Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

监管器概述

交换机根据用户定义的标准限制一类流量的输入或输出传输速率,从而监管流量。监管(或速率限制)流量允许您控制接口上发送或接收的最大流量速率,并提供多个优先级或服务等级。

管制也是防火墙过滤器的重要组成部分。您可以通过在 防火墙过滤器 配置中包含监管器来实现监管。

监管器概述

您可以使用监管器对流量应用限制,并为超出这些限制的数据包设置后果(通常应用更高的丢失优先级),以便在数据包遇到下游拥塞时可以先丢弃它们。监管器仅适用于单播数据包。

监管器提供两种功能:计量和标记。监管器根据您配置的流量速率和突发大小计量(测量)每个数据包。然后,它将数据包和计量结果传递给标记器,标记器分配与计量结果相对应的丢包优先级。 图 1 说明了此过程。

注:

监管器以配置的每个 PFE 传输速率限制流量。在 QFX10016、QFX10002、QFX10002-60C 和 QFX10008 交换机中,当聚合以太网 (AE) 接口束跨越多个 PFE 时,用户监管器的总体传输速率可能会超过监管器配置的传输速率(取决于所涉及的 PFE 数量)。

举个例子:

  • 在具有成员链路 xe-1/0/0 (fpc1-pfe0) 和 xe-1/0/30 (fpc1-pfe1) 的 AE 接口上配置带宽限制为 100 Mbps 的监管器。此处,两个成员链路属于 FPC1,但位于不同的 PFE 上。当监管器应用于 AE 接口时,这将导致总带宽为 200 Mbps,因为监管器配置为两个 PFE。

  • 在具有成员链路 xe-1/0/0 (fpc1-pfe0)、et-2/0/1 (fpc2-pfe1) 和 xe-2/0/18:0 (fpc2-pfe2) 的 AE 接口上配置带宽限制为 100 Mbps 的监管器。此处,一个成员链路属于此 FPC 上的 FPC1 和 PFE0。其余两个成员链路属于 FPC2,但 PFE 不同。当监管器应用于 AE 接口时,这将导致总带宽为 300 Mbps,因为监管器配置为三个 PFE。

  • 在单个 PFE (fpc1-pfe0) 上具有成员链路 xe-1/0/0 和 xe-1/0/1 的 AE 接口上配置带宽限制为 100 Mbps 的监管器。此处,成员链路属于 FPC1 和同一 PFE。当监管器应用于 AE 接口时,这将导致总带宽为 100 Mbps,因为监管器是基于每个 PFE 配置的。
图 1: 三色标记监管器操作流程三色标记监管器操作流程

命名并配置监管器后,可以通过在一个或多个防火墙过滤器中将其指定为操作来使用它。

监管器类型

交换机支持三种类型的监管器:

  • 单速率双色标记 — 双色监管器(未经限定使用时称为“监管器”)计量流量,并根据配置的带宽和突发大小限制将数据包分为两类数据包丢失优先级 (PLP)。您可以使用指定的 PLP 标记超过带宽和突发大小限制的数据包,也可以直接丢弃它们。

    您可以在入口或出口防火墙中指定此类型的监管器。

    注:

    双色监管器对于在端口(物理接口)级别计量流量最有用。

  • 单速率三色标记 — 这种类型的监管器在 RFC 2697“ 单速率三色标记器”中定义,作为差异服务 (DiffServ) 环境的保证转发 (AF) 每跳行为 (PHB) 分类系统的一部分。这种类型的监管器基于一种速率计量流量:配置的承诺信息速率 (CIR) 以及承诺突发大小 (CBS) 和超额突发大小 (EBS)。CIR 指定允许位进入交换机的平均速率。CBS 以字节为单位指定通常的突发大小,EBS 以字节为单位指定最大突发大小。EBS 必须大于或等于 CBS,并且两者都不能为 0。

    您可以在入口或出口防火墙中指定此类型的监管器。

    注:

    当服务根据数据包长度而不是峰值到达率构建时,单速率三色标记 (TCM) 最有用。

  • 双速率三色标记 — 这种类型的监管器在 RFC 2698( 双速率三色标记器)中定义,作为差异服务环境的有保证的转发每跃点行为分类系统的一部分。这种类型的监管器基于两种速率来计量流量:CIR 和峰值信息速率 (PIR) 及其关联的突发大小,即 CBS 和峰值突发大小 (PBS)。PIR 指定允许比特进入网络的最大速率,并且必须大于或等于 CIR。

    您可以在入口或出口防火墙中指定此类型的监管器。

    注:

    当服务根据到达率(不一定是数据包长度)构建时,双速率三色监管器最有用。

有关如何对每种监管器类型应用计量结果的信息,请参阅 表 1

监管器操作

监管器操作有隐式或显式,并且因监管器类型而异。隐式 表示 Junos OS 会自动分配丢失优先级。 表 1 描述了监管器操作。

表 1: 监管器操作

监管器

标记

隐式操作

可配置操作

单速率双色

绿色(符合)

分配低丢失优先级

红色(不合格)

丢弃

单速率三色

绿色(符合)

分配低丢失优先级

黄色(在 CIR 和 CBS 上方)

分配中高丢失优先级

红色(EBS 上方)

分配高丢失优先级

丢弃

二率三色

绿色(符合)

分配低丢失优先级

黄色(在 CIR 和 CBS 上方)

分配中高丢失优先级

红色(在 PIR 和 PBS 上方)

分配高丢失优先级

丢弃
注:

如果在出口 防火墙过滤器中指定监管器,则唯一支持的操作是 discard

监管器颜色

单速率和双速率三色监管器可以在两种模式下工作:

  • 色盲 — 在色盲模式下,三色监管器假定检查的所有数据包之前未进行标记或计量。换句话说,三色监管器对数据包之前可能具有的任何着色都是“盲目的”。

  • 颜色感知 — 在颜色感知模式下,三色监管器假定检查的所有数据包之前都已标记或计量。换句话说,三色监管器“知道”数据包可能具有的先前着色。在颜色感知模式下,三色监管器可以增加数据包的 PLP,但不能降低它。例如,如果颜色感知型三色监管器计量具有中等 PLP 标记的数据包,则可以将 PLP 级别提高到高,但不能将 PLP 级别降低到低。

特定于过滤器的监管器

您可以将监管器配置为特定于过滤器,这意味着无论引用监管器的次数如何,Junos OS 都只会创建一个监管器实例。在某些 QFX 交换机上执行此操作时,将聚合应用速率限制,因此,如果您将监管器配置为丢弃超过 1 Gbps 的流量并以三个不同的术语引用该监管器,则过滤器允许的总带宽为 1 Gbps。但是,特定于过滤器的监管器的行为受引用监管器的防火墙过滤器术语在 TCAM 中的存储方式的影响。如果创建特定于过滤器的监管器并以多个防火墙过滤器术语引用该监管器,则当这些术语存储在不同的 TCAM 切片中时,监管器允许的流量多于预期。例如,如果将监管器配置为丢弃超过 1 Gbps 的流量,并以存储在三个单独内存片中的三个不同术语引用该监管器,则过滤器允许的总带宽为 3 Gbps,而不是 1 Gbps。(QFX10000交换机中不会发生此行为。

为防止发生此意外行为,请使用 规划要创建的防火墙过滤器数量中 提供的有关 TCAM 切片的信息来组织配置文件,以便引用给定过滤器特定监管器的所有防火墙过滤器术语都存储在同一个 TCAM 切片中。

建议的监管器命名约定

我们建议您在配置三色监管器和policer#配置双色监管器时使用命名约定policertypeTCM#-color type。TCM 代表 三色标记。由于监管器可能很多,并且必须正确应用才能工作,因此简单的命名约定可以更轻松地正确应用监管器。例如,配置的第一个单速率、颜色感知型三色监管器将被命名为 srTCM1-ca。第二个双速率、色盲三色配置将被命名为 trTCM2-cb。下面介绍了此命名约定的元素:

  • SR(单速率)

  • TR(双费率)

  • 中药(三色标记)

  • 1 或 2(标记数)

  • CA(颜色感知型)

  • CB(色盲)

监管器计数器

在某些 QFX 交换机上,您配置的每个监管器都包含一个隐式计数器,用于计算超过为监管器指定的速率限制的数据包数。如果您在多个术语中使用同一监管器(在同一过滤器内或在不同过滤器中),隐式计数器将计算以所有这些术语监管的所有数据包,并提供总量。(这不适用于QFX10000交换机。如果要为受影响的交换机上每个术语获取单独的数据包计数,请使用以下选项:

  • 为每个术语配置唯一的监管器。

  • 仅配置一个监管器,但在每个术语中使用唯一的显式计数器。

监管器算法

监管使用 令牌桶算法,该算法对平均带宽实施限制,同时允许突发达到指定的最大值。与 泄漏存储桶算法 相比,它提供了更大的灵活性,可以在开始丢弃数据包之前允许一定数量的突发流量。

注:

在突发流量较少的环境中,QFX5200可能不会将所有组播数据包复制到两个或更多下游接口。这仅在线速突发时发生 - 如果流量一致,则不会发生问题。此外,仅当 1 千兆位流量中的数据包大小增加到 6k 以上时,才会出现此问题。

支持多少个监管器?

QFX10000交换机支持 8K 监管器(所有监管器类型)。QFX5100 和 QFX5200 交换机支持 1535 个入口监管器和 1024 个出口监管器(假设每个防火墙过滤器术语一个监管器)。QFX5110 交换机支持 6144 个入口监管器和 1024 个出口监管器(假设每个防火墙过滤器术语一个监管器)。

QFX3500和QFX3600独立交换机和 QFabric 节点设备支持以下数量的监管器(假设每个防火墙过滤器术语一个监管器):

  • 入口防火墙过滤器中使用的双色监管器:767

  • 入口防火墙过滤器中使用的三色监管器:767

  • 出口防火墙过滤器中使用的双色监管器:1022

  • 出口防火墙过滤器中使用的三色监管器:512

监管器可以限制出口防火墙过滤器

在某些交换机上,您配置的出口监管器数量可能会影响允许的出口防火墙过滤器总数。每个监管器都有两个隐式计数器,它们在 1024 条目的 TCAM 中占用两个条目。这些用于计数器,包括在防火墙过滤器术语中配置为操作修饰符的计数器。(监管器使用两个条目,因为一个用于绿色数据包,另一个用于非绿色数据包,而不考虑监管器类型。如果 TCAM 已满,您将无法再提交任何与计数器有条款的出口防火墙过滤器。例如,如果配置并提交 512 出口监管器(双色、三色或两种监管器类型的组合),计数器的所有内存条目都将用完。如果稍后在配置文件中插入了其他出口防火墙 过滤器,其中 的术语也包括计数器,则不会提交这些过滤器中的任何术语,因为计数器没有可用的内存空间。

以下是一些其他示例:

  • 假设您配置的出口过滤器总共包括 512 个监管器,并且没有计数器。稍后在配置文件中,您将包含另一个包含 10 个术语的出口过滤器,其中 1 个具有计数器操作修饰符。此筛选器中的任何术语均未提交,因为没有足够的 TCAM 空间用于计数器。

  • 假设您配置的出口过滤器总共包含 500 个监管器,因此占用 1000 个 TCAM 条目。稍后在配置文件中,您将包含以下两个出口过滤器:

    • 具有 20 个术语和 20 个计数器的过滤器 A。将提交此筛选器中的所有术语,因为有足够的 TCAM 空间供所有计数器使用。

    • 筛选器 B 位于筛选器 A 之后,具有五个术语和五个计数器。此筛选器中的任何术语均未提交,因为没有足够的内存空间供所有计数器使用。(需要五个 TCAM 条目,但只有四个可用。

可以通过确保在配置文件中放置带有计数器操作的出口防火墙过滤器术语比包含监管器的术语更早来防止此问题。在这种情况下,即使没有足够的 TCAM 空间用于隐式计数器,Junos OS 也会提交监管程序。例如,假设以下情况:

  • 您有 1024 个出口防火墙过滤器术语和计数器操作。

  • 稍后在配置文件中,您将有一个包含 10 个术语的出口过滤器。没有一个术语有计数器,但有一个术语有一个监管器操作修饰符。

即使没有足够的 TCAM 空间用于监管器的隐式计数器,您也可以使用 10 个术语成功提交过滤器。监管器在没有计数器的情况下提交。

相关主题