Übersicht der Polizisten
Ein Switch steuert den Datenverkehr, indem er die Eingangs- oder Ausgabeübertragungsrate einer Datenverkehrsklasse gemäß benutzerdefinierten Kriterien begrenzt. Durch die Überwachung (oder Ratenbegrenzung) des Datenverkehrs können Sie die maximale Rate des an einer Schnittstelle gesendeten oder empfangenen Datenverkehrs steuern und mehrere Prioritätsstufen oder Serviceklassen bereitstellen.
Die Überwachung ist auch ein wichtiger Bestandteil von Firewall-Filtern. Sie können Überwachung erreichen, indem Sie Polizisten in Firewall-Filterkonfigurationen einbeziehen.
Policer Übersicht
Sie verwenden Policer, um Grenzwerte für den Datenverkehrsfluss festzulegen und Konsequenzen für Pakete festzulegen, die diese Grenzwerte überschreiten – in der Regel mit einer höheren Verlustpriorität –, sodass Pakete, die auf eine Downstream-Überlastung stoßen, zuerst verworfen werden können. Policer gelten nur für Unicast-Pakete.
Polizisten haben zwei Funktionen: Dosieren und Markieren. Ein Policer misst (misst) jedes Paket anhand der von Ihnen konfigurierten Datenverkehrsraten und Burst-Größen. Anschließend werden das Paket und das Messergebnis an den Marker übergeben, der eine Paketverlustpriorität zuweist, die dem Messergebnis entspricht. Abbildung 1 veranschaulicht diesen Prozess.
Ein Policer schränkt den Datenverkehr bei der konfigurierten Übertragungsrate pro PFE ein. In QFX10016-, QFX10002-, QFX10002-60C- und QFX10008-Switches kann die Gesamtübertragungsrate des Policers für den Teilnehmer die konfigurierte Übertragungsrate des Policers (abhängig von der Anzahl der beteiligten PFEs) überschreiten, wenn aggregierte Ethernet (AE)-Schnittstellenpakete mehrere PFEs umfassen.
Als Beispiel:
-
Policer mit Bandbreitenbegrenzung von 100 Mbit/s, konfiguriert auf einer AE-Schnittstelle mit den Mitgliedsverbindungen xe-1/0/0 (fpc1-pfe0) und xe-1/0/30 (fpc1-pfe1). Hier gehören die beiden Member-Links zu FPC1, befinden sich aber auf unterschiedlichen PFEs. Wenn der Policer auf die AE-Schnittstelle angewendet wird, führt dies zu einer Gesamtbandbreite von 200 Mbit/s, da der Policer für zwei PFEs konfiguriert ist.
-
Policer mit einer Bandbreitenbegrenzung von 100 Mbit/s, konfiguriert auf einer AE-Schnittstelle mit den Mitgliedsverbindungen xe-1/0/0 (fpc1-pfe0), et-2/0/1 (fpc2-pfe1) und xe-2/0/18:0 (fpc2-pfe2). Hier gehört eine Mitgliedsverknüpfung zu FPC1 und PFE0 auf dieser FPC. Die restlichen zwei Member-Links gehören zu FPC2, aber unterschiedliche PFEs. Wenn der Policer auf die AE-Schnittstelle angewendet wird, führt dies zu einer Gesamtbandbreite von 300 Mbit/s, da der Policer für drei PFEs konfiguriert ist.
-
Policer mit einer Bandbreitenbegrenzung von 100 Mbit/s, konfiguriert auf einer AE-Schnittstelle, die über die Mitgliedsverbindungen xe-1/0/0 und xe-1/0/1 auf einer einzelnen PFE (fpc1-pfe0) verfügt. Hier gehören die Mitgliedsverknüpfungen zu FPC1 und zur gleichen PFE. Wenn der Policer auf die AE-Schnittstelle angewendet wird, führt dies zu einer Gesamtbandbreite von 100 Mbit/s, da der Policer pro PFE konfiguriert wird.
Nachdem Sie einen Policer benannt und konfiguriert haben, können Sie ihn verwenden, indem Sie ihn als Aktion in einem oder mehreren Firewallfiltern angeben.
Polizisten-Typen
Ein Switch unterstützt drei Arten von Policern:
Single-rate two-color marker—Ein zweifarbiger Policer (oder "policer", wenn er ohne Qualifikation verwendet wird) misst den Datenverkehrsstrom und klassifiziert Pakete entsprechend einer konfigurierten Bandbreiten- und Burst-Größenbeschränkung in zwei Kategorien von Paketverlustpriorität (Packet Loss Priority, PLP). Sie können Pakete, die die Bandbreiten- und Burstgrößenbeschränkung überschreiten, mit einem bestimmten PLP markieren oder einfach verwerfen.
Sie können diesen Policertyp in einer Eingangs- oder Ausgangsfirewall angeben.
HINWEIS:Ein zweifarbiger Policer eignet sich am besten für die Messung des Datenverkehrs auf Portebene (physische Schnittstelle).
Single-rate three-color marker - Dieser Policer-Typ ist in RFC 2697, A Single Rate Three Color Marker, als Teil eines PHB-Klassifizierungssystems (Assured Forwarding – AF) für das Per-Hop-Verhalten (Assured Forward) für eine DiffServ-Umgebung (Differentiated Services) definiert. Diese Art von Policer misst den Datenverkehr auf der Grundlage einer Rate: der konfigurierten Committed Information Rate (CIR) sowie der zugesagten Burst-Größe (CBS) und der überschüssigen Burst-Größe (EBS). Der CIR gibt die durchschnittliche Rate an, mit der Bits zum Switch zugelassen werden. Das CBS gibt die übliche Burst-Größe in Byte und das EBS die maximale Burst-Größe in Byte an. Das EBS muss größer oder gleich dem CBS sein und darf nicht 0 sein.
Sie können diesen Policertyp in einer Eingangs- oder Ausgangsfirewall angeben.
HINWEIS:Ein Single-Rate Three-Color Marker (TCM) ist am nützlichsten, wenn ein Service nach Paketlänge und nicht nach Spitzenankunftsrate strukturiert ist.
Two-rate three-color marker (Zwei-Rate-Drei-Farben-Marker): Diese Art von Policer ist in RFC 2698, A Two Rate Three Color Marker, als Teil eines Klassifizierungssystems für das gesicherte Weiterleitungsverhalten pro Hop für eine Differentiated Services-Umgebung definiert. Diese Art von Policer misst den Datenverkehr auf der Grundlage von zwei Raten: der CIR und der Peak Information Rate (PIR) zusammen mit den zugehörigen Burst-Größen, dem CBS und der Peak Burst Size (PBS). Der PIR gibt die maximale Rate an, mit der Bits in das Netzwerk aufgenommen werden, und muss größer oder gleich dem CIR sein.
Sie können diesen Policertyp in einer Eingangs- oder Ausgangsfirewall angeben.
HINWEIS:Ein zweistufiger, dreifarbiger Policer ist am nützlichsten, wenn ein Dienst nach Ankunftsraten und nicht unbedingt nach Paketlänge strukturiert ist.
Weitere Informationen dazu, wie Messergebnisse für jeden dieser Policer-Typen angewendet werden, finden Sie Tabelle 1 hier.
Aktionen der Polizei
Polizeiaktionen sind implizit oder explizit und variieren je nach Polizeityp. Implizit bedeutet, dass Junos OS die Verlustpriorität automatisch zuweist. Tabelle 1 beschreibt die Aktionen der Polizei.
Polizist |
Markierung |
Implizite Handlung |
Konfigurierbare Aktion |
|---|---|---|---|
Einstufig zweifarbig |
Grün (konform) |
Weisen Sie eine Priorität für geringe Verluste zu |
Keine |
Rot (nicht konform) |
Keine |
Abwerfen |
|
Einstufig dreifarbig |
Grün (konform) |
Weisen Sie eine Priorität für geringe Verluste zu |
Keine |
Gelb (über CIR und CBS) |
Zuweisen einer mittleren bis hohen Verlustpriorität |
Keine |
|
Rot (über dem EBS) |
Zuweisen einer hohen Verlustpriorität |
Abwerfen |
|
Zweistufig, dreifarbig |
Grün (konform) |
Weisen Sie eine Priorität für geringe Verluste zu |
Keine |
Gelb (über CIR und CBS) |
Zuweisen einer mittleren bis hohen Verlustpriorität |
Keine |
|
Rot (über PIR und PBS) |
Zuweisen einer hohen Verlustpriorität |
Abwerfen |
Wenn Sie einen Policer in einem Ausgangsfirewallfilterangeben, wird discardnur die Aktion unterstützt.
Policer-Farben
Einstufige und zweistufige dreifarbige Policer können in zwei Modi betrieben werden:
Farbenblind - Im farbenblinden Modus geht der dreifarbige Policer davon aus, dass alle untersuchten Pakete zuvor nicht markiert oder gemessen wurden. Mit anderen Worten, der dreifarbige Policer ist "blind" für jede frühere Färbung, die ein Paket möglicherweise hatte.
Color-aware: Im farbsensitiven Modus geht der dreifarbige Policer davon aus, dass alle untersuchten Pakete zuvor markiert oder gemessen wurden. Mit anderen Worten, der dreifarbige Policer ist sich der vorherigen Färbung eines Pakets "bewusst". Im farbsensitiven Modus kann der dreifarbige Policer den PLP eines Pakets erhöhen, aber nicht verringern. Wenn beispielsweise ein farbbewusster dreifarbiger Policer ein Paket mit einer mittleren PLP-Markierung misst, kann er den PLP-Wert auf hoch anheben, aber nicht auf niedrig senken.
Filterspezifische Policer
Sie können Policer so konfigurieren, dass sie filterspezifisch sind, was bedeutet, dass Junos OS nur eine Policer-Instanz erstellt, unabhängig davon, wie oft auf den Policer verwiesen wird. Wenn Sie dies auf einigen QFX-Switches tun, wird die Ratenbegrenzung aggregiert angewendet. Wenn Sie also einen Policer so konfigurieren, dass Datenverkehr verworfen wird, der 1 Gbit/s überschreitet, und diesen Policer in drei verschiedenen Begriffen referenzieren, beträgt die vom Filter zulässige Gesamtbandbreite 1 Gbit/s. Das Verhalten eines filterspezifischen Policers wird jedoch davon beeinflusst, wie die Firewallfilterbegriffe, die auf den Policer verweisen, in TCAM gespeichert werden. Wenn Sie einen filterspezifischen Policer erstellen und in mehreren Firewallfilterbegriffen darauf verweisen, lässt der Policer mehr Datenverkehr als erwartet zu, wenn die Begriffe in verschiedenen TCAM-Slices gespeichert sind. Wenn Sie z. B. einen Policer so konfigurieren, dass Datenverkehr verworfen wird, der 1 Gbit/s überschreitet, und diesen Policer in drei verschiedenen Begriffen referenziert, die in drei separaten Speicherslices gespeichert sind, beträgt die vom Filter zulässige Gesamtbandbreite 3 Gbit/s und nicht 1 Gbit/s. (Dieses Verhalten tritt bei QFX10000 Switches nicht auf.)
Um dieses unerwartete Verhalten zu verhindern, verwenden Sie die Informationen zu TCAM-Slices unter Planen der Anzahl der zu erstellenden Firewallfilter , um Ihre Konfigurationsdatei so zu organisieren, dass alle Firewallfilterbegriffe, die auf einen bestimmten filterspezifischen Policer verweisen, im selben TCAM-Slice gespeichert werden.
Vorgeschlagene Namenskonvention für Polizisten
Es wird empfohlen, die Namenskonvention policertypeTCM#-color type bei der Konfiguration von dreifarbigen Policern und policer# bei der Konfiguration von zweifarbigen Policern zu verwenden. TCM steht für Dreifarbmarker. Da Polizisten zahlreich sein können und richtig angewendet werden müssen, um zu funktionieren, erleichtert eine einfache Namenskonvention die ordnungsgemäße Anwendung der Polizisten. Beispielsweise würde der erste konfigurierte einstufige, farbbewusste dreifarbige Policer den Namen haben srTCM1-ca. Die zweite zweistufige, farbenblinde dreifarbige Konfiguration würde den Namen erhalten trTCM2-cb. Die Elemente dieser Namenskonvention werden im Folgenden erläutert:
SR (Einzeltarif)
tr (zweistufig)
TCM (dreifarbige Kennzeichnung)
1 oder 2 (Anzahl der Marker)
ca (farbbewusst)
CB (farbenblind)
Polizisten-Konter
Bei einigen QFX-Switches enthält jeder von Ihnen konfigurierte Policer einen impliziten Zähler, der die Anzahl der Pakete zählt, die die für den Policer angegebenen Ratenlimits überschreiten. Wenn Sie denselben Policer in mehreren Begriffen verwenden – entweder innerhalb desselben Filters oder in verschiedenen Filtern – zählt der implizite Zähler alle Pakete, die in all diesen Begriffen überwacht werden, und gibt die Gesamtmenge an. (Dies gilt nicht für QFX10000 Switches.) Wenn Sie für jede Laufzeit auf einem betroffenen Switch eine separate Paketanzahl abrufen möchten, verwenden Sie die folgenden Optionen:
Konfigurieren Sie für jeden Begriff einen eindeutigen Policer.
Konfigurieren Sie nur einen Policer, aber verwenden Sie in jedem Begriff einen eindeutigen, expliziten Zähler.
Policer-Algorithmen
Bei der Überwachung wird der Token-Bucket-Algorithmusverwendet, der eine Begrenzung der durchschnittlichen Bandbreite erzwingt und gleichzeitig Bursts bis zu einem bestimmten Maximalwert zulässt. Er bietet mehr Flexibilität als der Leaky-Bucket-Algorithmus , da er eine bestimmte Menge an Burst-Datenverkehr zulässt, bevor Pakete verworfen werden.
In einer Umgebung mit leichtem Burst-Datenverkehr replizieren QFX5200 möglicherweise nicht alle Multicastpakete auf zwei oder mehr nachgeschaltete Schnittstellen. Dies tritt nur bei einem Leitungsraten-Burst auf – bei konsistentem Datenverkehr tritt das Problem nicht auf. Darüber hinaus tritt das Problem nur auf, wenn die Paketgröße in einem Datenverkehrsfluss von einem Gigabit über 6 KB steigt.
Wie viele Polizisten werden unterstützt?
QFX10000 Switches unterstützen 8K-Policer (alle Policertypen). QFX5100- und QFX5200-Switches unterstützen 1535 Eingangs- und 1024 Ausgangs-Policer (unter der Annahme eines Policers pro Firewall-Filterbegriff). QFX5110 Switches unterstützen 6144 Eingangs-Policer und 1024 Egress-Policer (unter der Annahme eines Policers pro Firewall-Filterbegriff).
QFX3500 und QFX3600 Standalone-Switches und QFabric-Node-Geräte unterstützen die folgende Anzahl von Policern (unter der Annahme eines Policers pro Firewall-Filterbegriff):
Zweifarbige Policer, die in Eingangs-Firewall-Filtern verwendet werden: 767
Dreifarbige Policer, die in Eingangs-Firewall-Filtern verwendet werden: 767
Zweifarbige Policer, die in Ausgangs-Firewall-Filtern verwendet werden: 1022
Dreifarbige Policer, die in Ausgangs-Firewall-Filtern verwendet werden: 512
Policer können ausgehende Firewall-Filter einschränken
Bei einigen Switches kann sich die Anzahl der von Ihnen konfigurierten Ausgangs-Policer auf die Gesamtzahl der zulässigen Ausgangs-Firewall-Filter auswirken. Jeder Policer hat zwei implizite Zähler, die zwei Einträge in einem TCAM mit 1024 Einträgen belegen. Diese werden für Leistungsindikatoren verwendet, einschließlich Leistungsindikatoren, die in Firewallfilterbegriffen als Aktionsmodifizierer konfiguriert sind. (Policer verbrauchen zwei Einträge, da einer für grüne Pakete und einer für nicht-grüne Pakete verwendet wird, unabhängig vom Polizeityp.) Wenn das TCAM voll wird, können Sie keine weiteren Ausgangs-Firewallfilter mit Termen mit Zählern festlegen. Wenn Sie z. B. 512 Ausgangs-Policer konfigurieren und festschreiben (zweifarbig, dreifarbig oder eine Kombination aus beiden Policer-Typen), werden alle Speichereinträge für Zähler aufgebraucht. Wenn Sie später in der Konfigurationsdatei zusätzliche Ausgangsfirewallfilter mit Begriffen einfügen, die auch Leistungsindikatoren enthalten, wird für keinen der Begriffe in diesen Filtern ein Commit ausgeführt, da kein Speicherplatz für die Leistungsindikatoren verfügbar ist.
Hier sind einige weitere Beispiele:
Angenommen, Sie konfigurieren Ausgangsfilter, die insgesamt 512 Policer und keine Leistungsindikatoren enthalten. Später in der Konfigurationsdatei fügen Sie einen weiteren Ausgangsfilter mit 10 Termen ein, von denen 1 über einen Gegenaktionsmodifizierer verfügt. Keiner der Begriffe in diesem Filter ist festgeschrieben, da nicht genügend TCAM-Speicherplatz für den Zähler vorhanden ist.
Angenommen, Sie konfigurieren Ausgangsfilter, die insgesamt 500 Policer enthalten, sodass 1000 TCAM-Einträge belegt sind. Später in Ihrer Konfigurationsdatei fügen Sie die folgenden beiden Ausgangsfilter ein:
Filter A mit 20 Begriffen und 20 Leistungsindikatoren. Für alle Begriffe in diesem Filter wird ein Commit ausgeführt, da genügend TCAM-Speicherplatz für alle Leistungsindikatoren vorhanden ist.
Filter B kommt nach Filter A und hat fünf Terme und fünf Indikatoren. Für keinen der Begriffe in diesem Filter wurde ein Commit ausgeführt, da nicht genügend Speicherplatz für alle Leistungsindikatoren vorhanden ist. (Fünf TCAM-Einträge sind erforderlich, aber nur vier sind verfügbar.)
Sie können dieses Problem vermeiden, indem Sie sicherstellen, dass Ausdrücke für Egress-Firewallfilter mit Gegenaktionen früher in der Konfigurationsdatei platziert werden als Begriffe, die Policer enthalten. In diesem Fall führt Junos OS einen Commit für Policer aus, auch wenn nicht genügend TCAM-Speicherplatz für die impliziten Zähler vorhanden ist. Nehmen Sie zum Beispiel Folgendes an:
Sie verfügen über 1024 Ausgangs-Firewall-Filterbegriffe mit Gegenaktionen.
Später in Ihrer Konfigurationsdatei haben Sie einen Ausgangsfilter mit 10 Begriffen. Keiner der Begriffe hat Zähler, aber einer hat einen Polizeiaktionsmodifikator.
Sie können den Filter mit 10 Begriffen erfolgreich festschreiben, obwohl nicht genügend TCAM-Speicherplatz für die impliziten Zähler des Policers vorhanden ist. Der Polizist wird ohne die Zähler begangen.