警察局概述

警察局概述

您可使用策略程序对信息流应用限制，并针对超过这些限制的数据包设置后果（通常是应用更高的丢失优先级）。这样一来，如果数据包遇到下游拥塞，可以首先将其丢弃。策略器仅适用于单播数据包。

管理器提供两种功能：计量和标记。一个策略程序测量（测量）您配置的流量速率和突发大小的每个数据包。然后，它会将数据包和计量结果传递至标记，标记将分配与计量结果对应的数据包丢失优先级。 图 1 说明了此过程。

图 1：三色标记管理器操作流

命名并配置策略器之后，可通过在一个或多个防火墙过滤器中将其指定为操作来使用它。

管理器类型

交换机支持三种类型的管理器：

• 单速率双色标记 — 双色策略程序（或"策略程序"，如果不认证，则用于）对信息流进行仪表管理，根据配置的带宽和突发大小限制将数据包分类为两类数据包丢失优先级 （PLP）。您可以使用指定的 PLP 标记超出带宽和突发大小限制的数据包，或者直接丢弃它们。

  您可以在入口或出口防火墙中指定这种类型的策略器。

  注意：

  双色管制器在测量端口（物理接口）级别的流量时非常有用。

• 单速率三色标记 — 此类型的策略器在 RFC 2697 单速率 三色标记 中定义，是差异服务 （DiffServ） 环境每跳行为 （PHB） 保证转发 （AF） 分类系统的一部分。这种类型的监管器根据一个速率对流量进行仪表 — 配置的保证信息速率 （CIR） 以及承诺的突发大小 （CBS） 和多余突发大小 （EBS）。CIR 指定从这些位进入交换机的平均速率。CBS 指定通常突发大小（以字节为单位）和 EBS 指定最大突发大小（以字节为单位）。EBS 必须大于或等于 CBS，两者不能为 0。

  您可以在入口或出口防火墙中指定这种类型的策略器。

  注意：

  如果根据数据包长度而非峰值到达速率构建服务，则单速率三色标记 （TCM） 会非常有用。

• 双速率三色标记 — 此类型的策略器在 RFC 2698 双速率 三色标记 中定义，是差异服务环境按跃点行为分类系统的保证转发的一部分。这种类型的监管器根据两个速率（CIR 和峰值信息速率 （PIR） 及其关联的突发大小、CBS 和峰值突发大小 （PBS） 来对信息流进行收费。PIR 指定了进入网络的位的最大速率，并且必须大于或等于 CIR。

  您可以在入口或出口防火墙中指定这种类型的策略器。

  注意：

  如果服务是按照到达速率构建的，并不一定是数据包长度，则双速率三色管理器会非常有用。

请参阅 表 1， 了解如何为每种策略程序类型应用计量结果。

管理程序操作

策略程序操作因策略器类型而隐式或显式存在差异。 隐式 表示Junos OS自动分配丢失优先级。 表 1 说明了管理程序操作。

管理器颜色

单速率和双速率三色政策器可在两种模式下运行：

• 无色 - 在无色模式下，三色检查器假定检查的所有数据包以前未标记或计量。换言之，三色管理器对数据包可能具有的任何先前着色都"盲"。

• 颜色感知 — 在颜色感知模式下，三色管理器假定检查的所有数据包以前均标记或计量。换言之，三色管理器可以"感知"数据包之前可能拥有的颜色。在颜色感知模式下，三色管理器可以增加数据包的 PLP，但不能降低它。例如，如果颜色感知三色管理器用中等 PLP 标记对数据包进行仪表管理，则它可以将 PLP 级别提高至高，但是不能将 PLP 级别降低。

过滤器特定管理程序

您可以将策略程序配置为特定于过滤器，这意味着Junos OS不管引用策略器多少次，都只会创建一个策略程序实例。在一些 QFX 交换机上这样做时，将综合应用速率限制，因此，如果将策略程序配置为丢弃超过 1 Gbps 的流量，并且以三种不同术语引用该策略器，则过滤器允许的总带宽为 1 Gbps。但是，过滤器特定策略器的行为受引用策略器在 TCAM 中的防火墙过滤器术语储存方式的影响。如果创建一个特定于过滤器的策略程序并使用多个防火墙过滤器术语参考，则当这些术语存储在不同的 TCAM 切片中时，策略程序允许的信息流超过预期。例如，如果将策略程序配置为丢弃超过 1 Gbps 的信息流并引用三个单独内存切片中存储的不同术语中的策略程序，则过滤器允许的总带宽为 3 Gbps，而非 1 Gbps。（QFX10000 交换机中不会发生此行为。）

为了防止这种意外行为发生，请使用规划要创建的防火墙过滤器数量中呈现的 TCAM切片信息来整理配置文件，以便引用给定过滤器特定策略器的所有防火墙过滤器术语均存储在同一个 TCAM 切片中。

建议策略程序命名约定

配置三色策略和配置双色策略器时，建议使用 policertypeTCM#-color type policer# 命名约定。TCM 代表三色标记。由于策略程序可能众多，必须正确应用才能工作，因此简单的命名约定使正确应用策略变得更容易。例如，配置的第一个单速率、颜色感知三色策略器将命名为 srTCM1-ca 。配置的第二个双速率、无色三色将命名为 trTCM2-cb 。下面将介绍此命名约定的要素：

• sr（单速率）

• tr（双速率）

• TCM（三色标记）

• 1 或 2（标记数量）

• ca（颜色感知）

• cb（无色）

管理程序计数器

在某些 QFX 交换机上，您配置的每个策略程序都包括一个隐式计数器，该计数器计数超过为策略程序指定的速率限制的数据包数。如果使用多个术语相同的管理程序（在同一过滤器中或不同过滤器中）中，则隐式计数器将计算所有按所有这些术语设置的所有数据包，并提供总数。（这不适用于QFX10000交换机。）如果要为受影响的交换机上的每个术语获取单独的数据包计数，请使用以下选项：

• 为每个术语配置唯一策略程序。

• 仅配置一个策略程序，但在每个术语中都使用唯一的显式计数器。

管理程序算法

管制使用令牌桶算法，在确保平均带宽限制的同时允许突发达到指定的最大值。它提供比泄露包算法更高的灵活性，允许一定数量的突发信息流在开始丢弃数据包之前。

支持多少个管理程序？

QFX10000交换机支持 8K 管理器（所有管理器类型）。QFX5100和QFX5200交换机支持 1535 个入口策略程序和 1024 个出口策略器（假设每个防火墙过滤器术语有一个策略器）。QFX5110交换机支持 6144 个入口策略程序和 1024 个出口策略器（假设每个防火墙过滤器术语有一个策略器）。

QFX3500和QFX3600独立交换机和 QFabric 节点设备支持以下数量的策略程序（假设每个防火墙过滤器术语一个策略器）：

• 入口防火墙过滤器中使用的双色策略：767

• 入口防火墙过滤器中使用的三色策略：767

• 出口防火墙过滤器中使用的双色策略：1022

• 出口防火墙过滤器中使用的三色策略：512

策略程序可以限制出口防火墙过滤器

在某些交换机上，您配置出口策略器的数量会影响允许出口防火墙过滤器的总数。每个管理程序都有两个隐式计数器，这些计数器在 1024 条目的 TCAM 中包含两个条目。这些计数器用于计数器，包括配置为防火墙过滤器术语中操作修改符的计数器。（管理程序使用两个条目，因为一个用于绿色数据包，一个用于非绿色数据包，而不考虑管理器类型。）如果 TCAM 变满，您将无法提交更多具有计数器条款出口防火墙过滤器。例如，如果配置并提交 512 个出口策略程序（双色、三色或两种策略器类型的组合），则计数器的所有内存条目均将可用。如果之后在配置文件中插入了附加出口防火墙过滤器，其中还包含计数器，则这些过滤器中没有任何术语提交，因为计数器没有可用的内存空间。

下面还举一些额外示例：

• 假设您配置了总共 512 个策略程序且无计数器出口过滤器。在配置文件的稍后部分，您将包含另一个包含 10 个术语出口过滤器，其中 1 个使用反操作修改器。此过滤器中未提交任何术语，因为计数器的 TCAM 空间不足。

• 假设您配置了总共包含 500 个策略程序出口过滤器，因此占用了 1000 个 TCAM 条目。在配置文件的稍后部分，您将包含以下两个出口过滤器：

  • 过滤器 A，带 20 个术语和 20 个计数器。该过滤器中所有术语均已提交，因为有足够的 TCAM 空间用于所有计数器。

  • 过滤器 B 在过滤器 A 之后，有五个术语和五个计数器。 由于 所有计数器的内存空间不足，因此未提交此 过滤器中的术语 。（需要五个 TCAM 报名信息，但仅提供四个。）

通过确保将带反操作出口防火墙过滤器术语比包括策略器的条款在配置文件中置入更早，以免出现此问题。在这种情况下，即使Junos OS计数器没有足够的 TCAM 空间，您也提交管理程序。例如，假设以下各项：

• 您拥有 1024 个出口防火墙过滤器条款以及反操作。

• 在配置文件的稍后，您将有一个包含 10 个术语出口过滤器。没有计数器的术语，但其中一个具有策略程序操作修改器。

您可以使用 10 个术语成功提交过滤器，即使没有足够的 TCAM 空间用于管理程序的隐式计数器。该管理程序已提交，没有计数器。