Überblick über Policers
Ein Switch kontrolliert den Datenverkehr, indem er die Ein- oder Ausgabegeschwindigkeit einer Datenverkehrsklasse gemäß benutzerdefinierten Kriterien begrenzt. Policing (oder geschwindigkeitsbeschränkende) Datenverkehr ermöglicht es Ihnen, die maximale Rate des über eine Schnittstelle gesendeten oder empfangenen Datenverkehrs zu kontrollieren und mehrere Prioritätsstufen oder -klassen bereitzustellen.
Policing ist auch eine wichtige Komponente von Firewall-Filtern. Sie können Policing erreichen, indem Sie Policer in Firewall-Filterkonfigurationen integrieren.
Policer – Überblick
Sie verwenden Policer, um Begrenzungen für den Datenverkehr anzuwenden und Konsequenzen für Pakete festzulegen, die diese Grenzwerte überschreiten – in der Regel eine höhere Verlustpriorität –, sodass Pakete, wenn eine Nachstromüberlastung auftreten, sie zuerst verworfen werden können. Policer gelten nur für Unicast-Pakete.
Policer bieten zwei Funktionen: Messung und Markierung. Ein Policer misst jedes Paket gegen Datenverkehrsraten und Burst-Größen, die Sie konfigurieren. Anschließend übergibt er das Paket und das Messergebnis an den Marker, der eine Paketverlustpriorität zuweist, die dem Messergebnis entspricht. Abbildung 1 veranschaulicht diesen Prozess.
Ein Policer schränkt den Datenverkehr bei der konfigurierten Übertragungsrate pro PFE ein. In QFX10016, QFX10002, QFX10002-60C und QFX10008-Switches kann die Gesamtübertragungsrate des Policers für den Anwender die konfigurierte Übertragungsrate des Policers überschreiten (abhängig von der Anzahl der beteiligten PFEs).
Ein Beispiel:
-
Policer mit einer Bandbreitengrenze von 100 Mbit/s auf einer AE-Schnittstelle konfiguriert, die die Mitgliedsverbindungen xe-1/0/0 (fpc1-pfe0) und xe-1/0/30 (fpc1-pfe1) hat . Hier gehören die beiden Member-Links zu FPC1, sind aber auf unterschiedlichen PFEs. Wenn der Policer auf die AE-Schnittstelle angewendet wird, führt dies zu einer Gesamtbandbreite von 200 Mbit/s, da Policer für zwei PFEs konfiguriert ist.
-
Policer mit bandbreitenlimitierten 100 Mbit/s konfiguriert auf einer AE-Schnittstelle mit Denklinks xe-1/0/0 (fpc1-pfe0), et-2/0/1 (fpc2-pfe1) und xe-2/0/18:0 (fpc2-pfe2). Hier gehört ein Mitgliederlink zu FPC1 und PFE0 auf dieser FPC. Die restlichen zwei Member-Links gehören zu FPC2, aber unterschiedliche PFEs. Wenn der Policer auf die AE-Schnittstelle angewendet wird, führt dies zu einer Gesamtbandbreite von 300 Mbit/s, da Policer für drei PFEs konfiguriert ist.
-
Policer mit einer Bandbreitengrenze von 100 Mbit/s auf einer AE-Schnittstelle konfiguriert, die Mitgliedsverbindungen xe-1/0/0 und xe-1/0/1 auf einer einzigen PFE (fpc1-pfe0) hat. Hier gehören die Mitgliederlinks zur FPC1 und derselben PFE. Wenn der Policer auf die AE-Schnittstelle angewendet wird, führt dies zu einer Gesamtbandbreite von 100 Mbit/s, da Policer auf PFE-Basis konfiguriert wird.
Nachdem Sie einen Policer benannt und konfiguriert haben, können Sie ihn verwenden, indem Sie ihn als Aktion in einem oder mehreren Firewall-Filtern angeben.
Policer-Typen
Ein Switch unterstützt drei Arten von Policern:
Single-Rate-Zweifarbmarker: Ein zweifarbiger Policer (oder "Policer" bei unqualifizierter Verwendung) misst den Datenverkehrsstrom und klassifiziert Pakete in zwei Kategorien von Paketverlustpriorität (PLP) gemäß einer konfigurierten Bandbreiten- und Burst-Größenbeschränkung. Sie können Pakete, die die Bandbreiten- und Burst-Größenbeschränkungen überschreiten, mit einem angegebenen PLP markieren oder einfach verwerfen.
Sie können diesen Policer-Typ in einer Eingangs- oder Ausgangs-Firewall angeben.
HINWEIS:Ein zweifarbiger Policer ist am nützlichsten für die Messung des Datenverkehrs auf Portebene (physische Schnittstelle).
Single-Rate-Drei-Farben-Marker: Diese Art von Policer wird in RFC 2697, Einem Single-Rate-Drei-Farbmarker, als Teil eines garantierten Weiterleitungssystems (AF) per-Hop-Behavior (PHB) für eine DiffServ-Umgebung (Differenzierte Services) definiert. Diese Art von Policer misst den Datenverkehr basierend auf einer Rate – der konfigurierten Committed Information Rate (CIR) sowie der Committed Burst Size (CBS) und der übermäßigen Burst-Größe (EBS). Der CIR gibt die durchschnittliche Rate an, mit der Bits zum Switch zugelassen werden. Das CBS gibt die übliche Burstgröße in Bytes an, und das EBS gibt die maximale Burstgröße in Bytes an. Das EBS muss größer oder gleich dem CBS sein, und keine kann 0 sein.
Sie können diesen Policer-Typ in einer Eingangs- oder Ausgangs-Firewall angeben.
HINWEIS:Ein Single-Rate-Drei-Farben-Marker (TCM) ist am nützlichsten, wenn ein Service nach Paketlänge und nicht nach spitzen Ankunftsrate strukturiert ist.
Zwei-Rate-Drei-Farben-Marker: Diese Art von Policer wird in RFC 2698, A Two Rate Three Color Marker, als Teil eines gesicherten Weiterleitungs-Verhaltensklassifizierungssystems für eine Differenzierte Service-Umgebung definiert. Diese Art von Policer misst den Datenverkehr auf der Grundlage von zwei Raten : CIR und Peak Information Rate (PIR) sowie den zugehörigen Burst-Größen, cbS und Peak Burst Size (PBS). Die PIR gibt die maximale Rate an, mit der Bits in das Netzwerk zugelassen werden, und sie muss größer oder gleich der CIR sein.
Sie können diesen Policer-Typ in einer Eingangs- oder Ausgangs-Firewall angeben.
HINWEIS:Ein zweistufiger, dreifarbiger Policer ist am nützlichsten, wenn ein Service nach Ankunftsraten und nicht unbedingt nach Paketlänge strukturiert ist.
Hier finden Sie Tabelle 1 Informationen darüber, wie die Messergebnisse für jeden dieser Policertypen angewendet werden.
Policer Actions
Policer-Aktionen sind implizit oder explizit und variieren je nach Policer-Typ. Implizit bedeutet, dass Junos OS die Verlustpriorität automatisch zuweist. Tabelle 1 beschreibt die Aktionen der Polizei.
Polizeibeamter |
Kennzeichnung |
Implizite Aktion |
Konfigurierbare Aktion |
|---|---|---|---|
Single-Rate- zweifarbig |
Grün (konform) |
Priorität mit geringem Verlust zuweisen |
Keine |
Rot (nicht kondensierend) |
Keine |
Verwerfen |
|
Single-Rate drei Farben |
Grün (konform) |
Priorität mit geringem Verlust zuweisen |
Keine |
Gelb (über CIR und CBS) |
Priorität mit mittlerem bis hohem Verlust zuweisen |
Keine |
|
Rot (über dem EBS) |
Hohe Verlustpriorität zuweisen |
Verwerfen |
|
Zwei Raten drei Farben |
Grün (konform) |
Priorität mit geringem Verlust zuweisen |
Keine |
Gelb (über CIR und CBS) |
Priorität mit mittlerem bis hohem Verlust zuweisen |
Keine |
|
Rot (über PIR und PBS) |
Hohe Verlustpriorität zuweisen |
Verwerfen |
Wenn Sie einen Policer in einem Ausgangs-Firewall-Filter angeben, wird discardnur eine Aktion unterstützt.
Policer Farben
Policer mit einer und zwei Geschwindigkeiten mit drei Farben können in zwei Modi betrieben werden:
Farbblind: Im farbblinden Modus geht der dreifarbige Policer davon aus, dass alle untersuchten Pakete nicht zuvor markiert oder dosiert wurden. Mit anderen Worten, der dreifarbige Policer ist "blind" für jede frühere Farbe, die ein Paket möglicherweise hatte.
Farbsensibel: Im Farberkennungsmodus geht der dreifarbige Policer davon aus, dass alle untersuchten Pakete zuvor markiert oder dosiert wurden. Mit anderen Worten, der dreifarbige Policer ist sich der vorherigen Farbe eines Pakets bewusst. Im farbbewussten Modus kann der dreifarbige Policer das PLP eines Pakets erhöhen, aber nicht verringern. Wenn beispielsweise ein farbsbewusster, dreifarbiger Policer ein Paket mit einer mittleren PLP-Markierung misst, kann er den PLP-Wert auf einen hohen Wert bringen, kann den PLP-Wert jedoch nicht auf niedrig reduzieren.
Filterspezifische Policer
Sie können Policer als filterspezifisch konfigurieren, was bedeutet, dass Junos OS nur eine Policer-Instanz erstellt, unabhängig davon, wie oft auf den Policer verwiesen wird. Wenn Sie dies auf einigen QFX-Switches tun, wird die Geschwindigkeitsbegrenzung aggregiert angewendet. Wenn Sie also einen Policer konfigurieren, der Datenverkehr über 1 Gbit/s verwirft und diesen Policer in drei verschiedenen Begriffen referenziert, beträgt die vom Filter zulässige Gesamtbandbreite 1 Gbit/s. Das Verhalten eines filterspezifischen Policers wird jedoch durch die Art und Weise beeinflusst, wie die Firewall-Filterbegriffe, die auf den Policer verweisen, in TCAM gespeichert werden. Wenn Sie einen filterspezifischen Policer erstellen und ihn in mehreren Firewall-Filterbegriffen referenzieren, erlaubt der Policer mehr Datenverkehr als erwartet, wenn die Begriffe in verschiedenen TCAM-Slices gespeichert sind. Wenn Sie beispielsweise einen Policer konfigurieren, um Datenverkehr über 1 Gbit/s zu verwerfen und auf diesen Policer in drei verschiedenen Begriffen zu verweisen, die in drei separaten Speicher-Slices gespeichert sind, beträgt die vom Filter zulässige Gesamtbandbreite 3 Gbit/s und nicht 1 Gbit/s. (Dieses Verhalten tritt bei QFX10000-Switches nicht auf.)
Um dieses unerwartete Verhalten zu verhindern, verwenden Sie die Informationen zu TCAM-Slices, die unter Planen der Anzahl der zu erstellenden Firewall-Filter angezeigt werden, um die Konfigurationsdatei so zu organisieren, dass alle Firewall-Filterbegriffe, die auf einen bestimmten filterspezifischen Policer verweisen, im selben TCAM-Slice gespeichert werden.
Vorgeschlagene Benennungskonvention für Polizisten
Wir empfehlen, die Benennungskonvention policertypeTCM#-color type bei der Konfiguration von dreifarbigen Policern und policer# bei der Konfiguration von zweifarbigen Policern zu verwenden. TCM steht für Drei-Farben-Marker. Da Polizisten zahlreich sein können und richtig angewendet werden müssen, um zu arbeiten, erleichtert eine einfache Benennungskonvention die korrekte Anwendung der Polizisten. Der erste konfigurierte, einstufige, farbsbewusste dreifarbige Policer würde beispielsweise den Namen nennen srTCM1-ca. Die zweite konfigurierte zweistufige, farbblinde Drei-Farb-Konfiguration wird benannt trTCM2-cb. Die Elemente dieser Benennungskonvention werden nachfolgend erläutert:
SR (Single-Rate)
tr (zwei Raten)
TCM (Tricolor Marking)
1 oder 2 (Anzahl des Markers)
ca (farbsensibel)
cb (farbblind)
Policer-Zähler
Auf einigen QFX-Switches enthält jeder von Ihnen konfigurierte Policer einen impliziten Zähler, der die Anzahl der Pakete zählt, die die für den Policer angegebenen Geschwindigkeitsgrenzen überschreiten. Wenn Sie denselben Policer in mehreren Begriffen verwenden – entweder innerhalb desselben oder in verschiedenen Filtern –, zählt der implizite Zähler alle Pakete, die in all diesen Begriffen gepolit sind, und gibt den Gesamtbetrag an. (Dies gilt nicht für QFX10000-Switches.) Wenn Sie für jeden Begriff auf einem betroffenen Switch separate Paketzählungen erhalten möchten, verwenden Sie die folgenden Optionen:
Konfigurieren Sie für jeden Begriff einen individuellen Policer.
Konfigurieren Sie nur einen Policer, verwenden Sie jedoch einen eindeutigen, expliziten Zähler für jeden Begriff.
Policer-Algorithmen
Policing verwendet den Token-Bucket-Algorithmus, der eine Begrenzung der durchschnittlichen Bandbreite erzwingt und gleichzeitig Bursts bis zu einem angegebenen Maximalwert ermöglicht. Es bietet mehr Flexibilität als der leckige Bucket-Algorithmus , indem es eine gewisse Menge an überlasteten Datenverkehr ermöglicht, bevor er beginnt, Pakete zu verwerfen.
In einer Umgebung mit geringem Datenverkehr repliziert der QFX5200 möglicherweise nicht alle Multicast-Pakete auf zwei oder mehr Downstream-Schnittstellen. Dies tritt nur bei einer Überlastung der Leitungsgeschwindigkeit auf – wenn der Datenverkehr konsistent ist, tritt das Problem nicht auf. Darüber hinaus tritt das Problem nur auf, wenn die Paketgröße in einem Datenverkehr von einem Gigabit über 6K steigt.
Wie viele Polizisten werden unterstützt?
QFX10000-Switches unterstützen 8K-Policer (alle Policer-Typen). QFX5100- und QFX5200-Switches unterstützen 1535 Eingangs-Policer und 1024 Ausgangs-Policer (vorausgesetzt, ein Policer pro Firewall-Filterbegriff). QFX5110-Switches unterstützen 6144 Eingangs-Policer und 1024 Ausgangs-Policer (vorausgesetzt, ein Policer pro Firewall-Filterbegriff).
Die eigenständigen Switches QFX3500 und QFX3600 sowie QFabric Node-Geräte unterstützen die folgende Anzahl von Policern (vorausgesetzt, ein Policer pro Firewall-Filterbegriff):
Zweifarbige Policer, die in Eingangs-Firewall-Filtern verwendet werden: 767
Drei Farb-Policer, die in Eingangs-Firewall-Filtern verwendet werden: 767
Zweifarbige Policer, die in Ausgangs-Firewall-Filtern verwendet werden: 1022
Drei farbliche Policer, die in Ausgangs-Firewall-Filtern verwendet werden: 512
Policer können Ausgangs-Firewall-Filter begrenzen
Bei einigen Switches kann sich die Anzahl der von Ihnen konfigurierten Ausgangs-Policer auf die Gesamtzahl der zulässigen Ausgangs-Firewall-Filter auswirken. Jeder Policer verfügt über zwei implizite Zähler, die zwei Einträge in einem TCAM mit 1024 Einträgen aufnehmen. Diese werden für Zähler verwendet, einschließlich Zähler, die in den Begriffen der Firewall-Filter als Aktionsmodifizierer konfiguriert sind. (Policer verbrauchen zwei Einträge, da eine für grüne Pakete und eine für nichtgrüne Pakete verwendet wird, unabhängig vom Policer-Typ.) Wenn das TCAM voll ist, können Sie keine weiteren Ausgangs-Firewall-Filter mit Zählern festlegen. Wenn Sie beispielsweise 512 Ausgangs-Policer (zweifarbig, dreifarbig oder eine Kombination aus beiden Policer-Typen) konfigurieren und festlegen, werden alle Speichereinträge für Zähler aufgebraucht. Wenn Sie zu einem späteren Zeitpunkt in Ihrer Konfigurationsdatei zusätzliche Ausgangs-Firewall-Filter mit Begriffen einfügen, die auch Zähler enthalten, wird keiner der Begriffe in diesen Filtern festgelegt, da für die Leistungsindikatoren kein Speicherplatz verfügbar ist.
Hier sind einige weitere Beispiele:
Gehen Sie davon aus, dass Sie Ausgangsfilter konfigurieren, die insgesamt 512 Policer und keine Zähler enthalten. Später fügen Sie in Ihrer Konfigurationsdatei einen weiteren Ausgangsfilter mit 10 Begriffen hinzu, von denen 1 über einen Modifizierer für Zähleraktionen verfügt. Keiner der Begriffe in diesem Filter wird festgelegt, da es nicht genügend TCAM-Platz für den Zähler gibt.
Gehen Sie davon aus, dass Sie Ausgangsfilter konfigurieren, die insgesamt 500 Policer umfassen, sodass 1000 TCAM-Einträge belegt sind. Später in Ihrer Konfigurationsdatei schließen Sie die folgenden zwei Ausgangsfilter ein:
Filter A mit 20 Begriffen und 20 Zählern. Alle Begriffe in diesem Filter werden festgelegt, da genügend TCAM-Platz für alle Zähler vorhanden ist.
Filter B kommt nach Filter A und hat fünf Begriffe und fünf Zähler. Keiner der Begriffe in diesem Filter wird festgelegt, da nicht genügend Speicherplatz für alle Zähler vorhanden ist. (Es sind fünf TCAM-Einträge erforderlich, aber nur vier sind verfügbar.)
Sie können dieses Problem verhindern, indem Sie sicherstellen, dass Ausgangs-Firewall-Filterbegriffe mit Gegenmaßnahmen früher in Ihrer Konfigurationsdatei platziert werden als Begriffe, die Policer enthalten. In diesem Fall begeht Junos OS Policer, auch wenn nicht genügend TCAM-Speicherplatz für die impliziten Zähler vorhanden ist. Nehmen wir zum Beispiel folgendes an:
Sie haben 1024 Ausgangs-Firewall-Filterbegriffe mit Gegenmaßnahmen.
Später in Ihrer Konfigurationsdatei haben Sie einen Ausgangsfilter mit 10 Begriffen. Keiner der Begriffe hat Zähler, aber einer hat einen Policer Action-Modifizierer.
Sie können den Filter mit 10 Begriffen erfolgreich festlegen, obwohl nicht genügend TCAM-Speicherplatz für die impliziten Zähler des Policers vorhanden ist. Der Polizist wird ohne Gegenwehr engagiert.