Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Steuern des Netzwerkzugriffs mithilfe von Traffic Policing – Übersicht

Überlastungsmanagement für IP-Datenverkehrsströme

Traffic Policing, auch bekannt als Ratenbegrenzung, ist eine wesentliche Komponente der Netzwerkzugriffssicherheit, die darauf ausgelegt ist, Denial-of-Service-Angriffe (DoS) zu vereiteln. Mit der Datenverkehrsüberwachung können Sie die maximale Rate des an einer Schnittstelle gesendeten oder empfangenen IP-Datenverkehrs steuern und den Netzwerkverkehr in mehrere Prioritätsstufen partitionieren, die auch als Serviceklassenbezeichnet werden. Ein Policer definiert eine Reihe von Grenzwerten für die Datenverkehrsrate und legt Konsequenzen für Datenverkehr fest, der nicht den konfigurierten Grenzwerten entspricht. Pakete in einem Datenverkehrsfluss, die nicht den Datenverkehrslimits entsprechen, werden entweder verworfen oder mit einer anderen Weiterleitungsklasse oder einer anderen PLP-Stufe (Packet Loss Priority) gekennzeichnet.

Mit Ausnahme von Policern, die für die Ratenbegrenzung des aggregierten Datenverkehrs konfiguriert sind (alle Protokollfamilien und logischen Schnittstellen, die auf einer physischen Schnittstelle konfiguriert sind), können Sie einen Policer auf alle IP-Pakete in einem Layer- 2- oder Layer- 3-Datenverkehrsfluss an einer logischen Schnittstelleanwenden.

Mit Ausnahme von Policern, die so konfiguriert sind, dass die Rate basierend auf der Medienrate der physischen Schnittstelle begrenzt wird, können Sie einen Policer auf bestimmte IP-Pakete in einem Layer- 3-Datenverkehrsfluss an einer logischen Schnittstelle anwenden, indem Sie einen zustandslosen Firewallfilterverwenden.

Sie können einen Policer auf eingehenden oder ausgehenden Schnittstellendatenverkehr anwenden. Policer, die auf den eingehenden Datenverkehr angewendet werden, helfen, Ressourcen zu schonen, indem sie Datenverkehr verwerfen, der nicht durch ein Netzwerk geleitet werden muss. Das Verwerfen von eingehendem Datenverkehr trägt auch dazu bei, Denial-of-Service-Angriffe (DoS) zu vereiteln. Die für den ausgehenden Datenverkehr angewendeten Polizisten kontrollierten die verwendete Bandbreite.

HINWEIS:

Verkehrspolizisten werden auf PIC-Basis instanziiert. Die Datenverkehrsüberwachung funktioniert nicht, wenn der Datenverkehr für einen Abonnenten der lokalen Richtlinienentscheidungsfunktion (L-PDF) auf mehrere Multiservices-PICs in einer AMS-Gruppe verteilt wird.

Traffic-Limits

Die Junos OS-Policer verwenden einen Token-Bucket-Algorithmus , um ein Limit für die durchschnittliche Sende- oder Empfangsrate des Datenverkehrs an einer Schnittstelle durchzusetzen und gleichzeitig Datenverkehrsspitzen bis zu einem Maximalwert basierend auf der konfigurierten Bandbreitenbegrenzung und der konfigurierten Burst-Größe zuzulassen. Der Token-Bucket-Algorithmus bietet insofern mehr Flexibilität als ein Leaky-Bucket-Algorithmus , da Sie einen bestimmten Datenverkehrsburst zulassen können, bevor Sie mit dem Verwerfen von Paketen beginnen, oder eine Strafe wie Paketausgabe-Warteschlangenpriorität oder Paketverwerfungspriorität anwenden können.

Im Token-Bucket-Modell stellt der Bucket die ratenbegrenzende Funktion des Policers dar. Token werden dem Bucket zu einer festen Rate hinzugefügt, aber sobald die angegebene Tiefe des Buckets erreicht ist, können die danach zugewiesenen Token nicht mehr gespeichert und verwendet werden. Jedes Token stellt eine "Gutschrift" für eine bestimmte Anzahl von Bits dar, und Token im Bucket werden für die Fähigkeit, Datenverkehr an der Schnittstelle zu übertragen oder zu empfangen, "eingelöst". Wenn genügend Token im Bucket vorhanden sind, wird der Datenverkehrsfluss uneingeschränkt fortgesetzt. Andernfalls werden Pakete möglicherweise verworfen oder mit einer niedrigeren Weiterleitungsklasse, einer höheren Paketverlustpriorität (PLP) oder beidem neu markiert.

  • Die Rate, mit der Token zum Bucket hinzugefügt werden, stellt die höchste durchschnittliche Sende- oder Empfangsrate in Bits pro Sekunde dar, die für einen bestimmten Service-Level zulässig ist. Diese höchste durchschnittliche Datenverkehrsrate geben Sie als Bandbreitenlimit des Policers an. Wenn die Datenverkehrsankunftsrate (oder feste Bits pro Sekunde) so hoch ist, dass zu einem bestimmten Zeitpunkt nicht genügend Token im Bucket vorhanden sind, entspricht der Datenverkehrsfluss nicht mehr dem Datenverkehrslimit. In Zeiten mit relativ geringem Datenverkehr (Datenverkehr, der mit durchschnittlichen Raten unterhalb der Token-Ankunftsrate an der Schnittstelle ein- oder ausgeht) sammeln sich ungenutzte Token im Bucket an.

  • Die Tiefe des Buckets in Byte steuert die Menge des zulässigen Back-to-Back-Burstings. Sie geben diesen Faktor als Grenzwert für die Burst-Größe des Policers an. Dieser zweite Grenzwert wirkt sich auf die durchschnittliche Sende- oder Empfangsrate aus, indem die Anzahl der Bytes begrenzt wird, die in einem Übertragungsburst für ein bestimmtes Zeitintervall zulässig sind. Bursts, die die aktuelle Begrenzung der Burst-Größe überschreiten, werden so lange verworfen, bis genügend Token verfügbar sind, damit der Burst fortgesetzt werden kann.

    Abbildung 1: Netzwerkdatenverkehr und Burst-RatenNetzwerkdatenverkehr und Burst-Raten

    Wie in der obigen Abbildung gezeigt, ist ein UPC-Barcode ein gutes Faksimile dessen, wie der Verkehr auf der Leitung aussieht. Eine Schnittstelle sendet entweder (Bursting mit voller Rate) oder nicht. Die schwarzen Linien stehen für Zeiträume der Datenübertragung und der weiße Bereich für Zeiten der Stille, in denen der Token-Bucket aufgefüllt werden kann.

Je nach verwendetem Policer-Typ können Pakete in einem überwachten Datenverkehrsfluss, der die definierten Grenzwerte überschreitet, implizit auf eine höhere PLP-Ebene gesetzt, einer konfigurierten Weiterleitungsklasse oder einer konfigurierten PLP-Ebene (oder beides) zugewiesen oder einfach verworfen werden. Wenn Pakete auf Downstream-Überlastung stoßen, ist die Wahrscheinlichkeit, dass Pakete mit einer low PLP-Ebene verworfen werden, geringer als bei Paketen mit einer medium-lowmedium-high, oder high PLP-Ebene.

Farbmarkierung des Verkehrs

Basierend auf den jeweils konfigurierten Verkehrsbeschränkungen identifiziert ein Polizist einen Verkehrsfluss als zu einer von zwei oder drei Kategorien gehörend, die den Farben einer Ampel ähneln, die zur Steuerung des Autoverkehrs verwendet wird.

  • Single-rate two-color—Ein zweifarbiger Markierungs-Policer (oder "policer", wenn er ohne Qualifikation verwendet wird) misst den Datenverkehrsstrom und klassifiziert Pakete entsprechend einer konfigurierten Bandbreiten- und Burst-Größenbeschränkung in zwei Kategorien von Paketverlustpriorität (PLP). Sie können Pakete, die die Bandbreiten- und Burst-Größenbeschränkung überschreiten, in irgendeiner Weise markieren oder einfach verwerfen.

    Ein Policer eignet sich am besten für die Messung des Datenverkehrs auf Portebene (physische Schnittstelle).

  • Single-rate three-color—Dieser Policer-Typ ist in RFC 2697, A Single Rate Three Color Marker, als Teil eines PHB-Klassifizierungssystems (Assured Forward) für das Per-Hop-Verhalten (Assured Forward) für eine DiffServ-Umgebung (Differentiated Services) definiert. Diese Art von Policer misst den Datenverkehr basierend auf der konfigurierten CIR-Rate (Committed Information Rate), der zugesagten Burst-Größe (CBS) und der überschüssigen Burst-Größe (EBS). Der Datenverkehr wird als zu einer von drei Kategorien (grün, gelb oder rot) gehörend markiert, je nachdem, ob die ankommenden Pakete unter dem CBS (grün), dem CBS (gelb), aber nicht dem EBS oder dem EBS (rot) liegen.

    Ein dreifarbiger Single-Rate-Policer ist am nützlichsten, wenn ein Dienst nach Paketlänge und nicht nach Spitzenankunftsrate strukturiert ist.

  • Two-rate three-color—Dieser Policer-Typ ist in RFC 2698, A Two Rate Three Color Marker, als Teil eines Klassifizierungssystems für das Assured Forwarding (AF) Per-Hop-Verhalten (PHB) für eine DiffServ-Umgebung (Differentiated Services) definiert. Diese Art von Policer misst den Datenverkehr basierend auf dem konfigurierten CIR und der Peak Information Rate (PIR) zusammen mit den zugehörigen Burst-Größen, dem CBS und der Peak Burst Size (PBS). Der Datenverkehr wird als zu einer von drei Kategorien (grün, gelb oder rot) gehörend markiert, je nachdem, ob die ankommenden Pakete unter dem CIR (grün), dem CIR (gelb), aber nicht dem PIR oder dem PIR (rot) liegen.

    Ein zweistufiger, dreifarbiger Policer ist am nützlichsten, wenn ein Dienst nach Ankunftsraten und nicht unbedingt nach Paketlänge strukturiert ist.

Polizeiaktionen sind implizit oder explizit und variieren je nach Polizeityp. Der Begriff Implizit bedeutet, dass Junos die Verlustpriorität automatisch zuweist. Tabelle 1 beschreibt die Aktionen der Polizei.

Tabelle 1: Aktionen der Polizei

Polizist

Markierung

Implizite Handlung

Konfigurierbare Aktion

Einstufig zweifarbig

Grün (Konform)

Weisen Sie eine Priorität für geringe Verluste zu

Keine

Rot (nicht konform)

Keine

Weisen Sie eine niedrige oder hohe Verlustpriorität zu, weisen Sie eine Weiterleitungsklasse zu oder verwerfen SieAuf einigen Plattformen können Sie eine mittlere-niedrige oder mittlere-hohe Verlustpriorität zuweisen

Einstufig dreifarbig

Grün (Konform)

Weisen Sie eine Priorität für geringe Verluste zu

Keine

Gelb (über CIR und CBS)

Zuweisen einer mittleren bis hohen Verlustpriorität

Keine

Rot (über dem EBS)

Zuweisen einer hohen Verlustpriorität

Abwerfen

Zweistufig, dreifarbig

Grün (Konform)

Weisen Sie eine Priorität für geringe Verluste zu

Keine

Gelb (über CIR und CBS)

Zuweisen einer mittleren bis hohen Verlustpriorität

Keine

Rot (über PIR und PBS)

Zuweisen einer hohen Verlustpriorität

Abwerfen

Weiterleitungsklassen und PLP-Stufen

Die Weiterleitungsklassenzuweisung und die PLP-Ebene eines Pakets werden von den CoS-Funktionen (Class of Service) des Junos OS verwendet. Die CoS-Funktionen von Junos OS umfassen eine Reihe von Mechanismen, mit denen Sie differenzierte Services bereitstellen können, wenn die bestmögliche Datenverkehrsbereitstellung nicht ausreicht. Für Router- (und Switch-)Schnittstellen, die IPv4-, IPv6- und MPLS-Datenverkehr übertragen, können Sie CoS-Funktionen so konfigurieren, dass sie einen einzelnen Datenverkehrsfluss aufnehmen, der am Rand Ihres Netzwerks eingeht, und verschiedene Serviceebenen im gesamten Netzwerk bereitstellen – interne Weiterleitung und Planung (Warteschlangen) für die Ausgabe – basierend auf den Weiterleitungsklassenzuweisungen und PLP-Ebenen der einzelnen Pakete.

HINWEIS:

Zuweisungen von Weiterleitungsklassen oder Verlustprioritäten, die von einem Policer oder einem zustandslosen Firewallfilter ausgeführt werden, überschreiben alle derartigen Zuweisungen, die beim Eingang durch die CoS-Standardklassifizierung der IP-Rangfolge an allen logischen Schnittstellen oder durch einen konfigurierten BA-Klassifizierer (Behavior Aggregate) durchgeführt werden, der explizit einer logischen Schnittstelle zugeordnet ist.

Basierend auf CoS-Konfigurationen werden Pakete einer bestimmten Weiterleitungsklasse durch eine bestimmte Ausgabewarteschlange übertragen, und jede Ausgabewarteschlange ist einem in einem Schedulerdefinierten Übertragungs-Servicelevel zugeordnet.

Basierend auf anderen CoS-Konfigurationen ist es wahrscheinlicher, dass Pakete mit höheren Verlustprioritätswerten vom RED-Algorithmus (Random Early Detection) verworfen werden, wenn Pakete in einer Ausgabewarteschlange überlastet sind. Prioritätswerte für Paketverluste wirken sich auf die Planung eines Pakets aus, ohne die relative Reihenfolge des Pakets innerhalb des Datenverkehrsflusses zu beeinflussen.

Policer-Anwendung für den Verkehr

Nachdem Sie einen Polizisten definiert und benannt haben, wird dieser als Vorlage gespeichert. Sie können später denselben Policernamen verwenden, um jedes Mal, wenn Sie sie verwenden möchten, dieselbe Policerkonfiguration bereitzustellen. Dadurch entfällt die Notwendigkeit, dieselben Policerwerte mehr als einmal zu definieren.

Sie können einen Policer auf zwei Arten auf einen Datenverkehrsfluss anwenden:

  • Sie können einen standardmäßigen zustandslosen Firewallfilter konfigurieren, der die nicht beendende policer policer-name Aktion oder die three-color-policer (single-rate | two-rate) policer-name nicht beendende Aktion angibt. Wenn Sie den Standardfilter auf die Ein- oder Ausgabe an einer logischen Schnittstelle anwenden, wird der Policer auf alle Pakete der filterspezifischen Protokollfamilie angewendet, die den in der Filterkonfiguration angegebenen Bedingungen entsprechen.

    Mit dieser Methode zum Anwenden eines Policers können Sie bestimmte Datenverkehrsklassen auf einer Schnittstelle definieren und eine Begrenzung der Datenverkehrsrate auf jede Klasse anwenden.

  • Sie können einen Policer direkt auf eine Schnittstelle anwenden, sodass die Begrenzung der Datenverkehrsrate für den gesamten Datenverkehr auf dieser Schnittstelle gilt, unabhängig von der Protokollfamilie oder den Übereinstimmungsbedingungen.

Sie können Policer auf Warteschlangen-, logischer Schnittstellen- oder Layer-2-Ebene (MAC) konfigurieren. Nur ein einzelner Policer wird auf ein Paket in der Ausgangswarteschlange angewendet, und die Suche nach Policern erfolgt in dieser Reihenfolge:

  • Warteschlangen-Ebene

  • Ebene der logischen Schnittstelle

  • Layer-2-Ebene (MAC)

Verwandte Themen