Aplicación de policías
Descripción general de la aplicación de policías
Los policias le permiten realizar políticas simples de tráfico en interfaces específicas o redes privadas virtuales (VPN) de capa 2 sin configurar un filtro de firewall. Para aplicar policías, incluya la policer declaración:
policer { arp policer-template-name; input policer-template-name; output policer-template-name; }
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number family family][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
En la family instrucción, la familia de protocolos puede ser ccc, inet, inet6, mpls, tcc, o vpls.
En la arp instrucción, enumera el nombre de una plantilla de policía que se evaluará cuando se reciben paquetes de Protocolo de resolución de direcciones (ARP) en la interfaz. De forma predeterminada, se instala un agente de política ARP que se comparte entre todas las interfaces Ethernet en las que ha configurado la family inet instrucción. Si desea una política más estricta o indulgente de los paquetes ARP, puede configurar un agente de políticas específico de la interfaz y aplicarlo a la interfaz. Puede configurar un agente de política ARP tal como configuraría cualquier otro agente de política, en el [edit firewall policer] nivel de jerarquía. Si aplica este agente de política a una interfaz, el policia de paquetes ARP predeterminado se anula. Si elimina este agente de policía, el agente de policía predeterminado vuelve a tener efecto.
Puede configurar un agente de policía diferente en cada familia de protocolos en una interfaz, con un agente de policía de entrada y un agente de salida para cada familia. Cuando aplica agentes de política, puede configurar la familia
ccc, ,inetinet6tccmplsovplssolo, y un agente de políticas ARP solo para el protocolo de familia.inetCada vez que se hace referencia a un agente de policía, se instala una copia independiente del agente de policía en los componentes de reenvío de paquetes para esa interfaz.Si aplica tanto policías como filtros de firewall a una interfaz, los policias de entrada se evalúan antes de los filtros de firewall de entrada y los policiadores de salida se evalúan después de los filtros de firewall de salida. En la
inputinstrucción, enumera el nombre de una plantilla de agente de policía que se evaluará cuando se reciben paquetes en la interfaz. En laoutputinstrucción, enumiera el nombre de una plantilla de agente de policía que se evaluará cuando se transmiten paquetes en la interfaz.Para los suscriptores que terminan en enrutadores serie MX mediante una interfaz de Ethernet agregada (AE) que abarca varios FPC, es posible que una velocidad de suscriptor general supere la velocidad configurada, ya que el límite configurado en el agente de policía se aplica por separado a cada interfaz en el paquete AE. Así, por ejemplo, si tiene la intención de que un agente de policía en una interfaz de AE de tres miembros aplique
bandwidth-limita de 600m, tendría que configurar elbandwidth-limiten el agente de políticas para 200m que tenga en cuenta las tres interfaces de AE (es decir, 200 Mbps por interfaz, para un total combinado de 600 Mbps).Si aplica el agente de políticas a la interfaz
lo0, se aplica a los paquetes recibidos o transmitidos por el motor de enrutamiento.En las plataformas serie T, M120 y M320, si las interfaces están en la misma FPC, los filtros o los policias no actúan en la suma del tráfico que entra y sale de las interfaces.
Aplicación de policias agregadas
Aplicación de policias agregadas
De forma predeterminada, si aplica un agente de policía a varias familias de protocolos en la misma interfaz lógica, el agente de policía restringe el tráfico de cada familia de protocolos individualmente. Por ejemplo, un agente de policía con un límite de ancho de banda de 50 Mbps aplicado al tráfico IPv4 e IPv6 le permitiría a la interfaz aceptar 50 Mbps de tráfico IPv4 y 50 Mbps de tráfico IPv6. Si aplica un agente de policía agregado, el agente de policía permitiría que la interfaz recibiera solo 50 Mbps de tráfico IPv4 e IPv6 combinados.
Para configurar un agente de policía de agregado, incluya la logical-interface-policer instrucción en el [edit firewall policer policer-template-name] nivel de jerarquía:
[edit firewall policer policer-template-name] logical-interface-policer;
Para que el agente de policía se trate como un agregado, debe aplicarlo a varias familias de protocolos en una sola interfaz lógica mediante la inclusión de la policer instrucción:
policer { arp policer-template-name; input policer-template-name; output policer-template-name; }
Puede incluir estas instrucciones en los siguientes niveles jerárquicos:
[edit interfaces interface-name unit logical-unit-number family family][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
En la family instrucción, la familia de protocolos puede ser ccc, inet, inet6, mpls, tcc, o vpls.
Las familias de protocolos en las que no aplica el agente de policía no se ven afectadas por el agente de policía. Por ejemplo, si configura una sola interfaz lógica para aceptar tráfico MPLS, IPv4 e IPv6 y aplica el agente de policer1 policía de interfaz lógica solo a las familias de protocolos IPv4 e IPv6, el tráfico MPLS no está sujeto a las restricciones de policer1.
Si se aplica policer1 a una interfaz lógica diferente, hay dos instancias del agente de policía. Esto significa que Junos OS policía el tráfico en interfaces lógicas separadas por separado, no como un agregado, incluso si se aplica el mismo policia de interfaz lógica a varias interfaces lógicas en el mismo puerto de interfaz física.
Ejemplo: Aplicación de policias agregadas
Configure dos políticas de interfaz lógicas: aggregate_police1 y aggregate_police2. Aplicar aggregate_police1 al tráfico IPv4 e IPv6 recibido en la interfaz fe-0/0/0.0 lógica. Aplicar aggregate_police2 al tráfico CCC y MPLS recibido en la interfaz lógica fe-0/0/0.0. Esta configuración hace que el software cree solo una instancia de aggregate_police1 .aggregate_police2
Aplicar aggregate_police1 al tráfico IPv4 e IPv6 recibido en otra interfaz fe-0/0/0.1lógica. Esta configuración hace que el software cree una nueva instancia de aggregate_police1, una que se aplica a la unidad 0 y otra que se aplica a la unidad 1.
[edit firewall]
policer aggregate_police1 {
logical-interface-policer;
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 500k;
}
then {
discard;
}
}
policer aggregate_police2 {
logical-interface-policer;
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 200k;
}
then {
discard;
}
}
[edit interfaces fe-0/0/0]
unit 0 {
family inet {
policer {
input aggregate_police1;
}
}
family inet6 {
policer {
input aggregate_police1;
}
}
family ccc {
policer {
input aggregate_police2;
}
}
family mpls {
policer {
input aggregate_police2;
}
}
}
unit 1 {
family inet {
policer {
input aggregate_police1;
}
}
family inet6 {
policer {
input aggregate_police1;
}
}
}
Aplicación de policías jerárquicos en PIC de cola inteligente mejoradas
Aplicación de policías jerárquicos en PIC de cola inteligente mejoradas
Los enrutadores de borde M40e, M120 y M320, y los enrutadores de núcleo de la serie T con PIC de cola inteligente mejorada (IQE) admiten policías jerárquicos en la dirección de entrada y le permiten aplicar un agente de policía jerárquico para los niveles de tráfico premium y agregar (premium más normal) a una interfaz. Los policías jerárquicos proporcionan funcionalidad cruzada entre la interfaz física configurada y el motor de reenvío de paquetes.
Antes de comenzar, hay algunas restricciones generales que se aplican a los agentes de políticas jerárquicos:
Solo se puede configurar un tipo de agente de policía para una interfaz lógica o física. Por ejemplo, no se permite un agente de policía jerárquico y un agente de policía regular en la misma dirección para la misma interfaz lógica.
No se permite el encadenamiento de los policias , es decir, aplicar policias tanto a un puerto como a las interfaces lógicas de ese puerto.
Hay un límite de 64 policías por interfaz en caso de que no haya una clasificación BA, lo que proporciona un único agente de políticas por DLCI.
Solo se puede aplicar un tipo de agente de policía en una interfaz física o lógica.
El agente de policía debe ser independiente de la clasificación ba. Sin la clasificación de BA, todo el tráfico de una interfaz se tratará como EF o no como EF, según la configuración. Con la clasificación ba, una interfaz puede admitir hasta 64 policías. Una vez más, la interfaz aquí puede ser una interfaz física o lógica (por ejemplo, DLCI).
Con la clasificación de BA, el tráfico misceláneo (el tráfico no coincide con ninguno de los bits DSCP/EXP de la clasificación de BA) se aplicará como tráfico que no es de EF. No se instalarán policías independientes para este tráfico.
Descripción general del policía jerárquico
La política jerárquica usa dos buckets de token, uno para el tráfico agregado (no EF) y otro para el tráfico premium (EF). Qué tráfico es EF y cuál no es EF está determinado por la configuración de clase de servicio. Lógicamente, la policía jerárquica se logra mediante el encadenamiento de dos policías.
En el ejemplo Figura 1de , el tráfico de EF está vigilado por Premium Policer y el tráfico que no es DE EF está vigilado por El agente de policía agregado. Lo que eso significa es que, para el tráfico de EF, la acción fuera de especificación será la que esté configurada para Premium Policer, pero el tráfico de EF dentro de la especificación seguirá consumiendo los tokens del Agente de policía de agregado.
Pero el tráfico EF nunca se enviará a la acción fuera de especificaciones del Agente de policía agregada. Además, si la acción fuera de especificación del Premium Policer no se establece en Descartar, esos paquetes fuera de especificaciones no consumirán los tokens del Agente de policía de agregado. El agente de policía agregado solo policia el tráfico que no es de EF. Como pueden ver, el bucket de token de Aggregate Policer puede salir negativo, si todos los tokens son consumidos por el tráfico que no es de EF y, luego, obtiene ráfagas de tráfico EF. Pero eso será por muy poco tiempo, y en un período de tiempo se promediará. Por ejemplo:
Policía premium: Ancho de banda de 2 Mbps, acción de OOS: Deseche
Agente de policía agregado: Ancho de banda de 10 Mbps, acción de OOS: Deseche
En el caso anterior, se garantiza que el tráfico de EF sea de 2 Mbps y el tráfico que no sea EF pasará de 8 Mbps a 10 Mbps, dependiendo de la velocidad de entrada del tráfico ef.
Características jerárquicas de policía
Las funciones jerárquicas de bucket de token incluyen:
El tráfico de entrada se clasifica primero en tráfico EF y no EF antes de aplicar un agente de policía:
La clasificación se realiza mediante la búsqueda de Q-tree
El número de canal selecciona un policía de bucket de token compartido:
El policiar de bucket de token dual se divide en dos policias de bucket único:
Policer1: tráfico EF
Policer2: tráfico que no es ef
El bucket de token compartido se utiliza para policiar el tráfico de la siguiente manera:
El Policer1 se establece a una velocidad EF (por ejemplo, 2 Mbps)
Policer2 se establece para agregar velocidad de interfaz policiada (por ejemplo, 10 Mbps).
El tráfico EF se aplica a Policer1.
Si el tráfico es según las especificaciones, se permite pasar y decrementar tanto de Policer1 como de Policer2.
Si el tráfico no está especificado, puede descartarse o marcarse con una nueva prioridad de FC o pérdida. Policer2 no hará nada con tráfico EF fuera de especificaciones.
El tráfico que no sea EF se aplica solo a Policer2.
Si el tráfico está dentro de las especificaciones, se le permite pasar y decrementar a Policer2.
Si el tráfico no está especificado, se descarta o se marca con una nueva FC o se establece con una nueva prioridad de caída.
Limite la velocidad de puerto a la velocidad deseada en la capa 2
Limitar la velocidad del tráfico EF
Limitar la velocidad del tráfico que no es de EF
Caídas de políticas contadas por color
Consulte también
Configuración de policías jerárquicos
Para configurar un agente de policía jerárquico, aplique la policing-priority instrucción a la clase de reenvío adecuada y configure un agente de policía jerárquico para el agregado y el nivel premium. Para obtener más información acerca de la clase de servicio, consulte la Guía del usuario de clase de servicio de Junos OS para dispositivos de enrutamiento.
Los policías jerárquicos solo se pueden configurar en interfaces físicas SONET alojadas en una PIC IQE. Solo se admiten niveles agregados y premium.
Configuración CoS de clases de reenvío para policías jerárquicos
[edit class-of-service forwarding-classes] class fc1 queue-num 0 priority high policing-priority premium; class fc2 queue-num 1 priority low policing-priority normal; class fc3 queue-num 2 priority low policing-priority normal; class fc4 queue-num 3 priority low policing-priority normal;
Para obtener información detallada sobre la configuración y las instrucciones de clase de servicio, consulte la Guía del usuario de clase de servicio de Junos OS para dispositivos de enrutamiento.
Configuración de firewall para policiadores jerárquicos
[edit firewall hierarchical-policer foo]
aggregate {
if-exceeding {
bandwidth-limit 70m;
burst-size-limit 1500;
}
then {
discard;
}
premium {
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 1500;
}
then {
discard;
}
}
Puede aplicar el agente de policía jerárquico de la siguiente manera:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-hierarchical-policer foo;
También tiene la opción de aplicar el agente de policía en el nivel del puerto físico de la siguiente manera:
[edit interfaces so-0/1/0 layer2-policer] input-hierarchical-policer foo;
Configuración de un agente de policía de dos colores de velocidad única
Puede configurar un policiador de dos colores de velocidad única de la siguiente manera:
[edit firewall policer foo]
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 1500;
}
then {
discard;
}
Puede aplicar el agente de policía de la siguiente manera:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-policer foo;
También tiene la opción de aplicar el agente de policía en el nivel del puerto físico de la siguiente manera:
[edit interfaces so-0/1/0 layer2-policer] input-policer foo;
Configuración de un agente de control de color de velocidad única
En esta sección, se describen los policiares daltónicos y conscientes del color de velocidad única.
Puede configurar un agente de control de color de velocidad única de la siguiente manera:
[edit firewall three-color-policer foo]
single-rate {
color-blind;
committed-information-rate 50m;
committed-burst-size 1500;
excess-burst-size 1500;
}
Puede aplicar el agente de control de color de velocidad única de la siguiente manera:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
Puede configurar un agente de policía con conciencia de color de velocidad única de la siguiente manera:
[edit firewall three-color-policer bar]
single-rate {
color-aware;
committed-information-rate 50m;
committed-burst-size 1500;
excess-burst-size 1500;
}
Puede aplicar el agente de policía con conciencia del color de velocidad única de la siguiente manera:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
También tiene la opción de aplicar el agente de policía en el nivel del puerto físico de la siguiente manera:
[edit interfaces so-0/1/0 layer2-policer] input-three-color bar;
Configuración de un marcador tricolor de dos velocidades
La política de entrada se implementa mediante un marcador tricolor (trTCM) de dos velocidades. Esto se hace con un bucket de token dual (DTB) que mantiene dos velocidades, comprometidas y un pico. La política estática de salida también usa un bucket de token.
Los buckets de token realizan las siguientes funciones de control de entrada:
(1K) trTCM - Bucket de token dual (marcado rojo, amarillo y verde)
La política se basa en el tamaño del paquete de capa 2:
Después de +/- ajuste el desplazamiento
El marcado es consciente del color y daltónicos:
La conciencia de color debe tener el color establecido por la búsqueda de q-tree basada en:
Tos
EXP
Acciones de marcado programable:
Color (rojo, amarillo, verde)
Caída según el color y el perfil de congestión
El agente de policía se selecciona según el número de canal de llegada:
Número de canal LUT produce índice de policía e índice de colas
Varios canales pueden compartir el mismo agente de policía (la LUT produce el mismo índice de policía)
Soporte de políticas de entrada y trTCM en los siguientes niveles:
Cola
Interfaz lógica (ifl/DLCI)
Interfaz física (ifd)
Puerto físico (controlador ifd)
Cualquier combinación de interfaz lógica, interfaz física y puerto
Porcentaje de soporte de velocidad de interfaz y bits por segundo
Los límites de velocidad se pueden aplicar a las colas seleccionadas de entrada y a las colas predefinidas a la salida. El bucket de token funciona en modos con conciencia de color y daltónicos (especificado por RFC 2698).
Configuración de un trTCM ciego de color
[edit firewall three-color-policer foo]
two-rate {
color-blind;
committed-information-rate 50m;
committed-burst-size 1500;
peak-information-rate 100m;
peak-burst-size 3k;
}
Puede aplicar el policiador ciego de color de dos velocidades de tres colores de la siguiente manera:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
También tiene la opción de aplicar el agente de policía en el nivel del puerto físico de la siguiente manera:
[edit interfaces so-0/1/0 layer2-policer] input-three-color foo;
Configurar un trTCM consciente del color
[edit firewall three-color-policer bar]
two-rate {
color-aware;
committed-information-rate 50m;
committed-burst-size 1500;
peak-information-rate 100m;
peak-burst-size 3k;
}
Puede aplicar el policiador con conciencia de color de dos velocidades de tres colores de la siguiente manera:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color bar;
También tiene la opción de aplicar el agente de policía en el nivel del puerto físico de la siguiente manera:
[edit interfaces so-0/1/0 layer2-policer] input-three-color bar;