokens.

Los depósitos de tokens realizan las siguientes funciones de políticas de entrada:

  • (1 KB) trTCM-depósito dual de tokens (marcado rojo, amarillo y verde)

  • Las políticas se basan en el tamaño del paquete de capa 2:

    • Después del desplazamiento de ajuste de +/-byte

  • La marcación es consciente de color y color ciego:

    • El reconocimiento de color debe tener el color de búsqueda de q-Tree basado en:

      • Procedimientos

      • CADUCIDAD

  • Acciones programables de marcado:

    • Color (rojo, amarillo, verde)

    • Colocar basado en color y Perfil de congestión

  • Se selecciona el policial de acuerdo con el número del canal de llegada:

    • El número de canal LUT produce un índice de políticas y un índice de colas

    • Varios canales pueden compartir el mismo policial (LUT produce el mismo índice de políticas)

  • Admite políticas y trTCM de entrada en los siguientes niveles:

    • Cola

    • Interfaz lógica (IFL/DLCI)

    • Interfaz física (IFD)

    • Puerto físico (IFD de controlador)

    • Cualquier combinación de interfaz lógica, interfaz física y Puerto

  • Porcentaje de soporte de la velocidad de la interfaz y de los bits por segundo

Los límites de velocidad pueden aplicarse a las colas seleccionadas en la entrada y en las colas predefinidas en el momento del salida. El depósito de token funciona en los modos de color y con colores ciegos (especificados por RFC 2698).

Configurar un trTCM ciego

Puede aplicar la policía de tres colores, ciegas y de dos tasas, del modo siguiente:

También tiene la opción de aplicar la policía en el nivel de puerto físico de la siguiente manera:

Configuración de un trTCM de reconocimiento de color

Puede aplicar la aplicación de tres colores con el color de dos tasas del modo siguiente:

También tiene la opción de aplicar la policía en el nivel de puerto físico de la siguiente manera: