Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Zustandslose Firewall-Filter, die auf Policer verweisen Übersicht

Policing oder Ratenbegrenzung ist eine wichtige Komponente von Firewall-Filtern, mit der Sie die Menge an Datenverkehr begrenzen können, die in eine Schnittstelle ein- oder ausgeht.

Ein Firewall-Filter , der auf einen Policer verweist, kann Schutz vor Denial-of-Service-Angriffen (DOS) bieten. Datenverkehr, der die für den Policer konfigurierten Ratenbegrenzungen überschreitet, wird entweder verworfen oder als Datenverkehr mit niedrigerer Priorität markiert als Datenverkehr, der den konfigurierten Ratenbegrenzungen entspricht. Pakete können für eine niedrigere Priorität markiert werden, indem sie auf eine bestimmte Ausgabewarteschlange, auf eine bestimmte PLP-Stufe (Packet Loss Priority) oder beides festgelegt werden. Bei Bedarf kann Datenverkehr mit niedriger Priorität verworfen werden, um Staus zu vermeiden.

Ein Policer gibt zwei Arten von Ratenbegrenzungen für Datenverkehr an:

  • Bandbreitenlimit: Die durchschnittlich zulässige Datenverkehrsrate, angegeben als Anzahl von Bits pro Sekunde.

  • Maximale Burst-Größe: Die Paketgröße, die für Datenbursts zulässig ist, die das Bandbreitenlimit überschreiten.

Bei der Überwachung wird ein Algorithmus verwendet, um eine Begrenzung der durchschnittlichen Bandbreite durchzusetzen und gleichzeitig Spitzenlasten bis zu einem bestimmten Maximalwert zuzulassen. Mithilfe von Richtlinien können Sie bestimmte Datenverkehrsklassen auf einer Schnittstelle definieren und eine Reihe von Ratenbegrenzungen auf jede Klasse anwenden. Nachdem Sie einen Policer benannt und konfiguriert haben, wird er als Vorlage gespeichert. Sie können den Policer dann in einer Schnittstellenkonfiguration oder, um nur paketgefilterten Datenverkehr mit Ratenbegrenzung zu begrenzen, in einer Firewallfilterkonfiguration anwenden.

Nur für einen IPv4-Firewallfilterbegriff können Sie auch eine präfixspezifische Aktion als nicht beendende Aktion angeben, die einen Policer auf die übereinstimmenden Pakete anwendet. Eine präfixspezifische Aktion wendet zusätzliche Übereinstimmungskriterien auf die mit Filtern übereinstimmenden Pakete basierend auf bestimmten Adresspräfixbits an und ordnet die übereinstimmenden Pakete dann einem Zähler und einer Policer-Instanz für diesen Filterbegriff oder für alle Begriffe im Firewallfilter zu.

Um eine Policer- oder Präfixaktion auf paketgefilterten Datenverkehr anzuwenden, können Sie die folgenden nicht beendenden Aktionen für Firewallfilter verwenden:

  • policer policer-name

  • three-color-policer (single-rate | two-rate) policer-name

  • prefix-action action-name

HINWEIS:

Die Paketlängen, die ein Policer berücksichtigt, hängen von der Adressfamilie des Firewallfilters ab. Siehe Grundlegendes zur Frame-Länge für die Überwachung von Paketen.

Verwandte Themen