Policiais de interface lógica de duas cores e três cores
Visão geral do policiador de interface lógica (agregada)
Um policiador de interface lógica — também chamado de policiador agregado — é um policial de duas cores ou três cores que define a limitação da taxa de tráfego que você pode aplicar ao tráfego de entrada ou saída para várias famílias de protocolo na mesma interface lógica sem criar várias instâncias do policiador.
Para configurar um policiador de interface lógica de duas cores de taxa única, inclua a logical-interface-policer declaração em um dos seguintes níveis de hierarquia:
Para configurar um policiador de interface lógica de três cores ou de taxa única, inclua a logical-interface-policer declaração em um dos seguintes níveis de hierarquia:
[edit firewall three-color-policer name][edit logical-systems logical-system-name firewall three-color-policer name]
Um policiador de três cores pode ser aplicado ao tráfego de Camada 2 apenas como um policiador de interface lógica. Você não pode aplicar um policiador de três cores ao tráfego de Camada 2 como um policiador de interface física (por meio de um filtro de firewall).
Você aplica um policiador de interface lógica ao tráfego de Camada 3 diretamente na configuração da interface no nível da unidade lógica (para limitar todos os tipos de tráfego, independentemente da família de protocolo) ou no nível da família de protocolo (para limitar o tráfego de uma família de protocolo específica). Não há problema em fazer referência a um policiador de interface lógica a partir de um termo de filtro de firewall sem estado e, em seguida, aplicar o filtro a uma interface lógica.
Você pode aplicar um policiador de interface lógica apenas para tráfego unicast. Para obter informações sobre a configuração de um filtro de firewall sem estado para tráfego inundado, veja "Aplicando filtros de tabela de encaminhamento" na seção "Amostragem de tráfego, encaminhamento e monitoramento" das políticas de roteamento, filtros de firewall e guia de usuário dos policiais de tráfego.
Para exibir um policiador de interface lógica em uma interface específica, emita o show interfaces policers comando do modo operacional.
Consulte também
Exemplo: Configurando um policial de interface lógica de duas cores (agregado)
Este exemplo mostra como configurar um policiador de duas cores de taxa única como um policiador de interface lógica e aplicá-lo ao tráfego IPv4 de entrada em uma interface lógica.
Requisitos
Antes de começar, certifique-se de que a interface lógica à qual você aplica o policiador de interface lógica de duas cores esteja hospedada em uma interface Gigabit Ethernet (ge-) ou uma interface Ethernet de 10 Gigabits (xe-).
Visão geral
Neste exemplo, você configura o policiador de duas cores de taxa única como um policiador policer_IFL de interface lógica e o aplica ao tráfego IPv4 de entrada na interface ge-1/3/1.0lógica.
Topologia
Se o tráfego IPv4 de entrada na interface ge-1/3/1 física exceder o limite de largura de banda igual a 90 por cento da taxa de mídia com um limite de tamanho de explosão de 300 KB, então o policer policer_IFL de interface lógica limita o tráfego IPv4 de entrada na interface ge-1/3/1.0lógica. Configure o policial para marcar o tráfego sem conformidade definindo níveis high de prioridade de perda de pacote (PLP) e classificando pacotes como best-effort.
À medida que a taxa de tráfego IPv4 de entrada na interface física diminui e se conforma com os limites configurados, o Junos OS deixa de marcar os pacotes IPv4 de entrada na interface lógica.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configuração das interfaces lógicas
- Configurando o policiador de duas cores de taxa única como um policiador de interface lógica
- Aplicando o policiador de interface lógica para inserir o tráfego IPv4 em uma interface lógica
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit] hierarquia.
set interfaces ge-1/3/1 vlan-tagging set interfaces ge-1/3/1 unit 0 vlan-id 100 set interfaces ge-1/3/1 unit 0 family inet address 10.10.10.1/30 set interfaces ge-1/3/1 unit 1 vlan-id 101 set interfaces ge-1/3/1 unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44 set firewall policer policer_IFL logical-interface-policer set firewall policer policer_IFL if-exceeding bandwidth-percent 90 set firewall policer policer_IFL if-exceeding burst-size-limit 300k set firewall policer policer_IFL then loss-priority high set firewall policer policer_IFL then forwarding-class best-effort set interfaces ge-1/3/1 unit 0 family inet policer input policer_IFL
Configuração das interfaces lógicas
Procedimento passo a passo
Para configurar as interfaces lógicas:
Habilite a configuração da interface.
[edit] user@host# edit interfaces ge-1/3/1
Configure uma marcação única.
[edit interfaces ge-1/3/1] user@host# set vlan-tagging
Configure a interface
ge-1/3/1.0lógica.[edit interfaces ge-1/3/1] user@host# set unit 0 vlan-id 100 user@host# set unit 0 family inet address 10.10.10.1/30
Configure a interface
ge-1/3/1.0lógica.[edit interfaces ge-1/3/1] user@host# set unit 1 vlan-id 101 user@host# set unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44
Resultados
Confirme a configuração das interfaces lógicas entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
Configurando o policiador de duas cores de taxa única como um policiador de interface lógica
Procedimento passo a passo
Para configurar um policiador de duas cores de taxa única como um policiador de interface lógica:
Habilite a configuração de um policiador de duas cores de taxa única.
[edit] user@host# edit firewall policer policer_IFL
Especifique que o policiador é um policial de interface lógica (agregada).
[edit firewall policer policer_IFL] user@host# set logical-interface-policer
Um policiador de interface lógica limita o tráfego com base em uma porcentagem da taxa de mídia da interface física subjacente à interface lógica à qual o policiador é aplicado. O policiador é aplicado diretamente à interface em vez de referenciado por um filtro de firewall.
Especifique os limites de tráfego do policial.
Especifique o limite de largura de banda.
Para especificar o limite de largura de banda como uma taxa absoluta, de 8.000 bits por segundo a 50.000.000.000 bits por segundo, inclua a
bandwidth-limit bpsdeclaração.Para especificar o limite de largura de banda como porcentagem da velocidade física da porta na interface, inclua a
bandwidth-percent percentdeclaração.
Neste exemplo, os comandos e a saída CLI são baseados em um limite de largura de banda especificado como uma porcentagem e não como uma taxa absoluta.
[edit firewall policer policer_IFL] user@host# set if-exceeding bandwidth-percent 90
Especifique o limite de tamanho de explosão, de 1.500 bytes a 100.000.000.000 bytes, que é o tamanho máximo de pacote a ser permitido para rajadas de dados que excedem o limite de largura de banda especificado.
[edit firewall policer policer_IFL] user@host# set if-exceeding burst-size-limit 300k
Especifique as ações do policiador a serem tomadas no tráfego que excedem os limites de taxa configurados.
Para descartar o pacote, inclua a
discarddeclaração.Para definir o valor de prioridade de perda do pacote, inclua a
loss-priority (low | medium-low | medium-high | high)declaração.Para classificar o pacote para uma aula de encaminhamento, inclua a
forwarding-class (forwarding-class | assured-forwarding | best-effort | expedited-forwarding | network-control)declaração.
Neste exemplo, os comandos e a saída CLI são baseados na configuração do nível de prioridade de perda de pacotes e na classificação do pacote.
[edit firewall policer policer_IFL] user@host# set then loss-priority high user@host# set then forwarding-class best-effort
Resultados
Confirme a configuração do policiador inserindo o comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show firewall
policer policer_IFL {
logical-interface-policer;
if-exceeding {
bandwidth-percent 90;
burst-size-limit 300k;
}
then {
loss-priority high;
forwarding-class best-effort;
}
}
Aplicando o policiador de interface lógica para inserir o tráfego IPv4 em uma interface lógica
Procedimento passo a passo
Para aplicar o policiador de interface lógica de duas cores para inserir o tráfego IPv4 em uma interface lógica:
Habilite a configuração da interface lógica.
[edit] user@host# edit interfaces ge-1/3/1 unit 0
Aplique o policial a todos os tipos de tráfego ou a um tipo de tráfego específico na interface lógica.
Para aplicar o policial a todos os tipos de tráfego, independentemente da família de protocolo, inclua a
policer (input | output) policer-namedeclaração no[edit interfaces interface-name unit number]nível hierárquica.Para aplicar o policial ao tráfego de uma família de protocolo específica, inclua a
policer (input | output) policer-namedeclaração no[edit interfaces interface-name unit unit-number family family-name]nível hierárquica.
Para aplicar o policiador de interface lógica a pacotes de entrada, use a
policer input policer-namedeclaração. Para aplicar o policiador de interface lógica a pacotes de saída, use apolicer output policer-namedeclaração.Neste exemplo, os comandos e a saída CLI são baseados na limitação de taxa do tráfego de entrada IPv4 na interface
ge-1/3/1.0lógica.[edit interfaces ge-1/3/1 unit 0] user@host# set family inet policer input policer_IFL
Resultados
Confirme a configuração da interface entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
policer input policer_IFL;
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Exibindo estatísticas de tráfego e policiais para a interface lógica
- Exibindo estatísticas para o policial
Exibindo estatísticas de tráfego e policiais para a interface lógica
Propósito
Verifique o fluxo de tráfego através da interface lógica e se o policiador é avaliado quando os pacotes são recebidos na interface lógica.
Ação
Use o comando de show interfaces modo operacional para interface ge-1/3/1.0lógica, e inclua a ou extensive opçãodetail. A seção de saída de comando lista Traffic statistics o número de bytes e pacotes recebidos e transmitidos na interface lógica. A Protocol inet subseção contém um Policer campo que listaria o policial policer_IFL como um policiador de interface lógica de entrada ou saída da seguinte forma:
Input: policer_IFL-ge-1/3/1.0-log_int-i
Output: policer_IFL-ge-1/3/1.0-log_int-o
O log_int-i sufixo denota um policiador de interface lógica aplicado ao tráfego de entrada, enquanto o log_int-o sufixo denota um policiador de interface lógica aplicado ao tráfego de saída. Neste exemplo, o policiador de interface lógica é aplicado apenas ao tráfego de entrada.
Exibindo estatísticas para o policial
Propósito
Verifique o número de pacotes avaliados pelo policial.
Ação
Use o comando do show policer modo operacional e especifique opcionalmente o nome do policiador. A saída de comando exibe o número de pacotes avaliados por cada policiador configurado (ou pelo policiador especificado), em cada direção. Para o policiador policer_IFL, os nomes dos policiais de entrada e saída são exibidos da seguinte forma:
policer_IFL-ge-1/3/1.0-log_int-i
policer_IFL-ge-1/3/1.0-log_int-o
O log_int-i sufixo denota um policiador de interface lógica aplicado ao tráfego de entrada, enquanto o log_int-o sufixo denota um policiador de interface lógica aplicado ao tráfego de saída. Neste exemplo, o policiador de interface lógica é aplicado apenas ao tráfego de entrada.
Exemplo: Configurando um policial de interface lógica de três cores (agregado)
Este exemplo mostra como configurar um policiador de duas cores e cores cegas como um policial de interface lógica (agregada) e aplicar o policiador diretamente ao tráfego de entrada de Camada 2 em uma interface lógica suportada.
Requisitos
Antes de começar, certifique-se de que a interface lógica à qual você aplica o policiador de interface lógica de três cores esteja hospedada em uma interface Gigabit Ethernet (ge-) ou uma interface Ethernet de 10 Gigabits (xe-) em um roteador da Série MX.
Visão geral
Um policial de três cores de duas categorias metros de um fluxo de tráfego contra um limite de largura de banda e limite de tamanho de explosão para tráfego garantido, além de um segundo conjunto de limites de largura de banda e tamanho de explosão para o tráfego máximo. O tráfego que está em conformidade com os limites para tráfego garantido é categorizado como verde, e o tráfego não conforme se encaixa em uma das duas categorias:
O tráfego sem formação que não excede a largura de banda e os limites de tamanho de explosão para o tráfego máximo é categorizado como amarelo.
O tráfego sem formação que excede a largura de banda e os limites de tamanho de explosão para o tráfego máximo é categorizado como vermelho.
Um policiador de interface lógica define regras de limitação de taxa de tráfego que você pode aplicar a várias famílias de protocolo na mesma interface lógica sem criar várias instâncias do policiador.
Você aplica um policiador de interface lógica diretamente a uma interface lógica no nível da unidade lógica, e não fazendo referência ao policiador em um filtro de firewall sem estado e, em seguida, aplicando o filtro na interface lógica no nível da família de protocolo.
Topologia
Neste exemplo, você configura o policiador de três cores de duas categorias como um policiador trTCM2-cb de interface lógica color-blind e aplica o policiador ao tráfego de Camada 2 de entrada em interface ge-1/3/1.0lógica.
Ao usar um policiador de três cores para limitar a taxa de tráfego de Camada 2, o policiamento consciente de cores pode ser aplicado apenas ao tráfego de saída.
O policial define limites de taxa de tráfego garantidos de modo que o tráfego que esteja em conformidade com o limite de largura de banda de 40 Mbps com um subsídio de 100 KB para o estouro de tráfego (com base na fórmula do balde de símbolo) é categorizado como verde. Como em qualquer tráfego policiado, os pacotes em um fluxo verde são implicitamente definidos para uma prioridade de low perda e, em seguida, transmitidos.
O tráfego sem formação que se encaixa nos limites de tráfego máximo de um limite de largura de banda de 60 Mbps e um subsídio de 200 KB para o estouro de tráfego (com base na fórmula do balde de ficha) é categorizado como amarelo. Os pacotes em um fluxo de tráfego amarelo são implicitamente definidos para uma prioridade de medium-high perda e depois transmitidos.
O tráfego sem conformidade que excede os limites de tráfego máximos são categorizados como vermelhos. Os pacotes em um fluxo de tráfego vermelho estão implicitamente definidos para uma prioridade de high perda. Neste exemplo, a ação opcional do policiador para tráfego vermelho (loss-priority high then discard) é configurada, de modo que os pacotes em um fluxo de tráfego vermelho são descartados em vez de transmitidos.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configuração das interfaces lógicas
- Configurando o policiador de três cores de duas categorias como um policiador de interface lógica
- Aplicando o policiador de três cores na entrada de Camada 2 na Interface Lógica
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit] hierarquia.
set interfaces ge-1/3/1 vlan-tagging set interfaces ge-1/3/1 unit 0 vlan-id 100 set interfaces ge-1/3/1 unit 0 family inet address 10.10.10.1/30 set interfaces ge-1/3/1 unit 1 vlan-id 101 set interfaces ge-1/3/1 unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44 set firewall three-color-policer trTCM2-cb logical-interface-policer set firewall three-color-policer trTCM2-cb two-rate color-blind set firewall three-color-policer trTCM2-cb two-rate committed-information-rate 40m set firewall three-color-policer trTCM2-cb two-rate committed-burst-size 100k set firewall three-color-policer trTCM2-cb two-rate peak-information-rate 60m set firewall three-color-policer trTCM2-cb two-rate peak-burst-size 200k set firewall three-color-policer trTCM2-cb action loss-priority high then discard set interfaces ge-1/3/1 unit 0 layer2-policer input-three-color trTCM2-cb
Configuração das interfaces lógicas
Procedimento passo a passo
Para configurar as interfaces lógicas:
Habilite a configuração da interface.
[edit] user@host# edit interfaces ge-1/3/1
Configure uma marcação única.
[edit interfaces ge-1/3/1] user@host# set vlan-tagging
Configure a interface
ge-1/3/1.0lógica.[edit interfaces ge-1/3/1] user@host# set unit 0 vlan-id 100 user@host# set unit 0 family inet address 10.10.10.1/30
Configure a interface
ge-1/3/1.0lógica.[edit interfaces ge-1/3/1] user@host# set unit 1 vlan-id 101 user@host# set unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44
Resultados
Confirme a configuração das interfaces lógicas entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
Configurando o policiador de três cores de duas categorias como um policiador de interface lógica
Procedimento passo a passo
Para configurar o policiador de três cores de duas categorias como um policiador de interface lógica:
Habilite a configuração de um policiador de três cores.
[edit] user@host# edit firewall three-color-policer trTCM2-cb
Especifique que o policiador é um policial de interface lógica (agregada).
[edit firewall three-color-policer trTCM2-cb] user@host# set logical-interface-policer
Um policiador de interface lógica limita o tráfego com base em uma porcentagem da taxa de mídia da interface física subjacente à interface lógica à qual o policiador é aplicado, e o policiador é aplicado diretamente à interface em vez de referenciado por um filtro de firewall.
Especifique que o policial é de duas categorias e de cor cega.
[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate color-blind
Um policial de três cores consciente de cores leva em conta quaisquer marcas de coloração que possam ter sido definidas para um pacote por outro policiador de tráfego configurado em um nó de rede anterior, e quaisquer marcas de cores preexistentes são usadas para determinar a ação de policiamento apropriada para o pacote.
Como você está aplicando este policiador de três cores aplicado à entrada na Camada 2, você deve configurar o policial para ser colorido-cego.
Especifique os limites de tráfego do policiador usados para classificar um fluxo de tráfego verde.
[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate committed-information-rate 40m user@host# set two-rate committed-burst-size 100k
Especifique os limites adicionais de tráfego de policiais usados para classificar um fluxo de tráfego amarelo ou vermelho.
[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate peak-information-rate 60m user@host# set two-rate peak-burst-size 200k
(Opcional) Especifique a ação configurada do policiador para pacotes em um fluxo de tráfego vermelho.
[edit firewall three-color-policer trTCM2-cb] user@host# set action loss-priority high then discard
No modo de reconhecimento de cores, a ação configurada pelo policiador de três cores pode aumentar o nível de prioridade de perda de pacote (PLP) de um pacote, mas nunca diminuí-la. Por exemplo, se um policial de três cores com reconhecimento de cor metros de um pacote com uma marcação PLP média, ele pode elevar o nível de PLP para alto, mas não pode reduzir o nível de PLP para baixo.
Resultados
Confirme a configuração do policiador de três cores entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show firewall
three-color-policer trTCM2-cb {
logical-interface-policer;
action {
loss-priority high then discard;
}
two-rate {
color-blind;
committed-information-rate 40m;
committed-burst-size 100k;
peak-information-rate 60m;
peak-burst-size 200k;
}
}
Aplicando o policiador de três cores na entrada de Camada 2 na Interface Lógica
Procedimento passo a passo
Para aplicar o policiador de três cores na entrada de Camada 2 na interface lógica:
Habilite a aplicação de policiais de interface lógica de Camada 2.
[edit] user@host# edit interfaces ge-1/3/1 unit 0
Aplique o policiador de interface lógica de três cores em uma entrada de interface lógica.
[edit interfaces ge-1/3/1 unit 0] user@host# set layer2-policerinput-three-color trTCM2-cb
Resultados
Confirme a configuração das interfaces lógicas entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
layer2-policer {
input-three-color trTCM2-cb;
}
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Exibindo estatísticas de tráfego e policiais para a interface lógica
- Exibindo estatísticas para o policial
Exibindo estatísticas de tráfego e policiais para a interface lógica
Propósito
Verifique o fluxo de tráfego através da interface lógica e se o policiador é avaliado quando os pacotes são recebidos na interface lógica.
Ação
Use o comando de show interfaces modo operacional para interface ge-1/3/1.0lógica, e inclua a ou extensive opçãodetail. A seção de saída de comando lista Traffic statistics o número de bytes e pacotes recebidos e transmitidos na interface lógica, e a Protocol inet seção contém um Policer campo que listaria o policial trTCM2-cb como um policial de entrada ou saída da seguinte forma:
Input: trTCM2-cb-ge-1/3/1.0-log_int-i
Output: trTCM2-cb-ge-1/3/1.0-log_int-o
O log_int-i sufixo denota um policiador de interface lógica aplicado ao tráfego de entrada, enquanto o log_int-o sufixo denota um policiador de interface lógica aplicado ao tráfego de saída. Neste exemplo, o policiador de interface lógica é aplicado apenas na direção de entrada.
Exibindo estatísticas para o policial
Propósito
Verifique o número de pacotes avaliados pelo policial.
Ação
Use o comando do show policer modo operacional e especifique opcionalmente o nome do policiador. A saída de comando exibe o número de pacotes avaliados por cada policiador configurado (ou pelo policiador especificado), em cada direção. Para o policiador trTCM2-cb, os nomes dos policiais de entrada e saída são exibidos da seguinte forma:
trTCM2-cb-ge-1/3/1.0-log_int-i
trTCM2-cb-e-1/3/1.0-log_int-o
O log_int-i sufixo denota um policiador de interface lógica aplicado ao tráfego de entrada, enquanto o log_int-o sufixo denota um policiador de interface lógica aplicado ao tráfego de saída. Neste exemplo, o policiador de interface lógica é aplicado apenas ao tráfego de entrada.