Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

使用流量管制控制网络访问概述

IP 流量拥塞管理

流量管制也称为 速率限制,是网络接入安全的重要组成部分,旨在阻止拒绝服务 (DoS) 攻击。信息流管制允许您控制接口上发送或接收的 IP 信息流的最大速率,并将网络流量分区为多个优先级级别,也称为 服务等级。监管器定义一组流量速率限制,并设置对不符合配置限制的信息流的后果。信息流中不符合信息流限制的数据包将被丢弃或标记为不同的转发类或数据包丢失优先级 (PLP) 级别。

除了配置为对聚合信息流进行速率限制的监管器(在物理接口上配置的所有协议族和逻辑接口)之外,您可以将监管器应用于 逻辑接口第 2 层或第 3 层信息流中的所有 IP 数据包。

除了根据物理接口介质速率配置为速率限制的监管器外,您可使用无状态 防火墙过滤器,对逻辑接口第 3 层流量流中的特定 IP 数据包应用监管器。

您可以为入站或出站接口信息流应用监管器。应用于入站流量的监管器通过丢弃不需要通过网络路由的流量来帮助节省资源。丢弃入站流量也有助于阻止拒绝服务 (DoS) 攻击。监管器应用于出站流量控制所用带宽。

注意:

流量监管器按 PIC 实例化。当一个本地策略决策功能 (L-PDF) 订阅者的信息流通过 AMS 组中的多个多服务 PIC 分发时,信息流管制将无法工作。

流量限制

Junos OS 监管器使用 令牌桶算法 对接口上的平均传输或接收流量速率实施限制,同时根据配置的带宽限制和配置的突发大小允许流量突发达到最大值。令牌桶算法提供比 漏水桶算法 更高的灵活性,即在开始丢弃数据包或应用惩罚(如数据包输出排队优先级或数据包丢弃优先级)之前,您可以允许指定的信息流突发。

在令牌桶模型中,该桶表示监管器的速率限制功能。令牌以固定速率添加到桶中,但到达桶的指定深度后,将无法存储和使用令牌。每个令牌表示某些位的“信用”,桶中的令牌将“兑现”,以便能够在接口上传输或接收信息流。当桶中存在足够的令牌时,信息流将继续不受限制。否则,数据包可能会被丢弃,或者用较低的转发类、更高的数据包丢失优先级 (PLP) 级别或两者同时重新标记。

  • 将令牌添加到桶中的速率表示给定服务级别允许的每秒位中最高的平均传输或接收速率。您将此最高的平均流量速率指定为监管器的 带宽限制 。如果流量到达速率(或固定位/秒)如此之高,以至于在某个点桶中存在令牌不足,则信息流将不再符合信息流限制。在流量相对较低(以低于令牌到达速率的平均速率到达或离开接口的信息流)期间,未使用的令牌会在桶中累积。

  • 桶的深度以字节为准,用于控制允许的从后到后的突发量。您将此因素指定为监管器的 突发大小限制 。此第二个限制限制在给定时间间隔内限制传输突发允许的字节数,从而影响平均传输或接收速率。超过当前突发大小限制的突发数据被丢弃,直至有足够的令牌允许突发继续。

    图 1:网络流量和突发率 Network Traffic and Burst Rates

    如上图所示,UPC 条码可以很好地传真线路上的流量模样:一个接口正在传输(全速爆发),要么不是。黑线表示数据传输时段,白空间表示令牌桶可以补充时的沉默期。

根据使用的监管器类型,超过定义限制的监管流量中的数据包可能会被默示设置为更高的 PLP 级别,分配给配置的转发类或设置为已配置的 PLP 级别(或两者兼有),或者干脆丢弃。如果数据包遇到下游拥塞,则与具有 PLP 级别的数据包相比medium-lowmedium-highhigh,具有 PLP 级别的数据包low被丢弃的可能性更小。

流量颜色标记

根据配置的特定流量限制集,监管器将流量标识为属于两个或三个类别之一,这些类别类似于用于控制汽车交通的红绿灯的颜色。

  • 单速率双色 - 双色标记监管器(或无资格使用时的“监管器”)对信息流进行计量,并根据配置的带宽和突发大小限制将数据包分类为两类丢包优先级 (PLP)。您可以以某种方式标记超过带宽和突发大小限制的数据包,或者干脆丢弃这些数据包。

    监管器在端口(物理接口)级别对流量计量最有用。

  • 单速率三色 — 此类型的监管器在 RFC 2697 单速率三色标记中定义,作为差异服务 (DiffServ) 环境的保证转发 (AF) 单跃点行为 (PHB) 分类系统的一部分。这种类型的监管器根据配置的信息速率 (CIR)、承诺的突发大小 (CBS) 和多余的突发大小 (EBS) 来计量流量。根据到达的数据包是否低于 CBS(绿色)、超过 CBS(黄色)但不属于 EBS 或超过 EBS(红色),信息流标记为属于三类之一(绿色、黄色或红色)。

    单速率三色监管器在根据数据包长度而非峰值到达速率进行结构化时最有用。

  • 双速率三色 — 此类型的监管器在 RFC 2698 双 速率三色标记中定义,作为差异服务 (DiffServ) 环境的保证转发 (AF) 单跃点行为 (PHB) 分类系统的一部分。这种类型的监管器根据配置的 CIR 和峰值信息速率 (PIR) 及其关联的突发大小、CBS 和 峰值突发大小 (PBS) 来计量流量。根据到达的数据包是否低于 CIR(绿色)、超过 CIR(黄色)但非 PIR 或超过 PIR(红色),信息流标记为属于三类(绿色、黄色或红色)之一。

    如果根据到达速率(不一定是数据包长度)构建服务,则双速率三色监管器最有用。

监管器操作含蓄或显式,且因监管器类型而异。 “隐式 ”一词意味着 Junos 会自动分配丢失优先级。 表 1 介绍了监管器的行为。

表 1:监管器操作

监管器

标记

隐式操作

可配置操作

单速率双色

绿色(符合)

分配低丢失优先级

没有

红色(未格式)

没有

分配低或高丢失优先级,分配转发类,或丢弃某些平台,您可以分配中低或中等高丢失优先级

单速率三色

绿色(符合)

分配低丢失优先级

没有

黄色(CIR 和 CBS 上方)

分配中等高损耗优先级

没有

红色(EBS 上方)

分配高丢失优先级

丢弃

双速率三色

绿色(符合)

分配低丢失优先级

没有

黄色(CIR 和 CBS 上方)

分配中等高损耗优先级

没有

红色(PIR 和 PBS 上方)

分配高丢失优先级

丢弃

转发类和 PLP 级别

Junos OS 服务等级 (CoS) 功能使用数据包的转发类分配和 PLP 级别。Junos OS CoS 功能包括一组机制,您可以使用这些机制在尽力服务流量交付不足时提供差异化服务。对于承载 IPv4、IPv6 和 MPLS 流量的路由器(和交换机)接口,您可以根据单个数据包的转发类分配和 PLP 级别,配置 CoS 功能以接受进入网络边缘的单一信息流,并提供跨网络的不同服务级别 (内部转发和调度(队列)。

注意:

由监管器或无状态防火墙过滤器执行的转发类或丢失优先级分配,将所有逻辑接口上的 CoS 默认 IP 优先级分类或者显式映射到逻辑接口的任何配置的行为聚合 (BA) 分类器替代在入口上执行的任何此类分配。

根据 CoS 配置,给定转发类的数据包通过特定输出队列进行传输,并且每个输出队列都与 时间表中定义的传输服务级别相关联。

根据其他 CoS 配置,当输出队列中的数据包遇到拥塞时,具有更高丢失优先级值的数据包更有可能被随机早期检测 (RED) 算法丢弃。数据包丢失优先级值会影响数据包的调度,而不会影响数据包在信息流中的相对排序。

监管器应用程序到流量

定义并命名监管器之后,将其存储为模板。您以后可以使用同一个监管器名称,每次您想使用时提供相同的监管器配置。这不再需要不止一次地定义相同的监管器值。

您可以通过以下两种方式对流量应用监管器:

  • 您可以配置标准的无状态防火墙过滤器,该过滤器可指定 policer policer-name 非端点操作或 three-color-policer (single-rate | two-rate) policer-name 非端点操作。将标准过滤器应用于逻辑接口上的输入或输出时,监管器将应用于与过滤器配置中指定条件匹配的过滤器特定协议家族的所有数据包。

    通过此应用监管器的方法,您可以在接口上定义特定的流量等级,并将流量速率限制应用于每个类。

  • 您可以将监管器直接应用到接口,以便流量速率限制适用于该接口上的所有信息流,而无需考虑协议家族或任何匹配条件。

您可以在队列、逻辑接口或第 2 层 (MAC) 级别配置监管器。出口队列中仅对数据包应用一个监管器,并按以下顺序搜索监管器:

  • 队列级别

  • 逻辑接口级别

  • 第 2 层 (MAC) 级别