Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral dos policiais

Um switch policia o tráfego limitando a taxa de transmissão de entrada ou saída de uma classe de tráfego de acordo com critérios definidos pelo usuário. O tráfego de policiamento (ou limitação de taxa) permite que você controle a taxa máxima de tráfego enviado ou recebido em uma interface e forneça vários níveis de prioridade ou classes de serviço.

O policiamento também é um componente importante dos filtros de firewall. Você pode obter policiamento incluindo policiais em configurações de filtro de firewall .

Visão geral do policial

Você usa policiais para aplicar limites ao fluxo de tráfego e definir consequências para pacotes que excedem esses limites — geralmente aplicando uma maior prioridade de perda — para que, se os pacotes encontrarem congestionamento a jusante, eles possam ser descartados primeiro. Os policiais aplicam-se apenas a pacotes unicast.

Os policiais fornecem duas funções: medição e marcação. Um policial medidor (mede) cada pacote contra taxas de tráfego e tamanhos estourados que você configura. Em seguida, ele passa o pacote e o resultado da medição para o marcador, que atribui uma prioridade de perda de pacotes que corresponde ao resultado da medição. Figura 1 ilustra esse processo.

Figura 1: Fluxo da operação Tricolor Marcando PoliciadorFluxo da operação Tricolor Marcando Policiador

Depois de nomear e configurar um policial, você pode usá-lo especificando-o como uma ação em um ou mais filtros de firewall.

Tipos de policial

Um switch oferece suporte a três tipos de policiais:

  • Um marcador de duas cores de taxa única — um policial de duas cores (ou "policial" quando usado sem qualificação) medidora o fluxo de tráfego e classifica os pacotes em duas categorias de prioridade de perda de pacotes (PLP) de acordo com um limite de largura de banda e tamanho estourado configurado. Você pode marcar pacotes que excedem a largura de banda e o limite de tamanho estourado com um PLP especificado ou simplesmente descartá-los.

    Você pode especificar esse tipo de policiador em um firewall de entrada ou saída.

    Nota:

    Um policiador de duas cores é mais útil para medir o tráfego no nível da porta (interface física).

  • Marcador de três cores de taxa única — esse tipo de policiador é definido no RFC 2697, um marcador de cores de taxa única três, como parte de um sistema de classificação de encaminhamento garantido (AF) por comportamento de hop (PHB) para um ambiente de Serviços Diferenciados (DiffServ). Esse tipo de policiador medidora o tráfego com base em uma taxa — a taxa de informações comprometida (CIR) configurada, bem como o tamanho de explosão comprometido (CBS) e o tamanho do estouro em excesso (EBS). O CIR especifica a taxa média em que os bits são admitidos no switch. O CBS especifica o tamanho de explosão usual em bytes e o EBS especifica o tamanho máximo de explosão em bytes. O EBS deve ser maior ou igual ao CBS, e nenhum deles pode ser 0.

    Você pode especificar esse tipo de policiador em um firewall de entrada ou saída.

    Nota:

    Um marcador de três cores (TCM) de taxa única é mais útil quando um serviço é estruturado de acordo com o comprimento do pacote e não a taxa de chegada de pico.

  • Marcador de três cores de duas categorias — esse tipo de policiador é definido em RFC 2698, A Two Rate Three Color Marker, como parte de um sistema de classificação de comportamento por hop de encaminhamento garantido para um ambiente de serviços diferenciados. Esse tipo de policiador medidores de tráfego com base em duas taxas — o CIR e a taxa de informação de pico (PIR) juntamente com seus tamanhos de explosão associados, o CBS e o tamanho do pico de explosão (PBS). O PIR especifica a taxa máxima em que os bits são admitidos na rede e devem ser maiores ou iguais ao CIR.

    Você pode especificar esse tipo de policiador em um firewall de entrada ou saída.

    Nota:

    Um policial de três cores de duas categorias é mais útil quando um serviço é estruturado de acordo com as taxas de chegada e não necessariamente o comprimento do pacote.

Veja Tabela 1 informações sobre como os resultados de medição são aplicados para cada um desses tipos de policiador.

Ações do policial

As ações do policial são implícitas ou explícitas e variam de acordo com o tipo de policial. Implícito significa que o Junos OS atribui automaticamente a prioridade de perda. Tabela 1 descreve as ações do policial.

Tabela 1: Ações do policial

Policial

Marcação

Ação implícita

Ação configurável

Duas cores de taxa única

Verde (em conformidade)

Atribuir prioridade de baixa perda

Nenhum

Vermelho (sem formação)

Nenhum

Descartar

Três cores de taxa única

Verde (em conformidade)

Atribuir prioridade de baixa perda

Nenhum

Amarelo (acima do CIR e cbs)

Atribuir prioridade de perda média-alta

Nenhum

Vermelho (acima do EBS)

Atribuir prioridade de alta perda

Descartar

Três cores de duas categorias

Verde (em conformidade)

Atribuir prioridade de baixa perda

Nenhum

Amarelo (acima do CIR e cbs)

Atribuir prioridade de perda média-alta

Nenhum

Vermelho (acima do PIR e PBS)

Atribuir prioridade de alta perda

Descartar

Nota:

Se você especificar um policial em um filtro de firewall de saída, a única ação suportada é discard.

Cores do policial

Os policiais de três cores de taxa única e de duas categorias podem operar em dois modos:

  • Color-blind — No modo color-blind, o policiador tricolor assume que todos os pacotes examinados não foram previamente marcados ou medidos. Em outras palavras, o policial tricolor é "cego" para qualquer cor anterior que um pacote possa ter tido.

  • Reconhecimento de cores — No modo de reconhecimento de cores, o policiador tricolor assume que todos os pacotes examinados foram previamente marcados ou medidos. Em outras palavras, o policial tricolor está "ciente" da coloração anterior que um pacote poderia ter tido. No modo de reconhecimento de cores, o policiador de três cores pode aumentar o PLP de um pacote, mas não pode diminuí-lo. Por exemplo, se um policial de três cores com reconhecimento de cor metros de um pacote com uma marcação PLP média, ele pode elevar o nível PLP para alto, mas não pode reduzir o nível de PLP para baixo.

Policiais específicos de filtro

Você pode configurar os policiais para serem específicos do filtro, o que significa que o Junos OS cria apenas uma instância policial, independentemente de quantas vezes o policial é mencionado. Quando você faz isso em alguns switches QFX, a limitação de taxa é aplicada no agregado, então se você configurar um policial para descartar tráfego que exceder 1 Gbps e fazer referência ao policiador em três termos diferentes, a largura de banda total permitida pelo filtro é de 1 Gbps. No entanto, o comportamento de um policial específico do filtro é afetado pela forma como os termos do filtro de firewall que fazem referência ao policiador são armazenados no TCAM. Se você criar um policial específico do filtro e referenciá-lo em vários termos de filtro de firewall, o policial permite mais tráfego do que o esperado se os termos forem armazenados em diferentes fatias de TCAM. Por exemplo, se você configurar um policial para descartar tráfego que exceder 1 Gbps e fazer referência ao policiador em três termos diferentes que são armazenados em três fatias de memória separadas, a largura de banda total permitida pelo filtro é de 3 Gbps, não 1 Gbps. (Esse comportamento não ocorre em switches QFX10000.)

Para evitar que esse comportamento inesperado ocorra, use as informações sobre fatias de TCAM apresentadas no Planejamento do número de filtros de firewall para criar para organizar seu arquivo de configuração para que todos os termos de filtro de firewall que fazem referência a um determinado policial específico do filtro sejam armazenados na mesma fatia TCAM.

Convenção de nomeação sugerida para policiais

Recomendamos que você use a convenção policertypeTCM#-color type de nomeação ao configurar policiais de três cores e policer# ao configurar policiais de duas cores. TCM significa marcador de três cores. Como os policiais podem ser numerosos e devem ser aplicados corretamente para trabalhar, uma simples convenção de nomeação torna mais fácil aplicar os policiais corretamente. Por exemplo, o primeiro policiador tricolor de taxa única e reconhecimento de cores configurado seria nomeado srTCM1-ca. A segunda configuração de três cores color-blind de duas categorias seria nomeada trTCM2-cb. Os elementos desta convenção de nomeação são explicados abaixo:

  • sr (taxa única)

  • tr (duas taxas)

  • TCM (marcação tricolor)

  • 1 ou 2 (número de marcador)

  • ca (reconhecimento de cores)

  • cb (color-blind)

Contadores de policial

Em alguns switches QFX, cada policial que você configura inclui um contador implícito que conta o número de pacotes que excedem os limites de taxa especificados para o policiador. Se você usar o mesmo policiador em vários termos — seja dentro do mesmo filtro ou em filtros diferentes — o contador implícito conta todos os pacotes que são policiados em todos esses termos e fornece o valor total. (Isso não se aplica aos switches QFX10000.) Se você quiser obter contagens de pacotes separadas para cada termo em um switch afetado, use essas opções:

  • Configure um policial único para cada termo.

  • Configure apenas um policial, mas use um contador exclusivo e explícito em cada termo.

Algoritmos de policial

O policiamento usa o algoritmo de caçamba de símbolos, que impõe um limite na largura de banda média, ao mesmo tempo em que permite explosões de até um valor máximo especificado. Ele oferece mais flexibilidade do que o algoritmo de caçamba com vazamento , permitindo uma certa quantidade de tráfego estourado antes de começar a descartar pacotes.

Nota:

Em um ambiente de tráfego repleto de luz, o QFX5200 pode não replicar todos os pacotes multicast em duas ou mais interfaces downstream. Isso ocorre apenas em uma explosão de taxa de linha — se o tráfego for consistente, o problema não ocorre. Além disso, o problema só ocorre quando o tamanho do pacote aumenta para além de 6k em um fluxo de tráfego de um gigabit.

Quantos policiais são apoiados?

Os switches QFX10000 oferecem suporte a policiais 8K (todos os tipos de policiador). Os switches QFX5100 e QFX5200 oferecem suporte a 1535 policiais de entrada e policiais de saída 1024 (assumindo um policial por termo de filtro de firewall). Os switches QFX5110 oferecem suporte a 6144 policiais de entrada e 1024 policiais de saída (assumindo um policial por termo de filtro de firewall).

Os switches autônomos QFX3500 e QFX3600 e os dispositivos QFabric Node oferecem suporte aos seguintes números de policiais (assumindo que um policial por termo de filtro de firewall):

  • Policiais de duas cores usados em filtros de firewall de entrada: 767

  • Policiais de três cores usados em filtros de firewall de entrada: 767

  • Policiais de duas cores usados em filtros de firewall de saída: 1022

  • Policiais de três cores usados em filtros de firewall de saída: 512

Policiais podem limitar filtros de firewall de saída

Em alguns switches, o número de policiais de saída que você configura pode afetar o número total de filtros de firewall de saída permitidos. Cada policial tem dois contadores implícitos que pegam duas entradas em um TCAM de 1024 entradas. Estes são usados para contadores, incluindo contadores configurados como modificadores de ação em termos de filtro de firewall. (Os policiais consomem duas entradas porque uma é usada para pacotes verdes e uma é usada para pacotes nongreen, independentemente do tipo policial.) Se o TCAM ficar completo, você não poderá cometer mais filtros de firewall de saída que tenham termos com contadores. Por exemplo, se você configurar e cometer 512 policiais de saída (duas cores, três cores ou uma combinação de ambos os tipos de policiador), todas as entradas de memória para contadores são usadas. Se mais tarde em seu arquivo de configuração você inserir filtros de firewall de saída adicionais com termos que também incluam contadores, nenhum dos termos nesses filtros é comprometido porque não há espaço de memória disponível para os contadores.

Aqui estão alguns exemplos adicionais:

  • Suponha que você configure filtros de saída que incluam um total de 512 policiais e sem contadores. Mais tarde, em seu arquivo de configuração, você inclui outro filtro de saída com 10 termos, 1 dos quais tem um modificador de contra-ação. Nenhum dos termos neste filtro está comprometido porque não há espaço TCAM suficiente para o contador.

  • Suponha que você configure filtros de saída que incluam um total de 500 policiais, de modo que 1000 entradas TCAM estão ocupadas. Mais tarde, no seu arquivo de configuração, você inclui os dois seguintes filtros de saída:

    • Filtrar A com 20 termos e 20 contadores. Todos os termos neste filtro são comprometidos porque há espaço TCAM suficiente para todos os contadores.

    • O filtro B vem depois do Filtro A e tem cinco termos e cinco contadores. Nenhum dos termos neste filtro é comprometido porque não há espaço de memória suficiente para todos os contadores. (Cinco entradas TCAM são necessárias, mas apenas quatro estão disponíveis.)

Você pode evitar esse problema, garantindo que termos de filtro de firewall de saída com ações contrárias sejam colocados mais cedo em seu arquivo de configuração do que termos que incluam policiais. Nesta circunstância, o Junos OS confirma policiais mesmo que não haja espaço TCAM suficiente para os contadores implícitos. Por exemplo, assuma o seguinte:

  • Você tem 1024 termos de filtro de firewall de saída com contra-ações.

  • Mais tarde, no seu arquivo de configuração, você tem um filtro de saída com 10 termos. Nenhum dos termos tem contadores, mas um tem um modificador de ação do policial.

Você pode cometer com sucesso o filtro com 10 termos, embora não haja espaço TCAM suficiente para os contadores implícitos do policiador. O policial está comprometido sem os contadores.