Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de las políticas Gigabit Ethernet

Las políticas de policía permiten llevar a cabo el tráfico sencillo en interfaces Gigabit Ethernet sin necesidad de configurar un filtro de cortafuegos. Puede usar este tema para configurar un mapa de prioridad de entrada, un mapa de prioridad de salida y, a continuación, aplicar la Directiva. Utilice este tema para obtener información acerca de cómo configurar un responsable de dos colores y un policía de tres colores.

Capacidades de Gigabit Ethernet IQ PICs e PICs Gigabit Ethernet con SFPs

Para Gigabit Ethernet IQ PICs y una foto Gigabit Ethernet con SFPs (excepto el PIC Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet incorporado en el enrutador de M7i), puede configurar Capacidades granulares según el servicio (CoS, Class-of-Service) por VLAN y extensa instrumentación y diagnóstico según la VLAN y la base de dirección MAC.

La reescritura, etiquetado y eliminación de VLAN le permite usar el espacio de direcciones VLAN para admitir más clientes y servicios.

VPLS le permite proporcionar una LAN de punto a multipunto entre un conjunto de sitios de una VPN. La combinación de Ethernet IQ PICs y Gigabit Ethernet PICs con SFPs (excepto el PIC Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet incorporado en el enrutador de M7i) se combinan con VPLS para ofrecer el servicio Metro Ethernet.

Para las interfaces IQ2 e IQ2-E y 10 Gigabit Ethernet IQ2 e IQ2-E de Gigabit Ethernet, puede aplicar políticas de capa 2 a interfaces lógicas en la dirección de salida o entrada. Los policía de capa 2 se configuran en el [edit firewall] nivel jerárquico. También puede controlar la velocidad de tráfico enviado o recibido en una interfaz configurando una sobrecarga del policía en el [edit chassis fpc slot-number pic slot-number] nivel de jerarquía.

Tabla 1enumera las capacidades de la tecnología Gigabit Ethernet IQ PICs y las fotos Gigabit Ethernet con SFPs (excepto el PIC Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet incorporado en el enrutador M7i).

Tabla 1: Capacidades de Gigabit Ethernet IQ y Gigabit Ethernet con SFPs

Capacidad

Gigabit Ethernet IQ (SFP)

Gigabit Ethernet (SFP)

Capa 2

agregación de vínculos de ad 802.3

Número máximo de redes VLAN por puerto

384

1023

Tamaño de unidad máxima de transmisión (MTU)

9192

9192

Aprendizaje de MAC

Contabilidad de MAC

Filtrado de MAC

Destinos por puerto

960

960

Orígenes por puerto

64

64

Políticas de MAC jerárquicas

Sí, Premium y agregado

No, solo agregado

Compatibilidad con varias TPID y servicio IP para TPIDs no estándar

Varias encapsulaciones Ethernet

Etiquetas VLAN duales

No

Reescritura de VLAN

No

VPN de capa 2

VLAN CCC

CCC basado en Puerto

VLAN ampliado protocolo de etiqueta de red metropolitana virtual (VMAN)

Coseno

Colas de salida basadas en PIC

VLAN en cola

No

VPLS

Para obtener más información acerca de cómo configurar VPLS, consulte Junos OS biblioteca de VPN para dispositivos de enrutamiento.

También puede configurar CoS en interfaces IQ lógicas. Para obtener más información, consulte la Guía del usuario Junos OS clase de servicio para dispositivos de enrutamiento.

Configuración de las políticas Gigabit Ethernet

Descripción general

En la foto Gigabit Ethernet IQ y Gigabit Ethernet PICs con SFPs (excepto el PIC Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet incorporado en el enrutador de M7i), puede definir límites de velocidad para el tráfico adicional recibido en la interfaz. Estas políticas permiten llevar a cabo tareas sencillas sin necesidad de configurar un filtro de servidor de seguridad. En primer lugar, configure el perfil de la aplicación Ethernet y, a continuación, clasifique el tráfico entrante y el salida, a continuación, puede aplicar la policía a una interfaz lógica.

Para las fotos Gigabit Ethernet con SFPs (excepto el PIC Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), las tasas de policía que configure pueden ser diferentes a las velocidades del motor de avance de paquetes. Diferencia resultante de la sobrecarga de la capa 2. El PIC cuenta esta diferencia.

Nota:

En los enrutadores de la serie MX con Gigabit Ethernet o PICs de Fast Ethernet, se aplican las consideraciones siguientes:

  • Los contadores de interfaz no cuentan el delimitador de trama del preámbulo y de 1 byte de 7 bytes en fotogramas Ethernet.

  • En las estadísticas de MAC, el tamaño del marco incluye el encabezado de la MAC y el CRC antes de aplicar cualquier regla VLAN de reescritura/imposición.

  • En las estadísticas de tráfico, el tamaño de fotograma incluye el encabezado L2 sin CRC después de cualquier regla de reescritura/imposición de VLAN.

Para obtener más información sobre cómo comprender las estadísticas de tramas Ethernet, consulte la Guía de configuración de capa 2 serie MX.

Configuración de un policía

Para configurar un perfil de la policía Ethernet, incluya ethernet-policer-profile la instrucción en [edit interfaces interface-name gigether-options ethernet-switch-profile] el nivel de jerarquía:

En el perfil de la policía Ethernet, es obligatorio el subcontrolador de prioridad de agregación; la policía de prioridad de calidad es opcional.

Para las políticas agregadas y Premium, debe especificar el límite de ancho de banda en bits por segundo. Puede especificar el valor como un número decimal completo o como un número decimal seguido de la abreviatura k (1000), (1 millón) o g (1 mil millones). No hay un valor mínimo absoluto para el límite de ancho de banda, pero cualquier valor por debajo de 61.040 BPS dará como resultado una tasa efectiva de 30.520 bps. El límite máximo del ancho de banda es de 4,29 Gbps.

El tamaño máximo de ráfaga controla la cantidad de tráfico que se puede desfragmentar. Para determinar el límite de tamaño de ráfaga, puede multiplicar el ancho de banda de la interfaz en la que está aplicando el filtro en la cantidad de tiempo que permite que se produzca una ráfaga de tráfico en ese ancho de banda:

Si no conoce el ancho de banda de la interfaz, puede multiplicar la MTU máxima del tráfico de la interfaz por 10 para obtener un valor. Por ejemplo, el tamaño de ráfaga para una MTU de 4700 sería 47.000 bytes. El tamaño de ráfaga debe ser al menos 10 MMT de interfaz. El valor máximo para el límite de tamaño de ráfaga es 100 MB.

Especificar un mapa de prioridad de entrada

Un mapa de prioridad de entrada identifica el tráfico de Ingress con los valores de prioridad IEEE 802.1 p especificados y lo clasifica como Premium.

Si incluye un policial de prioridad Premium, puede especificar un mapa de prioridad de entrada incluyendo el ieee802.1 premium extracto en el nivel de [edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map] jerarquía:

Los valores de prioridad pueden estar comprendidos entre 0 y 7. El resto del tráfico se clasifica como no Premium (o agregado). Para obtener un ejemplo de configuración Ejemplo Configuración de las políticas Gigabit Ethernet, consulte.

Nota:

En interfaces IQ2 y IQ2 y en interfaces de la serie MX, cuando se inserta una etiqueta VLAN, la VLAN interna IEEE 802.1 p bits se copia en el IEEE bits de las VLAN o las VLAN que se van a insertar. Si el paquete original no está etiquetado, los IEEE bits de las VLAN o VLAN que se van a presionar se establecen en 0.

Especificación de un mapa de prioridad de salida

Un mapa de prioridad de salida identifica el tráfico de salida con la clasificación de cola y la prioridad de pérdida de paquetes (PLP) especificadas, y clasifica dicho tráfico como Premium.

Si incluye un policial de prioridad Premium, puede especificar un mapa de prioridad de salida incluyendo la classifier declaración en el nivel de [edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map] jerarquía:

Puede definir una clase de reenvío o puede usar una clase de reenvío predefinida. Tabla 2 muestra las clases de reenvío predefinidas y sus asignaciones de cola asociadas.

Tabla 2: Clases de reenvío predeterminadas

Nombre de clase de reenvío

Cola

mejor esfuerzo

Cola 0

agilización de reenvío

Cola 1

aseguramiento-reenvío

Cola 2

red-control

Cola 3

Para obtener más información acerca de las clases de reenvío de CoS, consulte la Guía del usuario Junos OS clase de servicio para dispositivos de enrutamiento. Para obtener un ejemplo de configuración Ejemplo Configuración de las políticas Gigabit Ethernet, consulte.

Aplicación de una policía

En todas las interfaces de enrutadores de la serie MX, Gigabit Ethernet IQ, IQ2 e IQ2-E PICs, y la PICs de Gigabit Ethernet con SFPs (excepto el PIC Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), puede aplicar a las políticas de entrada y salida que definen límites de velocidad para el tráfico de primas y agregados que se reciba en la interfaz lógica. Las políticas agregadas son compatibles con la PICs de Gigabit Ethernet con SFPs (excepto el PIC Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet incorporado en el enrutador M7i).

Estas políticas permiten llevar a cabo tareas sencillas sin necesidad de configurar un filtro de servidor de seguridad.

Para aplicar las políticas de policía a direcciones MAC de origen específicas accept-source-mac , incluya la siguiente instrucción:

Estas instrucciones se pueden incluir en los siguientes niveles jerárquicos:

  • [edit interfaces interface-name unit logical-unit-number ]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Puede especificar la dirección MAC como nn:nn:nn: nn :nn:nn:nn o nnnnn.nnnn.nnnn,donde es un número n hexadecimal. Puede configurar hasta 64 direcciones de origen. Para especificar más de una dirección, incluya varias mac-address instrucciones en la configuración de interfaz lógica.

Nota:

En interfaces Gigabit Ethernet sin etiqueta, no debe configurar la source-address-filter instrucción en el [edit interfaces ge-fpc/pic/port gigether-options] nivel de jerarquía y accept-source-mac la instrucción en [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] el nivel de jerarquía de forma simultánea. Si estas instrucciones se configuran para las mismas interfaces al mismo tiempo, se mostrará un mensaje de error.

En interfaces Gigabit Ethernet etiquetadas, no debe configurar source-address-filter la instrucción en [edit interfaces ge-fpc/pic/port gigether-options] el nivel de jerarquía accept-source-mac y la instrucción [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] en el nivel de jerarquía con un dirección Mac idéntico especificado en ambos filtros. Si estas instrucciones se configuran para las mismas interfaces con un dirección MAC especificado idéntico, se mostrará un mensaje de error.

Nota:

Si se cambia la tarjeta Ethernet remota, la interfaz no aceptará tráfico de la nueva tarjeta porque la nueva tarjeta tiene un dirección MAC diferente.

Las direcciones MAC que incluya en la configuración se ingresarán en la base de datos MAC del enrutador. Para ver la base de datos MAC del enrutador, escriba el show interfaces mac-database interface-name comando:

En la input instrucción, indique el nombre de una plantilla de policía que se evaluará cuando se reciban paquetes en la interfaz.

En la output instrucción, indique el nombre de una plantilla de policía que se evaluará cuando los paquetes se transmitan en la interfaz.

Nota:

En las interfaces PIC IQ2 y IQ2-E, se ha cambiado el valor predeterminado para la retención máxima de entradas en la tabla dirección MAC en los casos en los que la tabla no está llena. El nuevo tiempo de retención es de 12 horas. El tiempo de retención anterior de 3 minutos sigue en vigor cuando la tabla está llena.

Puede utilizar las mismas políticas una o varias veces.

Si aplica a una interfaz tanto los filtros de las políticas como del cortafuegos, las políticas de entrada se evalúan antes que los filtros de entrada del cortafuegos y las políticas de salida se evalúan detrás de los filtros del cortafuegos de salida.

Configuración del filtrado de direcciones MAC

No puede definir explícitamente el tráfico con direcciones MAC de origen específicas que se rechazarán; sin embargo, para Gigabit Ethernet IQ y una foto Gigabit Ethernet con SFPs (excepto el PIC Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i) y para DPC Gigabit Ethernet en enrutadores serie MX, puede bloquear todos los paquetes entrantes que no tengan una dirección de origen especificada accept-source-mac en la instrucción. Para obtener más información acerca accept-source-mac de la instrucción Aplicación de una policía, consulte.

Para activar este bloqueo, incluya la source-filtering instrucción en el [edit interfaces interface-name gigether-options] nivel de jerarquía:

Para obtener más información sobre source-filtering la instrucción, consulte configuración del filtrado de direcciones MAC para interfaces Ethernet.

Para aceptar tráfico incluso aunque no tenga una dirección de origen especificada en la accept-source-mac instrucción, incluya la no-source-filtering instrucción en el [edit interfaces interface-name gigether-options] nivel jerárquico:

Ejemplo Configuración de las políticas Gigabit Ethernet

Ejemplo

Este ejemplo ilustra lo siguiente:

  • Configure ge-6/0/0 la interfaz para tratar los valores de prioridad 2 y 3 como prima. En la entrada, significa que los valores 2 de prioridad de IEEE 802.1 p 3 se tratan como Premium. En la salida, significa que el tráfico que se clasifica en la cola 0 o 1 con PLP de baja y cola 2 o 3 con PLP de alto, se trata como prima.

  • Defina una política que limite el ancho de banda superior a 100 Mbps y el tamaño de ráfaga a 3 k, y el ancho de banda agregado a 200 Mbps y el tamaño de ráfaga a 3 k.

  • Especifique que las tramas recibidas desde la dirección MAC y el ID de VLAN estén sujetos al agente de 00:01:02:03:04:05 policía en la entrada y 600 salida. En la entrada, esto significa que las tramas recibidas con el dirección MAC 00:01:02:03:04:05 de origen y la VLAN id 600 están sujetas a la policía. En la salida, esto significa que las tramas transmitidas desde el 00:01:02:03:04:05 enrutador con 600 el dirección Mac de destino y el ID de VLAN están sujetas a la policía.

Configuración de ejemplo

Configuración de políticas Gigabit Ethernet de dos colores y tricolor

Descripción general

Para interfaces Gigabit Ethernet y 10 Gigabit Ethernet IQ2 y IQ2-E con enrutadores de M Series y serie T, puede configurar las políticas de marcado de dos colores y tricolores y aplicarlas a las interfaces lógicas para impedir que el tráfico de la interfaz consuma ancho de banda de forma inadecuada.

Las redes tráfico de la policía al limitar la velocidad de transmisión de entrada o salida de una clase de tráfico basándose en criterios definidos por el usuario. El tráfico de políticas le permite controlar la velocidad máxima del tráfico enviado o recibido en una interfaz, así como dividir una red en varios niveles de prioridad o clases de servicio.

Los agentes de policía requieren que aplique un tamaño de ráfaga y un límite de ancho de banda al flujo de tráfico y establezca una consecuencia para los paquetes que superan estos límites; por lo general, una prioridad de pérdida mayor, de modo que los paquetes que excedan los límites de la política se descarten primero.

Las arquitecturas de enrutadores Juniper Networks admiten tres tipos de políticas:

  • Agente de policía de dos colores: un agente de policía de dos colores (o "policer" cuando se usa sin calificación) metros la corriente de tráfico y clasifica los paquetes en dos categorías de prioridad de pérdida de paquetes (PLP) de acuerdo con un ancho de banda configurado y un límite de tamaño de ráfaga. Puede marcar paquetes que superan el límite de ancho de banda y tamaño de ráfaga de alguna manera o sencillamente descartarlos. Una policía es más útil para medir el tráfico en el nivel de puerto (interfaz física).

  • Marcación tricolor de velocidad única (TCM de velocidad única):En la RFC 2697, Un marcador de tres coloresde una sola velocidad se define como un indicador de marca tricolor de velocidad única como parte de un sistema de clasificación de reenvío por comportamiento de salto (PHB) seguro para un entorno de servicios diferenciados (DiffServ). Este tipo de policíaismo mide el tráfico basado en la velocidad de información convenida (CIR), el tamaño de ráfaga confirmada (CBS) y el tamaño de ráfaga excesiva (EBS).

    A partir de Junos OS versión 13,1, el tráfico se clasifica en tres categorías: Verde, rojo y amarillo. Lista siguiente se describen las categorías:

    • Verde: el tamaño de ráfaga de los paquetes que llegan es menor que la suma de la CIR y CBS configuradas.

    • Rojo: el tamaño de ráfaga de los paquetes que llegan es mayor que la suma del CIR y EBS configurados.

    • Amarilla: el tamaño de ráfaga de los paquetes que llegan es mayor que la CBS, pero menor que el EBS.

    La TCM de una sola velocidad es más útil cuando un servicio está estructurado de acuerdo con la longitud del paquete y no con la tasa de llegada máxima.

  • Marcación tricolor de dos velocidades (TCM de dos velocidades): este tipo de indicador se define en el RFC 2698, Un marcador de tres coloresde dos velocidades como parte de un sistema de clasificación de reenvío por salto seguro (PHB) para un entorno de servicios diferenciados (DiffServ). Este tipo de policíaismo mide el tráfico basándose en el CIR configurado y la velocidad máxima de información (PIR), junto con sus tamaños de ráfaga asociados, la CBS y EBS.

    El tráfico se clasifica en las tres categorías siguientes:

    • Verde: el tamaño de ráfaga de los paquetes que llegan es menor que la suma de la CIR y CBS configuradas.

    • Rojo: el tamaño de ráfaga de los paquetes que llegan es mayor que la suma del PIR y EBS configurados.

    • Amarilla: el tráfico no pertenece a la categoría verde o roja.

    La TCM de dos velocidades es más útil cuando un servicio está estructurado según la velocidad de llegada y no necesariamente la longitud del paquete.

Nota:

A diferencia de las políticas (descritas en configuración de las políticas de Gigabit Ethernet), la configuración de las políticas de dos colores y las políticas de marcado tricolor requiere que configure un filtro de Firewall.

Configuración de un policía

Las políticas de marcado de dos colores y tricolores se configuran en el nivel de [edit firewall] jerarquía.

Un responsable de marcado de tricolor controla el tráfico basándose en las velocidades de medición, incluidos el CIR, el PIR, los tamaños de ráfagas asociados y cualquier acción de políticas configurada para el tráfico.

Para configurar el marcado de la políticas de tricolor three-color-policer , incluya la declaración con [edit firewall] opciones en el nivel de jerarquía:

Para obtener más información acerca de la configuración de marcas de políticas tricolor, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y agentes de policía de tráfico y la Guía del usuario de clase de servicio de Junos OSpara dispositivos de enrutamiento.

Aplicación de una policía

Aplique políticas de dos colores o políticas tricolor a una interfaz lógica para impedir que el tráfico de la interfaz consuma indebidamente el ancho de banda. Para aplicar las políticas de dos colores o tricolor, incluya la layer2-policer siguiente instrucción:

Estas instrucciones se pueden incluir en los siguientes niveles jerárquicos:

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Utilice la input-policer instrucción para aplicar una policía de dos colores a los paquetes recibidos en una interfaz lógica y la input-three-color instrucción de aplicación de un policía de tricolor. Utilice la output-policer instrucción para aplicar una aplicación de políticas de dos colores a los paquetes transmitidos en una interfaz lógica output-three-color y la instrucción de aplicación de un policía de tricolor. Las políticas especificadas deben configurarse en [edit firewall] el nivel de jerarquía. Para cada interfaz, puede configurar un agente de policía de tres colores o un agente de policía de entrada o salida de dos colores: no puede configurar un agente de policía de tres colores y un agente de policía de dos colores.

Ejemplo Configuración y aplicación de una policía

Configure las políticas tricolor y aplíquelos a una interfaz:

Configure un policía de dos colores y aplíquelo a una interfaz:

Tabla de historial de versiones
Liberación
Descripción
13.1
A partir de Junos OS versión 13,1, el tráfico se clasifica en tres categorías: Verde, rojo y amarillo.