Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

第 2 层的双色和三色监管器

第 2 层双色监管概述

配置第 2 层流量双色监管的准则

以下准则适用于第 2 层流量的双色管制:

  • 您只能将双色监管器应用于千兆以太网接口 (ge-) 或 10 千兆以太网接口 (xe-) 上托管的逻辑接口上的入口或出口第 2 层流量。

  • 单个逻辑接口支持双向第 2 层管制。

  • 您只能将双色监管器作为逻辑接口监管器应用于第 2 层流量。您不能将双色监管器作为无状态 防火墙过滤器 操作应用于第 2 层流量。

  • 您可以通过在逻辑单元级别(而非协议级别)的接口配置中引用监管器,将双色监管器应用于第 2 层流量。

有关配置第 2 层流量的三色管制的信息,请参见 第 2 层的三色监管概述

用于为第 2 层流量配置双色监管器的语句层次结构

要使单速率双色监管器能够对第 2 层流量进行速率限制,请在配置中包含policerlogical-interface-policer语句。

您可以在以下层次结构级别包括配置:

  • [edit]

  • [edit logical-systems logical-system-name]

用于将双色监管器应用于第 2 层流量的语句层次结构

要将逻辑接口监管器应用于第 2 层流量,请将语句 layer2-policer input-policer policer-namelayer2-policer output-policer policer-name 语句包含在受支持的逻辑接口中。使用 or input-policeroutput-policer 语句在第 2 层应用双色监管器。

您可以在以下层次结构级别包括配置:

  • [edit]

  • [edit logical-systems logical-system-name]

第 2 层的三色监管概述

配置第 2 层流量三色监管的准则

以下准则适用于第 2 层流量的三色监管:

  • 您只能将三色监管器应用于千兆以太网接口 (ge-) 或 10 千兆以太网接口 (xe-) 上托管的逻辑接口上的第 2 层流量。

  • 单个逻辑接口支持双向第 2 层管制。

  • 您只能将三色监管器作为逻辑接口监管器应用于第 2 层流量。您不能将双色监管器作为无状态 防火墙过滤器 操作应用于第 2 层流量。

  • 您可以通过在逻辑单元级别(而非协议级别)的接口配置中引用监管器,将三色监管器应用于第 2 层流量。

  • 您只能将颜色感知型三色监管器应用于出口方向的第 2 层流量,但可以将色盲三色监管器应用于任一方向的第 2 层流量。

有关配置第 2 层流量的双色管制的信息,请参见 第 2 层双色监管概述

用于为第 2 层流量配置三色监管器的语句层次结构

要启用单速率或双速率三色监管器来对第 2 层流量进行速率限制,请在配置中包含three-color-policerlogical-interface-policer语句。

您可以在以下层次结构级别包括配置:

  • [edit]

  • [edit logical-systems logical-system-name]

用于将三色监管器应用于第 2 层流量的语句层次结构

要将逻辑接口监管器应用于第 2 层流量,请在逻辑单元级别包含 layer2-policer 受支持的逻辑接口的语句。使用 input-three-color policer-name 语句或 output-three-color policer-name 语句指定要监管的流量的方向。

您可以在以下层次结构级别包括配置:

  • [edit]

  • [edit logical-systems logical-system-name]

示例:配置三色逻辑接口(聚合)监管器

此示例说明如何将双速率三色盲监管器配置为逻辑接口(聚合)监管器,并将监管器直接应用于支持的逻辑接口上的第 2 层输入流量。

要求

开始之前,请确保应用三色逻辑接口监管器的逻辑接口托管在 MX 系列路由器上的千兆以太网接口 (ge-) 或 10 千兆以太网接口 (xe-) 上。

概述

双速率三色监管器根据带宽限制和突发大小限制来计量流量,以实现有保证的流量,以及针对峰值流量的第二组带宽和突发大小限制。符合保证流量限制的流量归类为绿色,不符合流量分为两类:

  • 不超过峰值流量的带宽和突发大小限制的不合格流量被归类为黄色。

  • 超出峰值流量的带宽和突发大小限制的不合格流量被归类为红色。

逻辑接口监管器定义流量速率限制规则,您可以将这些规则应用于同一逻辑接口上的多个协议家族,而无需创建监管器的多个实例。

注:

您可以将逻辑接口监管器直接应用于逻辑单元级别的逻辑接口,而不是通过在无状态防火墙过滤器中引用监管器,然后将过滤器应用于协议家族级别的逻辑接口。

拓扑学

在此示例中,您将双速率三色监管器 trTCM2-cb 配置为色盲逻辑接口监管器,并将监管器应用于逻辑接口 ge-1/3/1.0上的传入第 2 层流量。

注:

使用三色监管器对第 2 层流量进行速率限制时,颜色感知型监管只能应用于出口流量。

监管器定义有保证的流量速率限制,以便符合 40 Mbps 带宽限制且流量突发限额为 100 KB 的流量(基于令牌桶公式)被归类为绿色。与任何监管流量一样,绿色流中的数据包被隐式设置为 low 丢失优先级,然后进行传输。

属于 60 Mbps 带宽限制和 200 KB 流量突增限额(基于令牌桶公式)峰值流量限制的不合格流量被归类为黄色。黄色流量流中的数据包被隐式设置为丢失优先级, medium-high 然后进行传输。

超过峰值流量限制的不合格流量被归类为红色。红色流量流中的数据包隐式设置为 high 丢失优先级。在此示例中,配置了针对红色流量 (loss-priority high then discard) 的可选监管器操作,因此红色流量流中的数据包将被丢弃而不是传输。

配置

下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 在配置模式下使用 CLI 编辑器

要配置此示例,请执行以下操作:

CLI 快速配置

要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI [edit] 中。

配置逻辑接口

分步过程

要配置逻辑接口,请执行以下操作:

  1. 启用接口配置。

  2. 配置单个标记。

  3. 配置逻辑接口 ge-1/3/1.0

  4. 配置逻辑接口 ge-1/3/1.0

结果

通过输入 show interfaces 配置模式命令来确认逻辑接口的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。

将双速率三色监管器配置为逻辑接口监管器

分步过程

要将双速率三色监管器配置为逻辑接口监管器:

  1. 启用三色监管器的配置。

  2. 指定监管器是逻辑接口(聚合)监管器。

    逻辑接口监管器根据应用监管器的逻辑接口底层物理接口的媒体速率的百分比来限制流量,监管器直接应用于接口,而不是由防火墙过滤器引用。

  3. 指定监管器为双速率和色盲。

    颜色感知型三色监管器会考虑在先前网络节点上配置的另一个流量监管器可能为数据包设置的任何着色标记,并且任何预先存在的颜色标记都用于确定数据包的适当监管操作。

    由于您将此三色监管器应用于第 2 层的输入,因此您必须将监管器配置为色盲。

  4. 指定用于对绿色流量进行分类的监管器流量限制。

  5. 指定用于对黄色或红色流量进行分类的附加监管器流量限制。

  6. (可选)为红色流量流中的数据包指定配置的监管器操作。

    在颜色感知模式下,三色监管器配置的操作可以提高数据包的丢包优先级 (PLP) 级别,但绝不能降低。例如,如果颜色感知型三色监管器计量具有中等 PLP 标记的数据包,它可以将 PLP 级别提高到高,但不能将 PLP 级别降低到低。

结果

通过输入 show firewall 配置模式命令确认三色监管器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。

将三色监管器应用于逻辑接口上的第 2 层输入

分步过程

要将三色监管器应用于逻辑接口上的第 2 层输入,请执行以下操作:

  1. 启用第 2 层逻辑接口监管器的应用。

  2. 将三色逻辑接口监管器应用于逻辑接口输入。

结果

通过输入 show interfaces 配置模式命令来确认逻辑接口的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

显示逻辑接口的流量统计数据和监管器

目的

验证通过逻辑接口的信息流,以及在逻辑接口上收到数据包时是否评估监管器。

操作

show interfaces对逻辑接口ge-1/3/1.0使用操作模式命令,并包括detailextensive选项。的 Traffic statistics 命令输出部分列出了逻辑接口上接收和传输的字节数和数据包数,该 Protocol inet 部分包含一个 Policer 字段,该字段将监管器 trTCM2-cb 列为输入或输出监管器,如下所示:

  • Input: trTCM2-cb-ge-1/3/1.0-log_int-i

  • Output: trTCM2-cb-ge-1/3/1.0-log_int-o

log_int-i后缀表示应用于输入流量的逻辑接口监管器,而log_int-o后缀表示应用于输出流量的逻辑接口监管器。在此示例中,逻辑接口监管器仅在输入方向上应用。

显示监管器的统计信息

目的

验证监管器评估的数据包数。

操作

show policer使用操作模式命令并选择性地指定监管器的名称。命令输出显示每个已配置的监管器(或指定的监管器)在每个方向上评估的数据包数。对于监管器 trTCM2-cb,输入和输出监管器名称显示如下:

  • trTCM2-cb-ge-1/3/1.0-log_int-i

  • trTCM2-cb-e-1/3/1.0-log_int-o

log_int-i后缀表示应用于输入流量的逻辑接口监管器,而log_int-o后缀表示应用于输出流量的逻辑接口监管器。在此示例中,逻辑接口监管器仅适用于输入流量。