Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Applying Policers

Applying Policers 개요

Policers를 사용하면 방화벽 필터를 구성하지 않고도 특정 인터페이스 또는 Layer 2 VPN(Virtual Private Networks)에서 간단한 트래픽 관리 작업을 수행할 수 있습니다. 정책 적용을 위해 다음과 같은 진술을 policer 포함해야 합니다.

다음과 같은 계층 수준에 이러한 진술을 포함할 수 있습니다.

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

family명령문에서 프로토콜 패밀리는 ccc , , , 또는 inetinet6mpls 를 수 tccvpls 있습니다.

명령문에서 ARP(Address Resolution Protocol) 패킷이 인터페이스에서 수신될 때 평가할 하나의 arp Policer 템플릿의 이름을 나열합니다. 기본적으로 ARP Policer는 사용자가 명령문을 구성한 모든 Ethernet 인터페이스에서 공유되는 family inet 설치됩니다. 보다 엄격하고 엄격한 ARP 패킷을 적용하려는 경우 인터페이스별 경찰관을 구성하고 인터페이스에 적용할 수 있습니다. 계층 수준에서 다른 모든 Policer를 구성할 때와 같은 ARP [edit firewall policer] Policer를 구성할 수 있습니다. 인터페이스에 이 Policer를 적용하면 기본 ARP 패킷 정책이 다시 지정됩니다. 이 Policer를 삭제하면 기본 정책이 다시 적용됩니다.

  • 인터페이스에서 각 프로토콜 패밀리에 대해 하나의 입력 Policer와 1개 출력 Policer를 사용하여 각 프로토콜 패밀리에 대해 서로 다른 Policer를 구성할 수 있습니다. Policer를 적용하면 패밀리 , , 또는 , 또는 오직 하나의 cccinetinet6mplstccvpls ARP Policer를 구성할 inet 수 있습니다. Policer가 참조될 때마다 인터페이스에 대한 패킷 포우링 컴포넌트에 별도의 Policer 복사본이 설치됩니다.

  • 인터페이스에 Policers 및 Firewall 필터를 모두 적용하면 입력 방화벽 필터를 시작하기 전에 입력된 Policers를 평가하고 출력 방화벽 필터를 통해 출력 Policers를 평가합니다. 명령문에서 패킷이 인터페이스에서 수신될 때 평가할 하나의 input Policer 템플릿의 이름을 나열합니다. 명령문에서 패킷이 인터페이스에서 전송될 때 평가할 하나의 output Policer 템플릿의 이름을 나열합니다.

  • 여러FPC를 아우르는 AE(Aggregated Ethernet) 인터페이스를 통해 MX 시리즈 라우터에서 종료되는 가입자의 경우, Policer에 구성된 제한이 AE 번들의 각 인터페이스에 별도로 적용되어 있기 때문에 전체 가입자 수가 설정된 요금을 초과할 수 있습니다. 예를 들어, 3개 멤버 AE 인터페이스에서 bandwidth-limit600m를적용하는 경우, AE의 3개 인터페이스(즉, 인터페이스당 bandwidth-limit 200Mbps, 총 600Mbps)를 고려하여 200m 동안 Policer를 구성해야 합니다.

  • 인터페이스에 Policer를 적용하면 해당 인터페이스에서 수신하거나 전송하는 패킷에 lo0 라우팅 엔진.

  • 인터페이스가 동일한 FPC에 있는 경우 T 시리즈, M120 및 M320 플랫폼에서 필터 또는 policers는 인터페이스로 들어오고 나가는 트래픽의 합계에 대해 행동하지 않습니다.

통합 Policers 적용

통합 Policers 적용

기본적으로 동일한 논리적 인터페이스에서 여러 프로토콜 패밀리에 Policer를 적용하면 Policer는 각 프로토콜 패밀리에 대한 트래픽을 개별적으로 제한합니다. 예를 들어, IPv4 및 IPv6 트래픽에 50Mbps 대역폭 제한을 적용한 Policer는 인터페이스에서 50Mbps의 IPv4 트래픽과 50Mbps의 IPv6 트래픽을 허용할 수 있습니다. 통합 Policer를 적용하면 인터페이스에서 50Mbps의 IPv4 및 IPv6 트래픽만 수신할 수 있습니다.

통합 정책(aggregate policer)을 구성하기 위해 계층 수준에서 logical-interface-policer[edit firewall policer policer-template-name] 명령문을 포함하십시오.

정책이 통합된 것으로 처리하려면, 명령문을 포함해 단일 논리적 인터페이스에 있는 여러 프로토콜 패밀리에 policer 적용해야 합니다.

다음과 같은 계층 수준에 이러한 진술을 포함할 수 있습니다.

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

family명령문에서 프로토콜 패밀리는 ccc , , , 또는 inetinet6mpls 를 수 tccvpls 있습니다.

Policer를 적용하지 않은 프로토콜 패밀리는 Policer의 영향을 받지 않습니다. 예를 들어, MPLS, IPv4 및 IPv6 트래픽을 허용하도록 단일 논리적 인터페이스를 구성하고 논리적 인터페이스인 Policer를 IPv4 및 IPv6 프로토콜 패밀리에만 적용하면 MPLS 트래픽이 의 제약 조건에 적용되지 policer1policer1 않습니다.

다른 논리적 인터페이스에 적용하면 policer1 Policer의 두 인스턴스가 있습니다. 이는 Junos OS 논리적 인터페이스가 동일한 물리적 인터페이스 포트의 여러 논리적 인터페이스에 적용되는 경우에도 별도의 논리적 인터페이스에서 트래픽을 집계로 적용하지 않습니다.

예를 들면 다음과 같습니다. 통합 Policers 적용

두 개의 논리적 인터페이스 경찰서 구성: aggregate_police1aggregate_police2및 를 통해 논리적 aggregate_police1 인터페이스에서 수신된 IPv4 및 IPv6 트래픽에 fe-0/0/0.0 적용합니다. 논리적 aggregate_police2 인터페이스 fe-0/0/0.0에서 MPLS CCC 및 트래픽에 적용됩니다. 이 구성은 소프트웨어가 1개 인스턴스와 1개 인스턴스의 인스턴스만 aggregate_police1 생성하게 aggregate_police2 합니다.

다른 논리적 인터페이스에서 aggregate_police1 수신된 IPv4 및 IPv6 트래픽에 fe-0/0/0.1 적용합니다. 이 구성은 소프트웨어가 Unit 0에 적용되는 새 인스턴스와 Unit 1에 적용되는 다른 인스턴스를 aggregate_police1 생성합니다.

향상된 지능형 큐링 PIC에 계층형 경찰서 적용

향상된 지능형 큐링 PIC에 계층형 경찰서 적용

향상된 IQE(Intelligent Queuing) PICs를 채용한 M40e, M120 및 M320 및 T 시리즈 코어 라우터는 ingress 방향의 계층형 경찰서(hierarchical policer)를 지원하며, 프리미엄 및 어그리게이트(premium plus) 트래픽 레벨을 인터페이스에 적용할 수 있도록 합니다. 계층적 관리(hierarchical policers)는 구성된 물리적 인터페이스와 인터페이스 간의 교차 기능을 패킷 전달 엔진.

시작하기 전에 계층형 경찰서에 적용되는 몇 가지 일반적인 제한이 있습니다.

  • 논리적 또는 물리적 인터페이스를 위해 단 하나의 유형의 Policer만 구성할 수 있습니다. 예를 들어, 동일한 논리적 인터페이스에 대해 동일한 방향의 계층형 경찰서와 일반 경찰서는 허용되지 않습니다.

  • 즉, 이 포트의 포트와 논리적 인터페이스 모두에 Policers를 적용하는 것인, 즉, Policers의 연쇄는 허용되지 않습니다.

  • BA 분류가 없는 경우 인터페이스당 64개로 제한됩니다. DLCI당 단일 Policer를 제공합니다.

  • 물리적 또는 논리적 인터페이스에 단 하나의 종류의 Policer를 적용할 수 있습니다.

  • Policer는 BA 분류와 독립적입니다. BA 분류가 없는 경우 인터페이스의 모든 트래픽은 구성에 따라 EF 또는 비-EF로 처리됩니다. BA 분류를 사용하면 인터페이스가 최대 64개까지 지원할 수 있습니다. 여기서 인터페이스는 물리적 인터페이스 또는 논리적 인터페이스(예: DLCI)일 수 있습니다.

  • BA 분류를 적용하면 기타 트래픽(BA 분류 DSCP/EXP 비트와 일치하지 않는 트래픽)이 비 EF 트래픽으로 적용됩니다. 이 트래픽에는 별도의 경찰서가 설치되지 않습니다.

계층적 경찰서 개요

계층적 Policing은 두 개의 토큰 바킷을 사용하며, 하나는 통합(비-EF) 트래픽과 프리미엄(EF) 트래픽에 대해 하나입니다. 어떤 트래픽이 EF인가, 비-EF는 서비스 등급 구성에 따라 결정됩니다. 논리적으로 2개의 경찰관을 연결하면 계층적 정치적 정치가 이루어 낼 수 있습니다.

그림 1: 계층형 경찰서계층형 경찰서

예제의 경우, EF 트래픽은 Premium Policer에 의해 경찰을, 비 EF 트래픽은 그림 1 Aggregate Policer에 의해 경찰에 의해 경찰이됩니다. 즉, EF 트래픽의 경우, 기본 설정 작업의 경우 Premium Policer를 위해 구성된 조치가 되지만, In-spec EF 트래픽은 여전히 Aggregate Policer의 토큰을 소비합니다.

그러나 EF 트래픽은 Aggregate Policer의 사양 외 조치에 제출되지 않습니다. 또한 Premium Policer의 out-of-spec action이 폐기로 설정되지 않은 경우, 사양이 아닌 패킷은 Aggregate Policer의 토큰을 소비하지 않습니다. 통합 Policer는 비 EF 트래픽만 조사합니다. 보시다시게도, 모든 토큰이 비 EF 트래픽에 의해 소비된 다음, EF 트래픽이 버스트되는 경우, Aggregate Policer 토큰 버킷은 부정적인 것으로 나타날 수 있습니다. 그러나 이는 매우 짧은 시간 동안, 그리고 이 기간 동안 평균적으로 단축될 것입니다. 몇 가지 예를 들면 다음과 같습니다.

  • 프리미엄 경찰서: 대역폭 2Mbps, OOS 작업: 삭제

  • 통합 Policer: 대역폭 10Mbps, OOS 작업: 삭제

위의 경우, EF 트래픽은 2Mbps를 보장하며 비-EF 트래픽은 EF 트래픽의 입력 속도에 따라 8Mbps에서 10 Mbps로 설정됩니다.

계층적 정치적 특성

계층형 토큰 버킷 기능은 다음과 같습니다.

  • Ingress 트래픽은 처음에는 Policer를 적용하기 전에 EF 및 비-EF 트래픽으로 분류됩니다.

    • Q-tree 룩업에 의해 분류 수행

  • 채널 번호가 공유 토큰 버킷 Policer를 선택합니다.

    • 이중 토큰 버킷 Policer는 2개의 단일 버킷 경찰서로 나뉘어 있습니다.

      • Policer1—EF 트래픽

      • Policer2—비-EF 트래픽

  • 공유 토큰 버킷은 다음과 같이 트래픽에 대한 조사에 사용됩니다.

    • Policer1이 EF 속도로 설정됩니다(예: 2Mbps)

    • Policer2는 인터페이스 정해진 속도(예: 10Mbps)로 설정됩니다.

    • EF 트래픽은 Policer1에 적용됩니다.

      • 트래픽이 사양에 문제가 있는 경우 Policer1과 Policer2 모두에서 통과 및 감소가 허용됩니다.

      • 트래픽이 사양을 위반한 경우, 새로운 트래픽을 폐기하거나 새로운 트래픽 또는 파이버 채널(FC) 우선 순위가 지정될 수 있습니다. Policer2는 사양 외 EF 트래픽으로는 아무것도 하지 않습니다.

    • 비-EF 트래픽은 Policer2에만 적용됩니다.

      • 트래픽이 사양에 문제가 있는 경우, 통과를 허용하고 Policer2를 줄입니다.

      • 트래픽이 사양에 미치면 폐기 또는 새로운 파이버 채널(FC) 삭제 우선 순위로 설정됩니다.

  • 포트 속도를 Layer 2에서 원하는 속도로 속도 제한

  • EF 트래픽 속도 제한

  • 비-EF 트래픽 속도 제한

  • 컬러당 폴링 드롭 카운트

계층적 피어링(Hierarchical Policers) 구성

계층적 정책 처리기(hierarchical policer)를 구성하기 위해 적절한 포그래머 클래스에 명령문을 적용하고 총 및 프리미엄 수준에 대해 계층형 policing-priority 정책(hierarchical policer)을 구성합니다. 에 대한 자세한 서비스 등급 라우팅 장비에 대한 Junos OS 서비스 등급 가이드 를 참조하십시오.

주:

계층적 관리는 IQE PIC에 호스팅된 SONET 물리적 인터페이스에서만 구성할 수 있습니다. 총액 및 프리미엄 수준만 지원됩니다.

계층적 좌회전(Hierarchical Policers)을 위한 CoS 포링 클래스의 CoS 구성

서비스 등급 구성 및 명령문에 대한 자세한 내용은 라우팅 장비에 대한 Junos OS 서비스 등급 가이드 를 참조하십시오.

계층형 경찰관을 위한 방화벽 구성

계층형 Policer는 다음과 같이 적용할 수 있습니다.

물리적 포트 수준에서 다음과 같은 옵션으로 Policer를 적용할 수 있습니다.

단일 속도 2색 경찰서 구성

다음과 같이 단일 속도의 2색 Policer를 구성할 수 있습니다.

다음과 같이 Policer를 적용할 수 있습니다.

물리적 포트 수준에서 다음과 같은 옵션으로 Policer를 적용할 수 있습니다.

단일 속도 색맹 경찰서 구성

이 섹션에서는 단일 속도의 컬러 블라인드 및 컬러 인식 정책에 대해 설명합니다.

단일 속도의 맹목적(single-rate color blind policer)을 다음과 같이 구성할 수 있습니다.

단일 속도의 무인(single-rate) 컬러 블라인드 경찰서(blind policer)를 다음과 같이 적용할 수 있습니다.

다음과 같이 단일 속도의 색 인식 경찰서(color-aware policer)를 구성할 수 있습니다.

다음과 같이 단일 속도의 색 인식형 경찰서(single-rate color-aware policer)를 적용할 수 있습니다.

물리적 포트 수준에서 다음과 같은 옵션으로 Policer를 적용할 수 있습니다.

2개의 속도 3코어 마커 경찰서 구성

Ingress Policing은 2개의 속도 trTCM(Tricolor 마커)을 사용하여 구현됩니다. 이는 2개의 속도(커밋 및 피크)를 유지하는 이중 토큰 버킷(DTB)으로 수행됩니다. 또한, Egress 정적 폴로킹(Egress static policing)은 토큰 버킷을 사용한다.

토큰 버킷은 다음과 같은 ingress policing 기능을 수행합니다.

  • (1K) trTCM - 듀얼 토큰 버킷(빨간색, 노란색, 녹색 마킹)

  • Policing은 레이어 2 패킷 크기에 기반합니다.

    • +/- 오프셋 후

  • 마킹은 컬러 인식 및 컬러 블라인드:

    • 색 인식은 다음을 기반으로 q-tree 룩업에 따라 설정해야 합니다.

      • 서비스 유형(ToS)

      • 특급

  • 프로그래밍 가능한 마킹 작업:

    • 색상(적색, 노란색, 녹색)

    • 컬러 및 혼잡 프로필에 기반한 드롭

  • 예정된 채널 번호를 기준으로 Policer가 선택됩니다.

    • 채널 번호 LUT는 Policer Index 및 큐 인덱스를 생성합니다.

    • 여러 채널이 동일한 Policer를 공유할 수 있습니다(LUT는 동일한 Policer 인덱스를 생성)

  • 다음과 같은 수준에서 ingress policing 및 trTCM 지원:

    • 논리적 인터페이스(ifl/DLCI)

    • 물리적 인터페이스(있는 경우)

    • 물리적 포트(컨트롤러(있는 경우)

    • 논리적 인터페이스, 물리적 인터페이스 및 포트의 모든 조합

  • 인터페이스 속도 및 초당 비트 비율 지원

ingress 및 egress에서 미리 정의한 큐에서 선택한 큐에 속도 제한을 적용할 수 있습니다. 토큰 버킷은 컬러 인식 및 컬러 블라인드 모드(RFC 2698에 의해 지정)로 작동됩니다.

컬러 블라인드 trTCM 구성

다음과 같이 3색 2 속도의 맹목적(color-blind) policer를 적용할 수 있습니다.

물리적 포트 수준에서 다음과 같은 옵션으로 Policer를 적용할 수 있습니다.

색 인식 trTCM 구성

다음과 같이 3색 2 속도 색 인식 경찰서 를 적용할 수 있습니다.

물리적 포트 수준에서 다음과 같은 옵션으로 Policer를 적용할 수 있습니다.