基本单速率双色监管器
单速率双色监管器概述
单速率双色管制通过对不符合这些限制的流量应用隐式或配置的操作,来实施特定服务级别的流量配置速率。在将单速率双色监管器应用于接口上的输入或输出流量时,监管器将流量流向由以下组件定义的速率限制:
带宽限制—接口上接收或传输的数据包所允许的平均每秒位数。您可以将带宽限制指定为每秒绝对位数或从1到100的百分比值。如果指定了百分比值,则有效带宽限制将计算为物理接口媒体速率或配置整形速率的逻辑接口的百分比。
每秒数据包数(pps)限制(仅含 MPC 的 MX–系列)在接口上接收或传输的数据包每秒所允许的平均数据包数量。您将 pps 限制指定为每秒绝对数量的数据包。
突发大小限制—猝发数据的最大允许大小。
数据包突发限制–
对于符合已配置限制(分类为绿色流量)的流量,数据包将被隐式标记为数据包丢失优先级(PLP)级别, low并允许通过接口无限制地进行。
对于超过配置限制的信息流(归为红色信息流),数据包将根据为监管器配置的流量监管操作进行处理。该操作可能是丢弃数据包,或者操作可能是使用指定的转发类、指定的 PLP 或两者重新标记数据包,然后传输数据包。
要对3层 流量进行速率限制,可按以下方式应用双色监管器:
在特定协议级别直接转到逻辑接口。
在特定协议级别应用于逻辑接口的标准无状态防火墙过滤器的操作。
要对2层 流量进行速率限制,只能将双色监管器用作逻辑接口监管器。不能将双色监管器应用于通过防火墙过滤器 的2层流量。
示例:通过配置入口单速率双色监管器,限制网络边界上的入站流量
本示例显示如何配置入口单速率双色监管器以过滤传入信息流。监管器对合同内和合同外信息流实施服务等级(CoS)战略。您可以将单速率双色监管器应用于传入数据包、传出数据包或两者兼有。本示例将监管器作为输入(入口)监管器。本主题的目标是通过使用显示流量监管的示例为您提供管制介绍。
监管器使用称为令牌桶的概念,根据为监管器定义的参数分配系统资源。有关令牌桶概念及其底层算法的详尽说明超出了本文档的范畴。有关流量监管的详细信息和 CoS 一般,请参阅 支持 QOS 的网络—工具和基础Miguel Barreiros 和 Peter Lundqvist。这本书可在多个在线 booksellers 和 www.juniper.net/books。
要求
要验证此过程,此示例使用信息流生成器。信息流生成器可以基于硬件,也可以是在服务器或主机上运行的软件。
在 Junos OS 运行的设备上广泛支持此过程中的功能。此处显示的示例在 MX 系列路由器上经过测试和验证,运行 Junos OS 版本10.4。
概述
单速率双色监察通过对不符合限制的流量应用隐式或配置的操作,来实施特定服务级别的信息流流量的配置速率。在将单速率双色监管器应用于接口上的输入或输出流量时,监管器将流量流向由以下组件定义的速率限制:
带宽限制—接口上接收或传输的数据包所允许的平均每秒位数。您可以将带宽限制指定为每秒绝对位数或从1到100的百分比值。如果指定了百分比值,则有效带宽限制将计算为物理接口媒体速率或配置整形速率的逻辑接口的百分比。
突发大小限制—猝发数据的最大允许大小。突发流量大小以字节为单位。我们建议用两个公式来计算突发容量:
脉冲大小 = 带宽 x 允许突发流量的时间/8
或者
脉冲大小 = 接口 mtu x 10
有关配置爆发大小的信息,请参阅确定流量监管器的正确突发大小。
注意 接口具有有限缓冲区空间。通常,接口的预计总缓冲区深度大约为 125 ms。
对于符合已配置限制(分类为绿色信息流)的信息流,数据包将被隐式标记为低到高的数据包丢失优先级(PLP),允许通过接口无限制。
对于超过配置限制的信息流(归为红色信息流),数据包将根据为监管器配置的流量监管操作进行处理。此示例丢弃在 15 KBps 限制内突发的数据包。
要对3层流量进行速率限制,可按以下方式应用双色监管器:
在特定协议级别直接转到逻辑接口。
在特定协议级别应用于逻辑接口的标准无状态防火墙过滤器的操作。这是本示例中使用的技术。
要对2层流量进行速率限制,只能将双色监管器用作逻辑接口监管器。不能将双色监管器应用于通过防火墙过滤器的2层流量。
您可以选择监管器内的带宽限制或带宽百分比,因为它们相互排斥。您不能将监管器配置为对聚合、隧道和软件接口使用带宽百分比。
在此示例中,主机是模拟 web 带宽的信息流生成器。设备 R1 和 R2 由服务提供商拥有。用户可通过设备 Host2 访问 web 服务。设备 Host1 将使用源 TCP HTTP 端口80向用户发送流量。单速率双色监管器配置并应用于设备 R1 上连接到设备 Host1 的接口。监管器实施了在 web 服务器和服务提供商的所有者之间建立的合同带宽可用性,这些流量在将设备 Host1 连接到设备 R1 的链路上流动的网络信息流。
根据在 web 服务器的所有者和拥有设备 R1 和 R2 的服务提供商之间制定的合同带宽可用性,监管器将限制源自设备 Host1 的 HTTP 端口80流量,以使用 700 Mbps (70%)的可用带宽,允许的突发速率为 10 x 主机设备 Host1 与设备 R1 之间千兆位以太网接口的 MTU 大小。
在实际情景中,您可能还会对各种其他端口(如 FTP、SFTP、SSH、TELNET、SMTP、IMAP 和 POP3)的流量进行评级,因为它们通常作为使用 web 托管服务的附加服务包括在内。
您需要保留一些对网络控制协议(例如路由协议、DNS 和保持网络连接运行所需的任何其他协议)不会对其进行速率限制的额外带宽。这就是防火墙过滤器对其具有最后接受条件的原因。
拓扑
此示例使用中图 1的拓扑。
图 2显示了监管行为。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,然后将命令复制并粘贴到[edit]层次结构级别的 CLI 中。
设备 R1
设备 R2
分步过程
下面的示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅中的CLI 用户指南在配置模式中使用 CLI 编辑器。
要配置设备 R1:
- 配置设备接口。[edit interfaces]user@R1# set ge-2/0/5 description to-Hostuser@R1# set ge-2/0/5 unit 0 family inet address 172.16.70.2/30user@R1# set ge-2/0/8 description to-R2user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.1/30user@R1# set lo0 unit 0 description looback-interfaceuser@R1# set lo0 unit 0 family inet address 192.168.13.1/32
- 将防火墙过滤器应用于接口 ge-2/0/5 作为输入过滤器。[edit interfaces ge-2/0/5 unit 0 family inet]user@R1# set filter input mf-classifier
- 将监管器配置为将速率限制到 700 Mbps 的带宽,将 HTTP 流量(TCP 端口 80)的突发大小传输为 15000 KBps。[edit firewall policer discard]user@R1# set if-exceeding bandwidth-limit 700muser@R1# set if-exceeding burst-size-limit 15k
- 配置监管器以丢弃红色信息流中的数据包。[edit firewall policer discard]user@R1# set then discard
- 配置防火墙的两个条件,以接受到端口 HTTP 的所有 TCP 流量(端口80)。 [edit firewall family inet filter mf-classifier]user@R1# set term t1 from protocol tcpuser@R1# set term t1 from port 80
- 将防火墙操作配置为使用监管器的速率限制 HTTP TCP 流量。[edit firewall family inet filter mf-classifier]user@R1# set term t1 then policer discard
- 在防火墙过滤器的末尾,配置接受所有其他流量的默认操作。
否则,防火墙将丢弃到达接口且未明确接受的所有流量。
[edit firewall family inet filter mf-classifier]user@R1# set term t2 then accept - 配置 OSPF。[edit protocols ospf]user@R1# set area 0.0.0.0 interface ge-2/0/5.0 passiveuser@R1# set area 0.0.0.0 interface lo0.0 passiveuser@R1# set area 0.0.0.0 interface ge-2/0/8.0
分步过程
配置设备 R2:
- 配置设备接口。[edit interfaces]user@R1# set ge-2/0/8 description to-R1user@R1# set ge-2/0/7 description to-Hostuser@R1# set lo0 unit 0 description looback-interfaceuser@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.2/30user@R1# set ge-2/0/7 unit 0 family inet address 172.16.80.2/30user@R1# set lo0 unit 0 family inet address 192.168.14.1/32
- 配置 OSPF。[edit protocols ospf]user@R1# set area 0.0.0.0 interface ge-2/0/7.0 passiveuser@R1# set area 0.0.0.0 interface lo0.0 passiveuser@R1# set area 0.0.0.0 interface ge-2/0/8.0
结果
从配置模式,输入show interfaces 、 show firewall和show protocols ospf命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
如果您完成了设备 R1 的配置, commit请从配置模式进入。
如果您完成配置设备 R2,请从commit配置模式进入。
针对
确认配置是否正常工作。
清除计数器
用途
确认防火墙计数器已清除。
操作
在设备 R1 上运行clear firewall all命令,将防火墙计数器重置为0。
user@R1> clear firewall all将 TCP 信息流发送到网络并监控丢弃
用途
请确保发送的感兴趣信息流在输入接口(ge-2/0/5)上的速率有限。
操作
使用流量生成器发送带80的源端口的10个 TCP 数据包。
-S 标志设置源端口。-K 标志会导致源端口在80上保持稳定,而不是递增。-C 标志将数据包数量设置为10。-D 标志设置数据包大小。
172.16.80.1 的目标 IP 地址属于连接到设备 R2 的设备 Host 2。设备 Host 2 上的用户已从设备 Host 1 (设备 Host 1 上的信息流生成器仿真的 web 服务)请求了一个网页。为响应来自设备 Host 2 的请求,从设备 Host 1 发送的数据包将受到速率限制。
注意 在此示例中,监管器编号减少到了 8 kbps 的带宽限制和 1500 Kbps 的脉冲大小限制,以确保在此测试过程中丢弃某些数据包。
[root@host]# hping 172.16.80.1 -c 10 -s 80 -k -d 300[User@Host]# hping 172.16.80.1 -c 10 -s 80 -k -d 350 HPING 172.16.80.1 (eth1 172.16.80.1): NO FLAGS are set, 40 headers + 350 data bytes len=46 ip=172.16.80.1 ttl=62 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=0.5 ms . . . --- 172.16.80.1 hping statistic --- 10 packets transmitted, 6 packets received, 40% packet loss round-trip min/avg/max = 0.5/3000.8/7001.3 ms
在设备 R1 上,使用show firewall命令检查防火墙计数器。
user@R1> show firewallUser@R1# run show firewall Filter: __default_bpdu_filter__ Filter: mf-classifier Policers: Name Bytes Packets discard-t1 1560 4
含义
在步骤1和2中,来自两个设备的输出显示,4个数据包被丢弃这意味着,至少 有 8 Kbps 的绿色(协定内 http 端口80)流量,以及红色 "不适用于协定的红外 http 端口80流量的 1500 Kbps 突发" 选项超越.
另请参阅
Junos OS Routing Protocols and Policies Configuration Guide for Security Devices
示例:在同一接口上配置接口和防火墙过滤器监管器
此示例演示如何配置三个单速率双色监管器,并将监管器应用于同一单标记虚拟 LAN (VLAN)逻辑接口上的 IPv4 输入流量。
要求
配置此示例之前,不需要在设备初始化之外进行特殊配置。
概述
在此示例中,您将配置三个单速率双色监管器,并将监管器应用于同一单标记 VLAN 逻辑接口上的 IPv4 输入流量。两个监管器通过防火墙过滤器应用于接口,而另一个监管器则直接应用于接口。
您将一个监管器(已p-all-1m-5k-discard命名)配置为速率限制流量为 1 Mbps,突发大小为 5000 字节。您可以在逻辑接口上直接将此监管器应用于 IPv4 输入流量。将监管器直接应用于逻辑接口上的协议特定流量时,监管器称为接口 监管器。
您可以将其他两个监管器配置为允许 500 KB 的突发大小,并使用 ipv4 标准无状态防火墙过滤器将这些监管器应用到逻辑接口上的 IPv4 输入流量。通过防火墙过滤操作将监管器应用于逻辑接口上的协议特定流量时,监管器称为 "防火墙过滤器 监管器"。
您p-icmp-500k-500k-discard可以通过丢弃 不符合这些限制的数据包,将指定为速率限制流量的监管器配置为 500 Kbps,突发大小为 500 K 字节。您可以将其中一个防火墙过滤器术语配置为将此监管器应用于互联网控制消息协议(ICMP)数据包。
通过丢弃p-ftp-10p-500k-discard 不符合这些限制的数据包,可将名为 速率限制流量的指定监管器配置为 10% 带宽,突发大小为 500 KB。您可以将另一个防火墙过滤器术语配置为将此监管器应用于文件传输协议(FTP)数据包。
使用带宽限制(而不是绝对带宽值)来配置的监管器称为带宽 监管器。只有一速率双色监管器可配置为百分比带宽规格。默认情况下,带宽监管器速率将流量限制为以目标逻辑接口为基础的物理接口线路速率的指定百分比。
拓扑
在以 100 Mbps 运行的快速以太网接口上,将目标逻辑接口配置为单标记 VLAN 逻辑接口。这意味着,您使用 10% 的带宽限制(应用于 FTP 数据包的监管器)进行配置的监管器将此接口上的 FTP 流量限制为 10 Mbps。
在此示例中,您 不会将带宽监管器配置为逻辑带宽监管器。因此,百分比以物理媒体速率为基础,而不是基于配置的逻辑接口整形速率。
配置为引用两个监管器的防火墙过滤器必须配置为接口特定的过滤器。由于用于速率限制 FTP 数据包的监管器指定带宽限制为百分比值,因此引用此监管器的防火墙过滤器必须配置为特定于接口的过滤器。因此,如果此防火墙过滤器要应用于多个接口,而不是仅适用于此示例中的快速以太网接口,则将为应用该过滤器的每个接口创建唯一的监管器和计数器。
配置
下面的示例要求您在配置层次结构中导航各个级别。有关导航 CLI 的信息,请参阅在配置模式中使用 CLI 编辑器。
要配置此示例,请执行以下任务:
CLI 快速配置
要快速配置此示例,请将以下配置命令复制到一个文本文件中,卸下任何换行符,然后将命令粘贴到[edit]层次结构级别的 CLI 中。
配置单标记 VLAN 逻辑接口
分步过程
要配置单标记 VLAN 逻辑接口:
启用快速以太网接口的配置。
[edit]user@host# edit interfaces fe-0/1/1启用单标记 VLAN 帧。
[edit interfaces fe-0/1/1]user@host# set vlan-tagging将 VLAN Id 绑定到逻辑接口。
[edit interfaces fe-0/1/1]user@host# set unit 0 vlan-id 100user@host# set unit 1 vlan-id 101在单标记 VLAN 逻辑接口上配置 IPv4。
[edit interfaces fe-0/1/1]user@host# set unit 0 family inet address 10.20.15.1/24user@host# set unit 1 family inet address 10.20.240.1/24
结果
输入show interfaces配置模式命令,确认 VLAN 的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
配置三个监管器
分步过程
要配置三个监管器:
配置第一个监管器。
[edit firewall policer p-all-1m-5k-discard]user@host# set if-exceeding bandwidth-limit 1muser@host# set if-exceeding burst-size-limit 5kuser@host# set then discard启用 两色监管器的配置,丢弃不符合指定为“10 %”的带宽的数据包和 500000 字节的突发大小。
只能将此监管器应用于单标记 VLAN 逻辑接口上的 FTP 流量。
您将此监管器作为与 TCP 中的 FTP 数据包匹配的 IPv4 防火墙过滤器术语的操作。
[edit firewall policer p-all-1m-5k-discard]user@host# up[edit]user@host# edit firewall policer p-ftp-10p-500k-discard- 由于带宽限制指定为百分比,因此引用此监管器的防火墙过滤器必须配置为特定于接口的过滤器。
配置监管限制和操作。
[edit firewall policer p-ftp-10p-500k-discard]user@host# set if-exceeding 带宽-百分比 10user@host# set if-exceeding burst-size-limit 500kuser@host# set then discard注意 如果您希望此监管器对逻辑接口配置整形速率 (而不是物理接口媒体速率的 10 %)的 10% 进行速率限制,则需要将该logical-bandwidth-policer语句包含在[edit firewall policer p-all-1m-5k-discard]层次结构中级别. 这种类型的监管器称为逻辑带宽监管器。
为 ICMP 数据包启用 IPv4 防火墙过滤器监管器配置。
[edit firewall policer p-ftp-10p-500k-discard]user@host# up[edit]user@host# edit firewall policer p-icmp-500k-500k-discard配置监管限制和操作。
[edit firewall policer p-icmp-500k-500k-discard]user@host# set if-exceeding bandwidth-limit 500kuser@host# set if-exceeding burst-size-limit 500kuser@host# set then discard
结果
输入show firewall配置模式命令,确认监管器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
配置 IPv4 防火墙过滤器
分步过程
要配置 IPv4 防火墙过滤器:
- 防火墙过滤器必须是特定于接口的,因为其中一个引用的监管器配置了带宽限制,表示为百分比值。
将防火墙过滤器配置为特定于接口。
[edit firewall family inet filter filter-ipv4-with-limits]user@host# set interface-specific - FTP 消息通过 tcp 端口 20 (ftp)发送,并通过 tcp 端口 21 (ftp-data)接收。
启用对过滤器术语的配置,以便对 FTP 数据包进行速率限制。
[edit firewall family inet filter filter-ipv4-with-limits]user@host# edit term t-ftp[edit firewall family inet filter filter-ipv4-with-limits term t-ftp]user@host# set from protocol tcpuser@host# set from port [ ftp ftp-data ] 配置过滤器术语以匹配 FTP 数据包。
[edit firewall family inet filter filter-ipv4-with-limits term t-ftp]user@host# set then policer p-ftp-10p-500k-discard启用对过滤器术语的配置,以便对 ICMP 数据包进行速率限制。
[edit firewall family inet filter filter-ipv4-with-limits term t-ftp]user@host# up[edit firewall family inet filter filter-ipv4-with-limits]user@host# edit term t-icmp配置 ICMP 数据包的过滤术语
[edit firewall family inet filter filter-ipv4-with-limits term t-icmp]user@host# set from protocol icmpuser@host# set then policer p-icmp-500k-500k-discard配置过滤器术语,以便在不管制的情况下接受所有其他数据包。
[edit firewall family inet filter filter-ipv4-with-limits term t-icmp]user@host# up[edit firewall family inet filter filter-ipv4-with-limits]user@host# set term catch-all then accept
结果
输入show firewall配置模式命令,确认防火墙过滤器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
将接口监管器和防火墙过滤器监管器应用于逻辑接口
分步过程
要将这三个监管器应用于 VLAN:
启用逻辑接口上的 IPv4 配置。
[edit]user@host# edit interfaces fe-0/1/1 unit 1 family inet将防火墙过滤器监管器应用于接口。
[edit interfaces fe-0/1/1 unit 1 family inet]user@host# set filter input filter-ipv4-with-limits- 根据接口监管器fe-0/1/1.0评估输入数据包,然后再针对防火墙过滤器监管器进行评估。有关详细信息,请参阅监管器和防火墙过滤器操作的顺序。
将接口监管器应用于接口。
[edit interfaces fe-0/1/1 unit 1 family inet]user@host# set policer input p-all-1m-5k-discard
结果
进入show interfaces配置模式命令,确认接口配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
如果您完成了设备配置,请从commit配置模式进入。
针对
确认配置是否正常工作。
显示直接应用于逻辑接口的监管器
用途
验证接口监管器在逻辑接口上接收数据包时进行评估。
操作
使用逻辑显示接口监管器接口fe-0/1/1.1的操作模式命令。命令输出部分,用于 Proto列和 Input Policer列中显示了在p-all-1m-5k-discard逻辑接口上接收数据包时将计算监管器。
user@host> show interfaces policers fe-0/1/1.1Interface Admin Link Proto Input Policer Output Policer
fe-0/1/1.1 up up
inet p-all-1m-5k-discard-fe-0/1/1.1-inet-i
在此示例中,接口监管器仅适用于输入方向上的逻辑接口流量。
显示直接应用于逻辑接口的监管器的统计信息
用途
验证由接口监管器评估的数据包数量。
操作
使用show 监管器操作模式命令,并可选择指定监管器的名称。命令输出显示每个方向上配置的监管器(或指定的监管器)评估的数据包数量。
user@host> show policer p-all-1m-5k-discard-fe-0/1/1.1-inet-iPolicers: Name Bytes Packets p-all-1m-5k-discard-fe-0/1/1.1-inet-i 200 5
显示应用于接口的监管器和防火墙过滤器
用途
验证是否已在逻辑filter-ipv4-with-limits接口fe-0/1/1.1上将防火墙过滤器应用于 IPv4 输入流量。
操作
使用逻辑显示接口统计信息接口fe-0/1/1.1的操作模式命令,并包括该detail选项。在 Protocol inet部分中的 "命令输出" 部分, Input Filters及 Policer线路显示过滤器的名称,而监管器应用于输入方向的逻辑接口。
user@host> show interfaces statistics fe-0/1/1.1
detail Logical interface fe-0/1/1.1 (Index 83) (SNMP ifIndex 545) (Generation 153)
Flags: SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.100 ] Encapsulation: ENET2
Traffic statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Local statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Protocol inet, MTU: 1500, Generation: 176, Route table: 0
Flags: Sendbcast-pkt-to-re
Input Filters: filter-ipv4-with-limits-fe-0/1/1.1-i
Policer: Input: p-all-1m-5k-discard-fe-0/1/1.1-inet-i
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255,
Generation: 169
在此示例中,两个防火墙过滤器监管器仅适用于输入方向上的逻辑接口信息流。
显示防火墙过滤器监管器的统计信息
用途
验证由防火墙过滤器监管器评估的数据包数量。
操作
对应用show firewall于逻辑接口的过滤器使用操作模式命令。
[edit]user@host> show firewall filter filter-ipv4-with-limits-fe-0/1/1.1-iFilter: filter-ipv4-with-limits-fe-0/1/1.1-i Policers: Name Bytes Packets p-ftp-10p-500k-discard-t-ftp-fe-0/1/1.1-i 0 0 p-icmp-500k-500k-discard-t-icmp-fe-0/1/1.1-i 0 0
命令输出显示监管器p-ftp-10p-500k-discard (和p-icmp-500k-500k-discard)的名称,并与过滤器术语(t-ftpt-icmp分别是用于指定监管器操作的名称)相结合。监管器特定的输出行显示与过滤器术语匹配的数据包数量。这只是不规范的数据包计数数量,不是所有由监管器 policed 的数据包。