Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entendendo o uso de policiais em filtros de firewall

O policiamento, ou limitação de taxa, é um componente importante dos filtros de firewall que permite controlar a quantidade de tráfego que entra em uma interface nos switches de ethernet da Série EX da Juniper Networks. Você pode alcançar o policiamento incluindo policiais em configurações de filtro de firewall .

Visão geral dos policiais

Você pode usar policiais para especificar limites de taxa no tráfego. Um filtro de firewall configurado com um policiador permite tráfego apenas dentro de um conjunto especificado de limites de taxa, fornecendo assim proteção contra ataques de negação de serviço (DoS). O tráfego que excede os limites de taxa especificados pelo policiador é descartado imediatamente ou é marcado como prioridade menor do que o tráfego que está dentro dos limites de taxa. O switch descarta o tráfego de menor prioridade quando há congestionamento de tráfego.

Um policial aplica dois tipos de limites de taxa no tráfego:

  • Largura de banda — o número de bits por segundo permitido, em média.

  • Tamanho máximo de explosão — o tamanho máximo permitido para rajadas de dados que excedem o limite de largura de banda determinado.

O policiamento usa um algoritmo para aplicar um limite na largura de banda média, ao mesmo tempo em que permite rajadas de até um valor máximo especificado. Você pode definir classes específicas de tráfego em uma interface e aplicar um conjunto de limites de taxa a cada classe. Depois de nomear e configurar um policial, ele é armazenado como um modelo. Em seguida, você pode usar o policiador em uma configuração de filtro de firewall.

Em todos os switches da Série EX, exceto nos switches de ethernet EX8200 da Juniper Networks, cada policial que você configura inclui um contador implícito que conta o número de pacotes que excedem o limite de taxa especificado para o policiador. Cada switch EX8200 contém três contadores de gerenciamento globais. Você deve atribuir policiais de entrada a esses contadores de gerenciamento global para obter estatísticas de policiais. Você pode atribuir qualquer número de policiais de entrada a cada balcão de gerenciamento global. As estatísticas dos policiais para cada contador de gerenciamento global são o agregado das estatísticas do policial para todos os policiais associados a esse contador de gerenciamento global.

Para obter contagens de pacotes específicas de filtro, você deve configurar um policiador diferente para cada filtro de firewall. Os policiais dão contagens específicas de prazo por padrão.

Tipos de policiais

Os switches oferecem suporte a três tipos de policiais:

  • Uma taxa única de duas cores — um policial de duas cores (às vezes chamado simplesmente de "policiador") metros do fluxo de tráfego e classifica os pacotes em duas categorias de prioridade de perda de pacotes (PLP), de acordo com um limite configurado de largura de banda e tamanho de explosão. Você pode marcar pacotes que excedem a largura de banda e o limite de tamanho de explosão ou simplesmente descartá-los. Um policiador de duas cores é mais útil para medir o tráfego no nível da porta (interface física).

  • Três cores de taxa única — esse tipo de policiador é definido em RFC 2697, um marcador de cores de taxa única três, como parte de um sistema de classificação de encaminhamento (AF) por hop-behavior (PHB) garantido para um ambiente de serviços diferenciados (DiffServ). Esse tipo de policiador metros de tráfego com base na taxa de informações comprometidas configuradas (CIR), tamanho de explosão cometido (CBS) e o tamanho de explosão em excesso (EBS). O tráfego é marcado como pertencente a uma das três categorias (verde, amarelo ou vermelho) com base em se os pacotes estão chegando a taxas que estão abaixo do CBS (verde), excedem o CBS, mas não o EBS (amarelo) ou excedem o EBS (vermelho). Um policiador de três cores de taxa única é mais útil quando um serviço é estruturado de acordo com o tamanho do pacote e não de acordo com a taxa de chegada máxima.

  • Três cores de duas categorias — esse tipo de policiador é definido no RFC 2698, um marcador de cores de duas taxas três, como parte de um sistema de classificação de encaminhamento por hop-behavior (PHB) garantido para um ambiente de serviços diferenciados (DiffServ). Esse tipo de policiador medidora o tráfego com base na CIR configurada e na taxa de informação de pico (PIR), juntamente com seus tamanhos de explosão associados; a CBS, e o tamanho máximo de explosão (PBS). O tráfego é marcado como pertencente a uma das três categorias (verde, amarelo ou vermelho) com base em pacotes que estão chegando a taxas que estão abaixo do CIR (verde), excedem o CIR, mas não o PIR (amarelo), ou excedem o PIR (vermelho). Um policiador de três cores de duas categorias é mais útil quando um serviço é estruturado de acordo com as taxas de chegada e não com o tamanho do pacote.

Ações de policiais

As ações do policial podem ser implícitas ou explícitas e variam de acordo com o tipo de policial. O termo implícito significa que o Junos OS atribui automaticamente um valor de prioridade de perda; significa explicitamente que você configura a ação. lista ações de policiais.Tabela 1

Tabela 1: Ações de policiais

Policial

Marcação

Ação implícita

Ação configurável

Duas cores de taxa única

Verde (Em conformidade)

Atribuir prioridade de baixa perda

Nenhum

Vermelho (sem conformidade)

Nenhum

Atribua prioridade de baixa ou alta perda, atribua uma classe de encaminhamento ou descarte

Amarelo

Não suportado

Não suportado

Três cores de taxa única

Verde (Em conformidade)

Atribuir prioridade de baixa perda

Nenhum

Vermelho (acima do EBS)

Atribua prioridade de alta perda

Descartar

Amarelo (excede o CBS, mas não o EBS)

Atribua prioridade de alta perda

Nota:

Não é compatível com switches EX8200

Nenhum

Nota:

Não é compatível com switches EX8200

Três cores de duas categorias

Verde (Em conformidade)

Atribuir prioridade de baixa perda

Nenhum

Vermelho (acima do PIR)

Atribua prioridade de alta perda

Descartar

Amarelo (Excede o CIR, mas não o PIR)

Atribua prioridade de alta perda

Nota:

Não é compatível com switches EX8200

Nenhum

Nota:

Não é compatível com switches EX8200

Nota:

Você não pode aplicar um policial com uma ação de um filtro de firewall de saída.forwarding-class

Nota:

Começando com o Junos OS Release 17.1, em switches EX4300, você pode configurar a ação do policiador para ser, ou .loss-prioritylowmedium-lowmedium-highhigh

Níveis de policiamento

Você pode configurar policiais no nível de fila, nível de interface lógica ou nível de Camada 2 (MAC). Apenas um único policial é aplicado a um pacote na fila de saída. A busca por policiais ocorre nesta ordem:

  • Nível de fila

  • Nível de interface lógica

  • Nível de Camada 2 (MAC)

Modos coloridos

Os policiais de marcação tricolor (TCM) não estão vinculados a uma convenção de coloração verde-amarelo-vermelho. Os pacotes são marcados com configurações de bits PLP baixos ou altos com base na cor. Portanto, ambos os tipos de policiador de três cores (de taxa única e duas taxas) ampliam a funcionalidade do policiamento de tráfego de classe de serviço (CoS), fornecendo três níveis de precedência de queda (prioridade de perda) em vez dos dois normalmente disponíveis em policiais. Ambos os tipos de policiador de três cores e de taxa única e de duas categorias podem operar em dois modos:

  • Color-blind — No modo color-blind, o policiador de três cores opera sem referência a se os pacotes analisados foram previamente marcados ou medidos. Em outras palavras, o policial de três cores é cego para qualquer coloração anterior que um pacote poderia ter tido.

  • Reconhecimento de cores — No modo de reconhecimento de cores, o policiador de três cores opera com referência a qualquer marcação ou medição anterior dos pacotes analisados. Em outras palavras, o policial de três cores está ciente da coloração anterior que um pacote poderia ter tido. No modo de reconhecimento de cores, o policiador de três cores pode aumentar o PLP de um pacote, mas nunca pode diminuí-lo. Por exemplo, se um policial de três cores com reconhecimento de cor metros de um pacote com uma marcação PLP baixa, ele pode elevar o nível de PLP para alto. Mas não pode reduzir um alto nível de PLP para baixo.

Convenções de nomeação para policiais

Recomendamos que você use a convenção de nomenclatura ao configurar policiais de três cores.rate-TCMnumber-colortype TCM significa marcação tricolor. Como os policiais podem ser numerosos e devem ser aplicados corretamente para trabalhar, observar uma simples convenção de nomenclatura torna mais fácil aplicar os policiais corretamente.

Por exemplo, se você configurar um policial de taxa única, de três cores e com reconhecimento de cores, diga-se srTCM1-ca. Se você configurar um policial de duas categorias, de três cores e de cores cegas, diga-lhe o nome trTCM2-cb.

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
17.1
Começando com o Junos OS Release 17.1, em switches EX4300, você pode configurar a ação do policiador para ser, ou .loss-prioritylowmedium-lowmedium-highhigh