Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral dos policiais

Um switch policia o tráfego limitando a taxa de transmissão de entrada ou saída de uma classe de tráfego de acordo com critérios definidos pelo usuário. O tráfego de policiamento (ou limitação de taxa) permite que você controle a taxa máxima de tráfego enviado ou recebido em uma interface e forneça vários níveis de prioridade ou classes de serviço.

O policiamento também é um componente importante dos filtros de firewall. Você pode obter policiamento incluindo policiais em configurações de filtro de firewall .

Visão geral do policial

Você usa policiais para aplicar limites ao fluxo de tráfego e definir consequências para pacotes que excedem esses limites — geralmente aplicando uma maior prioridade de perda — para que, se os pacotes encontrarem congestionamento a jusante, eles possam ser descartados primeiro. Os policiais aplicam-se apenas a pacotes unicast.

Os policiais fornecem duas funções: medição e marcação. Um policial metros (mede) cada pacote contra taxas de tráfego e tamanhos de explosão que você configura. Em seguida, ele passa o pacote e o resultado da medição para o marcador, que atribui uma prioridade de perda de pacotes que corresponde ao resultado da medição. Figura 1 ilustra esse processo.

Nota:

Um policial restringe o tráfego na taxa de transmissão configurada por PFE. No QFX10016, QFX10002, QFX10002-60C e switches QFX10008, quando os pacotes de interface ethernet (AE) agregados abrangem vários PFEs, a taxa de transmissão geral do policial para assinante pode exceder a taxa de transmissão configurada do policial (dependendo do número de PFEs envolvidos).

Como exemplo:

  • Policial com limite de largura de banda de 100 mbps configurado em uma interface AE que tem links de membros xe-1/0/0 (fpc1-pfe0) e xe-1/0/30 (fpc1-pfe1) . Aqui, os dois links de membros pertencem ao FPC1, mas estão em PFEs diferentes. Quando o policial for aplicado à interface AE, isso resultará em uma largura de banda total de 200 Mbps, pois o policial está configurado para dois PFEs.

  • Policial com limite de largura de banda de 100 mbps configurado em uma interface AE que tem links de membros xe-1/0/0 (fpc1-pfe0), et-2/0/1 (fpc2-pfe1) e xe-2/0/18:0 (fpc2-pfe2) . Aqui, um link de membro pertence ao FPC1 e ao PFE0 neste FPC. Os outros dois links de membro pertencem ao FPC2, mas PFEs diferentes. Quando o policial for aplicado à interface AE, isso resultará em uma largura de banda total de 300 Mbps, pois o policial está configurado para três PFEs.

  • Policial com limite de largura de banda de 100 mbps configurado em uma interface AE que tem links de membros xe-1/0/0 e xe-1/0/1 em um único PFE (fpc1-pfe0) . Aqui, os links de membro pertencem ao FPC1 e ao mesmo PFE. Quando o policiador é aplicado à interface AE, isso resultará em uma largura de banda total de 100 Mbps à medida que o policial for configurado por PFE.

Figura 1: Fluxo da operação Tricolor Marcando Policiador Fluxo da operação Tricolor Marcando Policiador

Depois de nomear e configurar um policial, você pode usá-lo especificando-o como uma ação em um ou mais filtros de firewall.

Tipos de policial

Um switch oferece suporte a três tipos de policiais:

  • Marcador de duas cores de taxa única — um policial de duas cores (ou "policial" quando usado sem qualificação) mediu o fluxo de tráfego e classifica os pacotes em duas categorias de prioridade de perda de pacotes (PLP) de acordo com uma largura de banda configurada e limite de tamanho estourado. Você pode marcar pacotes que excedem a largura de banda e o limite de tamanho estourado com um PLP especificado ou simplesmente os descartar.

    Você pode especificar esse tipo de policiador em um firewall de entrada ou saída.

    Nota:

    Um policial de duas cores é mais útil para medir o tráfego no nível da porta (interface física).

  • Marcador de três cores de taxa única — esse tipo de policiador é definido no RFC 2697, um marcador de cor de taxa única três, como parte de um sistema de classificação de encaminhamento (AF) por comportamento hop (PHB) garantido para um ambiente de Serviços Diferenciados (DiffServ). Esse tipo de policiador medidora o tráfego com base em uma taxa — a taxa de informação comprometida configurada (CIR), bem como o tamanho da explosão comprometida (CBS) e o tamanho do estouro excessivo (EBS). O CIR especifica a taxa média em que os bits são admitidos no switch. O CBS especifica o tamanho de explosão usual em bytes e o EBS especifica o tamanho máximo de explosão em bytes. O EBS deve ser maior do que ou igual ao CBS, e nenhum deles pode ser 0.

    Você pode especificar esse tipo de policiador em um firewall de entrada ou saída.

    Nota:

    Um marcador de três cores (TCM) de taxa única é mais útil quando um serviço é estruturado de acordo com o comprimento do pacote e não a taxa de chegada máxima.

  • Marcador de três cores de duas categorias — esse tipo de policiador é definido em RFC 2698, A Two Rate Three Color Marker, como parte de um sistema de classificação de comportamento por hop de encaminhamento garantido para um ambiente de serviços diferenciados. Esse tipo de policial metros de tráfego com base em duas taxas — o CIR e a taxa de informação de pico (PIR) juntamente com seus tamanhos de explosão associados, o CBS e o tamanho do pico de explosão (PBS). O PIR especifica a taxa máxima em que os bits são admitidos na rede e devem ser maiores do que ou iguais ao CIR.

    Você pode especificar esse tipo de policiador em um firewall de entrada ou saída.

    Nota:

    Um policial de três cores de duas categorias é mais útil quando um serviço é estruturado de acordo com as taxas de chegada e não necessariamente o comprimento do pacote.

Veja Tabela 1 informações sobre como os resultados da medição são aplicados a cada um desses tipos de policial.

Ações do policial

As ações do policial são implícitas ou explícitas e variam de acordo com o tipo de policial. Implícito significa que o Junos OS atribui a prioridade de perda automaticamente. Tabela 1 descreve as ações do policial.

Tabela 1: Ações do policial

Policial

Marcação

Ação implícita

Ação configurável

Duas cores de taxa única

Verde (em conformidade)

Atribua prioridade de baixa perda

Nenhum

Vermelho (sem conformidade)

Nenhum

Descartar

Três cores de taxa única

Verde (em conformidade)

Atribua prioridade de baixa perda

Nenhum

Amarelo (acima do CIR e cbs)

Atribua prioridade de perda média-alta

Nenhum

Vermelho (acima da EBS)

Atribua prioridade de alta perda

Descartar

Três cores de duas categorias

Verde (em conformidade)

Atribua prioridade de baixa perda

Nenhum

Amarelo (acima do CIR e cbs)

Atribua prioridade de perda média-alta

Nenhum

Vermelho (acima do PIR e da PSB)

Atribua prioridade de alta perda

Descartar

Nota:

Se você especificar um policial em um filtro de firewall de saída, a única ação suportada é discard.

Cores do policial

Os policiais de três cores de taxa única e de duas categorias podem operar em dois modos:

  • Color-blind — No modo color-blind, o policial tricolor assume que todos os pacotes examinados não foram previamente marcados ou medidos. Em outras palavras, o policial de três cores é "cego" para qualquer coloração anterior que um pacote poderia ter tido.

  • Reconhecimento de cores — No modo de reconhecimento de cores, o policial tricolor assume que todos os pacotes examinados foram previamente marcados ou medidos. Em outras palavras, o policial de três cores está "ciente" da coloração anterior que um pacote poderia ter tido. No modo de reconhecimento de cores, o policiador de três cores pode aumentar o PLP de um pacote, mas não pode diminuí-lo. Por exemplo, se um policial de três cores com reconhecimento de cor metros de um pacote com uma marcação PLP média, ele pode elevar o nível de PLP para alto, mas não pode reduzir o nível de PLP para baixo.

Policiais específicos de filtro

Você pode configurar policiais para serem específicos do filtro, o que significa que o Junos OS cria apenas uma instância policial, independentemente de quantas vezes o policial é mencionado. Quando você faz isso em alguns switches QFX, o limite de taxa é aplicado no agregado, portanto, se você configurar um policial para descartar tráfego que excede 1 Gbps e referência que o policial em três termos diferentes, a largura de banda total permitida pelo filtro é de 1 Gbps. No entanto, o comportamento de um policial específico do filtro é afetado pela forma como os termos do filtro de firewall que fazem referência ao policial são armazenados no TCAM. Se você criar um policial específico do filtro e o mencionar em vários termos de filtro de firewall, o policial permite mais tráfego do que o esperado se os termos forem armazenados em diferentes fatias de TCAM. Por exemplo, se você configurar um policial para descartar tráfego que exceder 1 Gbps e mencionar que o policial em três termos diferentes que são armazenados em três fatias de memória separadas, a largura de banda total permitida pelo filtro é de 3 Gbps, não 1 Gbps. (Esse comportamento não ocorre em switches QFX10000.)

Para evitar que esse comportamento inesperado ocorra, use as informações sobre as fatias de TCAM apresentadas no Planejamento do número de filtros de firewall para criar para organizar seu arquivo de configuração para que todos os termos de filtro de firewall que fazem referência a um determinado policial específico do filtro sejam armazenados na mesma fatia de TCAM.

Convenção de nomeação sugerida para policiais

Recomendamos que você use a convenção policertypeTCM#-color type de nomeação ao configurar policiais de três cores e policer# ao configurar policiais de duas cores. TCM significa marcador de três cores. Como os policiais podem ser numerosos e devem ser aplicados corretamente para trabalhar, uma simples convenção de nomeação torna mais fácil aplicar os policiais corretamente. Por exemplo, o primeiro policial de três cores com reconhecimento de cor configurado seria nomeado srTCM1-ca. A segunda configuração de três cores color-blind de duas categorias seria nomeada trTCM2-cb. Os elementos desta convenção de nomeação são explicados abaixo:

  • sr (taxa única)

  • tr (de duas taxas)

  • TCM (marcação tricolor)

  • 1 ou 2 (número de marcador)

  • ca (consciente de cores)

  • cb (color-blind)

Contadores de policial

Em alguns switches QFX, cada policial que você configura inclui um contador implícito que conta o número de pacotes que excedem os limites de taxa especificados para o policial. Se você usar o mesmo policiador em vários termos — dentro do mesmo filtro ou em filtros diferentes — o contador implícito conta todos os pacotes que são policiados em todos esses termos e fornece o valor total. (Isso não se aplica aos switches QFX10000.) Se você quiser obter contagens de pacotes separadas para cada termo em um switch afetado, use essas opções:

  • Configure um policial único para cada termo.

  • Configure apenas um policial, mas use um contador exclusivo e explícito em cada termo.

Algoritmos de policial

O policiamento usa o algoritmo token-bucket, que impõe um limite na largura de banda média, permitindo explosões de até um valor máximo especificado. Ele oferece mais flexibilidade do que o algoritmo de balde com vazamento para permitir uma certa quantidade de tráfego estourado antes de começar a descartar pacotes.

Nota:

Em um ambiente de tráfego leve e repleto de explosões, o QFX5200 pode não replicar todos os pacotes multicast a duas ou mais interfaces downstream. Isso ocorre apenas em uma explosão na taxa de linha — se o tráfego for consistente, o problema não ocorre. Além disso, o problema só ocorre quando o tamanho do pacote aumenta para além de 6k em um fluxo de tráfego de um gigabit.

Quantos policiais são apoiados?

Os switches QFX10000 oferecem suporte a policiais 8K (todos os tipos de policial). Os switches QFX5100 e QFX5200 oferecem suporte a 1535 policiais de entrada e 1024 policiais de saída (assumindo um policial por termo de filtro de firewall). Os switches QFX5110 oferecem suporte a 6144 policiais de entrada e 1024 policiais de saída (assumindo que um policial por termo de filtro de firewall).

QFX3500 e QFX3600 switches autônomos e dispositivos QFabric Node oferecem suporte aos seguintes números de policiais (assumindo que um policial por termo de filtro de firewall):

  • Policiais de duas cores usados em filtros de firewall de entrada: 767

  • Policiais de três cores usados em filtros de firewall de entrada: 767

  • Policiais de duas cores usados em filtros de firewall de saída: 1022

  • Policiais de três cores usados em filtros de firewall de saída: 512

Policiais podem limitar filtros de firewall de saída

Em alguns switches, o número de policiais de saída configurados pode afetar o número total de filtros de firewall de saída permitidos. Cada policial tem dois contadores implícitos que pegam duas entradas em um TCAM de 1024 entradas. Estes são usados para contadores, incluindo contadores configurados como modificadores de ação em termos de filtro de firewall. (Os policiais consomem duas entradas porque uma é usada para pacotes verdes e outra é usada para pacotes nongreen, independentemente do tipo policial.) Se o TCAM ficar completo, você não poderá comprometer mais filtros de firewall de saída que tenham termos com contadores. Por exemplo, se você configurar e cometer 512 policiais de saída (duas cores, três cores ou uma combinação de ambos os tipos de policiador), todas as entradas de memória para contadores são usadas. Se mais tarde em seu arquivo de configuração você inserir filtros de firewall de saída adicionais com termos que também incluem contadores, nenhum dos termos nesses filtros é comprometido porque não há espaço de memória disponível para os contadores.

Aqui estão alguns exemplos adicionais:

  • Suponha que você configure filtros de saída que incluam um total de 512 policiais e sem contadores. Mais tarde, em seu arquivo de configuração, você inclui outro filtro de saída com 10 termos, dos quais 1 tem um modificador de contra-ação. Nenhum dos termos neste filtro é comprometido porque não há espaço TCAM suficiente para o contador.

  • Suponha que você configure filtros de saída que incluam um total de 500 policiais, para que 1000 entradas TCAM sejam ocupadas. Mais tarde, em seu arquivo de configuração, você inclui os seguintes dois filtros de saída:

    • Filtrar A com 20 termos e 20 contadores. Todos os termos deste filtro são comprometidos porque há espaço TCAM suficiente para todos os contadores.

    • O filtro B vem depois do Filtro A e tem cinco termos e cinco contadores. Nenhum dos termos neste filtro é comprometido porque não há espaço de memória suficiente para todos os contadores. (São necessárias cinco entradas TCAM, mas apenas quatro estão disponíveis.)

Você pode evitar esse problema, garantindo que termos de filtro de firewall de saída com ações contrárias sejam colocados mais cedo em seu arquivo de configuração do que termos que incluam policiais. Nesta circunstância, o Junos OS comete policiais mesmo que não haja espaço TCAM suficiente para os contadores implícitos. Por exemplo, assuma o seguinte:

  • Você tem 1024 termos de filtro de firewall de saída com contra-ações.

  • Mais tarde, em seu arquivo de configuração, você tem um filtro de saída com 10 termos. Nenhum dos termos tem contadores, mas um tem um modificador de ação policial.

Você pode comprometer o filtro com sucesso com 10 termos, embora não haja espaço TCAM suficiente para os contadores implícitos do policial. O policial está internado sem os contadores.