聚合以太网 (AE) 捆绑包上的速率限制监管器

网络工程 IPv4 杜松 杜松-朱诺斯 瞻博网络
2022-02-22 09:25:06

我在瞻博网络 MX 平台上面临有关防火墙策略的问题。我们有捆绑链路(AE Link),由 2 x 10G 链路组成,P2P IP 在其上配置为客户访问互联网。现在客户希望双向限制为 4 Mbps。使用 Juniper 计算突发大小的方法(即 10G 链路为 625K)不会简单地工作。

有人可以讨论和分享如何在聚合接口上应用速率限制(防火墙策略)的配置吗?我什至浏览了瞻博网络论坛,但似乎还没有结束

https://forums.juniper.net/t5/Routing/How-to-rate-limit-ipv4-and-ipv6-family-on-a-AE-bundle-logical/td-p/324098

配置如下:-

USER@R1> show configuration interfaces ae17.888 
vlan-id 888;
family inet {
    policer {
        input pol-4m;
        output pol-4m;
    }
    address x.x.x.x/31;

USER@R1> show configuration firewall policer pol-4m 
if-exceeding {
    bandwidth-limit 4m;
    burst-size-limit 625k;
}
then discard;
}

USER@R1> show lacp interfaces ae17 
Aggregated interface: ae17
    LACP state:       Role   Exp   Def  Dist  Col  Syn  Aggr  Timeout  Activity
      xe-7/0/0       Actor    No    No   Yes  Yes  Yes   Yes     Fast    Active
      xe-7/0/0     Partner    No    No   Yes  Yes  Yes   Yes     Fast    Active
      xe-7/1/0       Actor    No    No   Yes  Yes  Yes   Yes     Fast    Active
      xe-7/1/0     Partner    No    No   Yes  Yes  Yes   Yes     Fast    Active
    LACP protocol:        Receive State  Transmit State          Mux State 
      xe-7/0/0                  Current   Fast periodic Collecting distributing
      xe-7/1/0                  Current   Fast periodic Collecting distributing

谢谢

1个回答

JunOS 将根据该接口在 AE 中的百分比,将您的监管器划分为每个物理接口的多个监管器。在您的示例中,您有两个接口,因此每个接口都会为您配置的速率的 50% 获得一个监管器。总之,即使应用于 AE,您的监管器也会产生预期的效果。

但是,如果您的链接位于不同的 PFE 上,则需要在监管器中配置一个附加选项:shared-bandwidth-policer

试试这样:

set firewall policer pol-4m shared-bandwidth-policer

Juniper KB31589 对此进行了解释。

标准监管器以每个 PFE 的配置速率限制流量。对于跨越多个 FPC 的 AE 捆绑包,用户的总速率可能会超过配置的速率(取决于所涉及的 PFE 数量)。例如,在具有成员链路 ge-0/0/0 和 ge-1/0/0 的 AE 接口上配置了带宽限制为 40mbps 和突发大小为 40Kbytes 的监管器。当监管器应用于 AE 接口时,这将导致总带宽为 80Mbps,因为为两个 PFE 配置了监管器。

[...]

“共享带宽监管器”功能的目的是通过增强 PFE 上监管器的实施来匹配可用于聚合捆绑的有效带宽/突发大小。该实现将通过从属于给定 PFE 复合体的成员链路数量得出的因子静态划分 PFE 复合体之间的带宽和突发大小。

请注意,一个线路卡 (FPC) 上可以有多个PFE。因此,当所有端口都在同一个线路卡上时,您可能还需要此旋钮。无论如何使用它并没有什么坏处。

其它你可能感兴趣的问题
上一篇为什么我们不为 DHCP 使用数字签名? 下一篇HP ProCurve 2520G 交换机不接受 HP 收发器 SFP