Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Übersicht über Policer

Ein Switch steuert den Datenverkehr, indem er die Eingangs- oder Ausgangsübertragungsrate einer Datenverkehrsklasse nach benutzerdefinierten Kriterien begrenzt. Mit der Überwachung (oder Ratenbegrenzung) des Datenverkehrs können Sie die maximale Rate des auf einer Schnittstelle gesendeten oder empfangenen Datenverkehrs steuern und mehrere Prioritätsstufen oder Serviceklassen bereitstellen.

Auch die Überwachung ist eine wichtige Komponente von Firewall-Filtern. Sie können Policing erreichen, indem Sie Policer in Firewall-Filterkonfigurationen einbeziehen.

Policer – Übersicht

Sie verwenden Policer, um den Datenverkehrsfluss zu begrenzen und Konsequenzen für Pakete festzulegen, die diese Grenzwerte überschreiten – in der Regel mit einer höheren Verlustpriorität –, sodass Pakete, die auf eine Downstream-Überlastung stoßen, zuerst verworfen werden können. Policer gelten nur für Unicast-Pakete.

Policer bieten zwei Funktionen: Dosieren und Markieren. Ein Policer misst jedes Paket anhand der von Ihnen konfigurierten Datenverkehrsraten und Burst-Größen. Anschließend leitet er das Paket und das Messergebnis an den Marker weiter, der dem Messergebnis eine Paketverlustpriorität zuweist. Abbildung 1 veranschaulicht diesen Prozess.

Abbildung 1: Ablauf des Tricolor Marking Policer-Betriebs Flow of Tricolor Marking Policer Operation

Nachdem Sie einen Policer benannt und konfiguriert haben, können Sie ihn verwenden, indem Sie ihn als Aktion in einem oder mehreren Firewall-Filtern angeben.

Policer-Typen

Ein Switch unterstützt drei Arten von Policern:

  • Zweifarbige Single-Rate-Marker: Ein zweifarbiger Policer (oder "Policer" bei Verwendung ohne Qualifizierung) misst den Datenverkehrsstrom und klassifiziert Pakete entsprechend einer konfigurierten Bandbreiten- und Burst-Größenbeschränkung in zwei Kategorien von Paketverlustprioritäten (PLP). Sie können Pakete, die die Bandbreiten- und Burst-Größenbeschränkung überschreiten, mit einem bestimmten PLP markieren oder einfach verwerfen.

    Sie können diese Art von Policer in einer Eingangs- oder Ausgangsfirewall angeben.

    Hinweis:

    Ein zweifarbiger Policer ist am nützlichsten für die Messung des Datenverkehrs auf Portebene (physische Schnittstelle).

  • Single-Rate Three-Color Marker: Diese Art von Policer ist in RFC 2697, A Single Rate Three Color Marker, als Teil eines Klassifizierungssystems für sicheres Forwarding (AF) Per-Hop-Verhalten (PHB) für eine Differentiated Services (DiffServ)-Umgebung definiert. Diese Art von Policer misst den Datenverkehr auf der Grundlage einer Rate: der konfigurierten Committed Information Rate (CIR) sowie der Committed Burst Size (CBS) und der Excess Burst Size (EBS). Die CIR gibt die durchschnittliche Rate an, mit der Bits zum Switch zugelassen werden. Das CBS gibt die übliche Burst-Größe in Bytes an, und das EBS gibt die maximale Burst-Größe in Byte an. Das EBS muss größer oder gleich dem CBS sein, und keines kann 0 sein.

    Sie können diese Art von Policer in einer Eingangs- oder Ausgangsfirewall angeben.

    Hinweis:

    Ein Single-Rate Three-Color Marker (TCM) ist am nützlichsten, wenn ein Service nach Paketlänge und nicht nach Spitzenankunftsrate strukturiert ist.

  • Two-Rate Three-Color Marker: Diese Art von Policer ist in RFC 2698, A Two Rate Three Color Marker, als Teil eines Klassifizierungssystems für sicheres Weiterleitungsverhalten pro Hop für eine differenzierte Serviceumgebung definiert. Diese Art von Policer misst den Datenverkehr auf der Grundlage von zwei Raten: CIR und Peak Information Rate (PIR) sowie den zugehörigen Burst-Größen, CBS und Peak Burst Size (PBS). Der PIR gibt die maximale Rate an, mit der Bits in das Netz aufgenommen werden, und muss größer oder gleich der CIR sein.

    Sie können diese Art von Policer in einer Eingangs- oder Ausgangsfirewall angeben.

    Hinweis:

    Ein zweistufiger dreifarbiger Policer ist am nützlichsten, wenn ein Service nach Ankunftsraten und nicht unbedingt nach Paketlänge strukturiert ist.

In Tabelle 1 finden Sie Informationen dazu, wie die Messergebnisse für jeden dieser Policer-Typen angewendet werden.

Policer-Aktionen

Policer-Aktionen sind implizit oder explizit und variieren je nach Policer-Typ. Implizit bedeutet, dass Junos OS die Verlustpriorität automatisch zuweist. In Tabelle 1 werden die Policer-Aktionen beschrieben.

Tabelle 1: Policer-Aktionen

Policer

Kennzeichnung

Implizite Aktionen

Konfigurierbare Aktion

Single-Rate zweifarbig

Grün (konform)

Zuweisung einer verlustarmen Priorität

Keine

Rot (nicht konform)

Keine

Verwerfen

Single-Rate dreifarbig

Grün (konform)

Zuweisung einer verlustarmen Priorität

Keine

Gelb (über CIR und CBS)

Zuweisen einer Priorität für mittlere bis hohe Verluste

Keine

Rot (über dem EBS)

Zuweisen einer hohen Verlustpriorität

Verwerfen

Zweier-Drei-Farben-Wagen

Grün (konform)

Zuweisung einer verlustarmen Priorität

Keine

Gelb (über CIR und CBS)

Zuweisen einer Priorität für mittlere bis hohe Verluste

Keine

Rot (über PIR und PBS)

Zuweisen einer hohen Verlustpriorität

Verwerfen
Hinweis:

Wenn Sie einen Policer in einem Ausgangs-Firewall-Filter angeben, wird discardnur die Aktion unterstützt.

Policer Farben

Single-Rate- und Two-Rate-Dreifarben-Policer können in zwei Modi betrieben werden:

  • Farbenblind: Im Farbenblindmodus geht der Dreifarben-Policer davon aus, dass alle untersuchten Pakete noch nicht markiert oder gemessen wurden. Mit anderen Worten, der dreifarbige Policer ist "blind" für jede vorherige Färbung eines Pakets.

  • Farbbewusst: Im farbbewussten Modus geht der Drei-Farben-Policer davon aus, dass alle untersuchten Pakete zuvor markiert oder gemessen wurden. Mit anderen Worten, der dreifarbige Policer ist sich der vorherigen Färbung eines Pakets "bewusst". Im farbsensitiven Modus kann der Drei-Farben-Policer den PLP eines Pakets erhöhen, aber nicht verringern. Wenn beispielsweise ein farbbewusster dreifarbiger Policer ein Paket mit einer mittleren PLP-Markierung misst, kann er den PLP-Pegel auf hoch, aber nicht auf niedrig reduzieren.

Filterspezifische Policer

Sie können Policer so konfigurieren, dass sie filterspezifisch sind, was bedeutet, dass Junos OS nur eine Policer-Instanz erstellt, unabhängig davon, wie oft auf den Policer verwiesen wird. Wenn Sie dies auf bestimmten Switches tun, wird die Ratenbegrenzung in aggregierter Form angewendet. Wenn Sie also einen Policer so konfigurieren, dass Datenverkehr verworfen wird, der 1 Gbit/s überschreitet, und diesen Policer in drei verschiedenen Begriffen referenzieren, beträgt die vom Filter zulässige Gesamtbandbreite 1 Gbit/s. Das Verhalten eines filterspezifischen Policers wird jedoch davon beeinflusst, wie die Firewall-Filterbegriffe, die auf den Policer verweisen, in TCAM gespeichert werden. Wenn Sie einen filterspezifischen Policer erstellen und in mehreren Firewall-Filterbegriffen darauf verweisen, lässt der Policer mehr Datenverkehr als erwartet zu, wenn die Begriffe in verschiedenen TCAM-Slices gespeichert sind. Wenn Sie beispielsweise einen Policer so konfigurieren, dass Datenverkehr verworfen wird, der 1 Gbit/s überschreitet, und auf diesen Policer in drei verschiedenen Begriffen verweisen, die in drei separaten Speicherscheiben gespeichert sind, beträgt die vom Filter zulässige Gesamtbandbreite 3 Gbit/s und nicht 1 Gbit/s.

Um dieses unerwartete Verhalten zu verhindern, verwenden Sie die Informationen zu TCAM-Slices, die unter Planen der Anzahl der zu erstellenden Firewall-Filter angezeigt werden, um Ihre Konfigurationsdatei so zu organisieren, dass alle Firewall-Filterbegriffe, die auf einen bestimmten filterspezifischen Policer verweisen, im selben TCAM-Slice gespeichert werden.

Vorgeschlagene Namenskonvention für Policer

Es wird empfohlen, die Namenskonvention policertypeTCM#-color type beim Konfigurieren von dreifarbigen Policern und policer# bei der Konfiguration von zweifarbigen Policern zu verwenden. TCM steht für dreifarbige Marker. Da Policer zahlreich sein können und korrekt angewendet werden müssen, um zu funktionieren, erleichtert eine einfache Namenskonvention die ordnungsgemäße Anwendung der Policer. Zum Beispiel würde der erste konfigurierte dreifarbige Policer mit einer einzigen Rate den Namen srTCM1-caerhalten. Die zweite zweistufige, farbenblinde dreifarbige Konfiguration würde den Namen trTCM2-cberhalten. Die Elemente dieser Namenskonvention werden im Folgenden erläutert:

  • SR (Einzelpreis)

  • TR (zweistufig)

  • TCM (dreifarbige Markierung)

  • 1 oder 2 (Anzahl der Marker)

  • CA (farbbewusst)

  • CB (farbenblind)

Policer-Konter

Auf einigen Switches enthält jeder Policer, den Sie konfigurieren, einen impliziten Zähler, der die Anzahl der Pakete zählt, die die für den Policer angegebenen Ratenlimits überschreiten. Wenn Sie denselben Policer in mehreren Begriffen verwenden – entweder innerhalb desselben Filters oder in verschiedenen Filtern –, zählt der implizite Zähler alle Pakete, die in all diesen Begriffen überwacht werden, und liefert die Gesamtmenge. Wenn Sie für jeden Begriff auf einem betroffenen Switch eine separate Paketanzahl erhalten möchten, verwenden Sie diese Optionen:

  • Konfigurieren Sie für jeden Begriff einen eindeutigen Policer.

  • Konfigurieren Sie nur einen Policer, aber verwenden Sie in jedem Begriff einen eindeutigen, expliziten Zähler.

Policer-Algorithmen

Die Überwachung verwendet den Token-Bucket-Algorithmus, der eine Begrenzung der durchschnittlichen Bandbreite erzwingt und gleichzeitig Bursts bis zu einem bestimmten Maximalwert zulässt. Er bietet mehr Flexibilität als der Leaky-Bucket-Algorithmus , indem er eine bestimmte Menge an Burst-Datenverkehr zulässt, bevor er mit dem Verwerfen von Paketen beginnt.

Policer können Ausgangsfirewall-Filter einschränken

Bei einigen Switches kann sich die Anzahl der von Ihnen konfigurierten Egress Policer auf die Gesamtzahl der zulässigen Egress Firewall-Filter auswirken. Jeder Policer hat zwei implizite Zähler, die zwei Einträge in einem TCAM mit 1024 Einträgen belegen. Diese werden für Leistungsindikatoren verwendet, einschließlich Leistungsindikatoren, die als Aktionsmodifizierer in Bezug auf Firewallfilter konfiguriert sind. (Policer verbrauchen zwei Einträge, da einer für grüne Pakete und einer für nicht grüne Pakete verwendet wird, unabhängig vom Policer-Typ.) Wenn das TCAM voll ist, können Sie keine weiteren Ausgangs-Firewall-Filter festlegen, die Bedingungen mit Zählern haben. Wenn Sie beispielsweise 512 Ausgangs-Policer konfigurieren und festschreiben (zweifarbig, dreifarbig oder eine Kombination aus beiden Policer-Typen), werden alle Speichereinträge für Zähler verbraucht. Wenn Sie später in der Konfigurationsdatei zusätzliche Ausgangsfirewallfilter mit Begriffen einfügen, die auch Leistungsindikatoren enthalten, wird keiner der Begriffe in diesen Filtern festgeschrieben, da kein Speicherplatz für die Leistungsindikatoren verfügbar ist.

Hier sind einige weitere Beispiele:

  • Angenommen, Sie konfigurieren Ausgangsfilter, die insgesamt 512 Policer und keine Zähler enthalten. Später in der Konfigurationsdatei fügen Sie einen weiteren Ausgangsfilter mit 10 Begriffen ein, von denen 1 über einen Gegenmaßnahmenmodifizierer verfügt. Keiner der Begriffe in diesem Filter wird festgeschrieben, da nicht genügend TCAM-Speicherplatz für den Zähler vorhanden ist.

  • Angenommen, Sie konfigurieren Ausgangsfilter, die insgesamt 500 Policer enthalten, sodass 1000 TCAM-Einträge belegt sind. Später in der Konfigurationsdatei fügen Sie die folgenden beiden Ausgangsfilter hinzu:

    • Filter A mit 20 Begriffen und 20 Zählern. Alle Begriffe in diesem Filter werden festgeschrieben, da genügend TCAM-Speicherplatz für alle Leistungsindikatoren vorhanden ist.

    • Filter B kommt nach Filter A und hat fünf Begriffe und fünf Zähler. Keiner der Begriffe in diesem Filter wird festgeschrieben, da nicht genügend Speicherplatz für alle Leistungsindikatoren vorhanden ist. (Fünf TCAM-Einträge sind erforderlich, aber nur vier sind verfügbar.)

Sie können dieses Problem vermeiden, indem Sie sicherstellen, dass Ausgangsfirewallfilterbedingungen mit Gegenaktionen früher in Ihrer Konfigurationsdatei platziert werden als Begriffe, die Policer enthalten. In diesem Fall committet Junos OS Policer auch dann, wenn nicht genügend TCAM-Speicherplatz für die impliziten Zähler vorhanden ist. Nehmen wir zum Beispiel Folgendes an:

  • Sie haben 1024 Ausgangs-Firewall-Filterbedingungen mit Gegenaktionen.

  • Später in Ihrer Konfigurationsdatei haben Sie einen Ausgangsfilter mit 10 Begriffen. Keiner der Begriffe hat Konter, aber einer hat einen Policer-Aktionsmodifikator.

Sie können den Filter mit 10 Begriffen erfolgreich bestätigen, obwohl nicht genügend TCAM-Speicherplatz für die impliziten Zähler des Policers vorhanden ist. Der Policer wird ohne die Zähler festgelegt.

Plattformspezifisches Policer-Verhalten

In der folgenden Tabelle finden Sie Informationen zu plattformspezifischen Verhaltensweisen für Ihre Plattformen.

Tabelle 2: Plattformspezifisches Policer-Verhalten

Plattform

Unterschied

QFX5100

  • QFX5100-Switches unterstützen 1535 Eingangs-Policer und 1024 Ausgangs-Policer (unter der Annahme eines Policers pro Firewall-Filterterm).

QFX5110

  • QFX5110-Switches unterstützen 6144 Eingangs-Policer und 1024 Ausgangs-Policer (unter der Annahme eines Policers pro Firewall-Filterterm).

QFX5200

  • QFX5200-Switches unterstützen 1535 Eingangs-Policer und 1024 Ausgangs-Policer (unter der Annahme eines Policers pro Firewall-Filterterm).

  • In einer Umgebung mit leichtem Burst-Datenverkehr replizieren QFX5200-Switches möglicherweise nicht alle Multicast-Pakete auf zwei oder mehr Downstream-Schnittstellen. Dies geschieht nur bei einem Leitungsgeschwindigkeits-Burst – wenn der Datenverkehr konsistent ist, tritt das Problem nicht auf. Außerdem tritt das Problem nur auf, wenn die Paketgröße in einem Datenverkehrsfluss von einem Gigabit über 6k steigt.

QFX10000-Serie

  • QFX10000-Switches unterstützen 8K-Policer (alle Policer-Typen).

  • Ein Policer beschränkt den Datenverkehr auf die konfigurierte Übertragungsrate pro PFE. Bei den Switches QFX10016, QFX10002, QFX10002-60C und QFX10008 kann die Gesamtübertragungsrate des Policers für den Anwender die konfigurierte Übertragungsrate des Policers überschreiten (abhängig von der Anzahl der beteiligten PFEs), wenn aggregierte Ethernet-Schnittstellenpakete (AE) mehrere PFEs umfassen.

    Als Beispiel:

    • Policer mit einer Bandbreitenbegrenzung von 100 Mbit/s, konfiguriert auf einer AE-Schnittstelle mit den Mitgliedsverbindungen xe-1/0/0 (fpc1-pfe0) und xe-1/0/30 (fpc1-pfe1). Hier gehören die beiden Member-Links zu FPC1, befinden sich aber auf unterschiedlichen PFEs. Wenn der Policer auf die AE-Schnittstelle angewendet wird, führt dies zu einer Gesamtbandbreite von 200 Mbit/s, da der Policer für zwei PFEs konfiguriert ist.

    • Policer mit einer Bandbreitenbegrenzung von 100 Mbit/s, konfiguriert auf einer AE-Schnittstelle mit den Mitgliedsverbindungen xe-1/0/0 (fpc1-pfe0), et-2/0/1 (fpc2-pfe1) und xe-2/0/18:0 (fpc2-pfe2). Hier gehört ein Mitgliedslink zu FPC1 und PFE0 auf diesem FPC. Die restlichen zwei Mitgliedsverbindungen gehören zu FPC2, aber unterschiedliche PFEs. Wenn der Policer auf die AE-Schnittstelle angewendet wird, führt dies zu einer Gesamtbandbreite von 300 Mbit/s, da der Policer für drei PFEs konfiguriert ist.

    • Policer mit einer Bandbreitenbegrenzung von 100 Mbit/s, konfiguriert auf einer AE-Schnittstelle mit den Mitgliedsverbindungen xe-1/0/0 und xe-1/0/1 auf einer einzigen PFE (fpc1-pfe0). Hier gehören die Member-Links zu FPC1 und zur gleichen PFE. Wenn der Policer auf die AE-Schnittstelle angewendet wird, führt dies zu einer Gesamtbandbreite von 100 Mbit/s, da der Policer pro PFE konfiguriert wird.

Zugehörige Dokumentation