Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entender o uso de policiais em filtros de firewall

O policiamento ou limitação de taxas é um componente importante dos filtros de firewall que permite que você controle a quantidade de tráfego que entra em uma interface na Juniper Networks série EX Switches de ethernet. Você pode obter o policiamento incluindo policiais em configurações de filtro de firewall.

Visão geral dos policiais

Você pode usar os agentes de segurança para especificar limites de taxa de tráfego. Um filtro de firewall configurado com um policial permite apenas tráfego dentro de um conjunto de limites de taxa especificado, oferecendo assim proteção contra ataques negação de serviço (DoS). O tráfego que exceder os limites de taxa especificados pelo policial é descartado imediatamente ou é indicado como uma prioridade inferior do que o tráfego dentro dos limites de taxa. O switch descarta o tráfego de menor prioridade quando há congestionamento de tráfego.

Um policial aplica dois tipos de limites de taxa no tráfego:

  • Largura de banda — o número de bits por segundo permitido, em média.

  • Tamanho máximo de ruptura — O tamanho máximo permitido para rajadas de dados que excederam o limite de largura de banda determinado.

O policiamento usa um algoritmo para aplicar um limite na largura de banda média, permitindo rajadas de até um valor máximo especificado. Você pode definir classes de tráfego específicas em uma interface e aplicar um conjunto de limites de taxa a cada classe. Depois de nomeá-lo e configurar um policial, ele será armazenado como um modelo. Em seguida, você pode usar o policial em uma configuração de filtro de firewall.

Em todos os switches da Série EX, exceto Juniper Networks EX8200 Switches de ethernet, cada policial que você configura inclui um contador implícito que conta o número de pacotes que excedem o limite de taxa especificado para o policial. Cada EX8200 switch contém três contadores de gerenciamento global. Você deve designar agentes de polícia de ingresso nesses contadores de gerenciamento global para obter estatísticas de polícia. Você pode designar qualquer número de policiais de entrada a cada contador de gerenciamento global. As estatísticas de polícia de cada contador de gerenciamento global são o agregado das estatísticas de polícia para todos os policiais associados a esse contador de gerenciamento global.

Para obter contagens de pacotes específicas de filtro, você deve configurar um policial diferente para cada filtro de firewall. Por padrão, os policiais dão contagens específicas por prazo.

Tipos de polícia

Os switches são de suporte para três tipos de policiais:

  • Duas cores de taxa única — Um policial de duas cores (às vezes chamado de "políciador") medem o fluxo de tráfego e classificam os pacotes em duas categorias de prioridade de perda de pacote (PLP) de acordo com uma largura de banda configurada e limite de tamanho estourado. Você pode marcar pacotes que superam a largura de banda e o limite de tamanho estouro ou simplesmente os descartam. Um policial de duas cores é mais útil para medição do tráfego no nível da porta (interface física).

  • Três cores de taxa única — Esse tipo de policial é definido em RFC 2697, UmMarcador de Cores de Três Taxas Simples, como parte de um sistema de classificação de encaminhamento garantido (AF) por comportamento de hop (PHB) para um ambiente de serviços diferenciados (DiffServ). Esse tipo de tráfego de medição de policiais com base na taxa de informações comprometidas configurada (CIR), no tamanho do estouro comprometido (CBS) e no tamanho do estouro em excesso (EBS). O tráfego é marcado como pertencente a uma de três categorias (verde, amarelo ou vermelho) com base em saber se os pacotes estão chegando a taxas abaixo do CBS (verde), exceder o CBS, mas não o EBS (amarelo) ou exceder o EBS (vermelho). Um policial de três cores de taxa única é mais útil quando um serviço é estruturado de acordo com o tamanho do pacote e não de acordo com a taxa de chegada máxima.

  • Esse tipo de policial de duas taxas é definido em RFC 2698, UmMarcador de Cores de Três Taxas Dois, como parte de um sistema de classificação de encaminhamento garantido (AF) por comportamento de hop (PHB) para um ambiente de serviços diferenciados (DiffServ). Esse tipo de tráfego de taxímetros com base na CIR configurada e na taxa de informações de pico (PIR), junto com seus tamanhos de ruptura associados; a CBS e o tamanho máximo de ruptura (PBS). O tráfego é marcado como pertencente a uma de três categorias (verde, amarelo ou vermelho) com base em pacotes chegando a taxas abaixo da CIR (verde), exceder a CIR mas não o PIR (amarelo) ou exceder o PIR (vermelho). Um policial de três cores de duas taxas é mais útil quando um serviço é estruturado de acordo com as taxas de chegada e não com o tamanho do pacote.

Ações de polícia

As ações de polícia podem ser implícitas ou explícitas e variar de acordo com o tipo de polícia. O termo implicito significa que o Junos OS atribue um valor de prioridade de perda automaticamente; significa que você configura a ação. Tabela 1 lista ações de polícia.

Tabela 1: Ações de polícia

Policer

Marcação

Ação implícita

Ação configurável

Duas cores de taxa única

Verde (conforme)

Atribua prioridade de perda baixa

Nenhum

Vermelho (não conformidade)

Nenhum

Atribua prioridade de baixa ou alta perda, atribua uma classe de encaminhamento ou descarte

Amarelo

Sem suporte

Sem suporte

Três cores de taxa única

Verde (conforme)

Atribua prioridade de perda baixa

Nenhum

Vermelho (acima do EBS)

Atribua alta prioridade de perda

Descartar

Amarelo (ultrapassa o CBS, mas não o EBS)

Atribua alta prioridade de perda

Nota:

Não é suportado em switches EX8200 de segurança

Nenhum

Nota:

Não é suportado em switches EX8200 de segurança

Três cores de duas taxas

Verde (conforme)

Atribua prioridade de perda baixa

Nenhum

Vermelho (acima do PIR)

Atribua alta prioridade de perda

Descartar

Amarelo (ultrapassa a CIR, mas não o PIR)

Atribua alta prioridade de perda

Nota:

Não é suportado em switches EX8200 de segurança

Nenhum

Nota:

Não é suportado em switches EX8200 de segurança

Nota:

Você não pode aplicar um policial com uma ação de a forwarding-class um filtro de firewall de saída.

Nota:

A começar pelo Junos OS Release 17.1, no EX4300 switches, você pode configurar a ação do policial como loss-prioritylowmedium-low sendo, medium-high ou high .

Níveis de policer

Você pode configurar os policiais no nível da fila, no nível da interface lógica ou no nível de Camada 2 (MAC). Apenas um único policial é aplicado a um pacote na fila de saída. A busca por policiais ocorre nesta ordem:

  • Nível de fila

  • Nível de interface lógica

  • Nível de Camada 2 (MAC)

Modos de cores

Os agentes de marcação tricolor (TCM) não estão vinculados a uma convenção de coloração verde-amarelo-vermelha. Os pacotes são marcados com configurações de bit PLP baixa ou alta com base na cor. Portanto, ambos os tipos de polícia de três cores (de taxa única e de duas taxas) ampliam a funcionalidade do controle de tráfego de classe de serviço (CoS) fornecendo três níveis de precedência de drop (prioridade de perda) em vez dos dois normalmente disponíveis nos policiais. Os tipos de polícia de três cores e de duas taxas podem operar em dois modos:

  • Color-blind — No modo color-blind, o policial de três cores opera sem referência a se os pacotes investigados foram previamente marcados ou monitorados. Em outras palavras, o policial de três cores é cego para qualquer coloração anterior que um pacote possa ter tido.

  • Consciência de cores — No modo de conscientização de cores, o polícial de três cores opera com referência a qualquer marcação ou medição anteriores dos pacotes investigados. Em outras palavras, o policial de três cores sabe da coloração anterior que um pacote poderia ter. No modo de conscientização de cores, o policial de três cores pode aumentar o PLP de um pacote, mas nunca pode reduzi-lo. Por exemplo, se um policial de três cores reconhecedor de cores metros um pacote com uma marcação PLP baixa, ele pode elevar o nível do PLP para um nível alto. Mas não pode reduzir um alto nível de PLP a um nível baixo.

Noming Conventions for Policers

Recomendamos que você use o nomeada taxa de convenção-TCMnumber-colortype ao configurar os policiais de três cores. TCM significa marcação tricolor. Como os policiais podem ser inúmeros e devem ser aplicados corretamente ao trabalho, observar uma simples convenção de nomeação facilita a aplicação adequada dos agentes de polícia.

Por exemplo, se você configurar um policial de uma única taxa, de três cores e consciente de cores, nomeia-o srTCM1-ca. Se você configurar um policial de duas taxas, três cores e cego de cores, nomeia-o trTCM2-cb.

Tabela de histórico de liberação
Versão
Descrição
17.1
A começar pelo Junos OS Release 17.1, no EX4300 switches, você pode configurar a ação do policial como loss-prioritylowmedium-low sendo, medium-high ou high .