Основные одно-скоростные трехцветные функции policers
Обзор одно-скоростного трехцветного policer
Трехцветный ограничитер определяет ограничение полосы пропускания и максимальный размер всплеска для гарантированного трафика и размер второго всплеска для пикового трафика. Трехцветный инструмент управления скорости наиболее полезен, когда служба структурирована в соответствии с длиной пакета, а не пиковой скоростью поступления.
Трехцветное УАВП измерит поток трафика на основе следующих настроенных критериев трафика:
Скорость обязательной информации (CIR) — предел полосы пропускания для гарантированного трафика.
Допустимый размер пакета (CBS) — максимальный размер пакета, разрешенный для пакетов данных, превыша которых CIR.
Избыточный размер пакета (EBS) — максимальный размер пакета, разрешенный для пикового трафика.
Разовая трехсторонней маркировка (разовая скорость TCM) классифицирует трафик как принадлежащий к одной из трех цветовых категорий и выполняет действия по контролю перегрузок для пакетов на основе цветовой маркировки:
Зеленый цвет — трафик, соответствующий либо пределу полосы пропускания, либо размеру всплеска для гарантированного трафика (CIR или CBS). Для зеленого потока трафика разовая скорость пометит пакеты с неявным приоритетом потерь и
lowпередаст пакеты.Желтый — трафик, превышая максимальное значение полосы пропускания и размер всплеска для гарантированного трафика (CIR и CBS), но не размер всплеска для пикового трафика (EBS). Для желтого потока трафика разовая скорость пометит пакеты с неявным приоритетом потерь и
medium-highпередаст пакеты.Red — трафик, превышаемый размером пакета для пикового трафика (EBS), одномерный пометит пакеты с неявным приоритетом потерь
highи, дополнительно, отбрасывается.
Если перегрузка возникает в 9-ом направлении, пакеты с более высоким приоритетом потерь с большей вероятностью будут отброшены.
Для одно-скоростных и двух-скоростных трехцветных правил единственным настраиваемым действием является отбрасывание пакетов в красном потоке трафика.
Действие для триединого метки policer для фильтра брандмауэра поддерживается на M120, M320 с маршрутизаторами Enhanced-III FPCS, M7i и M10i маршрутизаторами с discard Enhanced CFEB (CFEB-E) и серия MX с MPC, поэтому не обязательно включать для них logical-interface-policer утверждение.
См. также
Примере: Настройка одноконтройсного трехцветного огомера
В этом примере показано, как настроить одноконтройный трехцветный policer.
Требования
Перед настройкой в этом примере не требуется специальная настройка после инициализации устройства.
Обзор
Трехцветный ограничитер измерит поток трафика в зависимости от предела полосы пропускания и предела размера гарантированного трафика и предела размера второго размера всплеска для избыточного трафика. Трафик, соответствующий ограничениям для гарантированного трафика, классифицируются как "зеленый", и трафик, несоответствующий требованиям, относится к одной из двух категорий:
Несодержающий трафик, не превышающий размера всплеска для избыточного трафика, классифицируются как желтые.
Несодержающий трафик, превышающий размер всплеска для избыточного трафика, классифицируются как красные.
Каждая категория связана с действием. Для зеленого трафика пакеты устанавливаются неявно со значением приоритета потери и low затем передаются. Для желтого трафика пакеты устанавливаются неявно со значением приоритета потери и medium-high затем передаются. Для красного трафика пакеты устанавливаются неявно со значением приоритета потери и high затем передаются. Если конфигурация policer включает в себя дополнительную утверждение (), пакеты в красном actionaction loss-priority high then discard потоке отбрасываются вместо этого.
Трехцветный policer можно применить только к трафику уровня 3 в качестве фильтра межсетевых экранов. Термин фильтра межсетевых экранов можно ссылаться на policer из термина фильтра межсетевых экранов без сточки зрения состояния, а затем применить фильтр к входным данным или выходным данным логического интерфейса на уровне протокола.
Топологии
В данном примере к входяму трафику IPv4 на логическом интерфейсе применяется однореапсундный трехцветный ge-2/0/5.0 policer. Термин фильтра межсетевых экранов IPv4, который ссылается на policer, не применяет фильтрацию пакетов. Фильтр используется только для применения трехцветного фильтра к интерфейсу.
Ограничители скорости настраиваются на ограничение скорости трафика до предела 40 Мбит/с и предел размера очереди в 100 КБ для зеленого трафика, но также допускает превышение предела размера избыточного размера всплеска в 200 Кб для желтого трафика. Только несодержающийся трафик, превышающий пиковый предел размера всплеска, классифицируются как красные. В данном примере настроено действие трехцветного политики, которое переопределит неявное маркировку красного трафика на приоритет loss-priority high then discardhigh потери.
Конфигурации
В следующем примере необходимо провести различные уровни в иерархии конфигурации. Для получения информации о навигации по интерфейс командной строки E. редактор интерфейс командной строки в режиме конфигурации см. . .
Чтобы настроить этот пример, выполните следующие задачи:
- интерфейс командной строки быстрой конфигурации
- Настройка одноконтройсного трехцветного огомера
- Настройка фильтра межсетевых экранов IPv4 без справок, который ссылается на policer
- Применение фильтра к логическому интерфейсу
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды конфигурации в текстовый файл, удалите все разрывы строк и затем вкопировать команды в интерфейс командной строки на [edit] иерархии.
set firewall three-color-policer srTCM1-ca single-rate color-aware set firewall three-color-policer srTCM1-ca single-rate committed-information-rate 40m set firewall three-color-policer srTCM1-ca single-rate committed-burst-size 100k set firewall three-color-policer srTCM1-ca single-rate excess-burst-size 200k set firewall three-color-policer srTCM1-ca action loss-priority high then discard set firewall family inet filter filter-srtcm1ca-all term 1 then three-color-policer single-rate srTCM1-ca set class-of-service interfaces ge-2/0/5 unit 0 forwarding-class af set interfaces ge-2/0/5 unit 0 family inet address 10.20.130.1/24 set interfaces ge-2/0/5 unit 0 family inet filter input filter-srtcm1ca-all
Настройка одноконтройсного трехцветного огомера
Пошаговая процедура
Для настройки одноконтротройного трехцветного огомера:
В включить конфигурацию трехцветного огомера.
[edit] user@host# edit firewall three-color-policer srTCM1-ca
Настройте цветной режим одноконтройсного трехцветного управления.
[edit firewall three-color-policer srTCM1-ca] user@host# set single-rate color-aware
Настройте единые ограничения гарантированного трафика.
[edit firewall three-color-policer srTCM1-ca] user@host# set single-rate committed-information-rate 40m user@host# set single-rate committed-burst-size 100k
Настройте единый предел размера очереди, который используется для классификации несодержания трафика.
[edit firewall three-color-policer srTCM1-ca] user@host# set single-rate excess-burst-size 200k
(Необязательно) Настройте действие для несодержания трафика.
[edit firewall three-color-policer srTCM1-ca] user@host# set action loss-priority high then discard
Для трехцветных правил единственным настраиваемым действием является отбрасывание пакетов в красном потоке трафика. В этом примере пакеты в красном потоке трафика были неявно помечены уровнем приоритета потери пакетов (PLP), поскольку поток трафика превысил предел скорости, определенный одним ограничением скорости (заданным в сообщении) и большим пределом размера пакета (заданным в
highcommitted-information-rate 40mexcess-burst-size 200kсообщении). Так как включена дополнительная утверждение, в этом примере делается более жесткое действие отбрасывания пакетовactionв красном потоке трафика.
Результаты
Подтвердить конфигурацию иерархического сотрудника policer, введите команду show firewall configuration. Если в выходных данных команды не отображается указанная конфигурация, повторите инструкции в этой процедуре, чтобы исправить конфигурацию.
three-color-policer srTCM1-ca {
action {
loss-priority high then discard;
}
single-rate {
color-aware;
committed-information-rate 40m;
committed-burst-size 100k;
excess-burst-size 200k;
}
}
Настройка фильтра межсетевых экранов IPv4 без справок, который ссылается на policer
Пошаговая процедура
Для настройки стандартного фильтра межсетевых экранов без справок, который ссылается на policer:
В включить конфигурацию стандартного фильтра межсетевых экранов IPv4 без строек.
[edit] user@host# edit firewall family inet filter filter-srtcm1ca-all
Укажите термин фильтра, который ссылается на policer.
[edit firewall family inet filter filter-srtcm1ca-all] user@host# set term 1 then three-color-policer single-rate srTCM1-ca
Обратите внимание, что в этом термине не указаны какие-либо условия совпадения. Фильтр межсетевых экранов передает все пакеты в службу безопасности.
Результаты
Подтвердить конфигурацию фильтра межсетевых экранов, введите show firewall команду configuration mode. Если в выходных данных команды не отображается указанная конфигурация, повторите инструкции в этой процедуре, чтобы исправить конфигурацию.
[edit]
user@host# show firewall
family inet {
filter filter-srtcm1ca-all {
term 1 {
then {
three-color-policer {
single-rate srTCM1-ca;
}
}
}
}
}
three-color-policer srTCM1-ca {
action {
loss-priority high then discard;
}
single-rate {
color-aware;
committed-information-rate 40m;
committed-burst-size 100k;
excess-burst-size 200k;
}
}
Применение фильтра к логическому интерфейсу
Пошаговая процедура
Применение фильтра к логическому интерфейсу:
(серия MX только маршрутизаторы) (Необязательно) Переклассифицировать все входящие пакеты на логическом интерфейсе на гарантированную переадрефикацию вне зависимости от
ge-2/0/5.0заранее заданной классификации.[edit] user@host# set class-of-service interfaces ge-2/0/5 unit 0 forwarding-class af
Имя классификатора может быть настроенным классификатором или одним из классификаторов по умолчанию.
В включить конфигурацию логического интерфейса.
[edit] user@host# edit interfaces ge-2/0/5 unit 0 family inet
Настройте IP-адрес.
[edit interfaces ge-2/0/5 unit 0 family inet] user@host# set address 10.20.130.1/24
Со ссылкой на фильтр в качестве входного фильтра.
[edit interfaces ge-2/0/5 unit 0 family inet] user@host# set filter input filter-srtcm1ca-all
Результаты
Подтвердить конфигурацию интерфейса, введите show class-of-service команды режима и режима show interfaces конфигурации. Если в выходных данных команды не отображается указанная конфигурация, повторите инструкции в этой процедуре, чтобы исправить конфигурацию.
[edit]
user@host# show class-of-service
interfaces {
ge-2/0/5 {
unit 0 {
forwarding-class af;
}
}
}
[edit]
user@host# show interfaces
ge-2/0/5 {
unit 0 {
family inet {
filter {
input filter-srtcm1ca-all;
}
address 10.20.130.1/24;
}
}
}
После настройки устройства войдите в commit режим конфигурации.
Проверки
Подтвердим, что конфигурация работает правильно.
Отображение фильтров межсетевых экранов, применяемых к логическому интерфейсу
Цель
Убедитесь, что фильтр брандмауэра применен к вводимом трафику IPv4 на логическом интерфейсе.
Действий
Используйте команду show interfaces operational mode для логического интерфейса ge-2/0/5.0 и укажите detail режим. В Protocol inet разделе выходных данных команды отображаются сведения IPv4 для логического интерфейса. В этом разделе в поле отображается имя фильтра межсетевого экрана, примененного к вводимом трафику Input Filters IPv4 на логическом интерфейсе.
user@host> show interfaces ge-2/0/5.0 detail
Logical interface ge-2/0/5.0 (Index 105) (SNMP ifIndex 556) (Generation 170)
Flags: Device-Down SNMP-Traps 0x4004000 Encapsulation: ENET2
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Local statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Protocol inet, MTU: 1500, Generation: 242, Route table: 0
Flags: Sendbcast-pkt-to-re
Input Filters: filter-srtcm1ca-all
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255,
Generation: 171
Protocol multiservice, MTU: Unlimited, Generation: 243, Route table: 0
Policer: Input: __default_arp_policer__