Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Controle do acesso à rede usando visão geral do policiamento de tráfego

Gerenciamento de congestionamento para fluxos de tráfego IP

O policiamento de tráfego, também conhecido como limitação de taxas,é um componente essencial da segurança de acesso à rede que foi projetado para impedir ataques negação de serviço (DoS). O policiamento de tráfego permite controlar a taxa máxima de tráfego IP enviado ou recebido em uma interface e também particionar o tráfego da rede em vários níveis de prioridade, também conhecidos como classes de serviço. Um policial define um conjunto de limites de taxa de tráfego e define consequências para o tráfego que não está em conformidade com os limites configurados. Pacotes em um fluxo de tráfego que não esteja em conformidade com os limites de tráfego são descartados ou marcados com uma classe de encaminhamento diferente ou nível de prioridade de perda de pacotes (PLP).

Com exceção de policiais configurados para limitar a taxa de tráfego agregado (todas as famílias de protocolo e interfaces lógicas configuradas em uma interface física), você pode aplicar um policial a todos os pacotes IP em um fluxo de tráfego de Camada 2 ou Camada 3 em uma interface lógica.

Com exceção de policiais configurados para limitar a taxa com base na taxa de mídia da interface física, você pode aplicar um policial a pacotes IP específicos em um fluxo de tráfego de Camada 3 em uma interface lógica usando um filtro de firewallsem estado.

Você pode aplicar um policial ao tráfego de interface de entrada ou saída. Os agentes de segurança aplicados ao tráfego de entrada ajudam a economizar recursos ao soltar tráfego que não precisa ser roteado por uma rede. Derrubar tráfego de entrada também ajuda a impedir ataques negação de serviço (DoS). Os policiais aplicaram ao controle de tráfego de saída a largura de banda usada.

Nota:

Os agentes de trânsito são instaurou uma ação por PIC. O policiamento de tráfego não funciona quando o tráfego para uma função de decisão de política local (L-PDF) é distribuído em vários PICs multisserviços em um grupo AMS.

Limites de tráfego

Os policiais do Junos OS usam um algoritmo token bucket para aplicar um limite em uma taxa média de transmissão ou recebimento de tráfego em uma interface, permitindo rajadas de tráfego de até um valor máximo com base no limite de largura de banda configurado e no tamanho do estouro configurado. O algoritmo token bucket oferece mais flexibilidade do que um algoritmo de balde com vazamento, na medida em que você pode permitir uma explosão de tráfego especificada antes de começar a descartar pacotes ou aplicar uma multa, como prioridade de enroscar a saída do pacote ou priorizar a entrega de pacotes.

No modelo token-bucket, o balde representa a função limitante de taxa do policial. Os tokens são adicionados ao balde em uma taxa fixa, mas, uma vez atingido a profundidade especificada do balde, os tokens alocados depois não podem ser armazenados e usados. Cada token representa um "crédito" para alguns bits, e os tokens no balde são "cashed in" para a capacidade de transmitir ou receber tráfego na interface. Quando há tokens suficientes no balde, um fluxo de tráfego continua irrestrito. Caso contrário, os pacotes podem ser descartados ou remarcados com uma classe de encaminhamento inferior, um nível mais alto de perda de pacotes (PLP) ou ambos.

  • A taxa com que os tokens são adicionados ao balde representa a taxa de transmissão ou recebimento mais alta em bits por segundo permitida para um determinado nível de serviço. Você especifica essa taxa de tráfego mais alta média como o limite de largura de banda do policial. Se a taxa de chegada do tráfego (ou bits fixos por segundo) for tão alta que em algum ponto os tokens insuficientes estão presentes no balde, o fluxo de tráfego não está mais conforme com o limite de tráfego. Durante períodos de tráfego relativamente baixo (tráfego que chega ou sai da interface a taxas médias abaixo da taxa de chegada do token), os tokens nãousados se acumulam no balde.

  • A profundidade do balde em bytes controla a quantidade permitida de estouro de trás para trás. Você especifica esse fator como o limite de tamanho do policial. Esse segundo limite afeta a taxa média de transmissão ou recebimento limitando o número de bytes permitidos em uma explosão de transmissão por um determinado intervalo de tempo. Rajadas que superam o limite atual de tamanho de ruptura são lançadas até que haja tokens suficientes disponíveis para permitir que a explosão prossiga.

    Figura 1: Tráfego de rede e taxas de rupturaTráfego de rede e taxas de ruptura

    Como mostrado na figura acima, um código de barras UPC é uma boa ideia de como o tráfego é parecido na linha; uma interface está transmitindo (explodindo a taxa total) ou não. As linhas pretas representam períodos de transmissão de dados e o espaço branco representa períodos de silêncio quando o balde de símbolos pode ser reposto.

Dependendo do tipo de policial usado, pacotes em um fluxo de tráfego policial que supere os limites definidos podem ser definidos implicitamente para um nível PLP mais alto, atribuídos a uma classe de encaminhamento configurada ou definidos em um nível de PLP configurado (ou ambos) ou simplesmente descartados. Caso os pacotes se deparem com congestionamento downstream, os pacotes com nível de PLP têm menos probabilidade de serem descartados do que aqueles com nível lowmedium-low de , ou medium-highhigh PLP.

Marcação de cores do tráfego

Com base no conjunto específico de limites de tráfego configurados, um policial identifica um fluxo de tráfego como pertencente a uma de duas ou três categorias que são semelhantes às cores de um semáforo usado para controlar o tráfego de carros.

  • Duas cores de taxa única Um policial de marcação de duas cores (ou "policial" quando usado sem qualificação) medem o fluxo de tráfego e classificam os pacotes em duas categorias de prioridade de perda de pacote (PLP) de acordo com uma largura de banda configurada e limite de tamanho estouro. Você pode marcar pacotes que superam a largura de banda e o limite de tamanho estouro de alguma forma ou simplesmente os descartam.

    Um policial é mais útil para medição do tráfego em nível de porta (interface física).

  • Três cores de taxa única Esse tipo de policial é definido em RFC 2697, UmMarcador de Cores de Três Taxas Simples, como parte de um sistema de classificação de encaminhamento garantido (AF) por comportamento de hop (PHB) para um ambiente de serviços diferenciados (DiffServ). Esse tipo de tráfego de medição de policiais com base na taxa de informações comprometidas configurada (CIR), no tamanho do estouro comprometido (CBS) e no tamanho do estouro em excesso (EBS). O tráfego é marcado como pertencente a uma de três categorias (verde, amarelo ou vermelho) com base em saber se os pacotes que chegam estão abaixo do CBS (verde), exceder o CBS (amarelo) mas não o EBS ou exceder o EBS (vermelho).

    Um policial de três cores de taxa única é mais útil quando um serviço é estruturado de acordo com o comprimento do pacote e não a taxa de chegada máxima.

  • Três cores de duas taxas Esse tipo de policial é definido em RFC 2698, A Two Rate Three Color Marker, como parte de um sistema de classificação de encaminhamento garantido (AF) por comportamento de hop (PHB) para um ambiente de serviços diferenciados (DiffServ). Esse tipo de tráfego de metros de polícia com base na CIR configurada e na taxa de informações de pico (PIR), junto com seus tamanhos de ruptura associados, o CBS e o tamanho do pico de ruptura (PBS). O tráfego é marcado como pertencente a uma de três categorias (verde, amarelo ou vermelho) com base nos pacotes que chegam abaixo da CIR (verde), exceder a CIR (amarela) mas não o PIR ou exceder o PIR (vermelho).

    Um policial de três cores de duas taxas é mais útil quando um serviço é estruturado de acordo com as taxas de chegada e não necessariamente o comprimento do pacote.

As ações de polícia são implícitas ou explícitas e variam de acordo com o tipo de policial. O termo Implicit significa que o Junos atribua a prioridade de perda automaticamente. Tabela 1 descreve as ações do policial.

Tabela 1: Ações de polícia

Policer

Marcação

Ação implícita

Ação configurável

Duas cores de taxa única

Verde (conforme)

Atribua prioridade de perda baixa

Nenhum

Vermelho (não conformidade)

Nenhum

Atribua prioridade de baixa ou alta perda, atribua uma classe de encaminhamento ou descarteEm algumas plataformas, você pode atribuir prioridade de perda média baixa ou média-alta

Três cores de taxa única

Verde (conforme)

Atribua prioridade de perda baixa

Nenhum

Amarelo (acima da CIR e da CBS)

Atribua prioridade de perda média e alta

Nenhum

Vermelho (acima do EBS)

Atribua alta prioridade de perda

Descartar

Três cores de duas taxas

Verde (conforme)

Atribua prioridade de perda baixa

Nenhum

Amarelo (acima da CIR e da CBS)

Atribua prioridade de perda média e alta

Nenhum

Vermelho (acima do PIR e do PBS)

Atribua alta prioridade de perda

Descartar

Encaminhamento de classes e níveis de PLP

A atribuição de classe de encaminhamento de um pacote e o nível de PLP são usados pelos recursos Junos OS classe de serviço (CoS). Os recursos do Junos OS CoS incluem um conjunto de mecanismos que você pode usar para fornecer serviços diferenciados quando a entrega de tráfego de melhor esforço for insuficiente. Para interfaces de roteador (e switch) que transportam tráfego IPv4, IPv6 e MPLS, você pode configurar recursos de CoS para ter um único fluxo de tráfego que entra na borda da rede e fornecer diferentes níveis de serviço em toda a rede— encaminhamento interno e programação (espera) para a saída — com base nas atribuições de classe de encaminhamento e nos níveis de PLP dos pacotes individuais.

Nota:

As atribuições de prioridade de encaminhamento ou perda executadas por um policial ou por um filtro de firewall sem estado sobrepõem essas atribuições executadas na entrada pela classificação de precedência de IP padrão de CoS em todas as interfaces lógicas ou por qualquer classificador de agregado de comportamento (BA) configurado que seja explicitamente mapeado para uma interface lógica.

Com base CoS configurações, os pacotes de uma determinada classe de encaminhamento são transmitidas por uma fila de saída específica, e cada fila de saída está associada a um nível de serviço de transmissão definido em um agendador.

Com base em outras configurações CoS, quando pacotes em uma fila de saída enfrentam congestionamento, os pacotes com valores de prioridade de perda mais altos têm mais probabilidade de serem descartados pelo algoritmo de detecção inicial (RED) aleatoriamente. Os valores de prioridade da perda de pacote afeta a programação de um pacote sem afetar o pedido relativo do pacote dentro do fluxo de tráfego.

Aplicação de polícia para tráfego

Depois de ter definido e nomeado um policial, ele é armazenado como um modelo. Depois, você pode usar o mesmo nome de policial para fornecer a mesma configuração de polícia sempre que quiser usá-la. Isso elimina a necessidade de definir os mesmos valores do policial mais de uma vez.

Você pode aplicar um policial a um fluxo de tráfego de duas maneiras:

  • Você pode configurar um filtro de firewall sem estado padrão que especifique a ação não-dominante ou a policer policer-namethree-color-policer (single-rate | two-rate) policer-name ação não-dominante. Quando você aplica o filtro padrão à entrada ou saída em uma interface lógica, o policer é aplicado a todos os pacotes da família de protocolos específicos do filtro que correspondentes às condições especificadas na configuração do filtro.

    Com esse método de aplicar um policial, você pode definir classes de tráfego específicas em uma interface e aplicar limitação da taxa de tráfego a cada classe.

  • Você pode aplicar um policial diretamente a uma interface para que a limitação da taxa de tráfego se aplique a todo o tráfego nessa interface, independentemente da família de protocolo ou de quaisquer condições de combinação.

Você pode configurar os policiais no nível da fila, da interface lógica ou da Camada 2 (MAC). Apenas um único policial é aplicado a um pacote na fila de saída, e a busca por policiais ocorre nesta ordem:

  • Nível de fila

  • Nível de interface lógica

  • Nível de Camada 2 (MAC)