EN ESTA PÁGINA
Ejemplo: configuración de políticas jerárquicas para limitar las tasas de servicios en un entorno estático
En este ejemplo se muestra cómo configurar un aplicador jerárquico y aplicarlo al tráfico de capa 2 de entrada en una interfaz lógica en un enrutador de la serie MX.
Requisitos
Antes de comenzar, asegúrese de que su entorno cumple los siguientes requisitos:
La interfaz en la que se aplica el aplicador jerárquico es una interfaz alojada en un enrutador de la serie MX.
No se aplica ningún otro aplicador a la entrada de la interfaz en la que se aplica el aplicador jerárquico.
Es consciente de que, si aplica el aplicador jerárquico a la interfaz lógica en la que también se aplica un filtro de entrada, el aplicador se ejecuta primero.
Visión general
En este ejemplo, se configura un aplicador jerárquico y se aplica el aplicador para ingresar tráfico de capa 2 en una interfaz lógica. En la tabla 1 se describen los niveles jerárquicos en los que se pueden configurar y aplicar políticas jerárquicas en interfaces lógicas y físicas.
Configuración del aplicador de políticas |
Aplicación de capa 2 |
Puntos clave |
---|---|---|
Jerárquico Policer
Limita jerárquicamente el tráfico de entrada de capa 2 para todas las familias de protocolos. No se puede aplicar al tráfico de salida, al tráfico de capa 3 ni a un nivel de protocolo específico de la jerarquía de la interfaz. Compatible con interfaces de concentradores de puerto denso (DPC) de enrutadores de la serie MX. |
||
Componentes policiales agregados y premium de un policía jerárquico: [edit dynamic-profiles profile-name firewall] hierarchical-policer policer-name { aggregate { if-exceeding { bandwidth-limit bps; burst-size-limit bytes; } then { discard; forwarding-class class-name; loss-priority supported-value; } } premium { if-exceeding { bandwidth-limit bps; burst-size-limit bytes; } then { discard; } } } |
Opción A (interfaz física): aplique directamente al tráfico de entrada de capa 2 en una interfaz física: [edit dynamic-profiles profile-name interfaces] interface-name { layer2-policer { input-hierarchical-policer policer-name; } } |
Límite jerárquico del tráfico de entrada de capa 2 para todas las familias de protocolos e interfaces lógicas configuradas en una interfaz física. Incluya la instrucción de
Nota:
Si aplica un aplicador de control jerárquico en una interfaz física, tampoco puede aplicar un aplicador de control jerárquico a ninguna de las interfaces lógicas de miembro. |
Opción B (interfaz lógica): aplique directamente al tráfico de entrada de capa 2 en una interfaz lógica: [edit dynamic-profiles profile-name interfaces] interface-name { unit unit-number { layer2-policer { input-hierarchical-policer policer-name; } } } |
Límite jerárquico del tráfico de entrada de capa 2 para todas las familias de protocolos configuradas en una interfaz lógica específica. Incluya la instrucción de
Nota:
Debe configurar al menos una familia de protocolos para la interfaz lógica. |
El aplicador de políticas se aplica a la interfaz lógica de Gigabit Ethernet ge-1/2/0.0, que se configura para el tráfico IPv4. Cuando se aplica el aplicador jerárquico a la interfaz lógica, el tráfico IPv4 está jerárquicamente limitado por velocidad. Si elige aplicar el aplicador jerárquico a la interfaz física ge-1/2/0, la policía jerárquica también se aplica al tráfico IPv4 en la interfaz lógica.
Configuración
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configuración de un perfil dinámico básico para la administración de suscriptores
- Configuración de las interfaces
- Configuración del filtro de firewall
- Configuración de las clases de reenvío
- Configuración del controlador jerárquico
- Aplicación del aplicador jerárquico al tráfico de entrada de capa 2 en una interfaz física o lógica
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit]
jerarquía.
set dynamic-profiles basic-profile set dynamic-profiles basic-profile interfaces “$junos-interface-ifd-name” set dynamic-profiles basic-profile interfaces "$junos-interface-ifd-name" unit “$junos-underlying-interface-unit” set dynamic-profiles basic-profile interfaces "$junos-interface-ifd-name" unit $junos-underlying-interface-unit family inet set dynamic-profiles interfaces ge-1/2/0 unit 0 family inet address 203.0.113.80/31 set dynamic-profiles basic-profile firewall family inet filter hierarch-filter set dynamic-profiles basic-profile firewall family inet filter hierarch-filter interface-specific set dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip1 set dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip2 set dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip1 from precedence critical-ecp protocol set dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip1 from protocol tcp set dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip1 then hierarchical-policer hp1-share filter-specific set dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip2 from precedence internet-control set dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip2 from protocol tcp set dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip2 then hierarchical-policer hp2-share set class-of-service forwarding-classes class fc0 queue-num 0 priority high policing-priority premium set class-of-service forwarding-classes class fc1 queue-num 1 priority low policing-priority normal set class-of-service forwarding-classes class fc2 queue-num 2 priority low policing-priority normal set class-of-service forwarding-classes class fc3 queue-num 3 priority low policing-priority normal set dynamic-profiles basic-profile firewall hierarchical-policer policer-agg-prem aggregate if-exceeding bandwidth-limit 10m burst-size-limit 100k set dynamic-profiles basic-profile firewall hierarchical-policer policer-agg-prem aggregate then forwarding-class fc1 set dynamic-profiles basic-profile firewall hierarchical-policer policer-agg-prem premium if-exceeding bandwidth-limit 2m burst-size-limit 50k set dynamic-profiles basic-profile firewall hierarchical-policer policer-agg-prem premium then discard set dynamic-profiles basic-profile interfaces ge-1/2/0 unit 0 layer2-policer input-hierarchical-policer policer-agg-prem
Configuración de un perfil dinámico básico para la administración de suscriptores
Procedimiento paso a paso
Un perfil dinámico es un conjunto de características, definidas en un tipo de plantilla, que puede utilizar para proporcionar acceso y servicios dinámicos de abonado para aplicaciones de banda ancha. Estos servicios se asignan dinámicamente a las interfaces. Un perfil básico debe contener un nombre de perfil y tener un nombre de variable de interfaz (como $junos-interface-ifd-name) incluido en el nivel de [edit dynamic-profiles profile-name interfaces
jerarquía y un nombre de variable de interfaz lógica (como $junos-underlying-interface-unit o $junos-interface-unit) en el nivel de [edit dynamic-profiles profile-name interfaces variable-interface-name unit]
jerarquía.
Cree el nuevo perfil dinámico.
[edit] user@host# set dynamic-profiles basic-profile
Defina la instrucción variable
interface-name
con la variable interna $junos-interface-ifd-name utilizada por el enrutador para que coincida con el nombre de interfaz de la interfaz receptora.[edit dynamic-profiles basic-profile] user@host# set interfaces “$junos-interface-ifd-name”
Defina la
variable-interface-name unit
instrucción con la variable interna.Cuando haga referencia a una interfaz existente, especifique la $junos-underlying-interface-unit variable utilizada por el enrutador para que coincida con el valor unitario de la interfaz receptora.
Al crear interfaces dinámicas, especifique la $junos-interface-unit variable utilizada por el enrutador para generar un valor unitario para la interfaz.
[edit dynamic-profiles basic-profile interfaces "$junos-interface-ifd-name"] user@host# set unit $junos-underlying-interface-unit
o
[edit dynamic-profiles basic-profile interfaces "$junos-interface-ifd-name"] user@host# set unit $junos-interface-unit
Defina el tipo de dirección de familia (inet para IPv4) para la $junos-interface-unit variable.
[edit dynamic-profiles basic-profile interfaces "$junos-interface-ifd-name" unit $junos-underlying-interface-unit] user@host# set family inet
Resultados
Confirme la configuración del perfil dinámico introduciendo el comando de show dynamic-profiles
configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit] user@host# show dynamic-profiles dynamic-profiles { basic-profile { interfaces { "$junos-interface-ifd-name" { unit "$junos-underlying-interface-unit" { family inet; } } } } }
Si ha terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Configuración de las interfaces
Procedimiento paso a paso
Defina las interfaces físicas y lógicas para este ejemplo de aplicador jerárquico.
Configure la interfaz física.
[edit dynamic-profiles basic-profile] user@host# set interfaces ge-1/2/0
Configure la interfaz lógica como unidad 0 con su interfaz de familia de protocolos IPv4 (inet).
[edit dynamic-profiles basic-profile interfaces ge-1/2/0] user@host# set unit 0 family inet address 203.0.113.80/31
Nota:Si aplica un aplicador de control de capa 2 a esta interfaz lógica, debe configurar al menos una familia de protocolos.
Resultados
Confirme la configuración introduciendo el comando de show dynamic-profiles basic-profile interfaces
configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit] user@host# show dynamic-profiles basic-profile interfaces ge-1/2/0 { unit 0 { family inet { address 203.0.113.80/31; } } }
Configuración del filtro de firewall
Procedimiento paso a paso
Para configurar un aplicador de policía jerárquico como una acción de filtro, primero debe configurar un filtro de firewall.
Configure el tipo de dirección de familia (inet para IPv4) para el filtro de firewall y especifique el nombre del filtro.
Le recomendamos que asigne al filtro un nombre que indique el propósito del filtro.
[edit dynamic-profiles basic-profile] user@host# set firewall family inet filter hierarch-filter
Para invalidar la agregación de los contadores y las acciones policiales y hacer que cada función de contador o política sea específica de cada aplicación de interfaz, incluya la
interface-specific
instrucción en el filtro.[edit dynamic-profiles basic-profile firewall family inet filter hierarch-filter] user@host# set interface-specific
Especifique los nombres de término para el filtro.
Haga que cada nombre de término sea único y represente cuál es su función.
[edit dynamic-profiles basic-profile firewall family inet filter hierarch-filter] user@host# set term match-ip1 user@host# set term match-ip2
En cada término de filtro de firewall, especifique las condiciones utilizadas para que coincidan con los componentes de un paquete.
Configure el primer término para que coincida con los paquetes IPv4 recibidos a través de TCP con el protocolo de campo de prioridad IP critical-ecp (0xa0) y aplique el aplicador de políticas jerárquico como una acción de filtro.
[edit dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip1] user@host# set from precedence critical-ecp protocol user@host# set from protocol tcp
Especifique las acciones que se llevarán a cabo cuando el paquete coincida con todas las condiciones del primer término. Habilite todos los aplicadores jerárquicos de un filtro para compartir la misma instancia de policía en el motor de reenvío de paquetes.
[edit dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip1] user@host# set then hierarchical-policer hp1-share filter-specific
Configure el segundo término para que coincida con los paquetes IPv4 recibidos a través de TCP con el campo de prioridad IP Internet-control (0xc0) y aplique el aplicador jerárquico como una acción de filtro.
[edit dynamic-profiles basic-profile firewall family inet filter hierarch-filter term match-ip2] user@host# set from precedence internet-control user@host# set from protocol tcp
Especifique las acciones que se llevarán a cabo cuando el paquete coincida con todas las condiciones del segundo término.
[edit dynamic-profiles basic-profile firewall family inet filter inet-filter term match-ip2] user@host# set then hierarchical-policer hp2-share
Resultados
Confirme la configuración introduciendo el comando de show dynamic-profiles basic-profile firewall
configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit] user@host# show dynamic-profiles basic-profile firewall family inet { filter hierarch-filter { interface-specific; term match-ip1 { from { precedence critical-ecp protocol; protocol tcp; } then hierarchical-policer hp1-share; } term match-ip2 { from { precedence internet-control; protocol tcp; } then hierarchical-policer hp2-share; } } }
Configuración de las clases de reenvío
Procedimiento paso a paso
Defina las clases de reenvío a las que se hace referencia como acciones de aplicación de política agregada. Para que los aplicadores jerárquicos funcionen, el tráfico de entrada debe clasificarse correctamente en buckets premium y no premium. Se requiere cierta configuración de clase de servicio (CoS) porque el policía jerárquico debe ser capaz de separar el tráfico de reenvío premium o acelerado (EF) del tráfico no premium o no EF.
Habilite la configuración de las clases de reenvío.
[edit] user@host# set class-of-service forwarding-classes
Defina las clases de reenvío de CoS para incluir la designación de qué clase de reenvío es premium. El valor predeterminado es la clase de reenvío asociada con el tráfico EF.
[edit class-of-service forwarding-classes] user@host# set class fc0 queue-num 0 priority high policing-priority premium user@host# set class fc1 queue-num 1 priority low policing-priority normal user@host# set class fc2 queue-num 2 priority low policing-priority normal user@host# set class fc3 queue-num 3 priority low policing-priority normal
Resultados
Confirme la configuración de las clases de reenvío a las que se hace referencia como acciones de aplicación de política agregada introduciendo el comando de show class-of-service
configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit] user@host# show class-of-service forwarding-classes { class fc0 queue-num 0 priority high policing-priority premium; class fc1 queue-num 1 priority low policing-priority normal; class fc2 queue-num 2 priority low policing-priority normal; class fc3 queue-num 3 priority low policing-priority normal; }
Configuración del controlador jerárquico
Procedimiento paso a paso
Configure los componentes policiales agregados y premium de un policía jerárquico.
Habilite la configuración del aplicador jerárquico.
[edit dynamic-profiles basic-profile] user@host# set firewall hierarchical-policer policer-agg-prem
Configure el aplicador de políticas de agregado para que tenga un límite de ancho de banda establecido en 10 Mbps, un límite de tamaño de ráfaga establecido en 100 KB y una acción no conforme establecida para cambiar la clase de reenvío a fc1.
[edit dynamic-profiles basic-profile firewall hierarchical-policer policer-agg-prem] user@host# set aggregate if-exceeding bandwidth-limit 10m burst-size-limit 100k user@host# set aggregate then forwarding-class fc1
Nota:Para los aplicadores de políticas de agregado, las acciones configurables para un paquete en un flujo no conforme son descartar el paquete, cambiar la prioridad de pérdida o cambiar la clase de reenvío.
Configure el aplicador de políticas premium para que tenga un límite de ancho de banda establecido en 2 Mbps, un límite de tamaño de ráfaga establecido en 50 KB y una acción no conforme establecida para descartar paquetes.
[edit dynamic-profiles basic-profile firewall hierarchical-policer policer-agg-prem] user@host# set premium if-exceeding bandwidth-limit 2m burst-size-limit 50k user@host# set premium then discard
Nota:El límite de ancho de banda para el aplicador premium no debe ser superior al del aplicador agregado. Para los aplicadores de políticas premium, la única acción configurable para un paquete en un flujo de tráfico no conforme es descartar el paquete.
Resultados
Confirme la configuración del aplicador jerárquico introduciendo el comando de show dynamic-profiles basic-profile firewall
configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit] user@host# show dynamic-profiles basic-profile firewall hierarchical-policer policer-agg-prem { aggregate { if-exceeding { bandwidth-limit 10m; burst-size-limit 100k; } then { forwarding-class fc1; } } premium { if-exceeding { bandwidth-limit 2m; burst-size-limit 50k; } then { discard; } } }
Aplicación del aplicador jerárquico al tráfico de entrada de capa 2 en una interfaz física o lógica
Procedimiento paso a paso
Puede aplicar políticas directamente a una interfaz o aplicadas a través de un filtro para afectar solo al tráfico coincidente. En la mayoría de los casos, puede invocar una función policial en la entrada, salida o en ambas direcciones.
Para las interfaces físicas, un aplicador de políticas jerárquico utiliza una única instancia de policía para limitar la velocidad de todas las interfaces lógicas y familias de protocolos configuradas en una interfaz física, incluso si las interfaces lógicas tienen familias mutuamente excluyentes, como inet o bridge.
En el caso de las interfaces lógicas, un aplicador jerárquico puede vigilar el tráfico de varias familias de protocolos sin necesidad de una instancia independiente de un aplicador para cada una de esas familias en la interfaz lógica.
Para limitar jerárquicamente el tráfico de entrada de capa 2 para el tráfico IPv4 en la interfaz lógica ge-1/2/0.0, haga referencia al aplicador de políticas desde la configuración de interfaz lógica.
Configure la interfaz lógica.
[edit dynamic-profiles basic-profile] user@host# set interfaces ge-1/2/0 unit 0
Cuando aplique un aplicador de políticas al tráfico de capa 2 en una interfaz lógica, debe definir al menos una familia de protocolos para la interfaz lógica.
Aplique el aplicador de políticas a la interfaz lógica.
[edit dynamic-profiles basic-profile interfaces ge-1/2/0 unit 0] user@host# set layer2-policer input-hierarchical-policer policer-agg-prem
Como alternativa, para limitar jerárquicamente el tráfico de entrada de capa 2 para todas las familias de protocolos y para todas las interfaces lógicas configuradas en la interfaz física ge-1/2/0, haga referencia al aplicador de políticas desde la configuración de interfaz física.
Resultados
Confirme la configuración del aplicador jerárquico introduciendo el comando de show dynamic-profiles basic-profile interfaces
configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit] user@host# show dynamic-profiles basic-profile interfaces ge-1/2/0 { unit 0 { layer2-policer { input-hierarchical-policer policer-agg-prem; } family inet { address 203.0.113.80/31; } } }
Verificación
Confirme que la configuración funciona correctamente.
- Visualización de estadísticas de tráfico para la interfaz
- Visualización del número de paquetes vigilados por el aplicador especificado
Visualización de estadísticas de tráfico para la interfaz
Propósito
Compruebe el flujo de tráfico a través de la interfaz física.
Acción
Utilice el comando de modo operativo para la show interfaces
interfaz física ge-1/2/0 e incluya la detail
opción o extensive
.
user@host> show interfaces ge-1/2/0 extensive Physical interface: ge-1/2/0, Enabled, Physical link is Down Interface index: 156, SNMP ifIndex: 630, Generation: 159 Link-level type: Ethernet, MTU: 1514, MRU: 1522, Speed: 1000mbps, BPDU Error: None, MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Enabled, Auto-negotiation: Enabled, Remote fault: Online Pad to minimum frame size: Disabled Device flags : Present Running Down Interface flags: Hardware-Down SNMP-Traps Internal: 0x4000 Link flags : None CoS queues : 8 supported, 8 maximum usable queues Schedulers : 0 Hold-times : Up 0 ms, Down 0 ms Current address: 00:00:5E:00:53:4c, Hardware address: 00:00:5E:00:53:4c Last flapped : 2014-11-10 13:36:25 EST (01:26:30 ago) Statistics last cleared: Never Traffic statistics: Input bytes : 0 0 bps Output bytes : 42 0 bps Input packets: 0 0 pps Output packets: 1 0 pps IPv6 transit statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Dropped traffic statistics due to STP State: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Input errors: Errors: 0, Drops: 0, Framing errors: 0, Runts: 0, Policed discards: 0, L3 incompletes: 0, L2 channel errors: 0, L2 mismatch timeouts: 0, FIFO errors: 0, Resource errors: 0 Output errors: Carrier transitions: 0, Errors: 0, Drops: 0, Collisions: 0, Aged packets: 0, FIFO errors: 0, HS link CRC errors: 0, MTU errors: 0, Resource errors: 0 Egress queues: 8 supported, 8 in use Queue counters: Queued packets Transmitted packets Dropped packets 0 0 0 0 1 0 0 0 2 0 0 0 3 0 0 0 4 0 0 0 5 0 0 0 6 0 0 0 7 0 0 0 Queue number: Mapped forwarding classes 0 best-effort 1 expedited-forwarding 2 assured-forwarding 3 network-control 4 be1 5 ef1 6 af1 7 nc1 Active alarms : LINK Active defects : LINK MAC statistics: Receive Transmit Total octets 0 0 Total packets 0 0 Unicast packets 0 0 Broadcast packets 0 0 Multicast packets 0 0 CRC/Align errors 0 0 FIFO errors 0 0 MAC control frames 0 0 MAC pause frames 0 0 Oversized frames 0 Jabber frames 0 Fragment frames 0 VLAN tagged frames 0 Code violations 0 Total errors 0 0 Filter statistics: Input packet count 0 Input packet rejects 0 Input DA rejects 0 Input SA rejects 0 Output packet count 0 Output packet pad count 0 Output packet error count 0 CAM destination filters: 0, CAM source filters: 0 Autonegotiation information: Negotiation status: Incomplete Packet Forwarding Engine configuration: Destination slot: 0 (0x00) CoS information: Direction : Output CoS transmit queue Bandwidth Buffer Priority Limit % bps % usec 0 best-effort 95 950000000 95 0 low none 3 network-control 5 50000000 5 0 low none Interface transmit statistics: Disabled
Significado
La sección de salida del comando para Traffic statistics enumera el número de bytes y paquetes recibidos y transmitidos en la interfaz.
Visualización del número de paquetes vigilados por el aplicador especificado
Propósito
Verifique el número de paquetes evaluados por el policía. No se admiten contadores de policía premium.
Acción
Utilice el comando del show policer
modo operativo y, opcionalmente, especifique el nombre del agente de policía policer-agg-prem
. El resultado del comando muestra el número de paquetes evaluados por el aplicador de policía especificado en cada dirección.
user@host> show policer policer-agg-prem Policers: Name Bytes Packets policer-agg-prem-ge-1/2/0.0-inet-i 10372300 103723
El -inet-i sufijo indica un aplicador de políticas aplicado al tráfico de entrada IPv4. En este ejemplo, el aplicador de políticas se aplica solo al tráfico de entrada.
Significado
El resultado del comando muestra el número de paquetes evaluados por el aplicador de policía especificado en cada dirección.