Policías jerárquicas
Descripción general del policía jerárquico
Puede usar un agente de políticas jerárquico para limitar la velocidad de tráfico de entrada de capa 2 en una interfaz física o lógica y aplicar diferentes acciones de policía según si los paquetes están clasificados para reenvío acelerado (EF) o para una prioridad menor.
La política jerárquica se admite en enrutadores de borde M40e, M120 y M320 con concentradores de PIC flexibles entrantes (FPC) como SFPC y FPC salientes como FFPC, y en enrutadores de núcleo serie MX, T320, T640 y T1600 con PIC de cola inteligente mejorada (IQE).
Puede aplicar políticas jerárquicas a una interfaz lógica.
Una configuración de policía jerárquica define dos policiadores (uno solo para el tráfico EF y otro para el tráfico que no es de EF) que funcionan de manera jerárquica:
Policiar premium: puede configurar el agente de policía premium con límites de tráfico solo para tráfico EF de alta prioridad: un ancho de banda garantizado y un límite de tamaño de ráfaga correspondiente. El tráfico ef se categoriza como no conforme cuando su velocidad de llegada promedio supera el ancho de banda garantizado y su tamaño promedio de paquete supera el límite de tamaño de ráfaga premium. En el caso de un agente de policía premium, la única acción configurable para el tráfico de no conformidad es descartar los paquetes.
Agente de policía de agregado: configura el agente de policía de agregado con un ancho de banda agregado (para adaptar tanto el tráfico EF de alta prioridad como el ancho de banda garantizado y el tráfico de prioridad normal no EF) y un límite de tamaño de ráfaga para el tráfico que no es solo de EF. El tráfico que no es de EF se categoriza como no conforme cuando su velocidad de llegada media supera la cantidad de ancho de banda agregado que no consume actualmente el tráfico de EF y su tamaño promedio de paquete supera el límite de tamaño de ráfaga definido en el agente de política de agregado. En el caso de un agente de policía agregado, las acciones configurables para el tráfico no conformidad son descartar los paquetes, asignar una clase de reenvío o asignar un nivel de prioridad de pérdida de paquetes (PLP).
Debe configurar el límite de ancho de banda del agente de policía premium en o por debajo del límite de ancho de banda del policiador agregado. Si los dos límites de ancho de banda son iguales, el tráfico que no es de EF solo pasa por la interfaz sin restricciones, mientras que ningún tráfico EF llega a la interfaz.
El tráfico de EF tiene garantizado el ancho de banda especificado como el límite de ancho de banda premium, mientras que el tráfico que no es de EF está limitado a la velocidad de la cantidad de ancho de banda agregado que no consume actualmente el tráfico de EF. El tráfico que no es de EF está limitado a la velocidad de todo el ancho de banda agregado, mientras que no hay tráfico EF presente.
Por ejemplo, suponga que configura un agente de policía jerárquico con los siguientes componentes:
Policiador premium con límite de ancho de banda establecido en 2 Mbps, límite de tamaño de ráfaga establecido en 3000 bytes y acción no conforme establecida para descartar paquetes.
Agregación de policías con un límite de ancho de banda establecido en 10 Mbps, un límite de tamaño de ráfaga establecido en 3000 bytes y una acción no conforme establecida para descartar paquetes.
El tráfico EF tiene garantizado un ancho de banda de 2 Mbps. Las ráfagas de tráfico EF (tráfico de EF que llega a la interfaz a velocidades superiores a 2 Mbps) también pueden pasar por la interfaz, siempre que haya suficientes tokens disponibles en el bucket de 3000 bytes. Cuando no hay tokens disponibles para una ráfaga de tráfico que no sea EF, los paquetes tienen una velocidad limitada mediante el uso de acciones de vigilancia para el agente de policía premium.
El tráfico que no es de EF se mide hasta un límite de ancho de banda que oscila entre 8 Mbps y 10 Mbps, dependiendo de la velocidad de llegada media del tráfico EF. Las ráfagas de tráfico que no es de EF (tráfico que llega a la interfaz a velocidades superiores al límite actual para tráfico que no es de EF) también pasan por la interfaz, siempre que haya suficientes tokens disponibles en el bucket de 3000 bytes. Cuando el tráfico que no es de EF supera el ancho de banda permitido actualmente o cuando no hay tokens disponibles para una ráfaga de tráfico que no sea EF, los paquetes tienen una velocidad limitada mediante el uso de acciones de policía para el agente de policía agregado.
Consulte también
Ejemplo: Configurar un agente de policía jerárquico
En este ejemplo, se muestra cómo configurar un agente de policía jerárquico y aplicarlo a la entrada de tráfico de capa 2 en una interfaz lógica en una plataforma compatible.
Requisitos
Antes de comenzar, asegúrese de que su entorno cumple con los siguientes requisitos:
La interfaz en la que se aplica el agente de políticas jerárquico es una interfaz SONET alojada en una de las siguientes plataformas de enrutamiento:
Enrutador de borde M40e, M120 o M320 con FPC entrantes como SFPC y FPC de salida como FFPC.
Enrutador de núcleo serie MX, T320, T640 o T1600 con PIC de cola inteligente mejorada (IQE).
No se aplica ningún otro agente de policía a la entrada de la interfaz en la que se aplica el agente de policía jerárquico.
Sabe que, si aplica el agente de policía jerárquico a la interfaz lógica en la que también se aplica un filtro de entrada, el agente de policía se ejecuta primero.
Descripción general
En este ejemplo, configurar un agente de policía jerárquico y aplicarlo a tráfico de entrada de capa 2 en una interfaz lógica.
Topología
Aplique el agente de policía a la interfaz so-1/0/0.0lógica SONET, que configura para el tráfico IPv4 y VPLS. Cuando se aplica el agente de policía jerárquico a esa interfaz lógica, el tráfico de IPv4 y VPLS está jerárquicamente limitado por la velocidad.
También puede configurar la interfaz so-1/0/0.1 lógica para el tráfico MPLS. Si elige aplicar el agente de policía jerárquico a la interfaz so-1/0/0física, el control jerárquico se aplicaría al tráfico IPv4 y VPLS en so-1/0/0.0 y al tráfico MPLS en so-1/0/0.1.
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Definición de las interfaces
- Definición de las clases de reenvío
- Configuración del agente de policía jerárquico
- Aplicación del agente de policía jerárquico a tráfico de entrada de capa 2 en una interfaz física o lógica
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set interfaces so-1/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces so-1/0/0 unit 0 family vpls set interfaces so-1/0/0 unit 1 family mpls set class-of-service forwarding-classes class fc0 queue-num 0 priority high policing-priority premium set class-of-service forwarding-classes class fc1 queue-num 1 priority low policing-priority normal set class-of-service forwarding-classes class fc2 queue-num 2 priority low policing-priority normal set class-of-service forwarding-classes class fc3 queue-num 3 priority low policing-priority normal set firewall hierarchical-policer policer1 aggregate if-exceeding bandwidth-limit 300m burst-size-limit 30k set firewall hierarchical-policer policer1 aggregate then forwarding-class fc1 set firewall hierarchical-policer policer1 premium if-exceeding bandwidth-limit 100m burst-size-limit 50k set firewall hierarchical-policer policer1 premium then discard set interfaces so-1/0/0 unit 0 layer2-policer input-hierarchical-policer policer1
Definición de las interfaces
Procedimiento paso a paso
Para definir las interfaces:
Habilite la configuración de la interfaz física.
[edit] user@host# edit interfaces so-1/0/0
Configure la unidad lógica 0.
[edit interfaces so-1/0/0] user@host# set unit 0 family inet address 192.168.1.1/24 user@host# set unit 0 family vpls
Si aplica un agente de policía de capa 2 a esta interfaz lógica, debe configurar al menos una familia de protocolos.
Configure la unidad lógica 1.
[edit interfaces so-1/0/0] user@host# set unit 1 family mpls
Resultados
Para confirmar la configuración de las interfaces, ingrese el comando de show interfaces configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show interfaces
so-1/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
family vpls;
}
unit 1 {
family mpls;
}
}
Definición de las clases de reenvío
Procedimiento paso a paso
Para definir las clases de reenvío a las que se hace referencia como acciones de policía agregadas:
Habilite la configuración de las clases de reenvío.
[edit] user@host# edit class-of-service forwarding-classes
Defina las clases de reenvío.
[edit class-of-service forwarding-classes] user@host# set class fc0 queue-num 0 priority high policing-priority premium user@host# set class fc1 queue-num 1 priority low policing-priority normal user@host# set class fc2 queue-num 2 priority low policing-priority normal user@host# set class fc3 queue-num 3 priority low policing-priority normal
Resultados
Para confirmar la configuración de las clases de reenvío a las que se hace referencia como acciones de agente de policía agregada, ingrese el comando de show class-of-service configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show class-of-service
forwarding-classes {
class fc0 queue-num 0 priority high policing-priority premium;
class fc1 queue-num 1 priority low policing-priority normal;
class fc2 queue-num 2 priority low policing-priority normal;
class fc3 queue-num 3 priority low policing-priority normal;
}
Configuración del agente de policía jerárquico
Procedimiento paso a paso
Para configurar un agente de policía jerárquico:
Habilite la configuración del agente de policía jerárquico.
[edit] user@host# edit firewall hierarchical-policer policer1
Configure el agente de policía de agregados.
[edit firewall hierarchical-policer policer1] user@host# set aggregate if-exceeding bandwidth-limit 300m burst-size-limit 30k user@host# set aggregate then forwarding-class fc1
Para el agente de policía agregado, las acciones configurables para un paquete en un flujo no conforme son descartarlo, cambiar la prioridad de pérdida o cambiar la clase de reenvío.
Configure el agente de policía premium.
[edit firewall hierarchical-policer policer1] user@host# set premium if-exceeding bandwidth-limit 100m burst-size-limit 50k user@host# set premium then discard
El límite de ancho de banda para el agente de policía premium no debe ser mayor que el del agente de policía agregado.
Para el policiador premium, la única acción configurable para un paquete en un flujo de tráfico no conforme es descartarlo.
Resultados
Para confirmar la configuración del agente de policía jerárquico, ingrese el comando de show firewall configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
hierarchical-policer policer1 {
aggregate {
if-exceeding {
bandwidth-limit 300m;
burst-size-limit 30k;
}
then {
forwarding-class fc1;
}
}
premium {
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 50k;
}
then {
discard;
}
}
}
Aplicación del agente de policía jerárquico a tráfico de entrada de capa 2 en una interfaz física o lógica
Procedimiento paso a paso
Para limitar jerárquicamente el tráfico de entrada de capa 2 para tráfico IPv4 y VPLS solo en la interfaz so-1/0/0.0lógica, haga referencia al agente de policía desde la configuración de interfaz lógica:
Habilite la configuración de la interfaz lógica.
[edit] user@host# edit interfaces so-1/0/0 unit 0
Cuando se aplica un agente de policía al tráfico de capa 2 en una interfaz lógica, debe definir al menos una familia de protocolos para la interfaz lógica.
Aplique el agente de policía a la interfaz lógica.
[edit] user@host# set layer2-policer input-hierarchical-policer policer1
Alternativamente, para limitar jerárquicamente el tráfico de entrada de capa 2 de velocidad para todas las familias de protocolos y para todas las interfaces lógicas configuradas en la interfaz
so-1/0/0física, puede hacer referencia al agente de policía desde la configuración de interfaz física.
Resultados
Para confirmar la configuración del agente de policía jerárquico, ingrese el comando de show interfaces configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show interfaces
so-1/0/0 {
unit 0 {
layer2-policer {
input-hierarchical-policer policer1;
}
family inet {
address 192.168.1.1/24;
}
family vpls;
}
unit 1 {
family mpls;
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Visualización de estadísticas de tráfico y policías para la interfaz lógica
- Mostrar estadísticas para el agente de policía
Visualización de estadísticas de tráfico y policías para la interfaz lógica
Propósito
Compruebe que el tráfico fluye a través de la interfaz lógica y que el agente de policía se evalúa cuando se reciben paquetes en la interfaz lógica.
Acción
Utilice el comando de show interfaces modo operativo para la interfaz so-1/0/0.0lógica e incluya la detail opción o extensive . La sección de salida de comandos para Traffic statistics enumera el número de bytes y paquetes recibidos y transmitidos en la interfaz lógica, y la Protocol inet sección contiene un Policer campo que enumeraría el agente de policía como policiador policer1 de entrada o salida de la siguiente manera:
Input: policer1-so-1/0/0.0-inet-i
Output: policer1-so-1/0/0.0-inet-o
En este ejemplo, el agente de policía se aplica al tráfico de interfaz lógica solo en la dirección de entrada.
Mostrar estadísticas para el agente de policía
Propósito
Verifique el número de paquetes evaluados por el agente de policía.
Acción
Utilice el comando de show policer modo operativo y, opcionalmente, especifique el nombre del agente de policía. El resultado del comando muestra el número de paquetes evaluados por cada agente de policía configurado (o el policiar especificado), en cada dirección. Para el agente de policía policer1, los nombres de los policiacos de entrada y salida se muestran de la siguiente manera:
policer1-so-1/0/0.0-inet-i
policer1-so-1/0/0.0-inet-o
El -inet-i sufijo indica un agente de policía aplicado al tráfico de entrada IPv4, mientras que el -inet-o sufijo indica un agente de policía aplicado al tráfico de salida IPv4. En este ejemplo, el agente de policía se aplica solo al tráfico de entrada.