Filtro de cola de entrada con funcionalidad de vigilancia
A partir de Junos OS versión 18.1R1, en MPC que admitan colas de entrada, puede implementar acciones de policía, junto con otras acciones de filtro, en el tráfico antes de que el tráfico se asigne a las colas de entrada. Los filtros de vigilancia de colas de entrada le permiten limitar la velocidad del tráfico, así como contar y establecer la clase de reenvío y la prioridad de pérdida de paquetes para los paquetes antes de seleccionar la cola de entrada. Los comandos de clase de servicio (CoS) se pueden usar para seleccionar los parámetros de cola de entrada.
Descripción del filtro policial de cola de entrada
El filtro de policía de cola de entrada () funciona de manera similar y en el mismo punto que el filtro de vigilancia de entrada (iq-policing-filteringress-queuing-filter), que se introdujo en Junos OS versión 16.1, pero proporciona la ventaja adicional de aceptar casi todas las acciones de filtro, incluidas las acciones de vigilancia y conteo. El filtro de vigilancia de colas de entrada también es más eficiente y requiere menos recursos del sistema.
Los filtros de cola de entrada solo están disponibles cuando el modo de administrador de tráfico está establecido en ingress-and-egress el nivel de [edit chassis fpc fpc-id pic pic-id traffic-manager mode] jerarquía.
La iq-policing-filter instrucción de configuración se utiliza en el nivel de jerarquía para designar un filtro de firewall previamente configurado que se utilizará como filtro de [edit interfaces interface-name unit unit-number family family-name] vigilancia de cola de entrada. En la lista siguiente se muestra qué familias de protocolos son compatibles con la iq-policing-filter instrucción:
bridgeinetvpls
Ver también
Ejemplo: configuración de un filtro para usarlo como filtro de control de cola de entrada
En este ejemplo se muestra cómo configurar un filtro de firewall para usarlo como filtro de vigilancia de cola de entrada. El filtro de colas de entrada ayuda en las operaciones de vigilancia del tráfico de entrada al permitirle limitar la velocidad del tráfico antes de seleccionar la cola de entrada. El filtro de firewall debe configurarse dentro de una de las siguientes familias de protocolos: bridge, inet, o vpls.
El filtro de vigilancia de colas de entrada solo se puede usar en enrutadores de la serie MX con MPC que admitan colas de entrada. Se genera un error al confirmar si el filtro de cola de entrada se aplica a una interfaz en cualquier otro tipo de concentrador de puerto.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un enrutador serie MX con un MPC que admita colas de entrada
Para que los filtros de cola de entrada funcionen, ingress-and-egress deben configurarse como el modo en el traffic-manager nivel de [edit chassis fpc slot pic slot traffic-manager mode] jerarquía.
Visión general
En este ejemplo, se crea un filtro de firewall denominado vpls_iqp_filter en la familia de protocolos que cuenta y controla el tráfico de voz y de vpls mejor esfuerzo. A continuación, aplique el vpls_iqp_filter filtro a la interfaz lógica xe-0/0/0.0 como filtro de vigilancia de cola de entrada.
Configurar un filtro de firewall y aplicarlo para su uso como filtro de cola de entrada implica:
Crear un filtro de firewall denominado
vpls_iqp_filteren la familia devplsprotocolos con las siguientes acciones:countypolicerforwarding- class.Aplicar el filtro de firewall a la interfaz xe-0/0/0.0 como filtro de vigilancia de cola de entrada.
Configuración
- Configuración rápida de CLI
- Configuración del filtro de firewall y aplicación a una interfaz como filtro de control de cola de entrada
- Resultados
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.
set firewall family vpls filter vpls_iqp_filter interface-specific set firewall family vpls filter vpls_iqp_filter term VoiceSum from learn-vlan-1p-priority 5 set firewall family vpls filter vpls_iqp_filter term VoiceSum then count VoiceSum set firewall family vpls filter vpls_iqp_filter term VoiceSum then forwarding-class Voice set firewall family vpls filter vpls_iqp_filter term VoiceSum then next term set firewall family vpls filter vpls_iqp_filter term Voice from learn-vlan-1p-priority 5 set firewall family vpls filter vpls_iqp_filter term Voice then policer Voice-IN set firewall family vpls filter vpls_iqp_filter term Voice then count Voice set firewall family vpls filter vpls_iqp_filter term Voice then accept set firewall family vpls filter vpls_iqp_filter term BestEffortSum then count BestEffortSum set firewall family vpls filter vpls_iqp_filter term BestEffortSum then next term set firewall family vpls filter vpls_iqp_filter term BestEffort then policer BestEffort-IN set firewall family vpls filter vpls_iqp_filter term BestEffort then count BestEffort set firewall family vpls filter vpls_iqp_filter term BestEffort then accept set firewall family vpls filter vpls_iqp_filter policer pol-vpls if-exceeding bandwidth-limit 400m set firewall family vpls filter vpls_iqp_filter policer pol-vpls if-exceeding burst-size-limit 40m set firewall family vpls filter vpls_iqp_filter policer pol-vpls then discard set firewall family vpls filter vpls_iqp_filter policer Voice-IN if-exceeding bandwidth-limit 100m set firewall family vpls filter vpls_iqp_filter policer Voice-IN if-exceeding burst-size-limit 10m set firewall family vpls filter vpls_iqp_filter policer Voice-IN then loss-priority high set firewall family vpls filter vpls_iqp_filter policer BestEffort-IN if-exceeding bandwidth-limit 350m set firewall family vpls filter vpls_iqp_filter policer BestEffort-IN if-exceeding burst-size-limit 30m set firewall family vpls filter vpls_iqp_filter policer BestEffort-IN then loss-priority high set interfaces xe-0/0/0 unit 0 family vpls iq-policing-filter vpls_iqp_filter
Configuración del filtro de firewall y aplicación a una interfaz como filtro de control de cola de entrada
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.
Para configurar el filtro vpls_iqp_filterde firewall y aplicarlo a la interfaz lógica xe-0/0/0 unidad 0:
Cree un filtro de firewall denominado
vpls_iqp_filter.[edit firewall family vpls filter vpls_iqp_filter]user@router# set interface-specific user@router# set term VoiceSum from learn-vlan-1p-priority 5 user@router# set term VoiceSum then count VoiceSum user@router# set term VoiceSum then forwarding-class Voice user@router# set term VoiceSum then next term user@router# set term Voice from learn-vlan-1p-priority 5 user@router# set term Voice then policer Voice-IN user@router# set term Voice then count Voice user@router# set term Voice then accept user@router# set term BestEffortSum then count BestEffortSum user@router# set term BestEffortSum then next term user@router# set term BestEffort then policer BestEffort-IN user@router# set term BestEffort then count BestEffort user@router# set term BestEffort then accept user@router# set policer pol-vpls if-exceeding bandwidth-limit 400m user@router# set policer pol-vpls if-exceeding burst-size-limit 40m user@router# set policer pol-vpls then discard user@router# set policer Voice-IN if-exceeding bandwidth-limit 100m user@router# set policer Voice-IN if-exceeding burst-size-limit 10m user@router# set policer Voice-IN then loss-priority high user@router# set policer BestEffort-IN if-exceeding bandwidth-limit 350m user@router# set policer BestEffort-IN if-exceeding burst-size-limit 30m user@router# set policer BestEffort-IN then loss-priority highAplique el filtro de firewall a la interfaz lógica.
[edit interfaces xe-0/0/0]user@router# set unit 0 family vpls iq-policing-filter vpls_iqp_filter
Resultados
Desde el modo de configuración, escriba los show firewall comandos y para confirmar la show interfaces xe-0/0/0.0 configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
user@router# show firewall family vpls filter vpls_iqp_filter
interface-specific;
term VoiceSum {
from {
learn-vlan-1p-priority 5;
}
then {
count VoiceSum;
forwarding-class Voice;
next term;
}
}
term Voice {
from {
learn-vlan-1p-priority 5;
}
then {
policer Voice-IN;
count Voice;
accept;
}
}
term BestEffortSum {
then {
count BestEffortSum;
next term;
}
}
term BestEffort {
then {
policer BestEffort-IN;
count BestEffort;
accept;
}
}
policer pol_vpls {
if-exceeding {
bandwidth-limit 400m;
burst-size-limit 40m;
}
then discard;
}
policer Voice-IN {
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 10m;
}
then loss-priority high;
}
policer BestEffort-IN {
if-exceeding {
bandwidth-limit 350m;
burst-size-limit 30m;
}
then loss-priority high;
}
user@router# show interfaces xe-0/0/0 unit 0
family vpls {
iq-policing-filter vpls_iqp_filter;
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
user@router# commit