Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

使用流量管制控制网络访问概述

IP 流量拥塞管理

流量管制也称为 速率限制,是网络访问安全的重要组成部分,旨在阻止拒绝服务 (DoS) 攻击。流量管制使您能够控制接口上发送或接收的最大 IP 流量速率,并将网络流量划分为多个优先级(也称为 服务等级)。监管器定义一组流量速率限制,并对不符合配置限制的流量设置结果。不符合流量限制的流量中的数据包将被丢弃或标记为不同的转发类或数据包丢失优先级 (PLP) 级别。

除了配置为速率限制聚合流量的监管器(物理接口上配置的所有协议族和逻辑接口)之外,您可以在一个 逻辑接口上对第 2 层或第 3 层流量中的所有 IP 数据包应用监管器。

除了配置为基于物理接口介质速率的速率限制的监管器之外,您可以使用无状态 防火墙过滤器对逻辑接口上第 3 层流量中的特定 IP 数据包应用监管器。

您可以对入站或出站接口流量应用监管器。应用于入站流量的监管器通过丢弃不需要通过网络路由的流量,有助于保护资源。丢弃入站流量还有助于阻止拒绝服务 (DoS) 攻击。应用于出站流量的监管器可控制使用的带宽。

注意:

交警按 PIC 实例化。当一个本地策略决策功能 (L-PDF) 订阅者的流量分布在 AMS 组中的多个多服务 PIC 上时,流量管制不起作用。

流量限制

Junos OS 监管器使用 令牌桶算法 对接口上的平均传输或接收流量速率实施限制,同时根据配置的带宽限制和配置的突发大小允许高达最大值的流量突发。与 泄漏的桶算法 相比,令牌桶算法具有更大的灵活性,因为您可以允许指定的流量在开始丢弃数据包之前发生突发,或者应用数据包输出队列优先级或数据包丢弃优先级等处罚。

在令牌桶模型中,桶表示监管器的速率限制功能。令牌会以固定的速率添加到桶中,但一旦达到桶的指定深度,将无法存储和使用分配给的令牌。每个令牌代表某些数量的位的“信用”,而桶中的令牌被“兑现”,以能够在接口传输或接收流量。当桶中存在足够的令牌时,流量将继续不受限制。否则,数据包可能会被丢弃或重新标记为较低的转发等级和/或数据包丢失优先级 (PLP) 级别。

  • 将令牌添加到桶中的速率表示给定服务级别允许的最高平均传输或接收速率(以位/秒计算)。您可以将这个最高的平均流量速率指定为监管器的 带宽限制 。如果流量到达率(或固定位/秒)如此高,以至于在某些时候桶中的令牌不足,则流量流不再符合流量限制。在流量相对较低(以低于令牌到达率的平均速率到达接口或从接口离开的流量)期间,未使用的令牌会累积到桶中。

  • 桶的深度(以字节为单位)可控制允许的从后到后爆发的量。您可以将此因素指定为监管器的 突发大小限制 。第二个限制会限制给定时间间隔内传输突发中允许的字节数,从而影响平均传输或接收速率。超过当前突发大小限制的突发数将丢弃,直到有足够的令牌可用于允许突发进行。

    图 1:网络流量和突发速率 Network Traffic and Burst Rates

    如上图所示,一个CNC代码是一个很好的传真,可以显示线路上的流量看起来是什么样子:接口要么正在传输(全速率爆发),要么没有传输。黑线表示数据传输周期,空格表示令牌桶可以补充时的沉默期。

根据使用的监管器类型,超过定义限制的监管流量中的数据包可能会被隐式设置为更高的 PLP 级别,分配给配置的转发类或设置为(或两者兼有)配置的 PLP 级别,或直接丢弃。如果数据包遇到下游拥塞,则具有 low PLP 级别的数据包比具有 medium-lowmedium-highhigh PLP 级别的数据包不太可能被丢弃。

流量着色标记

根据配置的特定流量限制集,监管器将流量识别为属于两个或三个类别之一,这些类别类似于用于控制汽车流量的交通灯的颜色。

  • 单速率双色 — 双色标记监管器(如无条件使用,则为流量流计量,并根据配置的带宽和突发大小限制将数据包分类为两类数据包丢失优先级 (PLP)。您可以以某种方式标记超过带宽和突发大小限制的数据包,或者直接丢弃这些数据包。

    监管器对于在端口(物理接口)级别计量流量非常有用。

  • 单速率三色 — 这种类型的监管器在 RFC 2697 单速率三色标记中定义,作为差异服务 (DiffServ) 环境有保证的单跃点行为 (PHB) 分类系统的一部分。此类型的监管器根据配置的提交信息速率 (CIR)、提交的突发大小 (CBS) 和多余的突发大小 (EBS) 来计量流量。根据到达的数据包是否低于 CBS(绿色)、超过 CBS(黄色)(黄色)或超过 EBS(红色),流量被标记为属于三个类别之一(绿色、黄色或红色)。

    如果根据数据包长度而不是峰值到达速率来构建服务,则单速率三色监管器最有用。

  • 双速率三色 — 这种类型的监管器在 RFC 2698( 双速率三色标记)中定义,作为差异化服务 (DiffServ) 环境有保证的单跃点行为 (PHB) 分类系统的一部分。这种类型的监管器根据配置的 CIR 和峰值信息速率 (PIR) 及其关联的突发大小、CBS 和 峰值突发大小 (PBS) 来计量流量。根据到达的数据包是否低于 CIR(绿色)、超过 CIR(黄色)(黄色)或超过 PIR(红色),流量被标记为属于三个类别之一(绿色、黄色或红色)。

    如果根据到达速率(不一定是数据包长度)来构建服务,则双速率三色监管器最有用。

监管器操作是含蓄的或明确的,并且因监管器类型而异。术语 隐式 意味着 Junos 会自动分配丢失优先级。 表 1 介绍了监管器操作。

表 1:监管器操作

监管器

标记

隐式操作

可配置操作

单速率双色

绿色(符合)

分配低损失优先级

没有

红色(不符合)

没有

分配低丢失优先级或高丢失优先级,分配转发类或丢弃在某些平台上,您可以分配中低或中高丢失优先级

单速率三色

绿色(符合)

分配低损失优先级

没有

黄色(CIR 和 CBS 上方)

分配中高丢失优先级

没有

红色(EBS 上方)

分配高丢失优先级

丢弃

双速率三色

绿色(符合)

分配低损失优先级

没有

黄色(CIR 和 CBS 上方)

分配中高丢失优先级

没有

红色(PIR 和 PBS 上方)

分配高丢失优先级

丢弃

转发类和 PLP 级别

Junos OS 服务等级 (CoS) 功能使用数据包的转发类分配和 PLP 级别。Junos OS CoS 功能包括一套机制,在尽力交付流量不足时,您可以使用这些机制提供差异化服务。对于承载 IPv4、IPv6 和 MPLS 流量的路由器(和交换机)接口,您可以将 CoS 功能配置为接收进入网络边缘的单一流量,并根据转发类分配和单个数据包的 PLP 级别跨网络提供不同级别的服务—内部转发和调度(排队)输出。

注意:

由监管器或无状态防火墙过滤器执行的转发类或丢失优先级分配将覆盖所有逻辑接口上的 CoS 默认 IP 优先级分类或显式映射到逻辑接口的任何配置的行为聚合 (BA) 分类器对入口执行的任何此类分配。

根据 CoS 配置,给定转发类的数据包通过特定输出队列传输,并且每个输出队列都与 在调度器中定义的传输服务级别相关联。

根据其他 CoS 配置,当输出队列中的数据包遇到拥塞时,随机早期检测 (RED) 算法更有可能丢弃丢失优先级值较高的数据包。数据包丢失优先级值影响数据包的计划安排,而不会影响数据包在流量中的相对顺序。

流量监管器应用

定义并命名监管器后,它将存储为模板。之后,每次使用时,都可以使用相同的监管器名称来提供相同的监管器配置。这样就不需要多次定义相同的监管器值。

您可以通过两种方式之一对流量应用监管器:

  • 您可以配置标准无状态防火墙过滤器,用于 policer policer-name 指定不可确定操作或 three-color-policer (single-rate | two-rate) policer-name 不可确定操作。将标准过滤器应用于逻辑接口上的输入或输出时,监管器将应用于过滤器特定协议家族中符合过滤器配置中指定条件的所有数据包。

    通过应用监管器的这种方法,您可以在接口上定义特定流量等级,并对每个类应用流量速率限制。

  • 您可以向某个接口直接应用监管器,以便流量速率限制适用于该接口上的所有流量,而不受协议家族或任何匹配条件的影响。

您可以在队列、逻辑接口或 2 层 (MAC) 级别配置监管器。在出口队列中,只会对数据包应用一个监管器,搜索监管器会按以下顺序进行:

  • 队列级别

  • 逻辑接口级别

  • 2 层 (MAC) 级别

相关文档