Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übersicht der Policer

Ein Switch kontrolliert den Datenverkehr, indem er die Ein- oder Ausgangsübertragungsrate einer Datenverkehrsklasse gemäß benutzerdefinierten Kriterien begrenzt. Mithilfe von Policing-Datenverkehr (oder Begrenzung der Übertragungsrate) können Sie die maximale Rate des an einer Schnittstelle gesendeten oder empfangenen Datenverkehrs steuern und mehrere Prioritätsebenen oder Dienstklassen bereitstellen.

Policing ist auch eine wichtige Komponente von Firewall-Filtern. Sie können Richtlinien erreichen, indem Sie Policer in Firewall-Filterkonfigurationen einbeziehen.

Policer – Übersicht

Sie verwenden Policer, um Grenzen für den Datenverkehrsfluss anzuwenden und Konsequenzen für Pakete festzulegen, die diese Grenzwerte überschreiten – in der Regel eine höhere Verlustpriorität –, damit Pakete, wenn sie nachgeschaltete Überlastungen auftreten, zuerst verworfen werden können. Policer gelten nur für Unicast-Pakete.

Policer bieten zwei Funktionen: Messung und Kennzeichnung. Ein Policer misst jedes Paket gegen die von Ihnen konfigurierten Datenverkehrsraten und Burst-Größen. Anschließend übergibt es das Paket und das Messergebnis an den Marker, der dem Meterergebnis eine Priorität für Paketverluste zugibt. Abbildung 1 zeigt diesen Prozess.

Abbildung 1: Fluss der dreifarbigen Markierung Policer BetriebFluss der dreifarbigen Markierung Policer Betrieb

Nachdem Sie einen Policer benennen und konfigurieren, können Sie ihn verwenden, indem Sie ihn in einem oder mehreren Firewall-Filtern als Aktion angeben.

Policer-Typen

Ein Switch unterstützt drei Arten von Policern:

  • Single-Rate-Zwei-Farb-Marker: Ein zweifarbiger Policer (oder "Policer", wenn er ohne Qualifikation verwendet wird) misst den Datenverkehrsstrom und klassifiziert Pakete in zwei Kategorien von Paketverlustpriorität (PACKET Loss Priority, PLP) entsprechend einer konfigurierten Bandbreiten- und Burst-Größenbegrenzung. Sie können Pakete, die die Bandbreiten- und Burstgröße überschreiten, mit einem angegebenen PLP markieren oder einfach verwerfen.

    Sie können diese Art von Policer in einer Eingangs- oder Ausgangs-Firewall angeben.

    Anmerkung:

    Ein zweifarbiger Policer ist am nützlichsten für die Messung des Datenverkehrs auf Portebene (physische Schnittstelle).

  • Single-Rate-Drei-Farb-Marker: Diese Art von Policer ist in RFC 2697, A Single Rate Three Color Marker, als Teil eines gesicherten Forwarding (AF) Per-Hop-Behavior (PHB)-Klassifizierungssystems für eine DiffServ-Umgebung (Differentiated Services) definiert. Diese Art von Policer misst den Datenverkehr basierend auf einer Rate – der konfigurierten Committed Information Rate (CIR) sowie der zugesagten Burst-Größe (CBS) und der Excess Burst Size (EBS). Der CIR gibt den Durchschnittssatz an, zu dem Bits zum Switch zugelassen werden. Das CBS gibt die übliche Burst-Größe in Bytes an, und das EBS gibt die maximale Burst-Größe in Bytes an. Das EBS muss größer oder gleich dem CBS sein und kann weder 0 sein.

    Sie können diese Art von Policer in einer Eingangs- oder Ausgangs-Firewall angeben.

    Anmerkung:

    Ein Single-Rate-Drei-Farb-Marker (TCM) ist am nützlichsten, wenn ein Service nach Paketlänge und nicht nach Spitzenanreiserate strukturiert ist.

  • Zwei-Rate-Drei-Farb-Marker: Diese Art von Policer ist in RFC 2698, A Two Rate Three Color Marker, als Teil eines gesicherten Weiterleitungs-Per-Hop-Verhaltensklassifizierungssystems für eine Differenzierte Services-Umgebung definiert. Diese Art von Policer misst den Datenverkehr basierend auf zwei Geschwindigkeiten: CIR und Peak Information Rate (PIR) zusammen mit den zugehörigen Burst-Größen, CBS und Peak Burst Size (PBS). Das PIR gibt den maximalen Datensatz an, zu dem Bits in das Netzwerk zugelassen werden, und muss größer oder gleich dem CIR sein.

    Sie können diese Art von Policer in einer Eingangs- oder Ausgangs-Firewall angeben.

    Anmerkung:

    Ein 3-farbiger Policer mit zwei Raten ist am nützlichsten, wenn ein Dienst nach Ankunftsraten und nicht unbedingt Paketlänge strukturiert ist.

Informationen darüber, wie die Messergebnisse für jeden dieser Policer-Typen angewendet werden, finden Sie Tabelle 1 unter.

Policer-Aktionen

Policer-Aktionen sind implizit oder explizit und variieren je nach Policer-Typ. Implizit bedeutet, dass Junos OS die Verlustpriorität automatisch zugibt. Tabelle 1 beschreibt die Policer-Aktionen.

Tabelle 1: Policer-Aktionen

Policer

Kennzeichnung

Implizite Aktion

Konfigurierbare Aktion

Einrate zweifarbig

Grün (konform)

Zuweisen einer prioritätsschwachen Verlustpriorität

Keine

Rot (nichtformierend)

Keine

Verwerfen

Einrate dreifarbig

Grün (konform)

Zuweisen einer prioritätsschwachen Verlustpriorität

Keine

Gelb (über CIR und CBS)

Mittlere bis hohe Verlustprioritäten zuweisen

Keine

Rot (über ebS)

Hohe Verlustprioritäten zuweisen

Verwerfen

3-farbig zweirate

Grün (konform)

Zuweisen einer prioritätsschwachen Verlustpriorität

Keine

Gelb (über CIR und CBS)

Mittlere bis hohe Verlustprioritäten zuweisen

Keine

Rot (über PIR und PBS)

Hohe Verlustprioritäten zuweisen

Verwerfen

Anmerkung:

Wenn Sie in einem Ausgangs-Firewall-Filter einen Policer angeben, ist discarddie einzige unterstützte Aktion .

Policer-Farben

Single-Rate- und 2-Rate-Policer mit drei Farben können in zwei Modi betrieben werden:

  • Color Blind: Im Color-Blind-Modus geht der dreifarbige Policer davon aus, dass alle untersuchten Pakete zuvor nicht markiert oder gemessen wurden. Mit anderen Worten, der dreifarbige Policer ist "blind" für alle vorherigen Färbungen, die ein Paket möglicherweise hatte.

  • Farbsensibel: Im farbbewussten Modus geht der dreifarbige Policer davon aus, dass alle untersuchten Pakete zuvor markiert oder gemessen wurden. Mit anderen Worten, der dreifarbige Policer ist sich der vorherigen Färbung eines Pakets bewusst. Im farbsensibelen Modus kann der dreifarbige Policer das PLP eines Pakets erhöhen, es aber nicht verringern. Wenn beispielsweise ein farbsensibeler dreifarbiger Policer ein Paket mit einer mittleren PLP-Markierung misst, kann er das PLP-Niveau auf hoch anheben, aber das PLP-Niveau nicht auf niedrig reduzieren.

Filterspezifische Policer

Sie können Policer so konfigurieren, dass sie filterspezifisch sind, was bedeutet, dass Junos OS unabhängig davon, wie oft der Policer referenziert wird, nur eine Policer-Instanz erstellt. Wenn Sie dies auf einigen QFX-Switches tun, wird die Begrenzung der Übertragungsrate aggregiert angewendet. Wenn Sie also einen Policer so konfigurieren, dass der Datenverkehr, der 1 Gbit/s überschreitet, verworfen wird und der Policer in drei verschiedenen Bedingungen referenziert, beträgt die vom Filter zulässige Gesamtbandbreite 1 Gbit/s. Das Verhalten eines filterspezifischen Policers wird jedoch davon beeinflusst, wie die Firewall-Filterbegriffe, die auf den Policer verweisen, in TCAM gespeichert werden. Wenn Sie einen filterspezifischen Policer erstellen und ihn in mehreren Firewall-Filterbegriffen referenzieren, ermöglicht der Policer mehr Datenverkehr als erwartet, wenn die Begriffe in verschiedenen TCAM-Slices gespeichert sind. Wenn Sie beispielsweise einen Policer so konfigurieren, dass er Datenverkehr über 1 Gbit/s verwirft und diesen Policer in drei verschiedenen Bedingungen referenziert, der in drei separaten Speicher-Slices gespeichert ist, beträgt die vom Filter zulässige Gesamtbandbreite 3 Gbit/s und nicht 1 Gbit/s. (Dieses Verhalten tritt in QFX10000-Switches nicht auf.)

Um zu verhindern, dass dieses unerwartete Verhalten auftritt, verwenden Sie die in Planung der Anzahl der zu erstellenden Firewall-Filter dargestellten Informationen zu TCAM-Slices, um Ihre Konfigurationsdatei so zu organisieren, dass alle Firewall-Filterbegriffe, die auf einen bestimmten filterspezifischen Policer verweisen, im selben TCAM-Slice gespeichert werden.

Vorgeschlagene Namenskonvention für Policer

Wir empfehlen, die Namenskonvention policertypeTCM#-color type bei der Konfiguration von dreifarbigen Policern und policer# bei der Konfiguration von zweifarbigen Policern zu verwenden. TCM steht für Drei-Farb-Marker. Da Policer zahlreich sein können und richtig angewendet werden müssen, erleichtert eine einfache Namenskonvention die ordnungsgemäße Anwendung der Policer. Der erste farbsensibel konfigurierte 3-Farb-Policer mit single-rate wird z. B. benannt srTCM1-ca. Die zweite 2-rate, color-blind 3-color konfiguriert würde benannt trTCM2-cbwerden. Die Elemente dieser Namenskonvention werden unten erläutert:

  • sr (Single-Rate)

  • tr (Zwei-Rate)

  • TCM (dreifarbige Markierung)

  • 1 oder 2 (Anzahl der Marker)

  • ca (farbsensibel)

  • cb (farb blind)

Policer-Zähler

Auf einigen QFX-Switches enthält jeder von Ihnen konfigurierte Policer einen impliziten Zähler, der die Anzahl der Pakete zählt, die die für den Policer festgelegten Datenübertragungsraten überschreiten. Wenn Sie dieselbe Policer in mehreren Begriffen verwenden – entweder innerhalb desselben Filters oder in verschiedenen Filtern –, zählt der implizite Zähler alle Pakete, die in all diesen Bedingungen gepolizeit werden, und liefert den Gesamtbetrag. (Dies gilt nicht für QFX10000-Switches.) Wenn Sie für jeden Begriff auf einem betroffenen Switch eine separate Paketanzahl erhalten möchten, verwenden Sie folgende Optionen:

  • Konfigurieren Sie für jeden Begriff einen einzigartigen Policer.

  • Konfigurieren Sie nur einen Policer, verwenden Sie jedoch in jedem Begriff einen eindeutigen, expliziten Zähler.

Policer-Algorithmen

Policing verwendet den Token-Bucket-Algorithmus, der eine Begrenzung der durchschnittlichen Bandbreite durchsetzt und gleichzeitig Aufspänen bis zu einem angegebenen Maximalwert ermöglicht. Es bietet mehr Flexibilität als der Algorithmus für Leckage-Eimer , wenn es eine bestimmte Menge an überlastem Datenverkehr ermöglicht, bevor pakete verworfen werden.

Anmerkung:

In einer Umgebung mit leicht überlastem Datenverkehr repliziert QFX5200 möglicherweise nicht alle Multicastpakete auf zwei oder mehr Downstream-Schnittstellen. Dies tritt nur bei einem Burst der Leitungsgeschwindigkeit auf– wenn der Datenverkehr konsistent ist, tritt das Problem nicht auf. Darüber hinaus tritt das Problem nur auf, wenn die Paketgröße in einem Ein-Gigabit-Datenverkehrsfluss über 6k ansteigt.

Wie viele Policer werden unterstützt?

QFX10000-Switches unterstützen 8K-Policer (alle Policer-Typen). QFX5100- und QFX5200-Switches unterstützen 1535 Eingangs-Policer und 1024 Ausgangs-Policer (vorausgesetzt, ein Policer pro Firewall-Filterbegriff). QFX5110-Switches unterstützen 6144 Eingangs-Policer und 1024 Ausgangs-Policer (vorausgesetzt, ein Policer pro Firewall-Filterbegriff).

QFX3500 und QFX3600 eigenständige Switches und QFabric Node-Geräte unterstützen die folgende Anzahl von Policern (vorausgesetzt, ein Policer pro Firewall-Filterbegriff):

  • Zweifarbige Policer, die in Ingress-Firewall-Filtern verwendet werden: 767

  • Dreifarbige Policer, die in Ingress-Firewall-Filtern verwendet werden: 767

  • Zweifarbige Policer, die in Ausgangs-Firewall-Filtern verwendet werden: 1022

  • Dreifarbige Policer, die in Ausgangs-Firewall-Filtern verwendet werden: 512

Policer können Egress-Firewall-Filter begrenzen

Auf einigen Switches kann sich die Anzahl der von Ihnen konfigurierten Ausgangs-Policer auf die Gesamtzahl der zulässigen Egress-Firewall-Filter auswirken. Jeder Policer hat zwei implizite Zähler, die zwei Einträge in einer TCAM mit 1024 Einträgen aufnehmen. Diese werden für Zähler verwendet, einschließlich Leistungsindikatoren, die als Aktionsmodifikatoren in Firewall-Filterbegriffen konfiguriert sind. (Policer verbrauchen zwei Einträge, weil eine für grüne Pakete verwendet wird und eine für nichtgrüne Pakete unabhängig vom Policer-Typ verwendet wird.) Wenn die TCAM voll ist, können Sie keine weiteren Egress-Firewall-Filter mit Bedingungen mit Leistungsindikatoren festlegen. Wenn Sie beispielsweise 512 Ausgangs-Policer konfigurieren und bestätigen (zweifarbige, dreifarbige oder eine Kombination aus beiden Policer-Typen), werden alle Speichereinträge für Zähler aufgebraucht. Wenn Sie später in Ihrer Konfigurationsdatei zusätzliche Ausgangs-Firewall-Filter mit Bedingungen einfügen, die auch Zähler enthalten, werden keine der Bedingungen in diesen Filtern festgelegt, da für die Zähler kein Speicherplatz verfügbar ist.

Hier sind einige weitere Beispiele:

  • Gehen Sie davon aus, dass Sie Ausgangsfilter konfigurieren, die insgesamt 512 Policer und keine Zähler enthalten. Später fügen Sie in Ihrer Konfigurationsdatei einen weiteren Ausgangsfilter mit 10 Begriffen hinzu, von denen 1 über einen Modifikator für Gegenmaßnahmen verfügt. Keine der Bedingungen in diesem Filter wird festgelegt, da nicht genügend TCAM-Speicherplatz für den Zähler vorhanden ist.

  • Angenommen, Sie konfigurieren Ausgangsfilter mit insgesamt 500 Policern, sodass 1000 TCAM-Einträge belegt sind. Später fügen Sie in Ihrer Konfigurationsdatei die folgenden zwei Ausgangsfilter ein:

    • A mit 20 Bedingungen und 20 Zählern filtern. Alle Bedingungen in diesem Filter werden festgelegt, da für alle Zähler genügend TCAM-Speicherplatz vorhanden ist.

    • Filter B kommt nach Filter A und hat fünf Begriffe und fünf Zähler. Keine der Bedingungen in diesem Filter wird festgelegt, da nicht genügend Speicherplatz für alle Zähler vorhanden ist. (Es sind fünf TCAM-Einträge erforderlich, aber nur vier sind verfügbar.)

Sie können dieses Problem verhindern, indem Sie sicherstellen, dass Egress-Firewall-Filterbegriffe mit Gegenmaßnahmen früher in Ihrer Konfigurationsdatei platziert werden als Bedingungen, die Policer enthalten. In diesem Fall begeht Junos OS Policer, auch wenn es nicht genügend TCAM-Speicherplatz für die impliziten Zähler gibt. Nehmen Wir zum Beispiel Folgendes an:

  • Sie haben 1024 ausgehende Firewall-Filterbegriffe mit Gegenaktionen.

  • Später in Ihrer Konfigurationsdatei haben Sie einen Ausgangsfilter mit 10 Begriffen. Keine der Bedingungen hat Zähler, aber man hat einen Policer Action Modifier.

Sie können den Filter erfolgreich mit 10 Bedingungen bestätigen, obwohl für die impliziten Zähler des Policers nicht genügend TCAM-Speicherplatz vorhanden ist. Der Policer wird ohne die Gegenwehr begangen.