Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral dos policiais

Um switch fiscaliza o tráfego limitando a taxa de transmissão de entrada ou saída de uma classe de tráfego de acordo com critérios definidos pelo usuário. O tráfego de policiamento (ou limitação de taxa) permite que você controle a taxa máxima de tráfego enviado ou recebido em uma interface e forneça vários níveis de prioridade ou classes de serviço.

O policiamento também é um componente importante dos filtros de firewall. Você pode obter o policiamento incluindo policiais em configurações de filtro de firewall.

Visão geral do policer

Você usa os policiais para aplicar limites ao fluxo de tráfego e definir consequências para pacotes que superam esses limites — normalmente aplicando uma prioridade de perda maior — para que, caso os pacotes se deparem com congestionamento downstream, eles possam ser eliminados primeiro. Os agentes de polícia só se aplicam a pacotes unicast.

Os agentes de segurança fornecem duas funções: medição e marcação. Um metro de polícia (mede) cada pacote em relação às taxas de tráfego e aos tamanhos de estouro que você configura. Em seguida, ele passa o pacote e o resultado da medição para o marcador, que designa uma prioridade de perda de pacote que correspondem ao resultado da medição. Figura 1 ilustra esse processo.

Figura 1: Operação Flow of Tricolor Marking PolicerOperação Flow of Tricolor Marking Policer

Depois de nomeá-lo e configurar um policial, você pode usá-lo especificando-o como uma ação em um ou mais filtros de firewall.

Tipos de polícia

Um switch aceita três tipos de policiais:

  • Um indicador de duas cores de taxa única — Um policial de duas cores (ou "políciador" quando usado sem qualificação) medem o fluxo de tráfego e classificam os pacotes em duas categorias de prioridade de perda de pacote (PLP) de acordo com uma largura de banda configurada e limite de tamanho estouro. Você pode marcar pacotes que excedam a largura de banda e o limite de tamanho estouro com um PLP especificado ou simplesmente os descartam.

    Você pode especificar esse tipo de polícia em um firewall de entrada ou saída.

    Nota:

    Um policial de duas cores é mais útil para medição do tráfego no nível da porta (interface física).

  • Marcador de três cores de taxa única — Esse tipo de policial é definido em RFC 2697, UmMarcador de Cores de Três Taxas Simples, como parte de um sistema de classificação de encaminhamento garantido (AF) por comportamento de hop (PHB) para um ambiente de serviços diferenciados (DiffServ). Esse tipo de tráfego de taxímetros com base em uma taxa: a taxa de informações comprometida configurada (CIR), o tamanho do estouro comprometido (CBS) e o tamanho do estouro em excesso (EBS). A CIR especifica a taxa média com que bits são admitidos no switch. A CBS especifica o tamanho normal de ruptura em bytes e o EBS especifica o tamanho máximo de ruptura em bytes. O EBS deve ser maior ou igual ao CBS, e nenhum deles pode ser 0.

    Você pode especificar esse tipo de polícia em um firewall de entrada ou saída.

    Nota:

    Um marcador de três cores de taxa única (TCM) é mais útil quando um serviço é estruturado de acordo com o comprimento do pacote e não a taxa de chegada máxima.

  • Marcador de três cores de duas taxas — Esse tipo de policial é definido em RFC 2698, UmMarcador de Cores de Três Taxas Dois, como parte de um sistema de classificação de comportamento por salto garantida para um ambiente de serviços diferenciados. Esse tipo de tráfego de metros de polícia com base em duas taxas: a CIR e a taxa de informações de pico (PIR), junto com seus tamanhos de ruptura associados, o CBS e o tamanho do pico de ruptura (PBS). O PIR especifica a taxa máxima com a qual os bits são admitidos na rede e deve ser maior ou igual à CIR.

    Você pode especificar esse tipo de polícia em um firewall de entrada ou saída.

    Nota:

    Um policial de três cores de duas taxas é mais útil quando um serviço é estruturado de acordo com as taxas de chegada e não necessariamente o comprimento do pacote.

Consulte Tabela 1 informações sobre como os resultados de medição são aplicados a cada um desses tipos de polícia.

Ações de polícia

As ações de polícia são implícitas ou explícitas e variam de acordo com o tipo de policial. Isso significa que o Junos OS atribua automaticamente a prioridade de perda. Tabela 1 descreve as ações do policial.

Tabela 1: Ações de polícia

Policer

Marcação

Ação implícita

Ação configurável

Duas cores de taxa única

Verde (conforme)

Atribua prioridade de perda baixa

Nenhum

Vermelho (não conformidade)

Nenhum

Descartar

Três cores de taxa única

Verde (conforme)

Atribua prioridade de perda baixa

Nenhum

Amarelo (acima da CIR e da CBS)

Atribua prioridade de perda média e alta

Nenhum

Vermelho (acima do EBS)

Atribua alta prioridade de perda

Descartar

Três cores de duas taxas

Verde (conforme)

Atribua prioridade de perda baixa

Nenhum

Amarelo (acima da CIR e da CBS)

Atribua prioridade de perda média e alta

Nenhum

Vermelho (acima do PIR e do PBS)

Atribua alta prioridade de perda

Descartar

Nota:

Se você especificar um policial em um filtro de firewallde saída, a única ação suportada é discard .

Cores do policer

Os policiais de três cores de taxa única e de duas taxas podem operar em dois modos:

  • Color-blind — No modo color-blind, o policial de três cores assume que todos os pacotes analisados não tenham sido previamente marcados ou monitorados. Em outras palavras, o policial de três cores é "cego" para qualquer coloração anterior que um pacote possa ter tido.

  • Consciência de cores — no modo de conscientização de cores, o polícial de três cores assume que todos os pacotes analisados foram previamente marcados ou monitorados. Em outras palavras, o policial de três cores está "consciente" da coloração anterior que um pacote poderia ter. No modo de conscientização de cores, o policial de três cores pode aumentar o PLP de um pacote, mas não pode reduzi-lo. Por exemplo, se um policial de três cores reconhecedor de cores medição de um pacote com uma marcação PLP média, ele pode elevar o nível do PLP para alto, mas não pode reduzir o nível do PLP para baixo.

Agentes de polícia específicos de filtro

Você pode configurar os agentes de polícia para serem específicos do filtro, o que significa que o Junos OS cria apenas uma instância de polícia, independentemente de quantas vezes o policial seja referenciado. Quando você faz isso em alguns switches QFX, o limite de taxa é aplicado de forma agregada, portanto, se você configurar um policial para descartar tráfego que exceder 1 Gbps e referenciar esse policial em três termos diferentes, a largura de banda total permitida pelo filtro é de 1 Gbps. No entanto, o comportamento de um policial específico de filtro é afetado pela forma como os termos do filtro de firewall que referenciam o policial são armazenados em TCAM. Se você criar um policial específico de filtro e referencia-lo em vários termos de filtro de firewall, o policial permitirá mais tráfego do que o esperado se os termos são armazenados em fatias de TCAM diferentes. Por exemplo, se você configurar um policial para descartar tráfego que exceda 1 Gbps e referenciar esse policial em três termos diferentes que são armazenados em três fatias de memória diferentes, a largura de banda total permitida pelo filtro é de 3 Gbps, e não 1 Gbps. (Esse comportamento não ocorre nos QFX10000 switches.)

Para evitar que esse comportamento inesperado ocorra, use as informações sobre fatias de TCAM apresentadas no planejamento do número de filtros de firewall para criar para organizar seu arquivo de configuração de maneira que todos os termos do filtro de firewall que referenciam um determinado policial específico de filtro sejam armazenados na mesma fatia da TCAM.

Sugestão de nomeação para policiais

Recomendamos que você use a convenção de nomeação ao configurar os policiais de três cores e ao configurar os policiais policertypeTCM#-color typepolicer# de duas cores. TCM significa marco de três cores. Como os policiais podem ser inúmeros e devem ser aplicados corretamente ao trabalho, uma simples convenção de nomeação facilita a aplicação adequada dos agentes de polícia. Por exemplo, o primeiro polícial de três cores de taxa única e com consciência de cores configurado seria nomeado srTCM1-ca . A segunda de duas taxas, configurada com três cores e coloridas, seria nomeada trTCM2-cb . Os elementos desta convenção de nomeação são explicadas abaixo:

  • sr (de taxa única)

  • tr (duas taxas)

  • TCM (marcação tricolor)

  • 1 ou 2 (número de marcador)

  • ca (consciente de cores)

  • cb (color-blind)

Contadores de polícia

Em alguns switches QFX, cada policial que você configura inclui um contador implícito que conta o número de pacotes que excedem os limites de taxa especificados para o policial. Se você usar o mesmo policial em vários termos, dentro do mesmo filtro ou em filtros diferentes, o contador implícito conta todos os pacotes que são políciados em todos esses termos e fornece a quantidade total. (Isso não se aplica a QFX10000 switches.) Se você quiser obter contagens de pacotes separadamente para cada termo em um switch afetado, use essas opções:

  • Configure um policial exclusivo para cada termo.

  • Configure apenas um policial, mas use um contador exclusivo e explícito em cada termo.

Algoritmos de Policer

O policiamento usa o algoritmo token-bucket,que aplica um limite na largura de banda média, permitindo rajadas de até um valor máximo especificado. Ele oferece mais flexibilidade do que o algoritmo de "bucket", permitindo uma certa quantidade de tráfego estourado antes de começar a descartar pacotes.

Nota:

Em um ambiente de tráfego estourado de luz, QFX5200 pode não replicar todos os pacotes multicast para duas ou mais interfaces downstream. Isso ocorre apenas em um estouro da taxa de linha— se o tráfego for consistente, o problema não ocorre. Além disso, o problema só ocorre quando o tamanho do pacote aumenta para além de 6k em um fluxo de tráfego de um gigabit.

Quantos policiais são apoiados?

QFX10000 switches de suporte para policiais de 8K (todos os tipos de policiais). QFX5100 e switches QFX5200 são de suporte para 1.535 policiais de entrada e 1.024 polícias de saída (assumindo um policial por termo de filtro de firewall). QFX5110 switches de suporte para 6.144 policiais de entrada e 1.024 polícias de saída (assumindo um policial por termo de filtro de firewall).

QFX3500 e QFX3600 autônomos e dispositivos QFabric Node são compatíveis com os seguintes números de policiais (assumindo-se um policial por termo de filtro de firewall):

  • Policiais de duas cores usados em filtros de firewall de entrada: 767

  • Policiais de três cores usados em filtros de firewall de entrada: 767

  • Policiais de duas cores usados em filtros de firewall de saída: 1022

  • Policiais de três cores usados em filtros de firewall de saída: 512

Os policiais podem limitar filtros de firewall de saída

Em alguns switches, o número de policiais de saída que você configura pode afetar o número total de filtros de firewall de saída permitidos. Cada policial tem dois contadores implícitos que adem duas entradas em uma TCAM de 1024 entradas. Eles são usados para contadores, incluindo contadores configurados como modificadores de ação em termos de filtro de firewall. (Os policiais consomem duas entradas porque uma é usada para pacotes verdes e uma é usada para pacotes nongreen, independentemente do tipo de policial).) Se a TCAM ficar completa, você não poderá cometer mais filtros de firewall de saída que tenham termos com os contadores. Por exemplo, se você configurar e cometer 512 polícias de saída (duas cores, três cores ou uma combinação de ambos os tipos de policiais), todas as entradas de memória para contadores serão usadas. Se, mais tarde, em seu arquivo de configuração, você inserir filtros de firewall de saída adicionais com termos que também incluem contadores, nenhum dos termos desses filtros está comprometido porque não há espaço de memória disponível para os contadores.

Aqui estão alguns exemplos adicionais:

  • Assuma que você configure filtros de saída que incluem um total de 512 policiais e nenhum contadores. Mais tarde, em seu arquivo de configuração, você inclui outro filtro de saída com 10 termos, sendo que 1 deles tem um modificador de contra-ação. Nenhum dos termos deste filtro está comprometido porque não há espaço TCAM suficiente para o contador.

  • Assuma que você configure filtros de saída que incluam um total de 500 policiais, para que 1.000 entradas de TCAM sejam ocupadas. Mais tarde, em seu arquivo de configuração, você inclui os dois filtros de saída a seguir:

    • Filtrar A com 20 termos e 20 contadores. Todos os termos deste filtro estão comprometidos porque há espaço de TCAM suficiente para todos os contadores.

    • O filtro B vem depois do filtro A e tem cinco termos e cinco contadores. Nenhum dos termos deste filtro está comprometido porque não há espaço de memória suficiente para todos os contadores. (Cinco entradas de TCAM são necessárias, mas apenas quatro estão disponíveis.)

Você pode evitar esse problema, garantindo que termos de filtro de firewall de saída com contra-ações sejam colocados antes no arquivo de configuração do que termos que incluem agentes de segurança. Nesta circunstância, o Junos OS compromete os agentes de polícia, mesmo se não houver espaço de TCAM suficiente para os contadores implícitos. Por exemplo, assuma o seguinte:

  • Você tem 1.024 termos de filtro de firewall de saída com contra-ações.

  • Mais tarde, em seu arquivo de configuração, você tem um filtro de saída com 10 termos. Nenhum dos termos tem contadores, mas um deles tem um modificador de ação da polícia.

Você pode comprometer o filtro com sucesso com 10 termos, embora não haja espaço de TCAM suficiente para os contadores implícitos do policial. O policial está comprometido sem os contadores.