Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Übersicht über Policer

Ein Switch überschränkt den Datenverkehr, indem die Eingangs- oder Ausgangsübertragungsrate einer Datenverkehrsklasse entsprechend benutzerdefinierter Kriterien begrenzt wird. Policing-Datenverkehr (oder Begrenzung der Srate) ermöglicht Ihnen die Kontrolle der maximalen Rate von Datenverkehr, der an einer Schnittstelle gesendet oder empfangen wird, und mehrere Prioritätsebenen oder Dienstklassen bereitstellen.

Überwachung ist auch eine wichtige Komponente von Firewall-Filtern. Sie können die Überwachung durch die Einbeziehung von Policern in Firewall-Filterkonfigurationen erreichen.

Policer-Übersicht

Sie verwenden Policer, um Datenverkehrsflüsse maximal anzuwenden und Konsequenzen für Pakete zu festlegen, die diese Grenzwerte überschreiten (in der Regel eine höhere Verlustpriorität), sodass Pakete, die auf eine downstream Engpässe treffen, zuerst verworfen werden können. Policer gelten nur für Unicast-Pakete.

Policer bieten zwei Funktionen: Messung und Kennzeichnung. Ein Policer misst jedes Paket gegen Datenverkehrsraten und Burst-Größen, die Sie konfigurieren. Anschließend leitet er das Paket und das Messergebnis an die Markierung weiter, die eine Priorität des Paketverlustes zuordnt, die dem Messergebnis entspricht. Abbildung 1 zeigt diesen Prozess.

Abbildung 1: Dreifarbiger Markierungs-Policer-BetriebDreifarbiger Markierungs-Policer-Betrieb

Nachdem Sie einen Policer angegeben und konfiguriert haben, können Sie ihn als Aktion in einem oder mehrere Firewall-Filter angeben.

Policer-Typen

Ein Switch unterstützt drei Arten von Policern:

  • Single-Rate-Two-Color-Marker: Ein Zwei-Farb-Policer (oder "Policer", wenn er ohne Qualifizierung verwendet wird) metert den Datenverkehrsstrom und klassifiziert Pakete in zwei Kategorien mit Priorität für Paketverluste (PACKET Loss Priority, PLP) entsprechend einer konfigurierten Bandbreiten- und Burst-Größe. Sie können Pakete, die die Begrenzung der Bandbreite und Burst-Größe mit einem angegebenen PLP überschreiten, kennzeichnen oder einfach verwerfen.

    Sie können diesen Policer-Typ in einer Ingress- oder Egress-Firewall angeben.

    Anmerkung:

    Ein Zwei-Farb-Policer ist am nützlichsten für die Messung des Datenverkehrs auf Portebene (physische Schnittstelle).

  • Single-Rate Drei-Farb-Marker – Diese Art von Policer wird in RFC 2697, A Single Rate Three Color Marker,als Teil eines assured forwarding (AF) per-hop-behavior (PHB)-Klassifizierungssystem für eine DiffServ-Umgebung (Differentiated Services) definiert. Diese Art von Policer zählern den Datenverkehr anhand einer Rate – der konfigurierten zugesagten Informationsrate (CIR), der zugesagten Burst-Größe (CBS) und der Selbstübersatzgröße (EBS). Der CIR gibt die durchschnittliche Rate an, mit der Bits zum Switch zugelassen werden. Der CBS gibt die gewohnte Burst-Größe in Bytes an, und der EBS gibt die maximale Burst-Größe in Bytes an. EBS muss größer oder gleich CBS sein und darf nicht 0 sein.

    Sie können diesen Policer-Typ in einer Ingress- oder Egress-Firewall angeben.

    Anmerkung:

    Eine Single-Rate-Drei-Farb-Marker (TCM) ist am nützlichsten, wenn ein Dienst nach Paketlänge und nicht mit Spitzenleistung strukturiert ist.

  • Two-Rate Drei-Farb-Marker – Diese Art von Policer wird in RFC 2698, A Two-Rate Drei-Farb-Marker,als Teil eines sicheren Forwarding-Per-Hop-Behavior-Klassifizierungssystems für eine differentiated Services-Umgebung definiert. Diese Art von Policer ermittelt den Datenverkehr anhand von zwei Raten– der CIR und der Spitzeninformationsrate (CIR) zusammen mit den zugehörigen Überlastungsgrößen, der CBS und der PbS-Größe (Peak Burst Size). Der CIR gibt die maximale Rate an, mit der Bits zum Netzwerk zugelassen werden, und muss größer oder gleich des CIR sein.

    Sie können diesen Policer-Typ in einer Ingress- oder Egress-Firewall angeben.

    Anmerkung:

    Ein Drei-Farb-Policer mit zwei Raten ist am nützlichsten, wenn ein Dienst nach Der Ankunftsrate und nicht unbedingt der Paketlänge strukturiert ist.

Informationen dazu, wie die Messergebnisse auf jede dieser Tabelle 1 Policer-Typen angewendet werden, finden Sie hier.

Policer-Aktionen

Policer-Aktionen sind implizit oder explizit und unterscheiden sich je nach Policer-Typ. Implizit bedeutet, Junos OS die Verlustpriorität automatisch zuweisen. Tabelle 1 beschreibt die Policer-Aktionen.

Tabelle 1: Policer-Aktionen

Policer

Kennzeichnung

Implizite Aktion

Konfigurierbare Aktion

Single-Rate Zwei-Farb-Geschwindigkeit

Grün (entspricht)

Weisen Sie niedrige Verlustpriorität zu

Keine

Rot (nicht-konform)

Keine

Verwerfen

Single-Rate drei Farben

Grün (entspricht)

Weisen Sie niedrige Verlustpriorität zu

Keine

Gelb (über dem CIR und CBS)

Priorität bei mittleren und hohen Verlusten zuweisen

Keine

Rot (über dem EBS)

Hohe Verlustpriorität zuweisen

Verwerfen

Zwei Geschwindigkeiten, drei Farben

Grün (entspricht)

Weisen Sie niedrige Verlustpriorität zu

Keine

Gelb (über dem CIR und CBS)

Priorität bei mittleren und hohen Verlusten zuweisen

Keine

Rot (über der PBS und DAS PBS)

Hohe Verlustpriorität zuweisen

Verwerfen

Anmerkung:

Wenn Sie in einem Egress-Firewall-Filter einen Policer angeben,wird nur eine Aktion discard unterstützt.

Policer-Farben

Single-Rate- und Two-Rate Drei-Farb-Policer können in zwei Modi betrieben werden:

  • Farblos: Im farbb blinden Modus geht der Drei-Farb-Policer davon aus, dass alle untersuchten Pakete zuvor nicht markiert oder gemessen wurden. Anders ausgedrückt: Der dreifarbige Policer "hat keine Wahl" für alle vorherigen Coloring-Pakete, die ein Paket möglicherweise bereits verwendet hat.

  • Farbsensiert: Im farbsensierten Modus geht der Drei-Farb-Policer davon aus, dass alle untersuchten Pakete zuvor markiert oder gemessen wurden. Anders gesagt: Der dreifarbige Policer "kann" sich der vorherigen Coloring eines Pakets "bewusst" sein. Im farborientierten Modus kann der dreifarbige Policer die PLP eines Pakets erhöhen, es aber nicht verringern. Wenn ein farbschützender Drei-Farb-Policer ein Paket mit einer mittelgroßen PLP-Markierung erzählert, kann dies den PLP-Wert auf einen hohen Wert erhöhen, kann die PLP-Ebene jedoch nicht auf ein Niedriges reduzieren.

Filterspezifische Policer

Sie können Policer als filterspezifisch konfigurieren. Das bedeutet, Junos OS, dass nur eine Policer-Instanz erstellt wird, unabhängig davon, wie oft ein Policer referenziert wird. Wenn Sie dies auf einigen QFX-Switches tun, wird die Begrenzung der Srate aggregiert angewendet. Wenn Sie also einen Policer konfigurieren, der einen Datenverkehr über 1 Gbit/s verwerfen soll, und den Policer in drei verschiedenen Bedingungen referenzieren, beträgt die vom Filter zugelassene Gesamtbandbreite 1 Gbit/s. Das Verhalten eines filterspezifischen Policers wird jedoch davon beeinflusst, wie die Firewall-Filterbedingungen, die auf den Policer verweisen, im TCAM gespeichert werden. Wenn Sie einen filterspezifischen Policer erstellen und in mehreren Firewall-Filterbedingungen referenzieren, ermöglicht der Policer mehr Datenverkehr als erwartet, wenn die Begriffe in verschiedenen TCAM-Slices gespeichert werden. Wenn Sie beispielsweise einen Policer konfigurieren, um Datenverkehr, der 1 Gbit/s überschreitet, zu verwerfen und den Policer in drei verschiedenen Bedingungen zu referenzieren, die in drei separaten Speichersegmenten gespeichert sind, beträgt die vom Filter zugelassene Gesamtbandbreite 3 Gbit/s und nicht 1 Gbit/s. (Dieses Verhalten findet in Switches nicht QFX10000 statt.)

Um ein solches unerwartetes Verhalten zu verhindern, verwenden Sie die Informationen zu den TCAM-Slices, die in Planung der Anzahl der Firewall-Filter angezeigt werden, um Ihre Konfigurationsdatei zu organisieren. So können alle Firewall-Filter-Begriffe, die auf einen bestimmten filterspezifischen Policer verweisen, im selben TCAM-Slice gespeichert werden.

Vorgeschlagener Namensnennungs-Convention für Policer

Wir empfehlen Ihnen, bei der Konfiguration von dreifarbigen Policern und bei der Konfiguration policertypeTCM#-color typepolicer# von zweifarbigen Policern die Namenskonvention zu verwenden. TCM steht für Drei-Farb-Marker. Weil Policer zahlreicher sein können und für die korrekte Arbeit verwendet werden müssen, erleichtert eine einfache Namenskonvention die korrekte Anwendung der Policer. Beispielsweise wurde der erste farblich orientierte dreifarbige Single-Rate-Policer mit Namen srTCM1-ca benannt. Der zweite farblose Drei-Farb-Schema mit zwei Geschwindigkeiten wurde trTCM2-cb benannt. Die Elemente dieser Namenskonvention sind unten erläutert:

  • SR (Single-Rate)

  • Tr (Zwei-Rate)

  • TCM (dreifarbige Markierung)

  • 1 oder 2 (Anzahl der Marker)

  • ca (farbsensens)

  • CB (Color Blind)

Policer-Zähler

Auf einigen QFX-Switches enthält jeder konfigurierte Policer einen impliziten Zähler, der die Anzahl von Paketen zählt, die die für den Policer festgelegten Geschwindigkeitsgrenzen überschreiten. Wenn Sie denselben Policer mehrfach verwenden (entweder innerhalb desselben Filters oder in verschiedenen Filtern), setzt die implizite Zählerzahl aller in all diesen Begriffen ein und des gesamten Umfangs der zu setzenden Pakete fest. (Dies gilt nicht für Switches QFX10000 Switches.) Wenn Sie separate Paketanzahl für jeden Begriff auf einem betroffenen Switch erhalten möchten, verwenden Sie die folgenden Optionen:

  • Konfigurieren Sie für jeden Begriff einen eindeutigen Policer.

  • Konfigurieren Sie nur einen Policer, verwenden Sie jedoch jeweils einen eindeutigen, expliziten Zähler.

Policer-Algorithmen

Für die Überwachung wird der Token-Hash-Algorithmusverwendet, der eine Begrenzung der durchschnittlichen Bandbreite erzwingt und gleichzeitig Auf bursts bis zu einem angegebenen maximalen Wert ermöglicht. Es bietet mehr Flexibilität als der Leaky-Algorithmus, um eine bestimmte Menge an überflussigem Datenverkehr zu ermöglichen, bevor er beginnt, Pakete zu verwerfen.

Anmerkung:

In einer Umgebung mit leichtem, überflussigem Datenverkehr QFX5200 dass nicht alle Multicastpakete auf zwei oder mehr Downstream-Schnittstellen repliziert werden. Dies erfolgt nur bei Überfluss der Leitungsgeschwindigkeit: Wenn der Datenverkehr konsistent ist, tritt das Problem nicht auf. Das Problem tritt außerdem nur auf, wenn die Paketgröße in einem Gigabit-Datenverkehrsfluss über 6.000 ansteigt.

Wie viele Policer werden unterstützt?

QFX10000-Switches unterstützen 8K Policer (alle Policer-Typen). QFX5100- und QFX5200-Switches unterstützen 1535 Ingress-Policer und 1024 Egress Policer (es wird davon ausgegangen, dass pro Firewall-Filter ein Policer verwendet wird). QFX5110-Switches unterstützen 6.144 Ingress-Policer und 1024 Egress Policer (es wird vorausgesetzt, dass pro Firewall-Filter ein Policer verwendet wird).

QFX3500- QFX3600- und QFabric-Node-Geräte unterstützen die folgende Anzahl von Policern (wenn ein Policer pro Begriff des Firewall-Filters verwendet wird):

  • Zweifarbige Policer, die in ein- und zweifarbige Firewall-Filter verwenden: 767

  • Dreifarbige Policer, die in ein- und die Firewall-Filter eingesetzt werden: 767

  • Zweifarbige Policer, die in Egress-Firewall-Filtern verwendet werden: 1022

  • Dreifarbige Policer, die in Egress-Firewall-Filtern verwendet werden: 512

Policer können Firewall-Filter für Ausgehende Firewall beschränken

Auf einigen Switches kann die Anzahl der von Ihnen konfigurierten Egress-Policer die Gesamtzahl der zulässigen Firewall-Filter beeinträchtigen. Jeder Policer verfügt über zwei implizite Zähler, die zwei Einträge in einer 1024-Eingangs-TCAM enthalten. Diese werden für Zähler verwendet, einschließlich Zähler, die als Aktionsmoderatoren in Firewall-Filter-Bedingungen konfiguriert werden. (Policer verbrauchen zwei Einträge, da eine für grüne Pakete und eine für nichtgreensige Pakete unabhängig vom Policer-Typ verwendet wird.) Wenn die TCAM vollständig wird, können Sie keine ausgehenden Firewall-Filter mehr mit Bedingungen mit Leistungsindikatoren festlegen. Wenn Sie beispielsweise 512 Ausgangs-Policer (zwei Farben, drei Farben oder eine Kombination beider Policer-Typen) konfigurieren und commit, werden alle Speichereinträge für Zähler genutzt. Wenn Sie später in Ihrer Konfigurationsdatei zusätzliche Egress-Firewall-Filter mit Begriffen einfügen, die auch Zähler enthalten, werden keine der Begriffe in diesen Filtern zugesagt, da kein verfügbarer Speicherplatz für die Leistungszähler vorhanden ist.

Dies sind einige weitere Beispiele:

  • Gehen Sie davon aus, dass Sie Ausgangsfilter konfigurieren, die insgesamt 512 Policer und keine Zähler enthalten. Später in Ihrer Konfigurationsdatei enthalten Sie einen weiteren Ausgangsfilter mit 10 Begriffen, von denen 1 einen Zähler ändert. Keine der Bedingungen in diesem Filter wird zugesagt, da nicht genügend TCAM-Bereich für den Zähler vorhanden ist.

  • Gehen Sie davon aus, dass Sie Ausgangsfilter konfigurieren, die insgesamt 500 Policer umfassen, sodass 1000 TCAM-Einträge belegt sind. Später in Ihrer Konfigurationsdatei enthalten Sie die folgenden zwei Egress-Filter:

    • Filtern Sie A mit 20 Begriffen und 20 Zählern. Alle Bedingungen in diesem Filter werden zugesagt, da für alle Zähler ausreichend TCAM-Platz zur Verfügung steht.

    • Filter B kommt hinter Filter A und hat fünf Begriffe und fünf Zähler. Keine der Bedingungen in diesem Filter wird zugesagt, da nicht genug Speicherplatz für alle Leistungsindikatoren zur Verfügung steht. (Fünf TCAM-Anmeldungen sind erforderlich, aber nur vier sind verfügbar.)

Sie können dieses Problem verhindern, indem Sie sicherstellen, dass Begriffe für ausgehende Firewall-Filter mit Gegenmaßnahmen früher in Ihrer Konfigurationsdatei platziert werden als Begriffe, die Policer enthalten. In diesem Fall engagiert Junos OS Policer, auch wenn nicht genug TCAM-Bereich für implizite Zähler vorhanden ist. Gehen Sie beispielsweise von folgendem aus:

  • Es gibt Begriffe für 1024-Firewall-Filter mit Gegenmaßnahmen.

  • Später in Ihrer Konfigurationsdatei wird ein Ausgangsfilter mit 10 Bedingungen angezeigt. Keine der Begriffe hat Zähler, aber bei einer wird eine Policer-Aktion ändern.

Sie können den Filter erfolgreich mit 10 Bedingungen festlegen, obwohl es nicht genügend TCAM-Speicherplatz für die impliziten Zähler des Policers gibt. Der Policer wird ohne die Zähler engagiert.