Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Основные двух-скоростные двухцветные функции

Обзор двухцветного двухцветного policer

Применение двухстотного применения цветового применения обеспечивает настроенную скорость потока трафика для определенного уровня обслуживания, применяя неявные или настроенные действия к трафику, который не соответствует ограничениям. При применении двухцветного ограничителя к входу или выходу трафика на интерфейсе ограничитер измерит поток трафика до предела скорости, определенного следующими компонентами:

  • Ограничение полосы пропускания — среднее количество бит в секунду, разрешенное для пакетов, полученных или переданных на интерфейсе. Можно задать предельное значение полосы пропускания в качестве абсолютного числа бит в секунду или в процентах от 1 до 100. Если задан процентное значение, то фактический предел полосы пропускания рассчитывается как процент от скорости носителя физического интерфейса или настроенной на логический интерфейс скорости формирования.

  • Предел количества пакетов в секунду (серия MX только с MPC) — среднее количество пакетов в секунду, разрешенных для пакетов, полученных или переданных на интерфейсе. Необходимо указать предельное количество pps как абсолютное число пакетов в секунду.

  • Предел размера всплеска — максимальный размер, разрешенный для всплесков данных.

  • Предел пакетного пакета —

Для потока трафика, который соответствует настроенным ограничениям (классифицируемым как зеленый трафик), пакеты маркируются неявным образом уровнем приоритета потери пакетов (PLP) и пропускаются через неограниченный low интерфейс.

Для потока трафика, превышающий настроенные ограничения (классифицируемые как красный трафик), пакеты обрабатываются в соответствии с действиями управления трафиком, настроенными для ограничители. Это может быть отбрасывание пакета или действием может быть повторное пометить его заданным классом переадваровки, указанным PLP или и тем, и другим, а затем передать пакет.

Для ограничения скорости трафика уровня 3 можно применить двухцветный ограничитер следующим образом:

  • Напрямую к логическому интерфейсу на определенном уровне протокола.

  • В качестве действия стандартного фильтра межсетевых экранов, применяемого к логическому интерфейсу, на определенном уровне протокола.

Для ограничения скорости трафика уровня 2 можно применить двухцветный ограничитер только в качестве логического ограничителя интерфейса. Двухцветный policer нельзя применить к трафику уровня 2 через фильтр межсетевых экранов.

Примере: Ограничение входящий трафик на сетевой границе путем настройки входящий одно-скоростной двухцветный ограничитер

В данном примере показано, как настроить входящий одноконтессный двухцветный policer для фильтрации входящих трафика. Он применяет стратегию class-of-service (CoS) для трафика по контракту и вне контракта. К входящие, исходящая или обеим пакетам можно применять двухстотной антиполюсный коэффициент. Этот пример применяет policer как входной (входной) policer. Цель данной темы – предоставить вам введение в правила применения правил с помощью примера, в который показано, как используется применение правил для трафика.

Для выделения системных ресурсов на основе параметров, определенных для этого средства, средства контроля используют принцип, известный как "контейнер маркеров". Подробное объяснение концепции token bucket и его алгоритмов, которые его подсети, не является темой данного документа. Дополнительные сведения о правилах управления трафиком и других CoS, обратитесь к ссылке "Сети с поддержкой QOS" (QOS-Enabled Networks) — инструменты и основы, которые могут быть заложены в инструментарий Barrei и Peter Lundqvist. Эта книга доступна во многих веб-книгах и в www.juniper.net/books.

Требования

Для проверки этой процедуры в данном примере используется генератор трафика. Генератор трафика может быть аппаратным или программным обеспечением, запущенным на сервере или на хост-компьютере.

Функциональность этой процедуры широко поддерживается на устройствах, Junos OS. Пример, показанный здесь, был протестирован и проверен на серия MX, работающих Junos OS версии 10.4.

Обзор

Двухстотное применение двухцветных правил обеспечивает настроенную скорость потока трафика для определенного уровня обслуживания, применяя неявные или настроенные действия к трафику, который не соответствует ограничениям. При применении двухцветного ограничителя к входу или выходу трафика на интерфейсе ограничитер измерит поток трафика до предела скорости, определенного следующими компонентами:

  • Ограничение полосы пропускания — среднее количество бит в секунду, разрешенное для пакетов, полученных или переданных на интерфейсе. Можно задать предельное значение полосы пропускания в качестве абсолютного числа бит в секунду или в процентах от 1 до 100. Если задан процентное значение, то фактический предел полосы пропускания рассчитывается как процент от скорости носителя физического интерфейса или настроенной на логический интерфейс скорости формирования.

  • Предел размера всплеска — максимальный размер, разрешенный для всплесков данных. Размер всплеска измеряется в bytes. Рекомендуется использовать две формулы для расчета размера всплеска:

    Размер всплеска = пропускная способность x допустимое время для трафика с всплеском / 8

    Или

    Размер всплеска = интерфейс mtu x 10

    Для получения сведений о настройке размера всплеска см. "Определение правильного размера всплеска для сотрудников управления трафиком".

    Прим.:

    Для интерфейса имеется ограниченное буферное пространство. В общем, общая суммарное количество буферов для интерфейса составляет около 125 мс.

Для потока трафика, который соответствует настроенным ограничениям (классифицируемым как зеленый трафик), пакеты маркируются неявным образом уровнем приоритета потери пакетов (PLP) низкого уровня и пропускаются через интерфейс без ограничений.

Для потока трафика, превышающий настроенные ограничения (классифицируемые как красный трафик), пакеты обрабатываются в соответствии с действиями управления трафиком, настроенными для ограничители. В этом примере отбрасываются пакеты, которые пакеты пакетов пакетов, которые пакеты пакетов перебрасываются с пределом в 15 Кб/с.

Для ограничения скорости трафика уровня 3 можно применить двухцветный ограничитер следующим образом:

  • Напрямую к логическому интерфейсу на определенном уровне протокола.

  • В качестве действия стандартного фильтра межсетевых экранов, применяемого к логическому интерфейсу, на определенном уровне протокола. Это метод, используемый в этом примере.

Для ограничения скорости трафика уровня 2 можно применить двухцветный ограничитер только в качестве логического ограничителя интерфейса. Двухцветный policer нельзя применить к трафику уровня 2 через фильтр межсетевых экранов.

ОСТОРОЖНО:

В ограничители можно выбрать либо ограничение полосы пропускания, либо процент пропускной способности, так как они являются взаимоисключающими. Нельзя настроить ограничение скорости для использования процента пропускной способности для агрегированных, туннельных и программных интерфейсов.

В данном примере хост является генератором трафика, эмулируя веб-сервер. Устройства R1 и R2 принадлежат поставщику услуг. Доступ к веб-серверу имеют пользователи на устройстве Host2. Устройство Host1 будет отправлять пользователям трафик с исходным TCP HTTP-портом 80. Двухцветный двухцветный policer настраивается и применяется к интерфейсу устройства М1, подключенного к устройству Host1. Механизм применения правил обеспечивает доступность пропускной способности по договору, которая обеспечивается между владельцем веб-сервера и поставщиком услуг, владеет устройством R1 для веб-трафика, который проходит по каналу, соединяющему устройство Host1 с устройством R1.

В соответствии с договорной доступностью полосы пропускания, установленной между владельцем веб-сервера и поставщиком услуг, владеет устройствами R1 и R2, ограничит трафик HTTP-порта 80, исходящий из устройства Host1, на 700 Мбит/с (70 процентов) доступной пропускной способности с допустимой скоростью сигнала 10 x MTU размером интерфейса Gigabit Ethernet между хостами Device Host1 и Device R1.

Прим.:

В реальных сценариях возможно ограничение скорости трафика для различных других портов, таких как FTP, SFTP, SSH, TELNET, SMTP, IMAP и POP3, поскольку они часто включаются в качестве дополнительных сервисов с сервисами размещения веб-серверов.

Прим.:

Необходимо оставить доступной дополнительную полосу пропускания, которая не ограничивается скоростью для таких протоколов управления сетью, как протоколы маршрутов, DNS и другие протоколы, необходимые для поддержания сетевого соединения в рабочем состоянии. Поэтому для фильтра межсетевых экранов существует условие окончательного решения.

Топологии

В данном примере используется топология Рис. 1 в.

Рис. 1: Сценарий двухцветного policerСценарий двухцветного policer

Рис. 2 показывает поведение при прогонах.

Рис. 2: Ограничение трафика в сценарии двухцветного ограничителя скорости на скоростиОграничение трафика в сценарии двухцветного ограничителя скорости на скорости

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопировать следующие команды, ввести их в текстовый файл, удалить все разрывы строки, изменить все данные, необходимые для настройки сети, а затем скопировать и вкопировать команды в интерфейс командной строки на [edit] иерархии.

Устройство R1

Устройство R2

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Для получения информации о навигации по интерфейс командной строки см. использование редактора интерфейс командной строки в режиме конфигурации в руководстве Junos OS интерфейс командной строки пользователя.

Настройка устройства R1:

  1. Настройте интерфейсы устройств.

  2. Примените фильтр брандмауэра к интерфейсу ge-2/0/5 в качестве входного фильтра.

  3. Настройте ограничители скорости, ограничивающие пропускную способность 700 Мбит/с и размер всплеска 15000 Кбит/с для HTTP-трафика (TCP-порт 80).

  4. Настройте policer на отбрасывание пакетов в красном потоке трафика.

  5. Настройте два условия брандмауэра для примите весь TCP-трафик на порт HTTP (порт 80).

  6. Настройте действие брандмауэра для ограничения скорости http TCP-трафика с помощью ограничителя.

  7. В конце фильтра межсетевых экранов настройте действие по умолчанию, которое принимает весь другой трафик.

    В противном случае весь трафик, который приходит на интерфейс и не принимается межсетевой экраном явным образом, отбрасывается.

  8. Настройте OSPF.

Пошаговая процедура

Настройка устройства R2:

  1. Настройте интерфейсы устройств.

  2. Настройте OSPF.

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show interfaces команд show firewall и show protocols ospf команд. Если в выходных данных не отображается указанная конфигурация, повторите инструкции, показанные в данном примере, чтобы исправить конфигурацию.

После настройки устройства М1 перейдите из commit режима конфигурирований.

После настройки устройства R2 перейдите из commit режима конфигурирований.

Проверки

Подтвердим, что конфигурация работает правильно.

Очистка счетчиков

Цель

Подтвердим, что счетчики межсетевых экранов очищены.

Действий

На устройстве R1 запустите clear firewall all команду для сброса счетчиков межсетевых экранов на 0.

Отправка TCP-трафика в сеть и мониторинг сбросов

Цель

Убедитесь, что отправленный трафик ограничен скоростью на входе-интерфейсе (ge-2/0/5).

Действий
  1. Используйте генератор трафика для отправки 10 пакетов TCP с исходным портом 80.

    Флаг "s" задает порт-источник. Флаг -k заставляет порт-источник оставаться неизменным на 80 вместо приращения. Флаг "-c" устанавливает число пакетов 10. Флаг "d" задает размер пакета.

    IP-адрес назначения 172.16.80.1 принадлежит хосту устройства 2, подключенного к устройству R2. Пользователь на хосте устройства 2 запросил веб-страницу с хоста устройства 1 (веб-сервер, эмулированный генератором трафика на хосте устройства 1). Пакеты с ограничением скорости посылаются с хоста устройства 1 в ответ на запрос от хоста устройства 2.

    Прим.:

    В этом примере номера ограничители лимита полосы пропускания, который составляет 8 Кб/с, и предел размера пакета 1500 Кб/с, чтобы убедиться, что некоторые пакеты были отброшены в ходе этого теста.

  2. На устройстве М1 проверьте счетчики межсетевых экранов с помощью show firewall команды.

Смысл

В шагах 1 и 2 выходные данные обоих устройств показывают, что было отброшено 4 пакета Это означает, что было по крайней мере 8 Кб/с зеленого (в контракте HTTP-порта 80) трафика и что параметр пакета 1500 КБ/с для красного не контрактного ТРАФИКА HTTP порта 80 был превышен.

Примере: Настройка фильтров интерфейса и брандмауэра Policers на одном интерфейсе

В этом примере показано, как настроить три одноконтактных двухцветных правила управления и применить их к вводимому трафику IPv4 на одном и том же логическом интерфейсе виртуальной локальной сети (VLAN) с одной меткой.

Требования

Перед настройкой в этом примере не требуется специальная настройка после инициализации устройства.

Обзор

В данном примере настроены три одноконтактных двухцветных правила управления и применяются к вводимому трафику IPv4 на одном и том же логическом интерфейсе VLAN с одной меткой. К интерфейсу с помощью фильтра межсетевых экранов применяются два ловухи, а один — непосредственно к интерфейсу.

Для ограничения скорости трафика до 1 Мбит/с с размером всплеска 5000байт настраивается один p-all-1m-5k-discard ограничитер. Этот policer применяется непосредственно к вводимом трафику IPv4 на логическом интерфейсе. При применении к трафику, определенному протоколу, на логическом интерфейсе, он применяется как интерфейсный.

Два других устройства применения правил настроены таким образом, чтобы разрешить размер всплеска при 500 КБ, и эти правила применяются к вводимому трафику IPv4 на логическом интерфейсе с помощью стандартного фильтра межсетевых экранов IPv4 без сохраняемого межсетевых экранов. При применении к протоколу определенного трафика на логическом интерфейсе с помощью фильтра межсетевых экранов он применяется как межсетевой экран-фильтр.

  • Ограничители скорости настроены на ограничение скорости трафика до 500 Кб/с с размером пакета 500 Кбайт, отбрасывая пакеты, не соответствующие этим p-icmp-500k-500k-discard ограничениям. Один из терминов фильтра межсетевых экранов настраивается для применения этого диспетчера к пакетам протокола управления Интернетом (ICMP).

  • Ограничители скорости настраиваются на 10-процентную пропускную способность при размере пакета 500 Кб. Отбрасываются пакеты, не соответствующие этим p-ftp-10p-500k-discard ограничениям. Для применения этого правила к пакетам протокола передачи файлов (FTP) настраивается другой термин фильтра межсетевых экранов.

Ограничители скорости, настроенные с ограничением полосы пропускания, выражаются в процентах (а не в качестве абсолютного значения пропускной способности) называются ограничители пропускной способности. В спецификации полосы пропускания в процентах могут быть настроены только двухцветные службы скорости. По умолчанию ограничиттель пропускной способности ограничивает трафик до указанного процента от пропускная способность канала физического интерфейса, граничного с целевым логическим интерфейсом.

Топологии

Целевой логический интерфейс настраивается в качестве логического интерфейса VLAN с одной меткой на интерфейсе Fast Ethernet, который работает на скорости 100 Мбит/с. Это означает, что ограничитер, настроенный с 10-процентным ограничением полосы пропускания (ограничителом, который применяется к FTP-пакетам) ограничивает скорость FTP-трафика на этом интерфейсе до 10 Мбит/с.

Прим.:

В данном примере не настраивается ограничение пропускной способности как логическое ограничение пропускной способности. Таким образом, процентное соотношение основано на скорости физической медиа-связи, а не на настроенной скорости формирования логического интерфейса.

Фильтр межсетевых экранов, настроенный для ссылки на два из них, должен быть настроен в качестве фильтра, определенного интерфейсу. Поскольку ограничитель, используемый для ограничения скорости FTP-пакетов, указывает предельное значение полосы пропускания в процентах, фильтр брандмауэра, который ссылается на этот ограничитер, должен быть настроен в качестве фильтра, определенного интерфейсу. Таким образом, если фильтр брандмауэра применялся к нескольким интерфейсам вместо интерфейса Fast Ethernet в этом примере, для каждого интерфейса, к которому применяется фильтр, будут созданы уникальные службы управления и счетчики.

Конфигурации

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Для получения информации о навигации по интерфейс командной строки Использование редактора интерфейс командной строки в режиме конфигурации см. . .

Чтобы настроить этот пример, выполните следующие задачи:

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды конфигурации в текстовый файл, удалите все разрывы строк и затем вкопировать команды в интерфейс командной строки на [edit] иерархии.

Настройка логического интерфейса VLAN с одним тегом

Пошаговая процедура

Для настройки логического интерфейса VLAN с одиночным тегом:

  1. В включить конфигурацию интерфейса Fast Ethernet.

  2. Вние фреймов VLAN с одним тегом.

  3. Привязывая VLAN ID к логическим интерфейсам.

  4. Настройте IPv4 на логических интерфейсах VLAN с одной меткой.

Результаты

Подтвердите конфигурацию VLAN, введите команду show interfaces configuration mode. Если в выходных данных команды не отображается указанная конфигурация, повторите инструкции в этой процедуре, чтобы исправить конфигурацию.

Настройка трех ловуных ловуных ловух

Пошаговая процедура

Чтобы настроить три цеха:

  1. В включить конфигурацию двухцветного огомера, который сбрасывает пакеты, не соответствующие полосе пропускания 1 Мбит/с и размер пакета 5000 bytes.

    Прим.:

    Этот ограничитер применяется непосредственно для всего вводимого трафика IPv4 на одномеченом логическом интерфейсе VLAN, поэтому пакеты не будут отфильтрованы до ограничения скорости.

  2. Настройте первый policer.

  3. В включить конфигурацию двухцветного оговаривается, что отбрасываются пакеты, не соответствующие полосе пропускания (10 процентов) и размеру пакета 500 000 (500 000).

    Этот policer применяется только к FTP-трафику на логическом интерфейсе VLAN с одной меткой.

    Этот policer применяется как действие термина фильтра межсетевых экранов IPv4, который соответствует FTP-пакетам из TCP.

  4. Настройте ограничения ограничения скорости и действия.

    Так как предел пропускной способности задан в процентах, фильтр брандмауэра, который ссылается на этот ограничитер, должен быть настроен как фильтр, определенный интерфейсу.

    Прим.:

    Если бы этот ограничитер хотел ограничить скорость до 10 процентов от скорости формирования формирования логического интерфейса (а не 10 процентов от медиа скорости физического интерфейса), следует включить утверждение на иерархической logical-bandwidth-policer[edit firewall policer p-all-1m-5k-discard] уровне. Этот тип policer называется логическим ограничением полосы пропускания.

  5. В включить конфигурацию фильтра фильтра межсетевых экранов IPv4 для пакетов ICMP.

  6. Настройте ограничения ограничения скорости и действия.

Результаты

Подтвердить конфигурацию policers, введите show firewall команду configuration mode. Если в выходных данных команды не отображается указанная конфигурация, повторите инструкции в этой процедуре, чтобы исправить конфигурацию.

Настройка фильтра межсетевых экранов IPv4

Пошаговая процедура

Настройка фильтра межсетевых экранов IPv4:

  1. В включить конфигурацию фильтра межсетевых экранов IPv4.

  2. Настройте фильтр брандмауэра в качестве определенного интерфейса.

    Фильтр межсетевых экранов должен быть только интерфейсом, так как один из ограничителов настроен с ограничением полосы пропускания, выраженной как процентное значение.

  3. Для ограничения скорости FTP-пакетов в настройках термине фильтра необходимо включить.

    Сообщения FTP отправляются через TCP-порт 20 () и получаются через ftp TCP-порт 21 ( ftp-data ).

  4. Настройте термин фильтра для соответствие FTP-пакетам.

  5. Для ограничения скорости пакетов ICMP необходимо включить настройку термином фильтра.

  6. Конфигурировать термин фильтра для пакетов ICMP

  7. Настройте термин фильтра для всех остальных пакетов без участия политика.

Результаты

Подтвердить конфигурацию фильтра межсетевых экранов, введите show firewall команду configuration mode. Если в выходных данных команды не отображается указанная конфигурация, повторите инструкции в этой процедуре, чтобы исправить конфигурацию.

Применение policer interface Policer и Firewall Filter Policers к логическому интерфейсу

Пошаговая процедура

Чтобы применить три политика к VLAN:

  1. В включить конфигурацию IPv4 на логическом интерфейсе.

  2. Применение к интерфейсу фильтров межсетевых экранов.

  3. Применение к интерфейсу policer.

    Вводимые пакеты оцениваются по отношению к интерфейсу policer перед их оценкой по отношению к фильтрам fe-0/1/1.0 межсетевых экранов. Дополнительные сведения Порядок работы фильтра policer и firewall см. в .

Результаты

Подтвердить конфигурацию интерфейса, введите show interfaces команду configuration mode. Если в выходных данных команды не отображается указанная конфигурация, повторите инструкции в этой процедуре, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Подтвердим, что конфигурация работает правильно.

Отображение policers, применяемых непосредственно к логическому интерфейсу

Цель

Убедитесь, что анализщик интерфейса проверяется при получении пакетов на логическом интерфейсе.

Действий

Используйте команду show interfaces policers operational mode для логического интерфейса. fe-0/1/1.1 Раздел выходных данных команды для столбца и столбца показывает, что policer будет оцениваться при получении пакетов ProtoInput Policer на p-all-1m-5k-discard логическом интерфейсе.

В этом примере, интерфейсный policer применяется только к логическому трафику интерфейса только в вводимом направлении.

Отображение статистики для применяемой непосредственно к логическому интерфейсу программы Policer

Цель

Проверьте число пакетов, оцененных анализщиком интерфейса.

Действий

Используйте команду show policer operational mode и при желании укажите имя policer. Выходные данные команды отображают количество пакетов, оцененных каждым настроенным policer (или заданным policer) в каждом направлении.

Отображение фильтров policers и firewall, применяемых к интерфейсу

Цель

Убедитесь, что фильтр filter-ipv4-with-limits брандмауэра применяется к вводимом трафику IPv4 на логическом fe-0/1/1.1 интерфейсе.

Действий

Используйте команду show interfaces statistics operational mode для логического интерфейса fe-0/1/1.1 и включив detail этот параметр. В разделе выходных данных команды в строках отображаются имена фильтров и средств управления, примененных к логическому интерфейсу Protocol inetInput Filters в Policer вводимом направлении.

В данном примере два фильтра межсетевых экранов применяются только к логическому трафику интерфейса в вводимом направлении.

Отображение статистики для фильтров межсетевых экранов

Цель

Проверьте число пакетов, оцененных службами фильтра межсетевых экранов.

Действий

Используйте команду show firewall operational mode для фильтра, примененного к логическому интерфейсу.

В выходных данных команды отображаются имена контролеров (и), объединенные с именами терминов фильтра (и, соответственно), под которыми задано действие p-ftp-10p-500k-discardp-icmp-500k-500k-discardt-ftpt-icmp policer. Строки вывода, специфические для сотрудника правоохранительных органов, отображают число пакетов, совпадают с термином фильтра. Это число только не технических (не спецификаций) пакетов, а не все пакеты, продиакторы.