Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Visão geral dos policiais

Um switch policia o tráfego limitando a taxa de transmissão de entrada ou saída de uma classe de tráfego de acordo com critérios definidos pelo usuário. O tráfego de policiamento (ou limitação de taxa) permite que você controle a taxa máxima de tráfego enviado ou recebido em uma interface e forneça vários níveis de prioridade ou classes de serviço.

O policiamento também é um componente importante dos filtros de firewall. Você pode alcançar o policiamento incluindo policiais em configurações de filtro de firewall .

Visão geral do policial

Você usa policiais para aplicar limites ao fluxo de tráfego e definir consequências para pacotes que excedem esses limites — geralmente aplicando uma prioridade de perda maior — para que, se os pacotes encontrarem congestionamento downstream, eles possam ser descartados primeiro. Os policiais aplicam-se apenas a pacotes unicast.

Os policiais fornecem duas funções: medição e marcação. Um policial mede (medidas) cada pacote contra taxas de tráfego e tamanhos de explosão que você configura. Em seguida, ele passa o pacote e o resultado da medição para o marcador, que atribui uma prioridade de perda de pacotes que corresponde ao resultado da medição. Figura 1 ilustra esse processo.

Nota:

Um policial restringe o tráfego na taxa de transmissão configurada por PFE. Em QFX10016, QFX10002, QFX10002-60C e switches de QFX10008, quando os pacotes agregados de interface de ethernet (AE) abrangem vários PFEs, a taxa de transmissão geral do policial para o assinante pode exceder a taxa de transmissão configurada do policial (dependendo do número de PFEs envolvidos).

Como exemplo:

  • Policiador com limite de largura de banda de 100 mbps configurado em uma interface AE que tem links de membros xe-1/0/0 (fpc1-pfe0) e xe-1/0/30 (fpc1-pfe1) . Aqui, os dois links de membros pertencem ao FPC1, mas estão em PFEs diferentes. Quando o policiador é aplicado à interface AE, isso resultará em uma largura de banda total de 200 Mbps, já que o policial está configurado para dois PFEs.

  • Policiador com limite de largura de banda de 100 mbps configurado em uma interface AE que tem links de membros xe-1/0/0 (fpc1-pfe0), et-2/0/1 (fpc2-pfe1) e xe-2/0/18:0 (fpc2-pfe2) . Aqui, um link de membro pertence ao FPC1 e PFE0 neste FPC. Os outros dois links de membro pertencem ao FPC2, mas PFEs diferentes. Quando o policiador é aplicado à interface AE, isso resultará em uma largura de banda total de 300 Mbps como policiador está configurado para três PFEs.

  • Policiador com limite de largura de banda de 100 mbps configurado em uma interface AE que tem links de membros xe-1/0/0 e xe-1/0/1 em um único PFE (fpc1-pfe0) . Aqui, os links de membro pertencem ao FPC1 e ao mesmo PFE. Quando o policiador for aplicado à interface AE, isso resultará em uma largura de banda total de 100 Mbps conforme o policiador é configurado por PFE.
Figura 1: Fluxo da operação Tricolor marcando policiaisFluxo da operação Tricolor marcando policiais

Depois de nomear e configurar um policial, você pode usá-lo especificando-o como uma ação em um ou mais filtros de firewall.

Tipos de policiais

Um switch oferece suporte a três tipos de policiais:

  • Marcador de duas cores de taxa única — um policiador de duas cores (ou "policiador" quando usado sem qualificação) metros do fluxo de tráfego e classifica os pacotes em duas categorias de prioridade de perda de pacotes (PLP), de acordo com um limite de largura de banda e tamanho de estouro configurado. Você pode marcar pacotes que excedem a largura de banda e o limite de tamanho de explosão com um PLP especificado ou simplesmente descartá-los.

    Você pode especificar esse tipo de policiador em um firewall de entrada ou saída.

    Nota:

    Um policiador de duas cores é mais útil para medir o tráfego no nível da porta (interface física).

  • Marcador de três cores de taxa única — esse tipo de policiador é definido em RFC 2697, um marcador de cores de taxa única três, como parte de um sistema de classificação de encaminhamento (AF) por hop-behavior (PHB) garantido para um ambiente de serviços diferenciados (DiffServ). Esse tipo de policiador medidora o tráfego com base em uma taxa — a taxa de informações comprometidas configurada (CIR), bem como o tamanho de explosão (CBS) comprometido e o tamanho da explosão em excesso (EBS). O CIR especifica a taxa média em que bits são admitidos no switch. O CBS especifica o tamanho de explosão habitual em bytes e o EBS especifica o tamanho máximo de explosão em bytes. O EBS deve ser maior do que ou igual ao CBS, e nenhum dos dois pode ser 0.

    Você pode especificar esse tipo de policiador em um firewall de entrada ou saída.

    Nota:

    Um marcador de três cores (TCM) de taxa única é mais útil quando um serviço é estruturado de acordo com o comprimento do pacote e não a taxa de chegada de pico.

  • Marcador de três cores de duas categorias — esse tipo de policiador é definido em RFC 2698, um marcador de cores de duas taxas três, como parte de um sistema de classificação de comportamento por hop de encaminhamento garantido para um ambiente de serviços diferenciados. Esse tipo de policiador metros de tráfego com base em duas taxas — o CIR e a taxa de informação de pico (PIR) juntamente com seus tamanhos de explosão associados, o CBS e o tamanho de rajada de pico (PBS). O PIR especifica a taxa máxima em que os bits são admitidos na rede e devem ser maiores ou iguais à CIR.

    Você pode especificar esse tipo de policiador em um firewall de entrada ou saída.

    Nota:

    Um policiador de três cores de duas categorias é mais útil quando um serviço é estruturado de acordo com as taxas de chegada e não necessariamente o comprimento do pacote.

Veja informações sobre como os resultados de medição são aplicados a cada um desses tipos de policiamento.Tabela 1

Ações de policiais

As ações dos policiais são implícitas ou explícitas e variam de acordo com o tipo de policial. Implícito significa que o Junos OS atribui automaticamente a prioridade de perda. descreve as ações do policiador.Tabela 1

Tabela 1: Ações de policiais

Policial

Marcação

Ação implícita

Ação configurável

Duas cores de taxa única

Verde (em conformidade)

Atribuir prioridade de baixa perda

Nenhum

Vermelho (sem conformidade)

Nenhum

Descartar

Três cores de taxa única

Verde (em conformidade)

Atribuir prioridade de baixa perda

Nenhum

Amarelo (acima do CIR e CBS)

Atribua prioridade de perda média-alta

Nenhum

Vermelho (acima do EBS)

Atribua prioridade de alta perda

Descartar

Três cores de duas categorias

Verde (em conformidade)

Atribuir prioridade de baixa perda

Nenhum

Amarelo (acima do CIR e CBS)

Atribua prioridade de perda média-alta

Nenhum

Vermelho (acima do PIR e PBS)

Atribua prioridade de alta perda

Descartar
Nota:

Se você especificar um policiador em um filtro de firewall de saída, a única ação suportada é .discard

Cores do policial

Os policiais de três cores de taxa única e de duas categorias podem operar em dois modos:

  • Color-blind — No modo color-blind, o policiador de três cores assume que todos os pacotes analisados não foram previamente marcados ou medidos. Em outras palavras, o policiador de três cores é "cego" para qualquer coloração anterior que um pacote poderia ter tido.

  • Reconhecimento de cores — No modo de reconhecimento de cores, o policiador de três cores assume que todos os pacotes analisados foram previamente marcados ou medidos. Em outras palavras, o policiador de três cores está "ciente" da coloração anterior que um pacote poderia ter tido. No modo de reconhecimento de cores, o policiador de três cores pode aumentar o PLP de um pacote, mas não pode diminuí-lo. Por exemplo, se um policial de três cores com reconhecimento de cor metros de um pacote com uma marcação PLP média, ele pode elevar o nível de PLP para alto, mas não pode reduzir o nível de PLP para baixo.

Policiais específicos para filtros

Você pode configurar os policiais para serem específicos do filtro, o que significa que o Junos OS cria apenas uma instância policial, independentemente de quantas vezes o policial é mencionado. Quando você faz isso em alguns switches QFX, a limitação de taxa é aplicada no agregado, portanto, se você configurar um policiador para descartar o tráfego que excede 1 Gbps e fazer referência ao policiador em três termos diferentes, a largura de banda total permitida pelo filtro é de 1 Gbps. No entanto, o comportamento de um policiador específico do filtro é afetado pela forma como os termos do filtro de firewall que fazem referência ao policiador são armazenados na TCAM. Se você criar um policiador específico do filtro e fazer referência a ele em vários termos de filtro de firewall, o policiador permite mais tráfego do que o esperado se os termos forem armazenados em diferentes fatias de TCAM. Por exemplo, se você configurar um policial para descartar o tráfego que excede 1 Gbps e fazer referência ao policiador em três termos diferentes que são armazenados em três fatias de memória separadas, a largura de banda total permitida pelo filtro é de 3 Gbps, não 1 Gbps. (Esse comportamento não ocorre em switches QFX10000.)

Para evitar que esse comportamento inesperado ocorra, use as informações sobre fatias de TCAM apresentadas no Planejamento do número de filtros de firewall para criar para organizar seu arquivo de configuração para que todos os termos de filtro de firewall que fazem referência a um determinado policial específico de filtro sejam armazenados na mesma fatia de TCAM.Planejando o número de filtros de firewall para criar

Convenção de nomeação sugerida para policiais

Recomendamos que você use a convenção de nomenclatura ao configurar policiais de três cores e ao configurar policiais de duas cores.policertypeTCM#-color typepolicer# TCM significa marcador de três cores. Como os policiais podem ser numerosos e devem ser aplicados corretamente para trabalhar, uma simples convenção de nomeação torna mais fácil aplicar os policiais corretamente. Por exemplo, o primeiro policiador de três cores, com reconhecimento de cores e de taxa única configurado, seria nomeado .srTCM1-ca A segunda configuração de três cores, color-blind e de duas categorias, seria nomeada .trTCM2-cb Os elementos desta convenção de nomenclatura são explicados abaixo:

  • sr (taxa única)

  • tr (duas taxas)

  • TCM (marcação tricolor)

  • 1 ou 2 (número de marcador)

  • ca (com reconhecimento de cores)

  • cb (color-blind)

Contadores de policiais

Em alguns switches QFX, cada policial que você configura inclui um contador implícito que conta o número de pacotes que excedem os limites de taxa especificados para o policiador. Se você usar o mesmo policiador em vários termos — seja dentro do mesmo filtro ou em filtros diferentes — o contador implícito conta todos os pacotes que são policiados em todos esses termos e fornece o valor total. (Isso não se aplica a switches QFX10000.) Se você quiser obter contagens de pacotes separadas para cada termo em um switch afetado, use essas opções:

  • Configure um policiador exclusivo para cada mandato.

  • Configure apenas um policial, mas use um contador exclusivo e explícito em cada termo.

Algoritmos de policiador

O policiamento usa o algoritmo de balde de símbolo, que impõe um limite na largura de banda média, ao mesmo tempo em que permite rajadas de até um valor máximo especificado. Ele oferece mais flexibilidade do que o algoritmo de balde com vazamento , permitindo uma certa quantidade de tráfego estourado antes de começar a descartar pacotes.

Nota:

Em um ambiente de tráfego com rajadas de luz, QFX5200 pode não replicar todos os pacotes multicast em duas ou mais interfaces downstream. Isso ocorre apenas em uma explosão na taxa de linha — se o tráfego for consistente, o problema não ocorre. Além disso, o problema só ocorre quando o tamanho do pacote aumenta além de 6k em um fluxo de tráfego de um gigabit.

Quantos policiais são apoiados?

QFX10000 switches oferecem suporte a policiais 8K (todos os tipos de policiador). QFX5100 e switches QFX5200 oferecem suporte a 1535 policiais de entrada e 1024 policiais de saída (assumindo um policial por termo de filtro de firewall). QFX5110 switches oferecem suporte a 6144 policiais de entrada e 1024 policiais de saída (assumindo um policial por termo de filtro de firewall).

QFX3500 e QFX3600 switches independentes e dispositivos QFabric Node suportam os seguintes números de policiais (assumindo um policial por termo de filtro de firewall):

  • Policiais de duas cores usados em filtros de firewall de entrada: 767

  • Policiais de três cores usados em filtros de firewall de entrada: 767

  • Policiais de duas cores usados em filtros de firewall de saída: 1022

  • Policiais de três cores usados em filtros de firewall de saída: 512

Policiais podem limitar filtros de firewall de saída

Em alguns switches, o número de policiais de saída que você configura pode afetar o número total de filtros de firewall de saída permitidos. Cada policial tem dois contadores implícitos que aceitam duas entradas em um TCAM de 1024 entradas. Estes são usados para contadores, incluindo contadores configurados como modificadores de ação em termos de filtro de firewall. (Os policiais consomem duas entradas porque uma é usada para pacotes verdes e uma é usada para pacotes nongreen, independentemente do tipo de policiador.) Se o TCAM ficar completo, você não poderá comprometer mais filtros de firewall de saída que tenham termos com contadores. Por exemplo, se você configurar e confirmar 512 policiais de saída (duas cores, três cores ou uma combinação de ambos os tipos de policiador), todas as entradas de memória para contadores serão usadas. Se mais tarde em seu arquivo de configuração você inserir filtros de firewall de saída adicionais com termos que também incluam contadores, nenhum dos termos nesses filtros é cometido porque não há espaço de memória disponível para os contadores.

Aqui estão alguns exemplos adicionais:

  • Suponha que você configure filtros de saída que incluam um total de 512 policiais e sem contadores. Mais tarde, em seu arquivo de configuração, você inclui outro filtro de saída com 10 termos, 1 dos quais tem um modificador de contra-ação. Nenhum dos termos neste filtro está comprometido porque não há espaço de TCAM suficiente para o contador.

  • Suponha que você configure filtros de saída que incluam um total de 500 policiais, de modo que 1000 entradas TCAM estão ocupadas. Mais tarde, em seu arquivo de configuração, você inclui os seguintes dois filtros de saída:

    • Filtrar A com 20 termos e 20 contadores. Todos os termos neste filtro são comprometidos porque há espaço TCAM suficiente para todos os contadores.

    • O filtro B vem depois do Filtro A e tem cinco termos e cinco contadores. Nenhum dos termos neste filtro é cometido porque não há espaço de memória suficiente para todos os contadores. (Cinco entradas TCAM são necessárias, mas apenas quatro estão disponíveis.)

Você pode evitar esse problema garantindo que os termos do filtro de firewall de saída com ações contrárias sejam colocados mais cedo em seu arquivo de configuração do que os termos que incluem policiais. Nesta circunstância, o Junos OS compromete os policiais mesmo que não haja espaço TCAM suficiente para os contadores implícitos. Por exemplo, assuma o seguinte:

  • Você tem termos de filtro de firewall de saída 1024 com ações contrárias.

  • Mais tarde, em seu arquivo de configuração, você terá um filtro de saída com 10 termos. Nenhum dos termos tem contadores, mas um tem um modificador de ação do policial.

Você pode comprometer o filtro com sucesso com 10 termos, embora não haja espaço de TCAM suficiente para os contadores implícitos do policiador. O policial está comprometido sem os contadores.

Tópicos relacionados