Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Policiais básicos de duas cores de taxa única

Visão geral de um policial de duas cores

O policiamento de cores de duas taxas única aplica uma taxa de fluxo de tráfego configurada para um nível de serviço específico aplicando ações implícitas ou configuradas ao tráfego que não esteja de acordo com os limites. Quando você aplica um políciador de duas cores de uma única taxa ao tráfego de entrada ou saída em uma interface, o policial medição o fluxo de tráfego até o limite de taxa definido pelos seguintes componentes:

  • Limite de largura de banda — O número médio de bits por segundo permitido para pacotes recebidos ou transmitidos na interface. Você pode especificar o limite de largura de banda como um número absoluto de bits por segundo ou como um valor percentual de 1 a 100. Se um valor percentual for especificado, o limite de largura de banda eficaz é calculado como uma porcentagem da taxa de mídia da interface física ou da taxa de modelagem configurada da interface lógica.

  • Limite de pacotes por segundo (série MX apenas com MPC)– O número médio de pacotes por segundo permitido para pacotes recebidos ou transmitidos na interface. Você especifica o limite de pps como um número absoluto de pacotes por segundo.

  • Limite de tamanho estouro — O tamanho máximo permitido para rajadas de dados.

  • Limite de ruptura de pacote–

Para um fluxo de tráfego que esteja em conformidade com os limites configurados (categorizados como tráfego verde), os pacotes são implicitamente marcados com um nível de prioridade de perda de pacotes (PLP) e são autorizados a passar pela interface sem low restrições.

Para um fluxo de tráfego que exceda os limites configurados (categorizados como tráfego vermelho), os pacotes são tratados de acordo com as ações de policiamento de tráfego configuradas para o policial. A ação pode ser descartar o pacote, ou a ação pode ser re-marque o pacote com uma classe de encaminhamento especificada, um PLP especificado ou ambos, e depois transmitir o pacote.

Para limitar a taxa de tráfego da Camada 3, você pode aplicar um policial de duas cores das seguintes maneiras:

  • Diretamente para uma interface lógica, em um nível de protocolo específico.

  • Como a ação de um filtro de firewall sem estado padrão que é aplicado a uma interface lógica, em um nível de protocolo específico.

Para limitar a taxa de tráfego da Camada 2, você pode aplicar um policial de duas cores apenas como um políciador de interface lógica. Você não pode aplicar um policial de duas cores ao tráfego da Camada 2 por meio de um filtro de firewall.

Exemplo: Limitando o tráfego de entrada na borda da rede configurando um policial de duas cores de taxa única de ingresso

Este exemplo mostra como configurar um policial de duas cores de duas cores de entrada para filtrar o tráfego de entrada. O policial aplica a estratégia de classe de serviço (CoS) para tráfego dentro e fora do contrato. Você pode aplicar um policial de duas cores de uma única taxa a pacotes, pacotes de saída ou ambos. Este exemplo aplica o policial como um polícial de entrada (entrada). O objetivo deste tópico é oferecer a você uma introdução ao policiamento usando um exemplo que mostra o policiamento de tráfego em ação.

Os policiais usam um conceito conhecido como um balde de símbolos para alocar recursos do sistema com base nos parâmetros definidos para o policial. Uma explicação aprofundada do conceito de "token bucket" e de seus algoritmos subjacentes está além do escopo deste documento. Para obter mais informações sobre o CoS de tráfego, consulte Redes habilitadas por QOS — Ferramentas e Fundações por Miguel Barreiros e Peter Lundqvist. Este livro está disponível em muitos livreiros on-line e na www.juniper.net/books.

Requisitos

Para verificar esse procedimento, este exemplo usa um gerador de tráfego. O gerador de tráfego pode ser baseado em hardware ou software em execução em um servidor ou máquina host.

A funcionalidade deste procedimento é amplamente compatível com dispositivos que executarem o Junos OS. O exemplo mostrado aqui foi testado e verificado em roteadores da Série MX que executam a versão 10.4 do Junos OS.

Visão geral

O policiamento de duas cores de taxa única aplica uma taxa de fluxo de tráfego configurada para um nível de serviço específico aplicando ações implícitas ou configuradas ao tráfego que não esteja conforme aos limites. Quando você aplica um políciador de duas cores de uma única taxa ao tráfego de entrada ou saída em uma interface, o policial medição o fluxo de tráfego até o limite de taxa definido pelos seguintes componentes:

  • Limite de largura de banda — O número médio de bits por segundo permitido para pacotes recebidos ou transmitidos na interface. Você pode especificar o limite de largura de banda como um número absoluto de bits por segundo ou como um valor percentual de 1 a 100. Se um valor percentual for especificado, o limite de largura de banda eficaz é calculado como uma porcentagem da taxa de mídia da interface física ou da taxa de modelagem configurada da interface lógica.

  • Limite de tamanho estouro — O tamanho máximo permitido para rajadas de dados. Tamanhos de ruptura são medidos em bytes. Recomendamos duas fórmulas para calcular o tamanho do estouro:

    Tamanho da explosão = largura de banda x tempo de uso para tráfego estourado / 8

    Ou

    Tamanho da explosão = interface mtu x 10

    Para obter informações sobre a configuração do tamanho do estouro, consulte Determinar o tamanho adequado de estouro para agentes de tráfego.

    Nota:

    Existe um espaço de buffer finito para uma interface. Em geral, a profundidade total de buffer estimada para uma interface é de cerca de 125 ms.

Para um fluxo de tráfego que esteja em conformidade com os limites configurados (categorizados como tráfego verde), os pacotes são implicitamente marcados com um nível de prioridade de perda de pacotes (PLP) baixo e podem passar pela interface sem restrições.

Para um fluxo de tráfego que exceda os limites configurados (categorizados como tráfego vermelho), os pacotes são tratados de acordo com as ações de policiamento de tráfego configuradas para o policial. Este exemplo descarta pacotes que superam o limite de 15 KBps.

Para limitar a taxa de tráfego da Camada 3, você pode aplicar um policial de duas cores das seguintes maneiras:

  • Diretamente para uma interface lógica, em um nível de protocolo específico.

  • Como a ação de um filtro de firewall sem estado padrão que é aplicado a uma interface lógica, em um nível de protocolo específico. Esta é a técnica usada neste exemplo.

Para limitar a taxa de tráfego da Camada 2, você pode aplicar um policial de duas cores apenas como um políciador de interface lógica. Você não pode aplicar um policial de duas cores ao tráfego da Camada 2 por meio de um filtro de firewall.

CUIDADO:

Você pode escolher o limite da largura de banda ou a porcentagem da largura de banda dentro do policial, pois eles são mutuamente exclusivos. Você não pode configurar um policial para usar a porcentagem da largura de banda para interfaces de software, túnel e agregadas.

Neste exemplo, o host é um gerador de tráfego que emula um webservador. Os dispositivos R1 e R2 são propriedade de um provedor de serviços. O webservador é acessado por usuários no Device Host2. O Device Host1 enviará tráfego com uma porta HTTP TCP de origem de 80 para os usuários. Um policial de duas cores de uma única taxa está configurado e aplicado à interface do dispositivo R1 que se conecta ao Dispositivo Host1. O policial aplica a disponibilidade de largura de banda contratual feita entre o proprietário do webservador e o provedor de serviços que possui o dispositivo R1 para o tráfego da Web que flue pelo enlace que conecta o dispositivo Host1 ao dispositivo R1.

De acordo com a disponibilidade de largura de banda contratual feita entre o proprietário do webservador e o provedor de serviços que possui os dispositivos R1 e R2, o policial limitará o tráfego de porta HTTP 80 originado do Dispositivo Host1 até usar 700 Mbps (70 por cento) da largura de banda disponível com uma taxa de ruptura de 10 x o tamanho da MTU da interface Ethernet gigabit entre o host Host1 e o dispositivo R1.

Nota:

Em um cenário real, você provavelmente também taxaria o tráfego limite para várias outras portas, como FTP, SFTP, SSH, TELNET, SMTP, IMAP e POP3, porque muitas vezes elas são incluídas como serviços adicionais com serviços de hospedagem da Web.

Nota:

Você precisa deixar alguma largura de banda adicional disponível que não seja limitada para protocolos de controle de rede, como protocolos de roteamento, DNS e quaisquer outros protocolos necessários para manter a conectividade de rede operacional. É por isso que o filtro de firewall tem uma condição de aceite final.

Topologia

Este exemplo usa a topologia em Figura 1 .

Figura 1: Cenário de polícia de duas cores de taxa únicaCenário de polícia de duas cores de taxa única

Figura 2 mostra o comportamento do policiamento.

Figura 2: Limitação de tráfego em um cenário de polícia de duas cores de taxa únicaLimitação de tráfego em um cenário de polícia de duas cores de taxa única

Configuração

Procedimento

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os comandos a seguir, confie-os em um arquivo de texto, remova quaisquer quebras de linha, altere quaisquer detalhes necessários para combinar com a configuração da rede e, em seguida, copie e copie e colar os comandos na CLI no nível da [edit] hierarquia.

Dispositivo R1

Dispositivo R2

Procedimento passo a passo

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Como usar o Editor de CLI no modo de configuração no Guia de Usuários da CLI do Junos OS.

Para configurar o dispositivo R1:

  1. Configure as interfaces de dispositivo.

  2. Aplique o filtro de firewall na interface ge-2/0/5 como um filtro de entrada.

  3. Configure o policial para limitar a taxa a uma largura de banda de 700 Mbps e um tamanho de ruptura de 15.000 KBps para tráfego HTTP (porta TCP 80).

  4. Configure o policial para descartar pacotes no fluxo de tráfego vermelho.

  5. Configure as duas condições do firewall para aceitar todo o tráfego TCP para porta HTTP (porta 80).

  6. Configure a ação de firewall para limitar a taxa de tráfego HTTP TCP usando o policer.

  7. Ao final do filtro de firewall, configure uma ação padrão que aceita todos os outros tráfegos.

    Caso contrário, todo o tráfego que chega à interface e não é aceito explicitamente pelo firewall é descartado.

  8. Configure OSPF.

Procedimento passo a passo

Para configurar o dispositivo R2:

  1. Configure as interfaces de dispositivo.

  2. Configure OSPF.

Resultados

A partir do modo de configuração, confirme sua configuração show interfaces inserindo os show firewall comandos , e . show protocols ospf Se a saída não apresentar a configuração pretendido, repetir as instruções neste exemplo para corrigir a configuração.

Caso você não configure o dispositivo R1, entre commit no modo de configuração.

Caso você não configure o dispositivo R2, entre commit no modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Limpar os contadores

Propósito

Confirmar se os contadores de firewall estão inocentados.

Ação

No dispositivo R1, execute o clear firewall all comando para reconfigurar os contadores de firewall para 0.

Envio de tráfego TCP para a rede e monitoramento de descartes

Propósito

Certifique-se de que o tráfego de juros enviado é limitado pela taxa na interface de entrada (ge-2/0/5).

Ação
  1. Use um gerador de tráfego para enviar 10 pacotes TCP com uma porta de origem de 80.

    A bandeira -s define a porta de origem. A bandeira -k faz com que a porta de origem permaneça estável em 80, em vez de incrementar. O sinal -c define o número de pacotes em 10. A bandeira -d define o tamanho do pacote.

    O endereço IP de destino de 172.16.80.1 pertence ao Dispositivo Host 2 conectado ao dispositivo R2. O usuário do Device Host 2 requisitou uma página da Web do Device Host 1 (o servidor da web emulado pelo gerador de tráfego no Device Host 1). Os pacotes com limitação de taxa são enviados do Device Host 1 em resposta à solicitação do Device Host 2.

    Nota:

    Neste exemplo, os números de polícia são reduzidos a um limite de largura de banda de 8 Kbps e a um limite de tamanho de ruptura de 1.500 KBps para garantir que alguns pacotes sejam descartados durante este teste.

  2. No dispositivo R1, consulte os contadores de firewall usando o show firewall comando.

Significado

Nas Etapas 1 e 2, a saída de ambos os dispositivos mostra que 4 pacotes foram descartados Isso significa que houve pelo menos 8 Kbps de tráfego verde (na porta HTTP 80 do contrato) e que a opção de estouro de 1.500 KBps para tráfego de porta HTTP 80 não contratado foi excedida.

Exemplo: Configuração de polícias de filtro de interface e firewall na mesma interface

Este exemplo mostra como configurar três polícias de duas cores de taxa única e aplicar os policiais ao tráfego de entrada IPv4 na mesma interface lógica de LAN virtual de tags única (VLAN).

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Neste exemplo, você configura três polícias de duas cores de taxa única e aplica os policiais ao tráfego de entrada IPv4 na mesma interface lógica de VLAN de tags única. Dois agentes de segurança são aplicados à interface por meio de um filtro de firewall, e um deles é aplicado diretamente à interface.

Você configura um policial, nomeado , para taxar o tráfego de limite de até 1 Mbps com um tamanho de ruptura de p-all-1m-5k-discard 5.000 bytes. Você aplica esse policial diretamente ao tráfego de entrada IPv4 na interface lógica. Quando você aplica um policial diretamente ao tráfego específico do protocolo em uma interface lógica, dizem que o policial é aplicado como um políciador de interface.

Você configura os outros dois políciais para permitir tamanhos de explosão de 500 KB, e aplica-os ao tráfego de entrada IPv4 na interface lógica usando um filtro de firewall stateless padrão IPv4. Quando você aplica um policial ao tráfego específico de protocolo em uma interface lógica por meio de uma ação de filtro de firewall, dizem que o policial é aplicado como um políciador de filtro de firewall.

  • Você configura o políciador nomeado para limitar a taxa de tráfego a 500 Kbps com um tamanho de ruptura de 500 bytes K ao descartar pacotes que não se conformam a esses p-icmp-500k-500k-discard limites. Você configura um dos termos do filtro de firewall para aplicar esse policial aos pacotes de Protocolo de Mensagens de Controle de Internet (ICMP).

  • Você configura o policial nomeado para limitar a taxa de tráfego a uma largura de banda de 10 por cento com um tamanho de ruptura de p-ftp-10p-500k-discard 500 KB, descartando pacotes que não estão em conformidade com esses limites. Você configura outro termo de filtro de firewall para aplicar esse policial a pacotes FTP (File Transfer Protocol, Protocolo de transferência de arquivo).

Um policial que você configura com um limite de largura de banda expresso em um valor percentual (em vez de como um valor de largura de banda absoluto) é chamado de policer de largura de banda. Somente policiais de duas cores de taxa única podem ser configurados com uma especificação de largura de banda percentual. Por padrão, uma taxa de polícia de largura de banda limita o tráfego à porcentagem especificada da taxa de linha da interface física subjacente à interface lógica do alvo.

Topologia

Você configura a interface lógica alvo como uma interface lógica de VLAN com uma única etiqueta em uma interface Fast Ethernet que opera a 100 Mbps. Isso significa que o policial que você configura com o limite de largura de banda de 10 por cento (o policial aplicado a pacotes FTP) limita o tráfego de FTP nesta interface a 10 Mbps.

Nota:

Neste exemplo, você não configura o policial de largura de banda como um policial de largura de banda lógica. Portanto, a porcentagem é baseada na taxa de mídia física, em vez de na taxa de modelagem configurada da interface lógica.

O filtro de firewall que você configura para referenciar dois dos policiais deve estar configurado como um filtro específico da interface. Como o policial usado para limitar a taxa de pacotes de FTP especifica o limite de largura de banda como um valor percentual, o filtro de firewall que referencia esse policial deve estar configurado como um filtro específico da interface. Assim, se esse filtro de firewall fosse aplicado a várias interfaces, em vez de apenas à interface Fast Ethernet, neste exemplo, seriam criados políciadores e contadores exclusivos para cada interface à qual o filtro é aplicado.

Configuração

O exemplo a seguir requer que você navegar por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Nós e o CLI Editor em modo de configuração .

Para configurar este exemplo, realize as seguintes tarefas:

Configuração rápida CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova quaisquer quebras de linha e, em seguida, confie os comandos na CLI no nível [edit] da hierarquia.

Configurando a interface lógica de VLAN de tags única

Procedimento passo a passo

Para configurar a interface lógica VLAN de tags única:

  1. Habilitar a configuração da interface Fast Ethernet.

  2. Habilitar o enquadramento de VLAN de tags única.

  3. Vincular IDs de VLAN às interfaces lógicas.

  4. Configure iPv4 nas interfaces lógicas de VLAN de tags única.

Resultados

Confirmar a configuração da VLAN ao entrar no comando show interfaces do modo de configuração. Se a saída do comando não apresentar a configuração pretendido, repetirá as instruções deste procedimento para corrigir a configuração.

Configuração dos Três Policiais

Procedimento passo a passo

Para configurar os três agentes de polícia:

  1. Ative a configuração de um policial de duas cores que descarta pacotes que não estão em conformidade com uma largura de banda de 1 Mbps e um tamanho de explosão de 5.000 bytes.

    Nota:

    Você aplica esse policial diretamente a todo o tráfego de entrada IPv4 na interface lógica VLAN de tags única, para que os pacotes não sejam filtrados antes de serem sujeitos a limitação de taxa.

  2. Configure o primeiro policial.

  3. Ative a configuração de um policial de duas cores que descarta pacotes que não estão em conformidade com uma largura de banda especificada como "10 por cento" e um tamanho de explosão de 500.000 bytes.

    Você aplica esse policial apenas ao tráfego de FTP na interface lógica VLAN de tags única.

    Você aplica esse policial como a ação de um termo de filtro de firewall IPv4 que combina com pacotes FTP do TCP.

  4. Configure limites e ações de policiamento.

    Como o limite de largura de banda é especificado como uma porcentagem, o filtro de firewall que referencia esse policial deve estar configurado como um filtro específico da interface.

    Nota:

    Caso você quisesse que esse policial limitasse a 10 por cento da taxa de modelagem configurada da interface lógica (em vez de 10 por cento da taxa de mídia da interface física), você precisaria incluir a declaração no nível da logical-bandwidth-policer[edit firewall policer p-all-1m-5k-discard] hierarquia. Esse tipo de polícia é chamado de polícia de largura de banda lógica.

  5. Habilitar a configuração do filtro de firewall IPv4 para pacotes ICMP.

  6. Configure limites e ações de policiamento.

Resultados

Confirmar a configuração dos policiais ao entrar no comando show firewall do modo de configuração. Se a saída do comando não apresentar a configuração pretendido, repetirá as instruções deste procedimento para corrigir a configuração.

Configuração do filtro de firewall IPv4

Procedimento passo a passo

Para configurar o filtro de firewall IPv4:

  1. Habilitar a configuração do filtro de firewall IPv4.

  2. Configure o filtro de firewall como específico da interface.

    O filtro de firewall deve ser específico da interface, porque um dos policiais referenciados está configurado com um limite de largura de banda expresso em um valor percentual.

  3. Habilitar a configuração de um termo de filtro para limitar a taxa de pacotes de FTP.

    As mensagens de FTP são enviadas pela porta TCP 20 ( ) e ftp recebidas pela porta TCP 21 ( ftp-data ).

  4. Configure o termo do filtro para combinar com pacotes de FTP.

  5. Habilitar a configuração de um termo de filtro para limitar a taxa de pacotes ICMP.

  6. Configure o termo de filtro para pacotes ICMP

  7. Configure um termo de filtro para aceitar todos os outros pacotes sem policiamento.

Resultados

Confirmar a configuração do filtro de firewall inserindo o comando show firewall modo de configuração. Se a saída do comando não apresentar a configuração pretendido, repetirá as instruções deste procedimento para corrigir a configuração.

Aplicar o Interface Policer e os Firewall Filter Policers à interface lógica

Procedimento passo a passo

Para aplicar os três agentes à VLAN:

  1. Habilitar a configuração do IPv4 na interface lógica.

  2. Aplique os filtros de firewall à interface.

  3. Aplique o policer da interface à interface.

    Os pacotes de entrada são avaliados em relação ao policer da interface antes de ser avaliados contra os agentes de fe-0/1/1.0 filtro de firewall. Para obter mais informações, consulte Ordem das Operações de Filtro de Firewall e Policer .

Resultados

Confirmar a configuração da interface inserindo o comando show interfaces modo de configuração. Se a saída do comando não apresentar a configuração pretendido, repetirá as instruções deste procedimento para corrigir a configuração.

Caso você não configure o dispositivo, entre commit no modo de configuração.

Verificação

Confirmar se a configuração está funcionando corretamente.

Exibição de policiais aplicadas diretamente à interface lógica

Propósito

Verifique se o policial de interface é avaliado quando os pacotes são recebidos na interface lógica.

Ação

Use o comando show interfaces policers do modo operacional para interface fe-0/1/1.1 lógica. A seção de saída de comando da coluna e da coluna mostra que o policial é avaliado quando os pacotes são ProtoInput Policerp-all-1m-5k-discard recebidos na interface lógica.

Neste exemplo, o policial de interface é aplicado apenas ao tráfego de interface lógica na direção da entrada.

Exibição de estatísticas para o policial aplicadas diretamente à interface lógica

Propósito

Verificar o número de pacotes avaliados pelo polícia de interface.

Ação

Use o comando do modo operacional e especifique opcionalmente show policer o nome do agente de segurança. A saída de comando exibe o número de pacotes avaliados por cada policial configurado (ou o policial especificado), em cada direção.

Exibindo os filtros de firewall e os policiais aplicados a uma interface

Propósito

Verificar se o filtro de firewall é aplicado ao tráfego de entrada filter-ipv4-with-limits IPv4 na interface fe-0/1/1.1 lógica.

Ação

Use o show interfaces statistics comando do modo operacional para interface lógica e inclua a fe-0/1/1.1detail opção. Na seção da seção de saída de comando, as linhas e os nomes do filtro e do policial são exibidos na Protocol inet interface lógica na direção da Input FiltersPolicer entrada.

Neste exemplo, os dois filtros de firewall são aplicados apenas ao tráfego de interface lógica na direção da entrada.

Exibindo estatísticas para os firewall filter policers

Propósito

Verificar a quantidade de pacotes avaliados pelos agentes de filtragem de firewall.

Ação

Use o show firewall comando modo operacional para o filtro que você aplicou à interface lógica.

A saída de comando exibe os nomes dos policiais ( e ), combinados com os nomes dos termos do filtro p-ftp-10p-500k-discardp-icmp-500k-500k-discardt-ftp (e, respectivamente), nos quais a ação do policial t-icmp é especificada. As linhas de saída específicas do policer mostram o número de pacotes que combinaram o termo do filtro. Esse é apenas o número de contagens de pacotes fora da especificação (fora da especificação), nem todos os pacotes são políciados pelo policial.