EN ESTA PÁGINA
Ejemplo: Limitar el tráfico saliente dentro de la red mediante la configuración de un policia de dos colores de velocidad única de salida y la configuración de clasificadores multicampo
En este ejemplo, se muestra cómo limitar el tráfico de clientes dentro de la red mediante un policia de dos colores de velocidad única. Los agentes de policía usan un concepto conocido como bucket de token para identificar qué tráfico se cae. El agente de policía aplica la estrategia de clase de servicio (CoS) del tráfico dentro y fuera de contrato en el nivel de la interfaz. Puede aplicar un agente de policía de dos colores de velocidad única a los paquetes entrantes, los paquetes salientes o ambos. En este ejemplo, se aplica el agente de policía como un agente de policía de salida (salida) para el tráfico de salida. La opción de cola coS del clasificador multicampo coloca el tráfico en las colas asignadas, lo que le ayudará a administrar el uso de recursos en el nivel de la interfaz de salida mediante la aplicación de programación y el modelado posterior.
Una explicación completa del concepto de bucket de token y sus algoritmos subyacentes está más allá del alcance de este documento. Para obtener más información sobre la vigilancia de tráfico y el CoS en general, consulte Redes habilitadas para QOS: herramientas y fundamentos , de Miguel Barreiros y Peter Lundqvist. Este libro está disponible en muchos libreros en línea y en www.juniper.net/books.
Requisitos
Para comprobar este procedimiento, en este ejemplo se utiliza un generador de tráfico. El generador de tráfico puede estar basado en hardware o puede ser software que se ejecuta en un servidor o máquina host.
La funcionalidad de este procedimiento es ampliamente compatible con dispositivos que ejecutan Junos OS. El ejemplo que se muestra aquí fue probado y verificado en enrutadores serie MX que ejecutan Junos OS versión 10.4.
Visión general
Policía
La vigilancia de dos colores de velocidad única aplica una velocidad configurada de flujo de tráfico para un nivel de servicio determinado mediante la aplicación de acciones implícitas o configuradas al tráfico que no se ajuste a los límites. Cuando se aplica un policiador de dos colores de velocidad única al tráfico de entrada o salida en una interfaz, el agente de policía mida el flujo de tráfico hasta el límite de velocidad definido por los siguientes componentes:
Límite de ancho de banda: el número promedio de bits por segundo permitido para los paquetes recibidos o transmitidos en la interfaz. Puede especificar el límite de ancho de banda como un número absoluto de bits por segundo o como un valor de porcentaje del 1 al 100. Si se especifica un valor de porcentaje, el límite de ancho de banda efectivo se calcula como un porcentaje de la velocidad de medios de la interfaz física o de la velocidad de configuración de interfaz lógica configurada.
Límite de tamaño de ráfagas: el tamaño máximo permitido para ráfagas de datos. Los tamaños de ráfaga se miden en bytes. Recomendamos dos fórmulas para calcular el tamaño de la ráfaga:
Tamaño de la ráfaga = ancho de banda x tiempo permitido para el tráfico de ráfagas / 8
O
Tamaño de ráfaga = interfaz mtu x 10
Para obtener más información acerca de cómo configurar el tamaño de la ráfaga, consulte Determinar el tamaño adecuado de la ráfaga para los policías de tráfico.
Nota:Hay un espacio de memoria intermedia finito para una interfaz. En general, la profundidad total estimada de búfer para una interfaz es de unos 125 ms.
Para un flujo de tráfico que se ajuste a los límites configurados (categorizados como tráfico verde), los paquetes se marcan implícitamente con un nivel de prioridad de pérdida de paquetes (PLP) de low y se les permite pasar por la interfaz sin restricciones.
Para un flujo de tráfico que supere los límites configurados (categorizado como tráfico rojo), los paquetes se manejan de acuerdo con las acciones de control de tráfico configuradas para el agente de policía. En este ejemplo, se descartan paquetes que revientan sobre el límite de 15 KBps.
Para limitar la velocidad de tráfico de capa 3, puede aplicar un policia de dos colores de las siguientes maneras:
Directamente a una interfaz lógica, a un nivel de protocolo específico.
Como la acción de un filtro de firewall estándar sin estado que se aplica a una interfaz lógica, en un nivel de protocolo específico. Esta es la técnica utilizada en este ejemplo.
Para limitar la velocidad de tráfico de capa 2, puede aplicar un policiador de dos colores como solo un agente de interfaz lógica. No puede aplicar un agente de policía de dos colores al tráfico de capa 2 mediante un filtro de firewall.
Puede elegir entre el límite de ancho de banda o el porcentaje de ancho de banda dentro de la política, ya que son mutuamente excluyentes. No puede configurar un agente de política para usar porcentaje de ancho de banda para interfaces de agregado, túnel e software.
En este ejemplo, como se ilustra en la figura 1, Host1 conectado al dispositivo R1 y Host3 conectado al dispositivo R3 son generadores de tráfico que emulan servidores web. Tanto Host1 como Host3 envían tráfico a Host2 detrás del dispositivo R2. Los dispositivos R1, R2 y R3 son propiedad de un proveedor de servicios. Los usuarios del Host2 detrás de R2 acceden a Host1. Host1 y Host2 son propiedad del mismo cliente y su tráfico debe administrarse. Host1 enviará tráfico con un puerto TCP HTTP de origen de 80 a los usuarios. Un policiador de dos colores de velocidad única se configura y se aplica a la interfaz en R1 que se conecta a R2. El agente de policía hace cumplir el contrato acordado por el propietario del servidor web y el proveedor de servicios para el ancho de banda disponible para el tráfico web que fluye entre R1 y R2.
de velocidad única
En este ejemplo, se aplica un agente de policía de salida entre R1 y R2, ya que este es el punto en el que el tráfico de ambos sitios de cliente comparte el mismo vínculo. Esto facilita la aplicación de los parámetros de vigilancia necesarios. Tratar de limitar la velocidad del tráfico combinado de clientes en el vínculo entre R1 y R2 aplicando los policias como policias de entrada en las interfaces ge-0/0/0 en R3 y ge-2/0/5 en R1 sea complicado porque usar la velocidad contratada de 700 Mbps (70 %) del ancho de banda disponible con una velocidad de ráfaga permitida de 10 veces el tamaño de MTU de la interfaz de gigabit Ethernet entre Host3 y R3 y host1 y R1 lo que permite una transferencia de datos máxima de 1400 Mbps a través del vínculo entre R1 y R2.
Por lo tanto, la limitación de velocidad aplicada a las conexiones de host entre los hosts y R3 y R1 tendría que reducirse por debajo de 700 Mbps. El cálculo de a qué reducir el número de velocidad límite sería un problema, ya que solo reducir cada host a 350 Mbps significaría que si un host transmitiera tráfico mientras que el otro host no transmitiera, la transferencia de datos máxima en el vínculo entre R1 y R2 sería solo la mitad de la velocidad contratada (350 Mbps en lugar de 700 Mbps). Es por esto que este ejemplo es útil para mostrar la cantidad de pensamiento que se debe utilizar en aplicar CoS en una red para lograr los objetivos deseados.
De acuerdo con la disponibilidad contractual de ancho de banda, la policía de salida en R1 limitará el tráfico del puerto HTTP 80 que se origina en Host1 a usar 700 Mbps (70 por ciento) del ancho de banda disponible con una velocidad de ráfaga permitida de 10 veces el tamaño de MTU de la interfaz gigabit Ethernet entre R1 y R2.
En este ejemplo, se utiliza tráfico adicional del puerto de origen TCP 12345 para ilustrar con mayor detalle cómo se asigna el tráfico a las colas salientes.
En un escenario real, es probable que también limite la velocidad de tráfico para una variedad de otros puertos, como FTP, SFTP, SSH, TELNET, SMTP, IMAP y POP3, ya que a menudo se incluyen como servicios adicionales con servicios de alojamiento web.
Debe dejar disponible algo de ancho de banda adicional que no esté limitado a la velocidad para los protocolos de control de red, como protocolos de enrutamiento, DNS y cualquier otro protocolo necesario para mantener operativa la conectividad de red. Esta es la razón por la que el filtro de firewall tiene una condición de aceptación final.
Topología
En este ejemplo, se usa la topología de la figura 2.
de velocidad única
La figura 3 muestra el comportamiento de la policía.
Clasificación multicampo
Un clasificador es una operación de software que un enrutador o conmutador utiliza para inspeccionar y clasificar un paquete después de que haya pasado por cualquier control de policía, si la vigilancia está configurada. Durante la clasificación, se examina el contenido del encabezado del paquete, y este examen determina cómo se trata el paquete cuando la interfaz saliente se vuelve demasiado ocupada para manejar todos los paquetes y desea que su dispositivo caiga paquetes de forma inteligente, en lugar de soltar paquetes de forma indiscriminada. Una forma común de detectar paquetes de interés es mediante el número de puerto de origen. Los números de puerto de origen TCP 80 y 12345 se utilizan en este ejemplo, pero muchos otros criterios de coincidencia para la detección de paquetes están disponibles para los clasificadores de varios campos, mediante el uso de condiciones de coincidencia de filtro de firewall. La configuración de este ejemplo especifica que los paquetes TCP con un puerto de origen 80 se clasifican en la clase de reenvío de datos BE y el número de cola 0, y los paquetes TCP con un puerto de origen 12345 se clasifican en la clase de reenvío de datos Premium y el número de cola 1. El tráfico de ambos números de puerto es monitoreado primero por el agente de policía. Si el tráfico pasa por el agente de policía, se transmite a la interfaz saliente en la cola asignada para la transmisión.
Los clasificadores de varios campos suelen usarse en el borde de la red a medida que los paquetes ingresan en un sistema autónomo (AS). Sin embargo, como se explicó anteriormente en la sección de políticas, en este ejemplo, el clasificador de varios campos está configurado dentro del AS del proveedor de servicios.
En este ejemplo, configure el filtro mf-classifier de firewall y especifique algunas clases de reenvío personalizadas en R1. Al especificar las clases de reenvío personalizadas, también asocia cada clase a una cola.
La operación clasificadora se muestra en la Figura 4.
de origen TCP
Puede supervisar el comportamiento de las colas en las interfaces sobre las que se transmite el tráfico. En este ejemplo, para determinar cómo se realiza el servicio de las colas, examine las estadísticas de tráfico en la interfaz ge-2/0/8 en R1 mediante la extensive opción del show interfaces comando.
Configuración
Procedimiento
- Configuración rápida de CLI
- Procedimiento paso a paso
- Procedimiento paso a paso
- Procedimiento paso a paso
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.
Dispositivo R1
set interfaces ge-0/0/1 description to-R3 set interfaces ge-0/0/1 unit 0 family inet address 10.51.0.1/30 set interfaces ge-2/0/5 description to-Host set interfaces ge-2/0/5 unit 0 family inet address 172.16.70.2/30 set interfaces ge-2/0/8 description to-R2 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.1/30 set interfaces ge-2/0/8 unit 0 family inet filter output mf-classifier set interfaces lo0 unit 0 description loopback-interface set interfaces lo0 unit 0 family inet address 192.168.13.1/32 set firewall policer discard if-exceeding bandwidth-limit 700m set firewall policer discard if-exceeding burst-size-limit 15k set firewall policer discard then discard set class-of-service forwarding-classes class BE-data queue-num 0 set class-of-service forwarding-classes class Premium-data queue-num 1 set class-of-service forwarding-classes class Voice queue-num 2 set class-of-service forwarding-classes class NC queue-num 3 set firewall family inet filter mf-classifier term BE-data from protocol tcp set firewall family inet filter mf-classifier term BE-data from port http set firewall family inet filter mf-classifier term BE-data then forwarding-class BE-data set firewall family inet filter mf-classifier term BE-data then policer discard set firewall family inet filter mf-classifier term Premium-data from protocol tcp set firewall family inet filter mf-classifier term Premium-data from port 12345 set firewall family inet filter mf-classifier term Premium-data then forwarding-class Premium-data set firewall family inet filter mf-classifier term Premium-data then policer discard set firewall family inet filter mf-classifier term accept then accept set protocols ospf area 0.0.0.0 interface ge-2/0/5.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Dispositivo R2
set interfaces ge-2/0/7 description to-Host set interfaces ge-2/0/7 unit 0 family inet address 172.16.80.2/30 set interfaces ge-2/0/8 description to-R1 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.2/30 set interfaces lo0 unit 0 description loopback-interface set interfaces lo0 unit 0 family inet address 192.168.14.1/32 set protocols ospf area 0.0.0.0 interface ge-2/0/7.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Dispositivo R3
set interfaces ge-0/0/0 description to-Host set interfaces ge-0/0/0 unit 0 family inet address 172.16.71.1/30 set interfaces ge-0/0/1 description to-R1 set interfaces ge-0/0/1 unit 0 family inet address 10.51.0.2/30 set interfaces lo0 unit 0 description loopback-interface set interfaces lo0 unit 0 family inet address 192.168.15.1/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-0/0/1.0
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.
Para configurar R1:
Configure las interfaces del dispositivo.
[edit interfaces] user@R1# set ge-0/0/1 description to-R3 user@R1# set ge-0/0/1 unit 0 family inet address 10.51.0.1/30 user@R1# set ge-2/0/5 description to-Host user@R1# set ge-2/0/5 unit 0 family inet address 172.16.70.2/30 user@R1# set ge-2/0/8 description to-R2 user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.1/30
Configure el agente de policía para que limite la velocidad a un ancho de banda de 700 Mbps y una ráfaga de 15 KBps.
[edit firewall policer discard] user@R1# set if-exceeding bandwidth-limit 700m user@R1# set if-exceeding burst-size-limit 15k
Configure el agente de policía para descartar paquetes en el flujo de tráfico rojo.
[edit firewall policer discard] user@R1# set then discard
Configure las clases de reenvío personalizadas y los números de cola asociados.
[edit class-of-service forwarding-classes] user@R1# set class BE-data queue-num 0 user@R1# set class Premium-data queue-num 1 user@R1# set class Voice queue-num 2 user@R1# set class NC queue-num 3
Configure el término de filtro de firewall que coloca el tráfico TCP con un puerto de origen de 80 (tráfico HTTP) en la clase de reenvío de datos BE, asociada con la cola 0.
[edit firewall family inet filter mf-classifier] user@R1# set term BE-data from protocol tcp user@R1# set term BE-data from port http user@R1# set term BE-data then forwarding-class BE-data user@R1# set term BE-data then policer discard
Configure el término de filtro de firewall que coloca el tráfico TCP con un puerto de origen 12345 en la clase premium de reenvío de datos, asociada con la cola 1.
[edit firewall family inet filter mf-classifier] user@R1# set term Premium-data from protocol tcp user@R1# set term Premium-data from port 12345 user@R1# set term Premium-data then forwarding-class Premium-data user@R1# set term Premium-data then policer discard
Al final del filtro de firewall, configure un término predeterminado que acepte todo el resto del tráfico.
De lo contrario, se descarta todo el tráfico que llega a la interfaz que no sea aceptado explícitamente por el filtro de firewall.
[edit firewall family inet filter mf-classifier] user@R1# set term accept then accept
Aplique el filtro de firewall a la interfaz ge-2/0/8 como filtro de salida.
[edit interfaces] user@R1# set ge-2/0/8 unit 0 family inet filter output mf-classifier
Configure OSPF.
[edit protocols ospf] user@R1# set area 0.0.0.0 interface ge-2/0/5.0 passive user@R1# set area 0.0.0.0 interface lo0.0 passive user@R1# set area 0.0.0.0 interface ge-0/0/1.0 user@R1# set area 0.0.0.0 interface ge-2/0/8.0
Procedimiento paso a paso
Para configurar R2:
Configure las interfaces del dispositivo.
[edit] user@R2# set interfaces ge-2/0/7 description to-Host user@R2# set interfaces ge-2/0/7 unit 0 family inet address 172.16.80.2/30 user@R2# set interfaces ge-2/0/8 description to-R1 user@R2# set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.2/30 user@R2# set interfaces lo0 unit 0 description loopback-interface user@R2# set interfaces lo0 unit 0 family inet address 192.168.14.1/32
Configure OSPF.
[edit protocols ospf] user@R2# set area 0.0.0.0 interface ge-2/0/7.0 passive user@R2# set area 0.0.0.0 interface lo0.0 passive user@R2# set area 0.0.0.0 interface ge-2/0/8.0
Procedimiento paso a paso
Para configurar R3:
Configure las interfaces.
[edit] user@R3# set interfaces ge-0/0/0 description to-Host user@R3# set interfaces ge-0/0/0 unit 0 family inet address 172.16.71.1/30 user@R3# set interfaces ge-0/0/1 description to-R1 user@R3# set interfaces ge-0/0/1 unit 0 family inet address 10.51.0.2/30 user@R3# set interfaces lo0 unit 0 description loopback-interface user@R3# set interfaces lo0 unit 0 family inet address 192.168.15.1/32
Configurar OSPF
[edit protocols ospf] user@R3# set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 passive user@R3# set protocols ospf area 0.0.0.0 interface lo0.0 passive user@R3# set protocols ospf area 0.0.0.0 interface ge-0/0/1.0
Resultados
Desde el modo de configuración, ingrese los comandos , show class-of-service, show firewally show protocols ospf para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@R1# show interfaces
ge-0/0/1 {
description to-R3;
unit 0 {
family inet {
address 10.51.0.1/30;
}
}
}
}
ge-2/0/5 {
description to-Host;
unit 0 {
family inet {
address 172.16.70.2/30;
}
}
}
ge-2/0/8 {
description to-R2;
unit 0 {
family inet {
filter {
output mf-classifier;
}
address 10.50.0.1/30;
}
}
}
lo0 {
unit 0 {
description loopback-interface;
family inet {
address 192.168.13.1/32;
}
}
}
user@R1# show class-of-service
forwarding-classes {
class BE-data queue-num 0;
class Premium-data queue-num 1;
class Voice queue-num 2;
class NC queue-num 3;
}
user@R1# show firewall
family inet {
filter mf-classifier {
term BE-data {
from {
protocol tcp;
port http;
}
then {
policer discard;
forwarding-class BE-data;
}
}
term Premium-data {
from {
protocol tcp;
port 12345;
}
then {
policer discard;
forwarding-class Premium-data;
}
}
term accept {
then accept;
}
}
}
policer discard {
if-exceeding {
bandwidth-limit 700m;
burst-size-limit 15k;
}
then discard;
}
user@R1# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/5.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-0/0/1.0;
interface ge-2/0/8.0;
}
Si ha terminado de configurar R1, ingrese commit desde el modo de configuración.
user@R2# show interfaces
ge-2/0/7 {
description to-Host;
unit 0 {
family inet {
address 172.16.80.2/30;
}
}
}
ge-2/0/8 {
description to-R1;
unit 0 {
family inet {
address 10.50.0.2/30;
}
}
}
lo0 {
unit 0 {
description loopback-interface;
family inet {
address 192.168.14.1/32;
}
}
}
user@R2# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/7.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-2/0/8.0;
}
Si ha terminado de configurar R2, ingrese commit desde el modo de configuración.
user@R3# show interfaces
ge-0/0/0 {
description to-Host;
unit 0 {
family inet {
address 172.16.71.2/30;
}
}
}
ge-0/0/1 {
description to-R1;
unit 0 {
family inet {
address 10.51.0.2/30;
}
}
}
lo0 {
unit 0 {
description loopback-interface;
family inet {
address 192.168.15.1/32;
}
}
}
user@R3# show protocols ospf
area 0.0.0.0 {
interface ge-0/0/0.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-0/0/1.0;
}
Si ha terminado de configurar R3, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Comprobar la configuración de CoS
- Borrar los contadores
- Envío de tráfico a la red desde el puerto HTTP TCP 80 y monitoreo de los resultados
- Envío de tráfico a la red desde el puerto TCP 12345 y monitoreo de los resultados
Comprobar la configuración de CoS
Propósito
Confirme que las clases de reenvío están configuradas correctamente.
Acción
Desde R1, ejecute el show class-of-service forwarding-class comando.
user@R1> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority BE-data 0 0 0 low normal low Premium-data 1 1 1 low normal low Voice 2 2 2 low normal low NC 3 3 3 low normal low
Significado
El resultado muestra la configuración del clasificador personalizado configurado.
Borrar los contadores
Propósito
Confirme que los contadores de firewall e interfaz están borrados.
Acción
En R1, ejecute el
clear firewall allcomando para restablecer los contadores de firewall a 0.user@R1> clear firewall all
En R1, ejecute el
clear interface statistics ge-2/0/5comando para restablecer los contadores de interfaz a 0.user@R1> clear interface statistics ge-2/0/8
Envío de tráfico a la red desde el puerto HTTP TCP 80 y monitoreo de los resultados
Propósito
Envíe tráfico que se pueda supervisar a nivel de policía y cola personalizada.
Acción
Utilice un generador de tráfico para enviar 20 paquetes TCP con un puerto de origen de 80 a la red.
La
-smarca establece el puerto de origen. La-kmarca hace que el puerto de origen permanezca estable en 80 en lugar de incrementarse. La-cmarca establece el número de paquetes en 20. La-dmarca establece el tamaño del paquete.Nota:En este ejemplo, los números de policía se reducen a un límite de ancho de banda de 8 Kbps y un límite de tamaño de ráfaga de 1500 KBps para garantizar que algunos paquetes se caigan.
[User@host]# hping 172.16.80.1 -c 20 -s 80 -k -d 300 [User@Host]# hping 172.16.80.1 -s 80 -k -c 20 -d 375 HPING 172.16.80.1 (eth1 172.16.80.1): NO FLAGS are set, 40 headers + 375 data bytes len=46 ip=172.16.80.1 ttl=62 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=1001.0 ms . . . --- 172.16.80.1 hping statistic --- 20 packets transmitted, 14 packets received, 30% packet loss round-trip min/avg/max = 1001.0/10287.1/19002.1 ms
En R1, compruebe los contadores de firewall mediante el
show firewallcomando.user@R1> show firewall Filter: mf-classifier Policers: Name Bytes Packets discard-BE-data 2490 6 discard-Premium-data 0 0
Observe que en la
hpingsalida hubo una pérdida de paquete del 30 % (6 paquetes de 20) y el agente de policía dejó caer la misma cantidad de paquetes que se muestra en la salida delshow firewallcomando. También observe que las caídas están asociadas con la colaBE-datacomo se especifica en lamf-classifierconfiguración del firewall.En R1, compruebe los contadores de cola con el
show interfaces extensive ge-2/0/8| find "Queue counters"comando.user@R1> show interfaces extensive ge-2/0/8| find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 14 14 0 1 0 0 0 2 0 0 0 3 16 16 0 Queue number: Mapped forwarding classes 0 BE-data 1 Premium-data 2 Voice 3 NC
Observe que 14 paquetes se transmitieron fuera de la interfaz 2/0/8 mediante la cola
BE-datacomo se especifica en lamf-classifierconfiguración del firewall. Los 6 paquetes restantes fueron caídos por el agente de policía, como se muestra anteriormente. Los 16 paquetes enviados a la cola 3 son tráfico de control de red. Posiblemente sean actualizaciones de protocolo de enrutamiento.
Significado
El resultado de ambos dispositivos muestra que se descartaron 6 paquetes Esto significa que había al menos 8 Kbps de tráfico verde (puerto HTTP en contrato 80) y que se superó la opción de ráfaga de 1500 KBps para el tráfico rojo (puerto HTTP fuera de contrato 80). En los pasos 2 y 3, puede ver que se usaron las colas correctas para transmitir el tráfico restante fuera de la interfaz 2/0/8.
Envío de tráfico a la red desde el puerto TCP 12345 y monitoreo de los resultados
Propósito
Envíe tráfico que se pueda supervisar a nivel de policía y cola personalizada.
Acción
Vuelva a borrar los contadores como se muestra en la sección Borrar los contadores.
Utilice un generador de tráfico para enviar 20 paquetes TCP con un puerto de origen 12345 a la red.
La
-smarca establece el puerto de origen. La-kmarca hace que el puerto de origen permanezca estable en 12345 en lugar de incrementarse. La-cmarca establece el número de paquetes en 20. La-dmarca establece el tamaño del paquete.[User@host]# hping 172.16.80.1 -c 20 -s 12345 -k -d 300 [Host@User]# hping 172.16.80.1 -s 12345 -k -c 20 -d 375 HPING 172.16.80.1 (eth1 172.16.80.1): NO FLAGS are set, 40 headers + 375 data bytes len=46 ip=172.16.80.1 ttl=62 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=1000.4 ms . . . --- 172.16.80.1 hping statistic --- 20 packets transmitted, 13 packets received, 35% packet loss round-trip min/avg/max = 1000.4/10924.5/19002.2 ms
En R1, compruebe los contadores de firewall mediante el
show firewallcomando.user@R1> show firewall Filter: mf-classifier Policers: Name Bytes Packets discard-BE-data 0 0 discard-Premium-data 2905 7
Observe que en la
hpingsalida hubo una pérdida de paquete del 35 % (7 paquetes de 20) y el agente de policía perdió el mismo número de paquetes como se muestra en la salida delshow firewallcomando. También observe que las caídas están asociadas con la colaPremium-datacomo se especifica en lamf-classifierconfiguración del firewall.En R1, compruebe los contadores de cola con el
show interfaces extensive ge-2/0/8| find "Queue counters"comando.user@R1> show interfaces extensive ge-2/0/8| find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 0 0 0 1 13 13 0 2 0 0 0 3 16 16 0 Queue number: Mapped forwarding classes 0 BE-data 1 Premium-data 2 Voice 3 NC
Observe que 13 paquetes se transmitieron fuera de la interfaz 2/0/8 mediante las colas de datos Premium especificadas en la
mf-classifierconfiguración del firewall. Los 7 paquetes restantes fueron caídos por el agente de policía, como se muestra anteriormente. Los 16 paquetes enviados a la cola 3 son tráfico de control de red. Posiblemente sean actualizaciones de protocolo de enrutamiento.
Significado
El resultado de ambos dispositivos muestra que se descartaron 7 paquetes. Esto significa que había al menos 8 Kbps de tráfico verde (puerto HTTP 80 en contrato) y que se superó la opción de ráfaga de 1500 KBps para el tráfico rojo (puerto HTTP fuera de contrato 80). En los pasos 3 y 4, puede ver que se usaron las colas correctas para transmitir el tráfico restante fuera de la interfaz 2/0/8.