Configuración de los policiares de Gigabit Ethernet
Los policias le permiten realizar políticas simples de tráfico en interfaces de Gigabit Ethernet sin configurar un filtro de firewall. Puede usar este tema para configurar una asignación de prioridad de entrada, una asignación de prioridad de salida y, luego, para aplicar la política. Utilice este tema para obtener información sobre cómo configurar un policiador de dos colores y otro de tres colores.
Capacidades de las PIC IQ de Gigabit Ethernet y las PIC de Gigabit Ethernet con SFP
En el caso de las PIC IQ de Gigabit Ethernet y las PIC de Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), puede configurar capacidades granulares por clase de servicio (CoS) por VLAN, e instrumentación y diagnósticos extensos por VLAN y dirección MAC.
La reescritura, el etiquetado y la eliminación de VLAN le permiten usar el espacio de direcciones de VLAN para admitir más clientes y servicios.
VPLS le permite proporcionar una LAN de punto a multipunto entre un conjunto de sitios en una VPN. Las PIC IQ de Ethernet y las PIC Gigabit Ethernet con SFP (excepto la PIC Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet incorporado en el enrutador M7i) se combinan con VPLS para ofrecer un servicio Metro Ethernet.
Para las interfaces IQ2 y IQ2-E de Gigabit Ethernet y 10 Gigabit Ethernet IQ2 y IQ2-E, puede aplicar políticas de capa 2 a interfaces lógicas en la dirección de salida o entrada. Los policías de capa 2 se configuran en el [edit firewall] nivel de jerarquía. También puede controlar la velocidad del tráfico enviado o recibido en una interfaz mediante la configuración de una sobrecarga de policía en el [edit chassis fpc slot-number pic slot-number] nivel jerárquico.
Tabla 1 enumera las capacidades de las PIC IQ de Gigabit Ethernet y las PIC de Gigabit Ethernet con SFP (excepto la PIC Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet incorporado en el enrutador M7i).
Capacidad |
IQ Gigabit Ethernet (SFP) |
Gigabit Ethernet (SFP) |
|---|---|---|
| Capa 2 | ||
Agregación de vínculos 802.3ad |
Sí |
Sí |
Máximo de VLAN por puerto |
384 |
1023 |
Tamaño máximo de la unidad de transmisión (MTU) |
9192 |
9192 |
Aprendizaje de MAC |
Sí |
Sí |
Contabilidad MAC |
Sí |
Sí |
filtrado MAC |
Sí |
Sí |
Destinos por puerto |
960 |
960 |
Fuentes por puerto |
64 |
64 |
Policías MAC jerárquicos |
Sí, premium y agregado |
No, solo agregue |
Compatibilidad con múltiples TPID y servicio IP para TPID no estándar |
Sí |
Sí |
Encapsulaciones Ethernet múltiples |
Sí |
Sí |
Etiquetas VLAN duales |
Sí |
No |
Reescritura de VLAN |
Sí |
No |
| VPN de capa 2 | ||
VLAN CCC |
Sí |
Sí |
CCC basada en puertos |
Sí |
Sí |
Protocolo de etiqueta de red de área metropolitana virtual (VMAN) extendida de VLAN CCC |
Sí |
Sí |
| Clase del servicio (CoS) | ||
Colas de salida basadas en PIC |
Sí |
Sí |
VLAN en cola |
Sí |
No |
VPLS |
Sí |
Sí |
Para obtener más información acerca de cómo configurar VPLS, consulte la biblioteca de VPN de Junos OS para dispositivos de enrutamiento.
También puede configurar CoS en interfaces IQ lógicas. Para obtener más información, consulte la Guía del usuario de clase de servicio de Junos OS para dispositivos de enrutamiento.
Consulte también
Configuración de los policiares de Gigabit Ethernet
- Descripción general
- Configurar un agente de policía
- Especificar un mapa de prioridad de entrada
- Especificar un mapa de prioridad de salida
- Aplicación de un agente de policía
- Configuración del filtrado de direcciones MAC
- Ejemplo: Configuración de los policiares de Gigabit Ethernet
Descripción general
En las PIC IQ y Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), puede definir límites de velocidad para el tráfico premium y agregado recibido en la interfaz. Estos policiadores le permiten realizar políticas simples de tráfico sin configurar un filtro de firewall. Primero se configura el perfil de agente de policía Ethernet, a continuación se clasifica el tráfico de entrada y salida, luego se puede aplicar el agente de policía a una interfaz lógica.
En el caso de las PIC de Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), las tasas de policía que configure pueden ser diferentes a las del motor de reenvío de paquetes. La diferencia es el resultado de la sobrecarga de capa 2. La PIC representa esta diferencia.
En enrutadores serie MX con PIC Gigabit Ethernet o Fast Ethernet, se aplican las siguientes consideraciones:
Los contadores de interfaz no cuentan el preámbulo de 7 bytes y el delimitador de trama de 1 bytes en tramas Ethernet.
En las estadísticas MAC, el tamaño de trama incluye el encabezado MAC y el CRC antes de aplicar cualquier regla de reescritura/imposición de VLAN.
En las estadísticas de tráfico, el tamaño de trama abarca el encabezado L2 sin CRC después de cualquier regla de reescritura/imposición de VLAN.
Para obtener más información sobre cómo comprender las estadísticas de trama de Ethernet, consulte la Guía de configuración de capa 2 de la serie MX.
Configurar un agente de policía
Para configurar un perfil de policía Ethernet, incluya la ethernet-policer-profile instrucción en el [edit interfaces interface-name gigether-options ethernet-switch-profile] nivel jerárquico:
[edit interfaces interface-name gigether-options ethernet-switch-profile] ethernet-policer-profile { policer cos-policer-name { aggregate { bandwidth-limit bps; burst-size-limit bytes; } premium { bandwidth-limit bps; burst-size-limit bytes; } } }
En el perfil de agente de policía ethernet, el agente de policía de prioridad agregada es obligatorio; el policiado de prioridad premium es opcional.
Para los policiadores agregados y premium, especifique el límite de ancho de banda en bits por segundo. Puede especificar el valor como un número decimal completo o como un número decimal seguido de la abreviatura k (1000), m (1.000.000) o g (1.000.000.000). No hay un valor mínimo absoluto para el límite de ancho de banda, pero cualquier valor inferior a 61 040 bps dará como resultado una tasa efectiva de 30 520 bps. El límite máximo de ancho de banda es de 4,29 Gbps.
El tamaño máximo de ráfaga controla la cantidad de ráfagas de tráfico permitida. Para determinar el límite de tamaño de ráfaga, puede multiplicar el ancho de banda de la interfaz en la que está aplicando el filtro por la cantidad de tiempo que permite que ocurra una ráfaga de tráfico en ese ancho de banda:
burst size = bandwidth x allowable time for burst traffic
Si no conoce el ancho de banda de la interfaz, puede multiplicar la MTU máxima del tráfico en la interfaz por 10 para obtener un valor. Por ejemplo, el tamaño de ráfaga para una MTU de 4700 sería de 47 000 bytes. El tamaño de ráfaga debe ser de al menos 10 TPU de interfaz. El valor máximo para el límite de tamaño de ráfaga es 100 MB.
Especificar un mapa de prioridad de entrada
Una asignación de prioridad de entrada identifica el tráfico de entrada con valores de prioridad IEEE 802.1p especificados y clasifica ese tráfico como premium.
Si incluye un agente de policía de prioridad premium, puede especificar una asignación de prioridad de entrada incluyendo la ieee802.1 premium instrucción en el [edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map] nivel de jerarquía:
[edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map] ieee802.1p premium [ values ];
Los valores de prioridad pueden ser del 0 al 7. El resto del tráfico se clasifica como no premium (o agregado). Para ver un ejemplo de configuración, consulte Ejemplo: Configuración de los policiares de Gigabit Ethernet.
En las interfaces IQ2 y IQ2-E y en las interfaces de la serie MX, cuando se inserta una etiqueta VLAN, los bits internos de VLAN IEEE 802.1p se copian a los bits IEEE de la VLAN o VLAN que se están insertando. Si el paquete original no está etiquetado, los bits IEEE de la VLAN o VLAN que se insertan se establecen en 0.
Especificar un mapa de prioridad de salida
Una asignación de prioridad de salida identifica el tráfico de salida con una clasificación de cola especificada y prioridad de pérdida de paquetes (PLP), y clasifica ese tráfico como premium.
Si incluye un agente de policía de prioridad premium, puede especificar una asignación de prioridad de salida incluyendo la classifier instrucción en el [edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map] nivel de jerarquía:
[edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map] classifier { premium { forwarding-class class-name { loss-priority (high | low); } } }
Puede definir una clase de reenvío o puede usar una clase de reenvío predefinida. Tabla 2 muestra las clases de reenvío predefinidas y sus asignaciones de cola asociadas.
Nombre de clase de reenvío |
Cola |
|---|---|
mejor esfuerzo |
Cola 0 |
reenvío acelerado |
Cola 1 |
reenvío garantizado |
Cola 2 |
control de red |
Cola 3 |
Para obtener más información acerca de las clases de reenvío de CoS, consulte la Guía del usuario de clase de servicio de Junos OS para dispositivos de enrutamiento. Para ver un ejemplo de configuración, consulte Ejemplo: Configuración de los policiares de Gigabit Ethernet.
Aplicación de un agente de policía
En todas las interfaces del enrutador de la serie MX, las PIC IQ, IQ2 y IQ2-E de Gigabit Ethernet, y las PIC de Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet incorporado en el enrutador M7i), puede aplicar policias de entrada y salida que definan límites de velocidad para el tráfico premium y agregado recibido en la interfaz lógica. Los policiadores agregados se admiten en PIC de Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet incorporado en el enrutador M7i).
Estos policiadores le permiten realizar políticas simples de tráfico sin configurar un filtro de firewall.
Para aplicar agentes de políticas a direcciones MAC de origen específicas, incluya la accept-source-mac instrucción:
accept-source-mac { mac-address mac-address { policer { input cos-policer-name; output cos-policer-name; } } }
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number ][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Puede especificar la dirección MAC como nn:nn:nn:nn:nn:nn o nnnn.nnnn.nnnn, donde n es un número hexadecimal. Puede configurar hasta 64 direcciones de origen. Para especificar más de una dirección, incluya varias mac-address instrucciones en la configuración de interfaz lógica.
En interfaces de Gigabit Ethernet sin etiquetar, no debe configurar la source-address-filter instrucción en el [edit interfaces ge-fpc/pic/port gigether-options] nivel de jerarquía y la accept-source-mac instrucción en el [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] nivel de jerarquía simultáneamente. Si estas instrucciones se configuran para las mismas interfaces al mismo tiempo, se muestra un mensaje de error.
En interfaces Gigabit Ethernet etiquetadas, no debe configurar la source-address-filter instrucción en el [edit interfaces ge-fpc/pic/port gigether-options] nivel de jerarquía y la accept-source-mac instrucción en el [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] nivel de jerarquía con una dirección MAC idéntica especificada en ambos filtros. Si estas instrucciones se configuran para las mismas interfaces con una dirección MAC idéntica especificada, se mostrará un mensaje de error.
Si cambia la tarjeta Ethernet remota, la interfaz no acepta tráfico de la nueva tarjeta porque la nueva tarjeta tiene una dirección MAC diferente.
Las direcciones MAC que se incluyen en la configuración se ingresan en la base de datos MAC del enrutador. Para ver la base de datos MAC del enrutador, ingrese el show interfaces mac-database interface-name comando:
user@host> show interfaces mac-database interface-name
En la input instrucción, enumera el nombre de una plantilla de agente de policía que se evaluará cuando se reciben paquetes en la interfaz.
En la output instrucción, enumiera el nombre de una plantilla de agente de policía que se evaluará cuando se transmiten paquetes en la interfaz.
En las interfaces de PIC IQ2 y IQ2-E, el valor predeterminado para la retención máxima de entradas en la tabla de direcciones MAC ha cambiado, en los casos en los que la tabla no está llena. El nuevo tiempo de retención es de 12 horas. El tiempo de retención anterior de 3 minutos sigue vigente cuando se completa la tabla.
Puede usar el mismo agente de policía una o más veces.
Si aplica tanto policías como filtros de firewall a una interfaz, los policias de entrada se evalúan antes de los filtros de firewall de entrada y los policiadores de salida se evalúan después de los filtros de firewall de salida.
Configuración del filtrado de direcciones MAC
No puede definir explícitamente el tráfico con direcciones MAC de origen específicas que se rechazarán; sin embargo, para las PIC IQ y Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), y para las DPC Gigabit Ethernet en enrutadores serie MX, puede bloquear todos los paquetes entrantes que no tengan una dirección de origen especificada en la accept-source-mac instrucción. Para obtener más información acerca de la accept-source-mac instrucción, consulte Aplicación de un agente de policía.
Para habilitar este bloqueo, incluya la source-filtering instrucción en el [edit interfaces interface-name gigether-options] nivel de jerarquía:
[edit interfaces interface-name gigether-options] source-filtering;
Para obtener más información acerca de la source-filtering instrucción, consulte Configurar filtrado de direcciones MAC para interfaces Ethernet.
Para aceptar tráfico aunque no tenga una dirección de origen especificada en la accept-source-mac instrucción, incluya la no-source-filtering instrucción en el [edit interfaces interface-name gigether-options] nivel de jerarquía:
[edit interfaces interface-name gigether-options] no-source-filtering;
Ejemplo: Configuración de los policiares de Gigabit Ethernet
Ejemplo
En este ejemplo, se muestra lo siguiente:
Configure la interfaz
ge-6/0/0para tratar los valores de prioridad 2 y 3 como premium. En la entrada, esto significa que IEEE 802.1p valores2de prioridad y3se tratan como prima. En la salida, significa que el tráfico que se clasifica en la cola 0 o 1 con PLP de bajo y la cola 2 o 3 con PLP de alto, se trata como premium.Defina un agente de policía que limite el ancho de banda premium a 100 Mbps y el tamaño de ráfaga a 3 k, y el ancho de banda agregado a 200 Mbps y el tamaño de ráfaga a 3 k.
Especifique que las tramas recibidas de la dirección
00:01:02:03:04:05MAC y el ID600de VLAN están sujetos al agente de policía en la entrada y la salida. En la entrada, esto significa que las tramas recibidas con la dirección00:01:02:03:04:05MAC de origen y el ID de VLAN 600 están sujetas al agente de policía. En la salida, esto significa que las tramas transmitidas desde el enrutador con la dirección00:01:02:03:04:05MAC de destino y el ID600de VLAN están sujetos al agente de policía.
Configuración de ejemplo
[edit interfaces]
ge-6/0/0 {
gigether-options {
ether-switch-profile {
ether-policer-profile {
input-priority-map {
ieee-802.1p {
premium [ 2 3 ];
}
}
output-priority-map {
classifier {
premium {
forwarding-class best-effort {
loss-priority low;
}
forwarding-class expedited-forwarding {
loss-priority low;
}
forwarding-class assured-forwarding {
loss-priority high;
}
forwarding-class network-control {
loss-priority high;
}
}
}
}
policer policer-1 {
premium {
bandwidth-limit 100m;
burst-size-limit 3k;
}
aggregate {
bandwidth-limit 200m;
burst-size-limit 3k;
}
}
}
}
}
unit 0 {
accept-source-mac {
mac-address 00:01:02:03:04:05 {
policer {
input policer-1;
output policer-1;
}
}
}
}
}
Configuración de las políticas de dos colores y tricolor de Gigabit Ethernet
- Descripción general
- Configurar un agente de policía
- Aplicación de un agente de policía
- Ejemplo: Configuración y aplicación de un agente de policía
Descripción general
Para las interfaces IQ2 y IQ2-E de Gigabit Ethernet y 10 Gigabit Ethernet en enrutadores serie M y T, puede configurar policiacos de marcado de dos colores y tricolores y aplicarlos a interfaces lógicas para evitar que el tráfico en la interfaz consuma ancho de banda de manera inadecuada.
Las redes vigilan el tráfico mediante la limitación de la velocidad de transmisión de entrada o salida de una clase de tráfico sobre la base de criterios definidos por el usuario. La vigilancia del tráfico le permite controlar la velocidad máxima de tráfico enviado o recibido en una interfaz y particionar una red en varios niveles de prioridad o clases de servicio.
Los agentes de policía requieren que aplique un tamaño de ráfaga y un límite de ancho de banda al flujo de tráfico, y establecer una consecuencia para los paquetes que superen estos límites; por lo general, una mayor prioridad de pérdida, de modo que los paquetes que superen los límites de policía se descarten primero.
Las arquitecturas de enrutadores de Juniper Networks admiten tres tipos de policía:
Policiar de dos colores: un policiador de dos colores (o "policía" cuando se usa sin calificación) evalúa el flujo de tráfico y clasifica los paquetes en dos categorías de prioridad de pérdida de paquetes (PLP) de acuerdo con un ancho de banda configurado y un límite de tamaño de ráfaga. Puede marcar paquetes que superen el ancho de banda y el límite de tamaño de ráfagas de alguna manera, o simplemente descartarlos. Un agente de policía es más útil para medir el tráfico en el nivel del puerto (interfaz física).
Marcado tricolor de velocidad única (TCM de velocidad única): un policiador de marcación tricolor de velocidad única se define en rfc 2697, un marcador de tres colores de velocidad única, como parte de un sistema de clasificación de reenvío por comportamiento de salto (PHB) garantizado para un entorno de servicios diferenciados (DiffServ). Este tipo de policía compara el tráfico según la tasa de información (CIR) configurada, el tamaño de ráfagas comprometidas (CBS) y el tamaño de ráfaga en exceso (EBS).
A partir de la versión 13.1 de Junos OS, el tráfico se clasifica en tres categorías: Verde, rojo y amarillo. La siguiente lista describe las categorías:
Verde: el tamaño de la ráfaga de los paquetes que llegan es menor que la suma de los CIR y CBS configurados.
Rojo: el tamaño de la ráfaga de los paquetes que llegan es mayor que la suma de los CIR y EBS configurados.
Amarillo: el tamaño de la ráfaga de los paquetes que llegan es mayor que el CBS, pero menor que el EBS.
El TCM de tarifa única es más útil cuando un servicio se estructura según la longitud del paquete y no la velocidad de llegada máxima.
Marcado tricolor de dos velocidades (TCM de dos velocidades): este tipo de agente de policía se define en el RFC 2698, un marcador de color de tres velocidades de dos velocidades, como parte de un sistema de clasificación de reenvío seguro por comportamiento de salto (PHB) para un entorno de servicios diferenciados (DiffServ). Este tipo de policías compara el tráfico según el CIR configurado y la velocidad de información máxima (PIR), junto con sus tamaños de ráfaga asociados, el CBS y EBS.
El tráfico se clasifica en las siguientes tres categorías:
Verde: el tamaño de la ráfaga de los paquetes que llegan es menor que la suma de los CIR y CBS configurados.
Rojo: el tamaño de la ráfaga de los paquetes que llegan es mayor que la suma de los PIR y EBS configurados.
Amarillo: el tráfico no pertenece a la categoría verde ni a la categoría roja.
El TCM de dos velocidades es más útil cuando un servicio se estructura según las tasas de llegada y no necesariamente la longitud del paquete.
A diferencia de la política (descrito en Configuración de policías Gigabit Ethernet), la configuración de policias de dos colores y los de marcado tricolor requiere que configure un filtro de firewall.
Configurar un agente de policía
Los policiadores de marcación de dos colores y tricolores se configuran en el [edit firewall] nivel jerárquico.
Un agente de policía de marca tricolor policía el tráfico sobre la base de las tasas de medición, incluyendo el CIR, el PIR, sus tamaños de ráfagas asociados y cualquier acción de policía configurada para el tráfico.
Para configurar el marcado del agente de policía tricolor, incluya la three-color-policer instrucción con opciones en el [edit firewall] nivel de jerarquía:
[edit firewall]
three-color-policer name {
action {
loss-priority high {
then discard;
}
}
single-rate {
(color-aware | color-blind);
committed-information-rate bps;
committed-burst-size bytes;
excess-burst-size bytes;
}
two-rate {
(color-aware | color-blind);
committed-information-rate bps;
committed-burst-size bytes;
peak-information-rate bps;
peak-burst-size bytes;
}
}
Para obtener más información acerca de cómo configurar marcas de policía tricolor, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y policías de tráfico y la Guía del usuario de la clase de servicio de Junos OS para dispositivos de enrutamiento.
Aplicación de un agente de policía
Aplique un policiar de dos colores o un policiar tricolor a una interfaz lógica para evitar que el tráfico en la interfaz consuma ancho de banda de manera inadecuada. Para aplicar políticas de dos colores o tricolores, incluya la layer2-policer instrucción:
layer2-policer { input-policer policer-name; input-three-color policer-name; output-policer policer-name; policer-name; }
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Use la input-policer instrucción para aplicar un agente de policía de dos colores a los paquetes recibidos en una interfaz lógica y la input-three-color instrucción para aplicar un agente de policía tricolor. Use la output-policer instrucción para aplicar un agente de policía de dos colores a paquetes transmitidos en una interfaz lógica y la output-three-color instrucción para aplicar un agente de policía tricolor. Los policiares especificados se deben configurar en el [edit firewall] nivel de jerarquía. Para cada interfaz, puede configurar un policiar de tres colores o un policia de entrada de dos colores o de salida; no puede configurar tanto un policiar de tres colores como uno de dos colores.
Ejemplo: Configuración y aplicación de un agente de policía
Configure los policiadores tricolores y aplíquelos a una interfaz:
[edit firewall]
three-color-policer three-color-policer-color-blind {
logical-interface-policer;
two-rate {
color-blind;
committed-information-rate 1500000;
committed-burst-size 150;
peak-information-rate 3;
peak-burst-size 300;
}
}
three-color-policer three-color-policer-color-aware {
logical-interface-policer;
two-rate {
color-aware;
committed-information-rate 1500000;
committed-burst-size 150;
peak-information-rate 3;
peak-burst-size 300;
}
}
[edit interfaces ge-1/1/0]
unit 1 {
layer2-policer {
input-three-color three-color-policer-color-blind;
output-three-color three-color-policer-color-aware;
}
}
Configure un policiador de dos colores y aplíquelo a una interfaz:
[edit firewall]
policer two-color-policer {
logical-interface-policer;
if-exceeding {
bandwidth-percent 90;
burst-size-limit 300;
}
then loss-priority-high;
}
[edit interfaces ge-1/1/0]
unit 2 {
layer2-policer {
input-policer two-color-policer;
output-policer two-color-policer;
}
}