Configuración de políticas de Gigabit Ethernet
Los aplicadores de políticas le permiten realizar una vigilancia de tráfico sencilla en interfaces Gigabit Ethernet sin configurar un filtro de firewall. Puede utilizar este tema para configurar un mapa de prioridad de entrada, un mapa de prioridad de salida y, a continuación, aplicar la directiva. Utilice este tema para obtener información sobre cómo configurar un aplicador de dos colores y un aplicador de tres colores.
Capacidades de las PIC IQ de Gigabit Ethernet y las PIC de Gigabit Ethernet con SFP
Para las PIC IQ de Gigabit Ethernet y las PIC de Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), puede configurar capacidades de clase de servicio (CoS) granulares por VLAN e instrumentación y diagnóstico extensos por VLAN y por dirección MAC.
La reescritura, el etiquetado y la eliminación de VLAN le permiten usar el espacio de direcciones VLAN para admitir más clientes y servicios.
VPLS le permite proporcionar una LAN punto a multipunto entre un conjunto de sitios en una VPN. Las PIC IQ Ethernet y las PIC Gigabit Ethernet con SFP (excepto la PIC Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i) se combinan con VPLS para ofrecer el servicio Ethernet metropolitano.
Para las interfaces Gigabit Ethernet IQ2 e IQ2-E y 10-Gigabit Ethernet IQ2 e IQ2-E, puede aplicar la vigilancia de capa 2 a las interfaces lógicas en la dirección de salida o entrada. Los aplicadores de políticas de capa 2 se configuran en el nivel de [edit firewall]
jerarquía. También puede controlar la velocidad del tráfico enviado o recibido en una interfaz configurando una sobrecarga de policía en el nivel jerárquico [edit chassis fpc slot-number pic slot-number]
.
Tabla 1 enumera las capacidades de las PIC IQ de Gigabit Ethernet y las PIC de Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i).
Capacidad |
Gigabit Ethernet IQ (SFP) |
Gigabit Ethernet (SFP) |
---|---|---|
Capa 2 | ||
Agregación de vínculos 802.3ad |
Sí |
Sí |
VLAN máximas por puerto |
384 |
1023 |
Tamaño de la unidad máxima de transmisión (MTU) |
9192 |
9192 |
Aprendizaje de MAC |
Sí |
Sí |
Contabilidad MAC |
Sí |
Sí |
Filtrado de MAC |
Sí |
Sí |
Destinos por puerto |
960 |
960 |
Fuentes por puerto |
64 |
64 |
Aplicadores jerárquicos de MAC |
Sí, premium y agregado |
No, solo agregar |
Compatibilidad con múltiples TPID y servicio IP para TPID no estándar |
Sí |
Sí |
Múltiples encapsulaciones Ethernet |
Sí |
Sí |
Etiquetas VLAN duales |
Sí |
No |
Reescritura de VLAN |
Sí |
No |
VPN de capa 2 | ||
VLAN CCC |
Sí |
Sí |
CCC basado en puertos |
Sí |
Sí |
Protocolo de etiqueta de red de área metropolitana virtual (VMAN) VLAN CCC extendida |
Sí |
Sí |
clase de servicio (CoS) | ||
Colas de salida basadas en PIC |
Sí |
Sí |
VLAN en cola |
Sí |
No |
VPLS |
Sí |
Sí |
Para obtener más información acerca de la configuración de VPLS, consulte la biblioteca VPN de Junos OS para dispositivos de enrutamiento.
También puede configurar CoS en interfaces IQ lógicas. Para obtener más información, consulte la Guía del usuario de la clase de servicio de Junos OS para dispositivos de enrutamiento.
Consulte también
Configuración de políticas de Gigabit Ethernet
- Descripción general
- Configuración de un Policer
- Especificación de un mapa de prioridad de entrada
- Especificación de un mapa de prioridad de salida
- Aplicación de un Policer
- Configuración del filtrado de direcciones MAC
- Ejemplo: Configuración de políticas de Gigabit Ethernet
Descripción general
En las PIC IQ y Gigabit Ethernet de Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), puede definir límites de velocidad para el tráfico premium y agregado recibido en la interfaz. Estos aplicadores de políticas le permiten realizar una vigilancia de tráfico sencilla sin configurar un filtro de firewall. En primer lugar, configure el perfil de controlador de Ethernet y, a continuación, clasifique el tráfico de entrada y salida y, a continuación, puede aplicar el controlador a una interfaz lógica.
Para las PIC de Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), las velocidades de aplicación que configure pueden ser diferentes de las velocidades del motor de reenvío de paquetes. La diferencia se debe a la sobrecarga de la capa 2. El PIC explica esta diferencia.
En los enrutadores serie MX con PIC Gigabit Ethernet o Fast Ethernet, se aplican las siguientes consideraciones:
Los contadores de interfaz no cuentan el preámbulo de 7 bytes y el delimitador de trama de 1 byte en las tramas Ethernet.
En las estadísticas de MAC, el tamaño de trama incluye el encabezado MAC y CRC antes de aplicar cualquier regla de reescritura/imposición de VLAN.
En estadísticas de tráfico, el tamaño de trama abarca el encabezado L2 sin CRC después de cualquier regla de reescritura/imposición de VLAN.
Para obtener información sobre cómo entender las estadísticas de tramas Ethernet, consulte la Guía de configuración de capa 2 de la serie MX.
Configuración de un Policer
Para configurar un perfil de aplicador de políticas de Ethernet, incluya la ethernet-policer-profile
instrucción en el nivel de [edit interfaces interface-name gigether-options ethernet-switch-profile]
jerarquía:
[edit interfaces interface-name gigether-options ethernet-switch-profile] ethernet-policer-profile { policer cos-policer-name { aggregate { bandwidth-limit bps; burst-size-limit bytes; } premium { bandwidth-limit bps; burst-size-limit bytes; } } }
En el perfil de controlador de Ethernet el controlador de prioridad agregada es obligatorio; El aplicador de prioridad premium es opcional.
Para los aplicadores agregados y premium, el límite de ancho de banda se especifica en bits por segundo. Puede especificar el valor como un número decimal completo o como un número decimal seguido de la abreviatura k
(1000), m
(1.000.000) o g
(1.000.000.000). No hay un valor mínimo absoluto para el límite de ancho de banda, pero cualquier valor por debajo de 61.040 bps dará como resultado una tasa efectiva de 30.520 bps. El límite máximo de ancho de banda es de 4,29 Gbps.
El tamaño máximo de ráfaga controla la cantidad de ráfagas de tráfico permitidas. Para determinar el límite de tamaño de ráfaga, puede multiplicar el ancho de banda de la interfaz en la que está aplicando el filtro por la cantidad de tiempo que permite que se produzca una ráfaga de tráfico en ese ancho de banda:
burst size = bandwidth x allowable time for burst traffic
Si no conoce el ancho de banda de la interfaz, puede multiplicar por 10 la MTU máxima del tráfico de la interfaz para obtener un valor. Por ejemplo, el tamaño de ráfaga para una MTU de 4700 sería de 47.000 bytes. El tamaño de ráfaga debe ser de al menos 10 MTU de interfaz. El valor máximo para el límite de tamaño de ráfaga es 100 MB.
Especificación de un mapa de prioridad de entrada
Un mapa de prioridad de entrada identifica el tráfico de entrada con valores de prioridad IEEE 802.1p especificados y clasifica ese tráfico como premium.
Si incluye un aplicador de prioridad premium, puede especificar un mapa de prioridad de entrada incluyendo la ieee802.1 premium
instrucción en el nivel de [edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map]
jerarquía:
[edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map]
ieee802.1p premium [ values ];
Los valores de prioridad pueden ser de 0 a 7. El tráfico restante se clasifica como no premium (o agregado). Para obtener un ejemplo de configuración, consulte Ejemplo: Configuración de políticas de Gigabit Ethernet.
En las interfaces IQ2 e IQ2-E y en las interfaces serie MX, cuando se inserta una etiqueta VLAN, los bits IEEE 802.1p de VLAN interna se copian en los bits IEEE de la VLAN o VLAN que se están insertando. Si el paquete original no está etiquetado, los bits IEEE de la VLAN o VLAN que se insertan se establecen en 0.
Especificación de un mapa de prioridad de salida
Un mapa de prioridad de salida identifica el tráfico de salida con una clasificación de cola y prioridad de pérdida de paquetes (PLP) especificadas, y clasifica ese tráfico como premium.
Si incluye un aplicador de prioridad premium, puede especificar un mapa de prioridad de salida incluyendo la classifier
instrucción en el nivel de [edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map]
jerarquía:
[edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map] classifier { premium { forwarding-class class-name { loss-priority (high | low); } } }
Puede definir una clase de reenvío o puede utilizar una clase de reenvío predefinida. Tabla 2 muestra las clases de reenvío predefinidas y sus asignaciones de cola asociadas.
Nombre de la clase de reenvío |
Cola |
---|---|
Mejor esfuerzo |
Cola 0 |
reenvío acelerado |
Cola 1 |
reenvío asegurado |
Cola 2 |
control de red |
Cola 3 |
Para obtener más información acerca de las clases de reenvío de CoS, consulte la Guía del usuario de la clase de servicio de Junos OS para dispositivos de enrutamiento. Para obtener un ejemplo de configuración, consulte Ejemplo: Configuración de políticas de Gigabit Ethernet.
Aplicación de un Policer
En todas las interfaces del enrutador serie MX, las PIC IQ, IQ2 e IQ2-E de Gigabit Ethernet, y las PIC de Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), puede aplicar políticas de entrada y salida que definen límites de velocidad para el tráfico agregado y premium recibido en la interfaz lógica. Los aplicadores de políticas agregadas son compatibles con las PIC de Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i).
Estos aplicadores de políticas le permiten realizar una vigilancia de tráfico sencilla sin configurar un filtro de firewall.
Para aplicar políticas a direcciones MAC de origen específicas, incluya la accept-source-mac
instrucción:
accept-source-mac { mac-address mac-address { policer { input cos-policer-name; output cos-policer-name; } } }
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number ]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Puede especificar la dirección MAC como nn:nn:nn::nn:nnnn o nnnn.
nnnn.
nnnn, donde n
es un número hexadecimal. Puede configurar hasta 64 direcciones de origen. Para especificar más de una dirección, incluya varias mac-address
instrucciones en la configuración de la interfaz lógica.
En las interfaces Gigabit Ethernet sin etiquetar, no debe configurar la source-address-filter
instrucción en el nivel de [edit interfaces ge-fpc/pic/port gigether-options]
jerarquía y la accept-source-mac
instrucción en el nivel de [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number]
jerarquía simultáneamente. Si estas instrucciones están configuradas para las mismas interfaces al mismo tiempo, se muestra un mensaje de error.
En las interfaces Gigabit Ethernet etiquetadas, no debe configurar la source-address-filter
instrucción en el nivel de [edit interfaces ge-fpc/pic/port gigether-options]
jerarquía y la accept-source-mac
instrucción en el nivel de [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number]
jerarquía con una dirección MAC idéntica especificada en ambos filtros. Si estas instrucciones están configuradas para las mismas interfaces con una dirección MAC idéntica especificada, se muestra un mensaje de error.
Si se cambia la tarjeta Ethernet remota, la interfaz no acepta tráfico de la nueva tarjeta porque la nueva tarjeta tiene una dirección MAC diferente.
Las direcciones MAC que incluya en la configuración se introducen en la base de datos MAC del router. Para ver la base de datos MAC del router, ingrese el show interfaces mac-database interface-name
comando:
user@host> show interfaces mac-database interface-name
En la input
instrucción, enumere el nombre de una plantilla de policía que se evaluará cuando se reciban paquetes en la interfaz.
En la output
instrucción, enumere el nombre de una plantilla de policía que se evaluará cuando se transmitan paquetes en la interfaz.
En las interfaces PIC IQ2 e IQ2-E, el valor predeterminado para la retención máxima de entradas en la tabla de direcciones MAC ha cambiado, para los casos en los que la tabla no está llena. El nuevo tiempo de espera es de 12 horas. El tiempo de retención anterior de 3 minutos sigue vigente cuando la mesa está llena.
Puede utilizar el mismo aplicador de policía una o más veces.
Si aplica tanto los controladores como los filtros de firewall a una interfaz, los aplicadores de políticas de entrada se evalúan antes que los filtros de firewall de entrada y los aplicadores de políticas de salida se evalúan después de los filtros de firewall de salida.
Configuración del filtrado de direcciones MAC
No puede definir explícitamente el tráfico con direcciones MAC de origen específicas para rechazarlo; sin embargo, para las PIC IQ y Gigabit Ethernet de Gigabit Ethernet con SFP (excepto la PIC de Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), y para las CPC de Gigabit Ethernet en enrutadores serie MX, puede bloquear todos los paquetes entrantes que no tengan una dirección de origen especificada en la accept-source-mac
instrucción. Para obtener más información acerca de la accept-source-mac
instrucción, consulte Aplicación de un Policer.
Para habilitar este bloqueo, incluya la source-filtering
instrucción en el nivel de [edit interfaces interface-name gigether-options]
jerarquía:
[edit interfaces interface-name gigether-options] source-filtering;
Para obtener más información acerca de la source-filtering
instrucción, consulte Configuración del filtrado de direcciones MAC para interfaces Ethernet.
Para aceptar tráfico aunque no tenga una dirección de origen especificada en la accept-source-mac
instrucción, incluya la no-source-filtering
instrucción en el nivel de [edit interfaces interface-name gigether-options]
jerarquía:
[edit interfaces interface-name gigether-options] no-source-filtering;
Ejemplo: Configuración de políticas de Gigabit Ethernet
Ejemplo
En este ejemplo se ilustra lo siguiente:
Configure la interfaz
ge-6/0/0
para tratar los valores de prioridad 2 y 3 como premium. Al ingresar, esto significa que IEEE 802.1p tiene valores2
de prioridad y3
se tratan como premium. En la salida, significa que el tráfico que se clasifica en la cola 0 o 1 con PLP de bajo y la cola 2 o 3 con PLP de alto, se trata como premium.Defina un aplicador de políticas que limite el ancho de banda premium a 100 Mbps y el tamaño de ráfaga a 3 k, y el ancho de banda agregado a 200 Mbps y el tamaño de ráfaga a 3 k.
Especifique que las tramas recibidas de la dirección
00:01:02:03:04:05
MAC y el ID600
de VLAN están sujetas al aplicador de políticas de entrada y salida. En la entrada, esto significa que las tramas recibidas con la dirección00:01:02:03:04:05
MAC de origen y el ID de VLAN 600 están sujetas al aplicador de políticas. En la salida, esto significa que las tramas transmitidas desde el enrutador con la dirección00:01:02:03:04:05
MAC de destino y el ID600
de VLAN están sujetas al aplicador de políticas.
Configuración de ejemplo
[edit interfaces] ge-6/0/0 { gigether-options { ether-switch-profile { ether-policer-profile { input-priority-map { ieee-802.1p { premium [ 2 3 ]; } } output-priority-map { classifier { premium { forwarding-class best-effort { loss-priority low; } forwarding-class expedited-forwarding { loss-priority low; } forwarding-class assured-forwarding { loss-priority high; } forwarding-class network-control { loss-priority high; } } } } policer policer-1 { premium { bandwidth-limit 100m; burst-size-limit 3k; } aggregate { bandwidth-limit 200m; burst-size-limit 3k; } } } } } unit 0 { accept-source-mac { mac-address 00:01:02:03:04:05 { policer { input policer-1; output policer-1; } } } } }
Configuración de aplicadores de dos colores y tricolores de Gigabit Ethernet
- Descripción general
- Configuración de un Policer
- Aplicación de un Policer
- Ejemplo: Configuración y aplicación de un aplicador de políticas
Descripción general
Para las interfaces Gigabit Ethernet y 10-Gigabit Ethernet IQ2 e IQ2-E en enrutadores serie M y T, puede configurar políticas de marcado de dos colores y tricolores y aplicarlas a interfaces lógicas para evitar que el tráfico en la interfaz consuma ancho de banda de forma inadecuada.
Las redes controlan el tráfico limitando la velocidad de transmisión de entrada o salida de una clase de tráfico sobre la base de criterios definidos por el usuario. La vigilancia del tráfico permite controlar la tasa máxima de tráfico enviado o recibido en una interfaz y dividir una red en varios niveles de prioridad o clases de servicio.
Los aplicadores de políticas requieren que aplique un tamaño de ráfaga y un límite de ancho de banda al flujo de tráfico, y que establezca una consecuencia para los paquetes que superen estos límites; por lo general, una prioridad de pérdida más alta, de modo que los paquetes que excedan los límites de la policía se descarten primero.
Las arquitecturas de enrutador de Juniper Networks admiten tres tipos de aplicadores:
Aplicador de dos colores: un aplicador de dos colores (o "policíar" cuando se usa sin calificación) mide el flujo de tráfico y clasifica los paquetes en dos categorías de prioridad de pérdida de paquetes (PLP) de acuerdo con un ancho de banda configurado y un límite de tamaño de ráfaga. Puede marcar paquetes que excedan el ancho de banda y el límite de tamaño de ráfaga de alguna manera, o simplemente descartarlos. Un aplicador de políticas es más útil para medir el tráfico en el nivel de puerto (interfaz física).
Marcado tricolor de velocidad única (TCM de tasa única): en RFC 2697, Un marcador de tres colores de velocidad única, se define un aplicador de marcado de tres colores de velocidad única, como parte de un sistema de clasificación de comportamiento por salto (PHB) de reenvío asegurado para un entorno de servicios diferenciados (DiffServ). Este tipo de controlador mide el tráfico en función de la tasa de información confirmada (CIR) configurada, el tamaño de ráfaga confirmada (CBS) y el tamaño de ráfaga excesiva (EBS).
A partir de Junos OS versión 13.1, el tráfico se clasifica en tres categorías: Verde, rojo y amarillo. La siguiente lista describe las categorías:
Verde: el tamaño de ráfaga de los paquetes que llegan es menor que la suma del CIR y el CBS configurados.
Rojo: el tamaño de ráfaga de los paquetes que llegan es mayor que la suma de los CIR y EBS configurados.
Amarillo: el tamaño de ráfaga de los paquetes que llegan es mayor que el CBS pero menor que el EBS.
La TCM de tasa única es más útil cuando un servicio se estructura de acuerdo con la longitud del paquete y no con la tasa máxima de llegada.
Marcado tricolor de dos velocidades (TCM de dos velocidades): este tipo de aplicador se define en RFC 2698, Un marcador de tres colores de dos velocidades, como parte de un sistema de clasificación de reenvío asegurado por comportamiento por salto (PHB) para un entorno de servicios diferenciados (DiffServ). Este tipo de medidor de tráfico basado en el CIR configurado y la tasa de información máxima (PIR), junto con sus tamaños de ráfaga asociados, el CBS y EBS.
El tráfico se clasifica en las tres categorías siguientes:
Verde: el tamaño de ráfaga de los paquetes que llegan es menor que la suma del CIR y el CBS configurados.
Rojo: el tamaño de ráfaga de los paquetes que llegan es mayor que la suma de los PIR y EBS configurados.
Amarillo: el tráfico no pertenece ni a la categoría verde ni a la roja.
La TCM de dos velocidades es más útil cuando un servicio está estructurado de acuerdo con las tasas de llegada y no necesariamente la longitud del paquete.
A diferencia de la vigilancia (descrita en Configuración de políticas de Gigabit Ethernet), la configuración de políticas de dos colores y políticas de marcado tricolor requiere que configure un filtro de firewall.
Configuración de un Policer
Los aplicadores de marcado de dos colores y tricolores se configuran en el nivel jerárquico [edit firewall]
.
Un policía de marcado tricolor vigila el tráfico en función de las tasas de medición, incluidos el CIR, el PIR, sus tamaños de ráfaga asociados y cualquier acción policial configurada para el tráfico.
Para configurar el marcado del aplicador automático tricolor, incluya la three-color-policer
instrucción con opciones en el nivel de [edit firewall]
jerarquía:
[edit firewall] three-color-policer name { action { loss-priority high { then discard; } } single-rate { (color-aware | color-blind); committed-information-rate bps; committed-burst-size bytes; excess-burst-size bytes; } two-rate { (color-aware | color-blind); committed-information-rate bps; committed-burst-size bytes; peak-information-rate bps; peak-burst-size bytes; } }
Para obtener más información acerca de la configuración de las marcas de aplicador de control tricolor, consulte la Guía del usuario de políticas de enrutamiento, filtros de firewall y controladores de tráfico y la Guía del usuario de clase de servicio de Junos OS para dispositivos de enrutamiento.
Aplicación de un Policer
Aplique un aplicador de dos colores o un controlador de tres colores a una interfaz lógica para evitar que el tráfico en la interfaz consuma ancho de banda de forma inadecuada. Para aplicar políticas bicolores o tricolores, incluya la layer2-policer
instrucción:
layer2-policer { input-policer policer-name; input-three-color policer-name; output-policer policer-name; policer-name; }
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]
Utilice la input-policer
instrucción para aplicar un controlador de dos colores a los paquetes recibidos en una interfaz lógica y la input-three-color
instrucción para aplicar un controlador de control tricolor. Utilice la output-policer
instrucción para aplicar un controlador de dos colores a los paquetes transmitidos en una interfaz lógica y la output-three-color
instrucción para aplicar un controlador de control tricolor. Los aplicadores de policía especificados deben configurarse en el nivel jerárquico [edit firewall]
. Para cada interfaz, puede configurar un aplicador de tres colores o un aplicador de entrada o de salida de dos colores; no puede configurar un aplicador de tres colores y un aplicador de dos colores.
Ejemplo: Configuración y aplicación de un aplicador de políticas
Configure los aplicadores tricolores y aplíquelos a una interfaz:
[edit firewall] three-color-policer three-color-policer-color-blind { logical-interface-policer; two-rate { color-blind; committed-information-rate 1500000; committed-burst-size 150; peak-information-rate 3; peak-burst-size 300; } } three-color-policer three-color-policer-color-aware { logical-interface-policer; two-rate { color-aware; committed-information-rate 1500000; committed-burst-size 150; peak-information-rate 3; peak-burst-size 300; } } [edit interfaces ge-1/1/0] unit 1 { layer2-policer { input-three-color three-color-policer-color-blind; output-three-color three-color-policer-color-aware; } }
Configure un aplicador de dos colores y aplíquelo a una interfaz:
[edit firewall] policer two-color-policer { logical-interface-policer; if-exceeding { bandwidth-percent 90; burst-size-limit 300; } then loss-priority-high; } [edit interfaces ge-1/1/0] unit 2 { layer2-policer { input-policer two-color-policer; output-policer two-color-policer; } }
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.