NESTA PÁGINA
Exemplo: limitando o tráfego de entrada em sua borda de rede configurando um policial de duas cores de entrada de categoria única
Este exemplo mostra como configurar um policial de duas cores de entrada para filtrar o tráfego de entrada. O policial aplica a estratégia de classe de serviço (CoS) para tráfego em contrato e fora de contrato. Você pode aplicar um policial de duas cores de taxa única a pacotes de entrada, pacotes de saída ou ambos. Este exemplo aplica o policial como um policial de entrada (ingresso). O objetivo deste tópico é fornecer a você uma introdução ao policiamento usando um exemplo que mostra o policiamento de tráfego em ação.
Os policiais usam um conceito conhecido como balde de token para alocar recursos do sistema com base nos parâmetros definidos para o policial. Uma explicação completa do conceito de balde de token e seus algoritmos subjacentes está além do escopo deste documento. Para obter mais informações sobre o policiamento de tráfego e a CoS em geral, consulte as redes habilitadas para QOS — Ferramentas e fundações de Miguel Barreiros e Peter Lundqvist. Este livro está disponível em muitos livreiros online e em www.juniper.net/books.
Requisitos
Para verificar esse procedimento, este exemplo usa um gerador de tráfego. O gerador de tráfego pode ser baseado em hardware ou pode ser um software em execução em um servidor ou máquina de host.
A funcionalidade neste procedimento é amplamente suportada em dispositivos que executam o Junos OS. O exemplo aqui mostrado foi testado e verificado em roteadores da Série MX que executam o Junos OS Release 10.4.
Visão geral
O policiamento de duas cores de taxa única aplica uma taxa configurada de fluxo de tráfego para um nível de serviço específico aplicando ações implícitas ou configuradas ao tráfego que não está em conformidade com os limites. Quando você aplica um policial de duas cores de taxa única ao tráfego de entrada ou saída em uma interface, o policial reduz o fluxo de tráfego até o limite de taxa definido pelos seguintes componentes:
Limite de largura de banda — o número médio de bits por segundo permitido para pacotes recebidos ou transmitidos na interface. Você pode especificar o limite de largura de banda como um número absoluto de bits por segundo ou como um valor percentual de 1 a 100. Se um valor percentual for especificado, o limite de largura de banda eficaz é calculado como uma porcentagem da taxa de mídia da interface física ou da taxa de modelagem configurada pela interface lógica.
Limite de tamanho de explosão — o tamanho máximo permitido para explosões de dados. Tamanhos de explosão são medidos em bytes. Recomendamos duas fórmulas para calcular o tamanho da explosão:
Tamanho de explosão = largura de banda x tempo permitido para o tráfego estourado / 8
Ou
Tamanho de explosão = interface mtu x 10
Para obter informações sobre a configuração do tamanho da explosão, consulte Determining Proper Burst Size para Traffic Policers.
Nota:Existe um espaço de buffer finito para uma interface. Em geral, a profundidade total estimada do buffer para uma interface é de cerca de 125 ms.
Para um fluxo de tráfego que esteja em conformidade com os limites configurados (categorizados como tráfego verde), os pacotes são implicitamente marcados com um nível baixo de prioridade de perda de pacotes (PLP) e podem passar pela interface sem restrições.
Para um fluxo de tráfego que excede os limites configurados (categorizados como tráfego vermelho), os pacotes são tratados de acordo com as ações de policiamento de tráfego configuradas para o policiador. Este exemplo descarta pacotes que estouraram acima do limite de 15 KBps.
Para limitar o tráfego de Camada 3, você pode aplicar um policial de duas cores das seguintes maneiras:
Diretamente a uma interface lógica, em um nível de protocolo específico.
Como a ação de um filtro de firewall stateless padrão que é aplicado a uma interface lógica, em um nível de protocolo específico. Esta é a técnica usada neste exemplo.
Para limitar o tráfego de Camada 2, você pode aplicar um policial de duas cores apenas como um policiador de interface lógica. Você não pode aplicar um policial de duas cores ao tráfego de Camada 2 por meio de um filtro de firewall.
Você pode escolher o limite de largura de banda ou a largura de banda dentro do policial, pois eles são mutuamente exclusivos. Você não pode configurar um policial para usar a largura de banda por cento para interfaces agregadas, de túnel e de software.
Neste exemplo, o host é um gerador de tráfego emulando um webserver. Os dispositivos R1 e R2 são de propriedade de um provedor de serviços. O webserver é acessado por usuários no Device Host2. O Device Host1 enviará tráfego com uma porta HTTP TCP de origem de 80 para os usuários. Um policial de duas cores de taxa única é configurado e aplicado à interface do dispositivo R1 que se conecta ao Dispositivo Host1. O policial aplica a disponibilidade de largura de banda contratual feita entre o proprietário do webserver e o provedor de serviços que possui o Dispositivo R1 para o tráfego web que flui pelo link que conecta o Dispositivo Host1 ao Dispositivo R1.
De acordo com a disponibilidade contratual de largura de banda feita entre o proprietário do webserver e o provedor de serviços que possui dispositivos R1 e R2, o policial limitará o tráfego de porta HTTP 80 originário do Device Host1 ao uso de 700 Mbps (70 por cento) da largura de banda disponível com uma taxa de explosão permitido de 10 x o tamanho MTU da interface Ethernet gigabit entre o host do dispositivo Host1 e o dispositivo R1.
Em um cenário real, você provavelmente também limitaria o tráfego para uma variedade de outras portas, como FTP, SFTP, SSH, TELNET, SMTP, IMAP e POP3, porque muitas vezes são incluídas como serviços adicionais com serviços de hospedagem web.
Você precisa deixar alguma largura de banda adicional disponível que não seja limitada para protocolos de controle de rede, como protocolos de roteamento, DNS e quaisquer outros protocolos necessários para manter a conectividade da rede operacional. É por isso que o filtro de firewall tem uma condição de aceitação final.
Topologia
Este exemplo usa a topologia na Figura 1.
A Figura 2 mostra o comportamento do policiamento.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere os detalhes necessários para combinar com a configuração de sua rede e, em seguida, copie e cole os comandos na CLI no nível de [edit] hierarquia.
Dispositivo R1
set interfaces ge-2/0/5 description to-Host set interfaces ge-2/0/5 unit 0 family inet address 172.16.70.2/30 set interfaces ge-2/0/5 unit 0 family inet filter input mf-classifier set interfaces ge-2/0/8 description to-R2 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.1/30 set interfaces lo0 unit 0 description looback-interface set interfaces lo0 unit 0 family inet address 192.168.13.1/32 set firewall policer discard if-exceeding bandwidth-limit 700m set firewall policer discard if-exceeding burst-size-limit 15k set firewall policer discard then discard set firewall family inet filter mf-classifier term t1 from protocol tcp set firewall family inet filter mf-classifier term t1 from port 80 set firewall family inet filter mf-classifier term t1 then policer discard set firewall family inet filter mf-classifier term t2 then accept set protocols ospf area 0.0.0.0 interface ge-2/0/5.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Dispositivo R2
set interfaces ge-2/0/8 description to-R1 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.2/30 set interfaces ge-2/0/7 description to-Host set interfaces ge-2/0/7 unit 0 family inet address 172.16.80.2/30 set interfaces lo0 unit 0 description looback-interface set interfaces lo0 unit 0 family inet address 192.168.14.1/32 set protocols ospf area 0.0.0.0 interface ge-2/0/7.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte o uso do editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar o dispositivo R1:
Configure as interfaces do dispositivo.
[edit interfaces] user@R1# set ge-2/0/5 description to-Host user@R1# set ge-2/0/5 unit 0 family inet address 172.16.70.2/30 user@R1# set ge-2/0/8 description to-R2 user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.1/30 user@R1# set lo0 unit 0 description looback-interface user@R1# set lo0 unit 0 family inet address 192.168.13.1/32
Aplique o filtro de firewall para interface ge-2/0/5 como um filtro de entrada.
[edit interfaces ge-2/0/5 unit 0 family inet] user@R1# set filter input mf-classifier
Configure o policial para limitar a taxa a uma largura de banda de 700 Mbps e um tamanho de explosão de 15000 KBps para tráfego HTTP (porta TCP 80).
[edit firewall policer discard] user@R1# set if-exceeding bandwidth-limit 700m user@R1# set if-exceeding burst-size-limit 15k
Configure o policial para descartar pacotes no fluxo de tráfego vermelho.
[edit firewall policer discard] user@R1# set then discard
Configure as duas condições do firewall para aceitar todo o tráfego TCP até a porta HTTP (porta 80).
[edit firewall family inet filter mf-classifier] user@R1# set term t1 from protocol tcp user@R1# set term t1 from port 80
Configure a ação do firewall para limitar o tráfego HTTP TCP usando o policial.
[edit firewall family inet filter mf-classifier] user@R1# set term t1 then policer discard
Ao final do filtro de firewall, configure uma ação padrão que aceita todo o tráfego.
Caso contrário, todo o tráfego que chega na interface e não é explicitamente aceito pelo firewall é descartado.
[edit firewall family inet filter mf-classifier] user@R1# set term t2 then accept
Configure OSPF.
[edit protocols ospf] user@R1# set area 0.0.0.0 interface ge-2/0/5.0 passive user@R1# set area 0.0.0.0 interface lo0.0 passive user@R1# set area 0.0.0.0 interface ge-2/0/8.0
Procedimento passo a passo
Para configurar o dispositivo R2:
Configure as interfaces do dispositivo.
[edit interfaces] user@R1# set ge-2/0/8 description to-R1 user@R1# set ge-2/0/7 description to-Host user@R1# set lo0 unit 0 description looback-interface user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.2/30 user@R1# set ge-2/0/7 unit 0 family inet address 172.16.80.2/30 user@R1# set lo0 unit 0 family inet address 192.168.14.1/32
Configure OSPF.
[edit protocols ospf] user@R1# set area 0.0.0.0 interface ge-2/0/7.0 passive user@R1# set area 0.0.0.0 interface lo0.0 passive user@R1# set area 0.0.0.0 interface ge-2/0/8.0
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show interfaces e show firewallshow protocols ospf nos comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@R1# show interfaces
ge-2/0/5 {
description to-Host;
unit 0 {
family inet {
filter {
input mf-classifier;
}
address 172.16.70.2/30;
}
}
}
ge-2/0/8 {
description to-R2;
unit 0 {
family inet {
address 10.50.0.1/30;
}
}
}
lo0 {
unit 0 {
description looback-interface;
family inet {
address 192.168.13.1/32;
}
}
}
user@R1# show firewall
family inet {
filter mf-classifier {
term t1 {
from {
protocol tcp;
port 80;
}
then policer discard;
}
term t2 {
then accept;
}
}
}
policer discard {
if-exceeding {
bandwidth-limit 700m;
burst-size-limit 15k;
}
then discard;
}
user@R1# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/5.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-2/0/8.0;
}
Se você terminar de configurar o dispositivo R1, entre no commit modo de configuração.
user@R2# show interfaces
ge-2/0/7 {
description to-Host;
unit 0 {
family inet {
address 172.16.80.2/30;
}
}
}
ge-2/0/8 {
description to-R1;
unit 0 {
family inet {
address 10.50.0.2/30;
}
}
}
lo0 {
unit 0 {
description looback-interface;
family inet {
address 192.168.14.1/32;
}
}
}
user@R2# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/7.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-2/0/8.0;
}
Se você terminar de configurar o dispositivo R2, entre no commit modo de configuração.
Verificação
Confirme que a configuração está funcionando corretamente.
Limpar os contadores
Propósito
Confirme que os contadores de firewall estão liberados.
Ação
No dispositivo R1, execute o clear firewall all comando para redefinir os contadores de firewall para 0.
user@R1> clear firewall all
Enviar tráfego de TCP para a rede e monitorar os descartes
Propósito
Certifique-se de que o tráfego de juros enviado seja limitado por taxa na interface de entrada (ge-2/0/5).
Ação
Use um gerador de tráfego para enviar 10 pacotes TCP com uma porta de origem de 80.
A bandeira da s define a porta de origem. A bandeira -k faz com que a porta de origem permaneça estável em 80, em vez de aumentar. A bandeira -c define o número de pacotes para 10. A bandeira -d define o tamanho do pacote.
O endereço IP de destino de 172.16.80.1 pertence ao Dispositivo Host 2 que está conectado ao dispositivo R2. O usuário do Device Host 2 solicitou uma página web do Device Host 1 (o webserver emulado pelo gerador de tráfego no Device Host 1). Os pacotes que são limitados por taxa são enviados do Device Host 1 em resposta à solicitação do Host do Dispositivo 2.
Nota:Neste exemplo, os números dos policiais são reduzidos a um limite de largura de banda de 8 Kbps e um limite de tamanho de explosão de 1500 KBps para garantir que alguns pacotes sejam descartados durante este teste.
[root@host]# hping 172.16.80.1 -c 10 -s 80 -k -d 300 [User@Host]# hping 172.16.80.1 -c 10 -s 80 -k -d 350 HPING 172.16.80.1 (eth1 172.16.80.1): NO FLAGS are set, 40 headers + 350 data bytes len=46 ip=172.16.80.1 ttl=62 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=0.5 ms . . . --- 172.16.80.1 hping statistic --- 10 packets transmitted, 6 packets received, 40% packet loss round-trip min/avg/max = 0.5/3000.8/7001.3 ms
No dispositivo R1, verifique os contadores de firewall usando o
show firewallcomando.user@R1> show firewall User@R1# run show firewall Filter: __default_bpdu_filter__ Filter: mf-classifier Policers: Name Bytes Packets discard-t1 1560 4
Significado
Nas Etapas 1 e 2, a saída de ambos os dispositivos mostra que 4 pacotes foram descartados Isso significa que havia pelo menos 8 Kbps de tráfego verde (porta HTTP em contrato 80) e que a opção de explosão de 1500 KBps para tráfego de HTTP fora de contrato 80 foi excedida.