Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de gigabit Ethernet Policers

Os policiais permitem que você realize um policiamento de tráfego simples em Interfaces Ethernet Gigabit sem configurar um filtro de firewall. Você pode usar este tópico para configurar um mapa de prioridade de entrada, um mapa de prioridade de saída e, em seguida, aplicar a política. Use este tópico para obter informações sobre como configurar um policiador de duas cores e um policial tricolor.

Recursos de GIGabit Ethernet IQ PICs e GIGabit Ethernet PICs com SFPs

Para GIGabit Ethernet IQ PICs e Gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i), você pode configurar recursos granulares por classe de serviço (CoS) de VLAN e instrumentação e diagnósticos extensivos em uma base de endereço por VLAN e por MAC.

Reescrever, marcar e excluir VLAN permite que você use o espaço de endereço VLAN para oferecer suporte a mais clientes e serviços.

O VPLS permite que você forneça uma LAN de ponto a multiponto entre um conjunto de sites em uma VPN. PiCs Ethernet IQ e Gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Gigabit Ethernet integrada no roteador M7i) são combinados com VPLS para fornecer serviço Ethernet metro.

Para interfaces Gigabit Ethernet IQ2 e IQ2-E e 10 Gigabit Ethernet IQ2 e IQ2-E, você pode aplicar o policiamento de Camada 2 a interfaces lógicas na direção de saída ou entrada. Os policiais de camada 2 estão configurados no nível de [edit firewall] hierarquia. Você também pode controlar a taxa de tráfego enviado ou recebido em uma interface configurando uma sobrecarga de policial no nível de [edit chassis fpc slot-number pic slot-number] hierarquia.

Tabela 1 lista os recursos dos PICs Gigabit Ethernet IQ e Gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i).

Tabela 1: Recursos do Gigabit Ethernet IQ e Gigabit Ethernet com SFPs

Capacidade

Gigabit Ethernet IQ (SFP)

Gigabit Ethernet (SFP)

Camada 2

Agregação de enlaces 802.3ad

Sim

Sim

VLANs máximos por porta

384

1023

Tamanho máximo da unidade de transmissão (MTU)

9192

9192

Aprendizagem de MAC

Sim

Sim

Contabilidade MAC

Sim

Sim

Filtragem mac

Sim

Sim

Destinos por porta

960

960

Fontes por porta

64

64

Policiais MAC hierárquicos

Sim, premium e agregado

Não, agregar apenas

Suporte múltiplo de TPID e serviço IP para TPIDs fora do padrão

Sim

Sim

Vários encapsulamentos de Ethernet

Sim

Sim

Tags de VLAN dupla

Sim

Não

Reescrita do VLAN

Sim

Não

VPNs de camada 2

VLAN CCC

Sim

Sim

CCC baseado em porta

Sim

Sim

Protocolo de tag VLAN CCC Virtual Metropolitan Area Network (VMAN) estendido

Sim

Sim

CoS

Filas de saída baseadas em PIC

Sim

Sim

VLANs em fila

Sim

Não

VPLS

Sim

Sim

Para obter mais informações sobre a configuração do VPLS, consulte a Biblioteca de VPNs Junos OS para dispositivos de roteamento.

Você também pode configurar CoS em interfaces lógicas de IQ. Para obter mais informações, consulte o guia de usuário da classe de serviços do Junos OS para dispositivos de roteamento.

Configuração de gigabit Ethernet Policers

Visão geral

No Gigabit Ethernet IQ e Gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Gigabit Ethernet integrada no roteador M7i), você pode definir limites de taxa para tráfego premium e agregado recebido na interface. Esses policiais permitem que você realize um policiamento de tráfego simples sem configurar um filtro de firewall. Primeiro você configura o perfil do policiador Ethernet, em seguida você classifica o tráfego de entrada e saída, então você pode aplicar o policiador a uma interface lógica.

Para Gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i), as taxas de policiamento que você configura podem ser diferentes das taxas no Mecanismo de encaminhamento de pacotes. A diferença resulta da sobrecarga da Camada 2. O PIC é responsável por essa diferença.

Nota:

Nos roteadores da Série MX com Gigabit Ethernet ou PICs Fast Ethernet, as seguintes considerações se aplicam:

  • Os contadores de interface não contam o preâmbulo de 7 byte e o delimiter de quadros de 1 byte em quadros Ethernet.

  • Nas estatísticas mac, o tamanho do quadro inclui cabeçalho MAC e CRC antes que qualquer regra de reescrita/imposição de VLAN seja aplicada.

  • Nas estatísticas de tráfego, o tamanho do quadro abrange o cabeçalho L2 sem CRC após qualquer regra de reescrita/imposição de VLAN.

Para obter informações sobre como entender as estatísticas do quadro Ethernet, consulte o Guia de configuração da Série MX de Camada 2.

Configuração de um policiador

Para configurar um perfil de policiador Ethernet, inclua a ethernet-policer-profile declaração no nível de [edit interfaces interface-name gigether-options ethernet-switch-profile] hierarquia:

No perfil do policiador da Ethernet, o policiador de prioridade agregada é obrigatório; o policiador de prioridade premium é opcional.

Para policiais agregados e premium, você especifica o limite de largura de banda em bits por segundo. Você pode especificar o valor como um número decimal completo ou como um número decimal seguido pela abreviação k (1000), (1.000.000) ou g (1.000.000.000). Não há valor mínimo absoluto para limite de largura de banda, mas qualquer valor abaixo de 61.040 bps resultará em uma taxa efetiva de 30.520 bps. O limite máximo de largura de banda é de 4,29 Gbps.

O tamanho máximo da explosão controla a quantidade de explosão de tráfego permitida. Para determinar o limite de tamanho de explosão, você pode multiplicar a largura de banda da interface na qual você está aplicando o filtro pelo tempo que você permite que uma explosão de tráfego nessa largura de banda ocorra:

Se você não conhece a largura de banda da interface, pode multiplicar o MTU máximo do tráfego na interface em 10 para obter um valor. Por exemplo, o tamanho da explosão para um MTU de 4700 seria de 47.000 bytes. O tamanho da explosão deve ser de pelo menos 10 MTUs de interface. O valor máximo para o limite de tamanho de explosão é de 100 MB.

Especificando um mapa de prioridade de entrada

Um mapa de prioridade de entrada identifica o tráfego de entrada com valores de prioridade especificados do IEEE 802.1p e classifica esse tráfego como premium.

Se você incluir um policial de prioridade premium, você pode especificar um mapa de prioridade de entrada, incluindo a ieee802.1 premium declaração no [edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map] nível de hierarquia:

Os valores de prioridade podem ser de 0 a 7. O tráfego restante é classificado como nãopremium (ou agregado). Para um exemplo de configuração, veja Exemplo: Configuração de gigabit Ethernet Policers.

Nota:

Nas interfaces IQ2 e IQ2-E e interfaces da Série MX, quando uma tag VLAN é empurrada, os bits VLAN IEEE 802.1p internos são copiados para os bits IEEE da VLAN ou VLANs sendo empurrados. Se o pacote original não estiver registrado, os bits IEEE da VLAN ou VLANs que estão sendo empurrados serão definidos para 0.

Especificando um mapa de prioridade de saída

Um mapa de prioridade de saída identifica o tráfego de saída com classificação de fila especificada e prioridade de perda de pacotes (PLP), e classifica esse tráfego como premium.

Se você incluir um policial de prioridade premium, você pode especificar um mapa de prioridade de saída, incluindo a classifier declaração no [edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map] nível de hierarquia:

Você pode definir uma aula de encaminhamento ou usar uma aula de encaminhamento predefinida. Tabela 2 mostra as aulas de encaminhamento predefinidas e suas atribuições de fila associadas.

Tabela 2: Aulas de encaminhamento padrão

Nome da classe de encaminhamento

Fila

melhor esforço

Fila 0

encaminhamento acelerado

Fila 1

encaminhamento garantido

Fila 2

controle de rede

Fila 3

Para obter mais informações sobre as aulas de encaminhamento de CoS, consulte o guia de usuário da classe de serviços do Junos OS para dispositivos de roteamento. Para um exemplo de configuração, veja Exemplo: Configuração de gigabit Ethernet Policers.

Aplicar um policial

Em todas as interfaces de roteador da Série MX, Gigabit Ethernet IQ, IQ2 e IQ2-E PICs, e PICs Ethernet Gigabit com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i), você pode aplicar policiais de entrada e saída que definem limites de taxa para tráfego premium e agregado recebido na interface lógica. Os policiais agregados são suportados em PICs Gigabit Ethernet com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Gigabit Ethernet integrada no roteador M7i).

Esses policiais permitem que você realize um policiamento de tráfego simples sem configurar um filtro de firewall.

Para aplicar policiais a endereços MAC de origem específica, inclua a accept-source-mac declaração:

Você pode incluir essas declarações nos seguintes níveis de hierarquia:

  • [edit interfaces interface-name unit logical-unit-number ]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Você pode especificar o endereço MAC como nn:nn::nn:nn:nnnn ounnnn.nnnn.nnnn, onde n está um número hexadecimal. Você pode configurar até 64 endereços de origem. Para especificar mais de um endereço, inclua várias mac-address declarações na configuração lógica da interface.

Nota:

Em interfaces Ethernet Gigabit não registradas, você não deve configurar a source-address-filter declaração no nível de [edit interfaces ge-fpc/pic/port gigether-options] hierarquia e a accept-source-mac declaração no nível de [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] hierarquia simultaneamente. Se essas declarações estiverem configuradas para as mesmas interfaces ao mesmo tempo, uma mensagem de erro será exibida.

Nas interfaces Gigabit Ethernet com tags, você não deve configurar a source-address-filter declaração no nível de [edit interfaces ge-fpc/pic/port gigether-options] hierarquia e a accept-source-mac declaração no nível de [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] hierarquia com um endereço MAC idêntico especificado em ambos os filtros. Se essas declarações forem configuradas para as mesmas interfaces com um endereço MAC idêntico especificado, uma mensagem de erro será exibida.

Nota:

Se a placa Ethernet remota for alterada, a interface não aceita o tráfego da nova placa porque a nova placa tem um endereço MAC diferente.

Os endereços MAC que você inclui na configuração são inseridos no banco de dados MAC do roteador. Para visualizar o banco de dados MAC do roteador, insira o show interfaces mac-database interface-name comando:

input No comunicado, liste o nome de um modelo de policiador a ser avaliado quando os pacotes forem recebidos na interface.

output No comunicado, liste o nome de um modelo de policiador a ser avaliado quando os pacotes forem transmitidos na interface.

Nota:

Nas interfaces IQ2 e IQ2-E PIC, o valor padrão para a retenção máxima de entradas na tabela de endereços MAC foi alterado para casos em que a tabela não esteja cheia. O novo tempo de espera é de 12 horas. O tempo de retenção anterior de 3 minutos ainda está em vigor quando a tabela estiver cheia.

Você pode usar o mesmo policial uma ou mais vezes.

Se você aplicar tanto os policiais quanto os filtros de firewall em uma interface, os policiais de entrada são avaliados antes dos filtros de firewall de entrada e os policiais de saída são avaliados após os filtros de firewall de saída.

Configuração da filtragem de endereços MAC

Você não pode definir explicitamente o tráfego com endereços MAC de origem específica a serem rejeitados; no entanto, para Gigabit Ethernet IQ e Gigabit Ethernet PICs com SFPs (exceto o Gigabit Ethernet PIC de 10 portas e a porta Ethernet Gigabit integrada no roteador M7i), e para Gigabit Ethernet DPCs em roteadores da Série MX, você pode bloquear todos os pacotes de entrada que não têm um endereço de origem especificado na accept-source-mac declaração. Para obter mais informações sobre a accept-source-mac declaração, veja Aplicar um policial.

Para ativar esse bloqueio, inclua a source-filtering declaração no nível hierárquica [edit interfaces interface-name gigether-options] :

Para obter mais informações sobre a source-filtering declaração, consulte Configurando a filtragem de endereços MAC para interfaces Ethernet.

Para aceitar o tráfego, embora não tenha um endereço de origem especificado na accept-source-mac declaração, inclua a no-source-filtering declaração no nível de [edit interfaces interface-name gigether-options] hierarquia:

Exemplo: Configuração de gigabit Ethernet Policers

Exemplo

Este exemplo ilustra o seguinte:

  • Configure a interface ge-6/0/0 para tratar os valores de prioridade 2 e 3 como premium. Na entrada, isso significa que os valores prioritários do IEEE 802.1p são tratados 23 como premium. Na saída, significa que o tráfego classificado na fila 0 ou 1 com PLP de baixa e fila 2 ou 3 com PLP de alta, é tratado como premium.

  • Defina um policial que limita a largura de banda premium a 100 Mbps e o tamanho da explosão a 3 k, e a largura de banda agregada a 200 Mbps e tamanho de explosão a 3 k.

  • Especifique que os quadros recebidos do endereço 00:01:02:03:04:05 MAC e do ID 600 VLAN estão sujeitos ao policial na entrada e saída. Na entrada, isso significa que os quadros recebidos com o endereço 00:01:02:03:04:05 MAC de origem e o VLAN ID 600 estão sujeitos ao policiador. Na saída, isso significa que os quadros transmitidos do roteador com o endereço 00:01:02:03:04:05 MAC de destino e o ID 600 VLAN estão sujeitos ao policiador.

Configuração de exemplo

Configuração de gigabit Ethernet de duas cores e policiais tricolores

Visão geral

Para interfaces Gigabit Ethernet e Ethernet IQ2 e IQ2-E de 10 Gigabit em roteadores série M e T, você pode configurar policiais de marcação tricolor e de duas cores e aplicá-los em interfaces lógicas para evitar que o tráfego na interface consuma largura de banda de maneira inadequada.

As redes policiam o tráfego limitando a taxa de transmissão de entrada ou saída de uma classe de tráfego com base em critérios definidos pelo usuário. O policiamento de tráfego permite que você controle a taxa máxima de tráfego enviado ou recebido em uma interface e partifique uma rede em vários níveis de prioridade ou classes de serviço.

Os policiais exigem que você aplique um limite de tamanho de explosão e largura de banda ao fluxo de tráfego e defina uma consequência para pacotes que excedem esses limites — geralmente uma prioridade de perda maior, para que os pacotes que excedem os limites do policiamento sejam descartados primeiro.

As arquiteturas de roteador da Juniper Networks oferecem suporte a três tipos de policiador:

  • Um policial de duas cores — um policiador de duas cores (ou "policiador" quando usado sem qualificação) metros do fluxo de tráfego e classifica os pacotes em duas categorias de prioridade de perda de pacotes (PLP), de acordo com um limite configurado de largura de banda e tamanho de explosão. Você pode marcar pacotes que excedem a largura de banda e o limite de tamanho de explosão de alguma forma, ou simplesmente descartá-los. Um policial é mais útil para medir o tráfego no nível da porta (interface física).

  • Marcação tricolor de taxa única (TCM de taxa única) — Um policial de marcação tricolor de taxa única é definido em RFC 2697, um marcador de cor de taxa única três, como parte de um sistema de classificação de encaminhamento por hop-behavior (PHB) garantido para um ambiente de serviços diferenciados (DiffServ). Esse tipo de policiador medidora o tráfego com base na taxa de informações comprometidas configuradas (CIR), tamanho de explosão cometido (CBS) e tamanho de explosão em excesso (EBS).

    A partir do Junos OS Release 13.1, o tráfego é classificado em três categorias: Verde, vermelho e amarelo. A lista a seguir descreve as categorias:

    • Verde — A explosão do tamanho dos pacotes que chegam é menor do que a soma da CIR configurada e da CBS.

    • Vermelho — O tamanho de estouro dos pacotes que chegam é maior do que a soma da CIR e do EBS configurados.

    • Amarelo — A explosão do tamanho dos pacotes que chegam é maior que a CBS, mas menor que a EBS.

    O TCM de taxa única é mais útil quando um serviço é estruturado de acordo com o comprimento do pacote e não a taxa de chegada de pico.

  • Marcação Tricolor de duas taxas (TCM de duas taxas) — Esse tipo de policiador é definido em RFC 2698, Um Marcador de Cores de Duas Taxas Três, como parte de um sistema de classificação de encaminhamento por hop-behavior (PHB) garantido para um ambiente de serviços diferenciados (DiffServ). Esse tipo de policiador medidora o tráfego com base na CIR configurada e na taxa de informações de pico (PIR), juntamente com seus tamanhos de explosão associados, o CBS e o EBS.

    O tráfego é classificado nas seguintes três categorias:

    • Verde — A explosão do tamanho dos pacotes que chegam é menor do que a soma da CIR configurada e da CBS.

    • Vermelho — O tamanho de estouro dos pacotes que chegam é maior do que a soma do PIR e do EBS configurados.

    • Amarelo — o tráfego não pertence nem à categoria verde nem vermelha.

    O TCM de duas taxas é mais útil quando um serviço é estruturado de acordo com as taxas de chegada e não necessariamente o comprimento do pacote.

Nota:

Ao contrário do policiamento (descrito na Configuração de Gigabit Ethernet Policers), a configuração de policiais de duas cores e policiais de marcação tricolor exige que você configure um filtro de firewall.

Configuração de um policiador

Os policiais de marcação tricolor e de duas cores estão configurados no nível de [edit firewall] hierarquia.

Um policial tricolor que marca o tráfego com base nas taxas de medição, incluindo o CIR, o PIR, seus tamanhos de explosão associados e quaisquer ações de policiamento configuradas para o tráfego.

Para configurar a marcação do policial tricolor, inclua a three-color-policer declaração com opções no nível de [edit firewall] hierarquia:

Para obter mais informações sobre a configuração de marcas de policiais tricolores, veja as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego e o guia de usuário da classe de serviços do Junos OS para dispositivos de roteamento.

Aplicar um policial

Aplique um policiador de duas cores ou um policial tricolor em uma interface lógica para evitar que o tráfego na interface consuma a largura de banda de maneira inadequada. Para aplicar policiais de duas cores ou tricolores, inclua a layer2-policer declaração:

Você pode incluir essas declarações nos seguintes níveis de hierarquia:

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Use a input-policer declaração para aplicar um policial de duas cores para receber pacotes em uma interface lógica e a input-three-color declaração para aplicar um policial tricolor. Use a output-policer declaração para aplicar um policial de duas cores para transmitir pacotes em uma interface lógica e a output-three-color declaração para aplicar um policial tricolor. Os policiais especificados devem ser configurados no nível de [edit firewall] hierarquia. Para cada interface, você pode configurar um policiador de três cores ou um policial de entrada de duas cores ou policiais de saída — você não pode configurar um policial de três cores e um policiador de duas cores.

Exemplo: Configuração e aplicação de um policiador

Configure policiais tricolores e aplique-os em uma interface:

Configure um policiador de duas cores e aplique-o em uma interface:

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
13.1
A partir do Junos OS Release 13.1, o tráfego é classificado em três categorias: Verde, vermelho e amarelo.