Grundlegendes zur Verwendung von Policern in Firewall-Filtern

Policers Übersicht

Sie können Policer verwenden, um Ratenbegrenzungen für den Datenverkehr festzulegen. Ein mit einem Policer konfigurierter Firewall-Filter lässt nur Datenverkehr innerhalb eines bestimmten Satzes von Ratenbegrenzungen zu und bietet so Schutz vor Denial-of-Service-Angriffen (DoS). Datenverkehr, der die vom Policer festgelegten Ratengrenzen überschreitet, wird entweder sofort verworfen oder als Datenverkehr mit niedrigerer Priorität markiert als Datenverkehr, der innerhalb der Ratengrenzen liegt. Der Switch verwirft den Datenverkehr mit niedrigerer Priorität, wenn es zu Verkehrsstaus kommt.

Ein Policer wendet zwei Arten von Ratenbegrenzungen auf den Datenverkehr an:

• Bandbreite: Die durchschnittlich zulässige Anzahl von Bits pro Sekunde.

• Maximale Burst-Größe: Die maximal zulässige Größe für Datenbursts, die die angegebene Bandbreitenbeschränkung überschreiten.

Bei der Überwachung wird ein Algorithmus verwendet, um eine Begrenzung der durchschnittlichen Bandbreite durchzusetzen und gleichzeitig Spitzenlasten bis zu einem bestimmten Maximalwert zuzulassen. Sie können bestimmte Datenverkehrsklassen auf einer Schnittstelle definieren und eine Reihe von Ratenbegrenzungen auf jede Klasse anwenden. Nachdem Sie einen Policer benannt und konfiguriert haben, wird er als Vorlage gespeichert. Sie können den Policer dann in einer Firewall-Filterkonfiguration verwenden.

Auf allen Switches der EX-Serie, mit Ausnahme der EX8200-Ethernet-Switches von Juniper Networks, enthält jeder von Ihnen konfigurierte Policer einen impliziten Zähler, der die Anzahl der Pakete zählt, die die für den Policer angegebene Ratenbegrenzung überschreiten. Jeder EX8200-Switch enthält drei globale Management-Zähler. Sie müssen diesen globalen Verwaltungszählern Eingangs-Policer zuweisen, um Policer-Statistiken zu erhalten. Sie können jedem globalen Verwaltungszähler eine beliebige Anzahl von Eingangspolicern zuweisen. Die Policer-Statistiken für jeden globalen Management-Zähler sind die Summe der Policer-Statistiken für alle Policer, die diesem globalen Management-Zähler zugeordnet sind.

Um filterspezifische Paketzahlen zu erhalten, müssen Sie für jeden Firewallfilter einen anderen Policer konfigurieren. Policer geben standardmäßig begriffsspezifische Zählungen an.

Polizisten-Typen

Switches unterstützen drei Arten von Policern:

• Single-Rate Two-Color: Ein zweifarbiger Policer (manchmal auch einfach "Policer" genannt) misst den Datenverkehrsstrom und klassifiziert Pakete entsprechend einer konfigurierten Bandbreiten- und Burst-Größenbeschränkung in zwei Kategorien von Paketverlustpriorität (Packet Loss Priority, PLP). Sie können Pakete, die die Bandbreiten- und Burst-Größenbeschränkung überschreiten, markieren oder einfach verwerfen. Ein zweifarbiger Policer eignet sich am besten für die Messung des Datenverkehrs auf Portebene (physische Schnittstelle).

• Single-rate three-color—Dieser Policer-Typ ist in RFC 2697, A Single Rate Three Color Marker, als Teil eines PHB-Klassifizierungssystems (Assured Forward) für das Per-Hop-Verhalten (Assured Forward) für eine DiffServ-Umgebung (Differentiated Services) definiert. Diese Art von Policer misst den Datenverkehr basierend auf der konfigurierten CIR-Rate (Committed Information Rate), der zugesagten Burst-Größe (CBS) und der überschüssigen Burst-Größe (EBS). Der Datenverkehr wird als zu einer von drei Kategorien (grün, gelb oder rot) gehörend markiert, je nachdem, ob die Pakete mit Raten ankommen, die unter dem CBS (grün), das CBS, aber nicht das EBS (gelb) oder das EBS (rot) überschreiten. Ein dreifarbiger Single-Rate-Policer ist am nützlichsten, wenn ein Dienst nach Paketgröße und nicht nach Spitzenankunftsrate strukturiert ist.

• Two-rate three-color—Dieser Policer-Typ ist in RFC 2698, A Two Rate Three Color Marker, als Teil eines Klassifizierungssystems für das Assured Forwarding (AF) Per-Hop-Verhalten (PHB) für eine DiffServ-Umgebung (Differentiated Services) definiert. Diese Art von Policer misst den Datenverkehr basierend auf der konfigurierten CIR und der Peak Information Rate (PIR) sowie den zugehörigen Burst-Größen. die CBS und die Peak Burst Size (PBS). Der Datenverkehr wird als zu einer von drei Kategorien (grün, gelb oder rot) gehörend markiert, basierend auf Paketen, die mit Raten ankommen, die unter dem CIR (grün), den CIR, aber nicht den PIR (gelb) oder den PIR (rot) überschreiten. Ein zweistufiger, dreifarbiger Policer ist am nützlichsten, wenn ein Dienst nach Ankunftsraten und nicht nach Paketgröße strukturiert ist.

Aktionen der Polizei

Polizeiaktionen können implizit oder explizit sein und variieren je nach Polizeityp. Der Begriff implizit bedeutet, dass Junos OS automatisch einen Wert für die Verlustpriorität zuweist. Explizit bedeutet, dass Sie die Aktion konfigurieren. Listet Polizeiaktionen auf.Tabelle 1

Policer-Stufen

Sie können Policer auf Warteschlangenebene, logischer Schnittstellenebene oder Layer 2 (MAC)-Ebene konfigurieren. Nur ein einzelner Policer wird auf ein Paket in der Ausgangswarteschlange angewendet. Die Suche nach Polizisten erfolgt in dieser Reihenfolge:

• Warteschlangen-Ebene

• Ebene der logischen Schnittstelle

• Layer-2-Ebene (MAC)

Farbmodi

Trikolore Markierung (TCM) Polizisten sind nicht an eine grün-gelb-rote Farbkonvention gebunden. Pakete werden farblich mit niedrigen oder hohen PLP-Bitkonfigurationen gekennzeichnet. Daher erweitern beide dreifarbigen Policer-Typen (Single-Rate und Two-Rate) die Funktionalität der Class-of-Service (CoS)-Verkehrsüberwachung, indem sie drei Stufen der Drop-Priorität (Verlustpriorität) anstelle der beiden normalerweise in Policern verfügbaren Stufen bereitstellen. Sowohl einstufige als auch zweistufige dreifarbige Polizeitypen können in zwei Modi betrieben werden:

• Farbenblind - Im farbenblinden Modus arbeitet der dreifarbige Policer ohne Hinweis darauf, ob die untersuchten Pakete zuvor markiert oder gemessen wurden. Mit anderen Worten, der dreifarbige Polizist ist blind für jede frühere Färbung, die ein Paket möglicherweise hatte.

• Farbbewusst: Im farbsensitiven Modus arbeitet der dreifarbige Policer unter Bezugnahme auf eine vorherige Markierung oder Messung der untersuchten Pakete. Mit anderen Worten, der dreifarbige Polizist ist sich der vorherigen Färbung eines Pakets bewusst. Im farbsensitiven Modus kann der dreifarbige Policer den PLP eines Pakets erhöhen, aber niemals verringern. Wenn beispielsweise ein farbsensitiver dreifarbiger Policer ein Paket mit einer niedrigen PLP-Markierung misst, kann er den PLP-Wert auf hoch anheben. Aber es kann einen hohen PLP-Wert nicht auf einen niedrigen Wert reduzieren.

Namenskonventionen für Polizisten

Es wird empfohlen, die Namenskonvention zu verwenden, wenn Sie dreifarbige Policer konfigurieren.rate-TCMnumber-colortype TCM steht für Tricolor Marking. Da Polizisten zahlreich sein können und richtig eingesetzt werden müssen, um zu funktionieren, ist es einfacher, die Polizisten richtig einzusetzen, wenn man eine einfache Namenskonvention beachtet.

Wenn Sie z. B. einen einstufigen, dreifarbigen, farbbewussten Policer konfigurieren, nennen Sie ihn srTCM1-ca. Wenn Sie einen zweistufigen, dreifarbigen, farbenblinden Policer konfigurieren, nennen Sie ihn trTCM2-cb.