Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de policías Gigabit Ethernet

Los agentes de policía le permiten realizar políticas de tráfico simples en interfaces Gigabit Ethernet sin configurar un filtro de firewall. Puede usar este tema para configurar una asignación de prioridad de entrada, una asignación de prioridad de salida y, luego, aplicar la política. Utilice este tema para obtener información sobre cómo configurar un policer de dos colores y un policer tricolor.

Capacidades de PIC IQ gigabit Ethernet y PIC Gigabit Ethernet con SFP

En el caso de las PIC IQ y Gigabit Ethernet de Gigabit Ethernet con SFPs (excepto la PIC gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), puede configurar capacidades granulares por clase de servicio (CoS) y una instrumentación y diagnóstico extensivos por VLAN y por dirección MAC.

La reescritura, el etiquetado y la eliminación de VLAN le permiten usar espacio de direcciones VLAN para admitir más clientes y servicios.

VPLS le permite proporcionar una LAN de punto a multipunto entre un conjunto de sitios en una VPN. Las PIC IQ ethernet y las PIC Gigabit Ethernet con SFP (excepto la PIC Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i) se combinan con VPLS para ofrecer servicio Ethernet metro.

Para las interfaces IQ2, IQ2-E y 10-Gigabit Ethernet IQ2 y IQ2-E de Gigabit Ethernet, puede aplicar políticas de capa 2 a interfaces lógicas en la dirección de salida o entrada. Los agentes de policía de capa 2 se configuran en el [edit firewall] nivel jerárquico. También puede controlar la velocidad del tráfico enviado o recibido en una interfaz configurando una sobrecarga de policía en el [edit chassis fpc slot-number pic slot-number] nivel de jerarquía.

Tabla 1 enumera las capacidades de las PIC IQ de Gigabit Ethernet y pic Gigabit Ethernet con SFPs (excepto la PIC Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i).

Tabla 1: Capacidades de Gigabit Ethernet IQ y Gigabit Ethernet con SFP

Capacidad

IQ de Gigabit Ethernet (SFP)

Gigabit Ethernet (SFP)

Capa 2

Agregación de vínculos de 802.3ad

VLAN máximas por puerto

384

1023

Tamaño máximo de unidad de transmisión (MTU)

9192

9192

Aprendizaje de MAC

Contabilidad MAC

Filtrado MAC

Destinos por puerto

960

960

Fuentes por puerto

64

64

Policías MAC jerárquicos

Sí, premium y agregado

No, agregue solo

Soporte de TPID múltiple y servicio IP para TPID no estándar

Varias encapsulaciones Ethernet

Etiquetas VLAN duales

No

Reescritura de VLAN

No

VPN de capa 2

VLAN CCC

CCC basado en puertos

Protocolo de etiqueta de red de área metropolitana virtual (VMAN) de VLAN extendida CCC

CS

Colas de salida basadas en PIC

VLAN en cola

No

VPLS

Para obtener más información acerca de cómo configurar VPLS, consulte la Biblioteca de VPN de Junos OS para dispositivos de enrutamiento.

También puede configurar CoS en interfaces IQ lógicas. Para obtener más información, consulte la Guía del usuario de clase de servicio de Junos OS para dispositivos de enrutamiento.

Configuración de policías Gigabit Ethernet

Descripción general

En las PIC de Gigabit Ethernet IQ y Gigabit Ethernet con SFPs (excepto la PIC Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), puede definir límites de velocidad para el tráfico premium y agregado recibido en la interfaz. Estos agentes de policía le permiten realizar políticas de tráfico simples sin configurar un filtro de firewall. En primer lugar, configure el perfil del agente de policía Ethernet, a continuación clasificará el tráfico de entrada y salida y, luego, podrá aplicar el aplicador de políticas a una interfaz lógica.

En el caso de pic Gigabit Ethernet con SFP (excepto la PIC gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), las tasas de policía que configure pueden ser diferentes a las del motor de reenvío de paquetes. La diferencia se debe a la sobrecarga de capa 2. La PIC explica esta diferencia.

Nota:

En enrutadores serie MX con PIC Gigabit Ethernet o Fast Ethernet, se aplican las siguientes consideraciones:

  • Los contadores de interfaz no cuentan el preámbulo de 7 bytes y el delimitador de tramas de 1 bytes en tramas Ethernet.

  • En las estadísticas MAC, el tamaño de trama incluye encabezado MAC y CRC antes de que se apliquen las reglas de reescritura/imposición de VLAN.

  • En las estadísticas de tráfico, el tamaño de trama abarca el encabezado L2 sin CRC después de cualquier regla de reescritura/imposición de VLAN.

Para obtener información sobre cómo comprender las estadísticas de tramas Ethernet, consulte la Guía de configuración de capa 2 de la serie MX.

Configuración de un policer

Para configurar un perfil de agente de policía Ethernet, incluya la ethernet-policer-profile instrucción en el [edit interfaces interface-name gigether-options ethernet-switch-profile] nivel jerárquico:

En el perfil del policer Ethernet, el policer de prioridad agregada es obligatorio; el policer de prioridad superior es opcional.

Para los agentes de policía agregados y premium, debe especificar el límite de ancho de banda en bits por segundo. Puede especificar el valor como un número decimal completo o como un número decimal seguido de la abreviatura k (1000), (1000 000) o g (1000 000 000). No hay ningún valor mínimo absoluto para el límite de ancho de banda, pero cualquier valor por debajo de 61 040 bps dará como resultado una tasa efectiva de 30 520 bps. El límite máximo de ancho de banda es de 4,29 Gbps.

El tamaño máximo de ráfaga controla la cantidad de tráfico permitido. Para determinar el límite de tamaño de ráfaga, puede multiplicar el ancho de banda de la interfaz en la que está aplicando el filtro por la cantidad de tiempo que permite que se produzca una ráfaga de tráfico en ese ancho de banda:

Si no conoce el ancho de banda de la interfaz, puede multiplicar la MTU máxima del tráfico en la interfaz por 10 para obtener un valor. Por ejemplo, el tamaño de ráfaga para una MTU de 4700 sería de 47 000 bytes. El tamaño de ráfaga debe ser de al menos 10 MPU de interfaz. El valor máximo para el límite de tamaño de ráfaga es de 100 MB.

Especificación de un mapa de prioridad de entrada

Una asignación de prioridad de entrada identifica el tráfico de entrada con valores de prioridad IEEE 802.1p especificados y clasifica ese tráfico como premium.

Si incluye un policer de prioridad superior, puede especificar una asignación de prioridad de entrada incluyendo la ieee802.1 premium instrucción en el [edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map] nivel de jerarquía:

Los valores de prioridad pueden ser del 0 al 7. El tráfico restante se clasifica como no premium (o agregado). Para obtener un ejemplo de configuración, consulte Ejemplo: Configuración de policías Gigabit Ethernet.

Nota:

En las interfaces IQ2 e IQ2-E y las interfaces de la serie MX, cuando se inserta una etiqueta VLAN, los bits IEEE 802.1p internos de vlan se copian en los bits IEEE de la VLAN o las VLAN que se insertan. Si el paquete original no está etiquetado, los bits IEEE de la VLAN o las VLAN que se insertan se establecen en 0.

Especificación de un mapa de prioridad de salida

Un mapa de prioridad de salida identifica el tráfico de salida con clasificación de cola especificada y prioridad de pérdida de paquetes (PLP), y clasifica ese tráfico como premium.

Si incluye un policer de prioridad superior, puede especificar una asignación de prioridad de salida incluyendo la classifier instrucción en el [edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map] nivel de jerarquía:

Puede definir una clase de reenvío o puede usar una clase de reenvío predefinida. Tabla 2 muestra las clases de reenvío predefinidas y sus asignaciones de cola asociadas.

Tabla 2: Clases de reenvío predeterminadas

Nombre de clase de reenvío

Cola

el mejor esfuerzo

Cola 0

reenvío acelerado

Cola 1

reenvío garantizado

Cola 2

control de red

Cola 3

Para obtener más información acerca de las clases de reenvío de CoS, consulte la Guía del usuario de clase de servicio de Junos OS para dispositivos de enrutamiento. Para obtener un ejemplo de configuración, consulte Ejemplo: Configuración de policías Gigabit Ethernet.

Aplicación de un agente de policía

En todas las interfaces de enrutador serie MX, IQ, IQ, IQ2 e IQ2-E de Gigabit Ethernet y PIC Gigabit Ethernet con SFP (excepto la PIC Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), puede aplicar policías de entrada y salida que definen límites de velocidad para el tráfico premium y agregado recibido en la interfaz lógica. Los agentes de policía agregados se admiten en PIC Gigabit Ethernet con SFP (excepto la PIC Gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i).

Estos agentes de policía le permiten realizar políticas de tráfico simples sin configurar un filtro de firewall.

Para aplicar agentes de policía a direcciones MAC de origen específicas, incluya la accept-source-mac instrucción:

Puede incluir estas instrucciones en los siguientes niveles jerárquicos:

  • [edit interfaces interface-name unit logical-unit-number ]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Puede especificar la dirección MAC como nn:nn:nn:nn:nn:nn:nn o nnnnn., donde n es un número hexadecimal.. Puede configurar hasta 64 direcciones de origen. Para especificar más de una dirección, incluya varias mac-address instrucciones en la configuración de interfaz lógica.

Nota:

En las interfaces de Gigabit Ethernet sin etiquetar, no debe configurar la source-address-filter instrucción en el [edit interfaces ge-fpc/pic/port gigether-options] nivel de jerarquía y la accept-source-mac instrucción en el [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] nivel jerárquico simultáneamente. Si estas instrucciones están configuradas para las mismas interfaces al mismo tiempo, se muestra un mensaje de error.

En las interfaces de Gigabit Ethernet etiquetadas, no debe configurar la source-address-filter instrucción en el [edit interfaces ge-fpc/pic/port gigether-options] nivel de jerarquía y la accept-source-mac instrucción en el [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] nivel de jerarquía con una dirección MAC idéntica especificada en ambos filtros. Si estas instrucciones están configuradas para las mismas interfaces con una dirección MAC idéntica especificada, se mostrará un mensaje de error.

Nota:

Si se cambia la tarjeta Ethernet remota, la interfaz no acepta tráfico de la nueva tarjeta porque la nueva tiene una dirección MAC diferente.

Las direcciones MAC que incluya en la configuración se ingresan en la base de datos MAC del enrutador. Para ver la base de datos MAC del enrutador, escriba el show interfaces mac-database interface-name comando:

En la input instrucción, enumera el nombre de una plantilla de policía que se evaluará cuando se reciban paquetes en la interfaz.

En la output instrucción, enumera el nombre de una plantilla de policía que se evaluará cuando se transmitan paquetes en la interfaz.

Nota:

En las interfaces PIC IQ2 e IQ2-E, el valor predeterminado para la retención máxima de entradas en la tabla de direcciones MAC ha cambiado, para los casos en los que la tabla no está llena. El nuevo tiempo de retención es de 12 horas. El tiempo de retención anterior de 3 minutos sigue vigente cuando la tabla está llena.

Puede usar el mismo agente de policía una o más veces.

Si aplica tanto los agentes de policía como los filtros de firewall a una interfaz, los agentes de policía de entrada se evalúan antes de los filtros de firewall de entrada y los agentes de policía de salida se evalúan después de los filtros de firewall de salida.

Configuración del filtrado de direcciones MAC

No puede definir explícitamente el tráfico con direcciones MAC de origen específicas que se rechazarán; sin embargo, para las PIC IQ y Gigabit Ethernet de Gigabit Ethernet con SFPs (excepto la PIC gigabit Ethernet de 10 puertos y el puerto Gigabit Ethernet integrado en el enrutador M7i), y para DPC Gigabit Ethernet en enrutadores serie MX, puede bloquear todos los paquetes entrantes que no tengan una dirección de origen especificada en la accept-source-mac instrucción. Para obtener más información acerca de la accept-source-mac instrucción, consulte Aplicación de un agente de policía.

Para habilitar este bloqueo, incluya la source-filtering instrucción en el [edit interfaces interface-name gigether-options] nivel de jerarquía:

Para obtener más información acerca de la source-filtering instrucción, consulte Configurar el filtrado de direcciones MAC para interfaces Ethernet.

Para aceptar tráfico aunque no tenga una dirección de origen especificada en la accept-source-mac instrucción, incluya la no-source-filtering instrucción en el [edit interfaces interface-name gigether-options] nivel de jerarquía:

Ejemplo: Configuración de policías Gigabit Ethernet

Ejemplo

En este ejemplo, se muestra lo siguiente:

  • Configure la interfaz ge-6/0/0 para tratar los valores de prioridad 2 y 3 como premium. En la entrada, esto significa que los valores 2 de prioridad IEEE 802.1p y 3 se tratan como premium. En la salida, significa que el tráfico que se clasifica en la cola 0 o 1 con PLP de bajo y la cola 2 o 3 con PLP de alto, se trata como premium.

  • Defina un policía que limite el ancho de banda premium a 100 Mbps y el tamaño de ráfaga a 3 k, y el ancho de banda agregado a 200 Mbps y el tamaño de ráfaga a 3 k.

  • Especifique que las tramas recibidas de la dirección 00:01:02:03:04:05 MAC y el ID 600 de VLAN están sujetas al aplicador de políticas en la entrada y la salida. En la entrada, esto significa que las tramas recibidas con la dirección 00:01:02:03:04:05 MAC de origen y el ID de VLAN 600 están sujetas al policer. En la salida, esto significa que las tramas transmitidas desde el enrutador con la dirección 00:01:02:03:04:05 MAC de destino y el ID 600 de VLAN están sujetos al aplicador de políticas.

Configuración de ejemplo

Configuración de policías tricolor y de dos colores de Gigabit Ethernet

Descripción general

Para las interfaces IQ2 e IQ2-E de Gigabit Ethernet y 10 Gigabit Ethernet en enrutadores serie M y T, puede configurar policías de marcado tricolor y de dos colores y aplicarlos a interfaces lógicas para evitar que el tráfico en la interfaz consuma ancho de banda de manera inadecuada.

Redes de tráfico de policía mediante la limitación de la velocidad de transmisión de entrada o salida de una clase de tráfico según criterios definidos por el usuario. El tráfico de políticas le permite controlar la velocidad máxima de tráfico enviada o recibida en una interfaz y particionar una red en varios niveles de prioridad o clases de servicio.

Los agentes de policía requieren que aplique un tamaño de ráfaga y un límite de ancho de banda al flujo de tráfico, y establezca una consecuencia para los paquetes que superen estos límites, por lo general una prioridad de pérdida más alta, de modo que los paquetes que superen los límites de los agentes de policía se descarten primero.

Las arquitecturas de enrutador de Juniper Networks admiten tres tipos de agente de policía:

  • Policía de dos colores: un aplicador de dos colores (o "aplicador de políticas" cuando se usa sin calificación) mide el flujo de tráfico y clasifica los paquetes en dos categorías de prioridad de pérdida de paquetes (PLP) según un ancho de banda configurado y un límite de tamaño de ráfaga. Puede marcar paquetes que excedan el ancho de banda y el límite de tamaño de ráfaga de alguna manera, o simplemente descartarlos. Un agente de policía es más útil para medir el tráfico en el nivel del puerto (interfaz física).

  • Marcado tricolor de una velocidad (TCM de una sola velocidad): un policía de marcado tricolor de una sola velocidad se define en RFC 2697, un marcador de tres colores de una sola velocidad, como parte de un sistema de clasificación de reenvío garantizado por comportamiento por salto (PHB) para un entorno de servicios diferenciados (DiffServ). Este tipo de tráfico de medidores de policía se basa en la velocidad de información confirmada configurada (CIR), el tamaño de ráfaga confirmada (CBS) y el tamaño de ráfaga excesiva (EBS).

    A partir de la versión 13.1 de Junos OS, el tráfico se clasifica en tres categorías: Verde, rojo y amarillo. En la siguiente lista se describen las categorías:

    • Verde: el tamaño de ráfaga de los paquetes que llegan es menor que la suma de los CIR y CBS configurados.

    • Rojo: el tamaño de ráfaga de los paquetes que llegan es mayor que la suma de los CIR y EBS configurados.

    • Amarillo: el tamaño de ráfaga de los paquetes que llegan es mayor que el CBS, pero menor que el EBS.

    El TCM de una sola velocidad es más útil cuando un servicio se estructura según la longitud del paquete y no la velocidad máxima de llegada.

  • Marcado tricolor de dos velocidades (TCM de dos velocidades): este tipo de policía se define en rfc 2698, un marcador de tres colores de dos velocidades, como parte de un sistema de clasificación de reenvío garantizado por comportamiento por salto (PHB) para un entorno de servicios diferenciados (DiffServ). Este tipo de policía mide el tráfico según el CIR configurado y la velocidad máxima de información (PIR), junto con sus tamaños de ráfaga asociados, cbs y EBS.

    El tráfico se clasifica en las siguientes tres categorías:

    • Verde: el tamaño de ráfaga de los paquetes que llegan es menor que la suma de los CIR y CBS configurados.

    • Rojo: el tamaño de ráfaga de los paquetes que llegan es mayor que la suma del PIR y EBS configurados.

    • Amarillo: el tráfico no pertenece a la categoría verde o roja.

    El TCM de dos velocidades es más útil cuando un servicio se estructura según las tasas de llegada y no necesariamente la longitud del paquete.

Nota:

A diferencia de las políticas (descritas en Configurar policías Gigabit Ethernet), la configuración de policías de dos colores y de marcado tricolor requiere que configure un filtro de firewall.

Configuración de un policer

Las políticas de marcado tricolor y de dos colores se configuran en el [edit firewall] nivel jerárquico.

Un politómetro de marcado tricolor politiza el tráfico sobre la base de las tasas de medición, incluyendo el CIR, el PIR, sus tamaños de ráfaga asociados y cualquier acción de policía configurada para el tráfico.

Para configurar el marcado de policía tricolor, incluya la three-color-policer instrucción con opciones en el [edit firewall] nivel jerárquico:

Para obtener más información acerca de cómo configurar las marcas de los agentes de policía tricolor, consulte las políticas de enrutamiento, los filtros de firewall y la Guía del usuario de la clasede servicio de Junos OS para dispositivos de enrutamiento.

Aplicación de un agente de policía

Aplique un policer de dos colores o un aplicador de policía tricolor a una interfaz lógica para evitar que el tráfico de la interfaz consuma ancho de banda de manera inadecuada. Para aplicar policías de dos colores o tricolor, incluya la layer2-policer instrucción:

Puede incluir estas instrucciones en los siguientes niveles jerárquicos:

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Utilice la input-policer instrucción para aplicar un policer de dos colores a los paquetes recibidos en una interfaz lógica y la input-three-color instrucción para aplicar un policía tricolor. Utilice la output-policer instrucción para aplicar un aplicador de políticas de dos colores a paquetes transmitidos en una interfaz lógica y la output-three-color instrucción para aplicar un policía tricolor. Los agentes de policía especificados se deben configurar en el [edit firewall] nivel de jerarquía. Para cada interfaz, puede configurar un policer de tres colores o un policer de entrada o salida de dos colores: no puede configurar un policer de tres colores y un aplicador de dos colores.

Ejemplo: Configuración y aplicación de un agente de policía

Configure los policías tricolor y aplíquelos a una interfaz:

Configure un policer de dos colores y aplíquelo a una interfaz:

Tabla de historial de versiones
Liberación
Descripción
13.1
A partir de la versión 13.1 de Junos OS, el tráfico se clasifica en tres categorías: Verde, rojo y amarillo.