Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Las políticas básicas de dos colores a una velocidad

 

Descripción general de la políticas de dos colores a una velocidad

Las políticas de dos colores de una sola tasa imponen una tasa configurada de flujo de tráfico para un nivel de servicio determinado, mediante la aplicación de acciones implícitas o configuradas al tráfico que no cumple dichos límites. Cuando se aplica una aplicación de políticas de dos colores de una sola vez al tráfico de entrada o salida en una interfaz, el policíal mide el flujo de tráfico hasta el límite de velocidad definido por los siguientes componentes:

  • Límite—de ancho de banda promedio permitido de número de bits por segundo para paquetes recibidos o transmitidos en la interfaz. Puede especificar el límite de ancho de banda como un número absoluto de bits por segundo o como un valor porcentual entre 1 y 100. Si se especifica un valor porcentual, el límite de ancho de banda efectivo se calcula como un porcentaje de la velocidad de medios de interfaz física o de la interfaz lógica configurada en la velocidad de cambio.

  • Límite de paquetes por segundo (PPS) (serie MX solo con MPC)–el promedio de paquetes por segundo permitidos para paquetes recibidos o transmitidos en la interfaz. El límite de PPS se especifica como un número absoluto de paquetes por segundo.

  • Límite—del tamaño de ráfagas tamaño máximo permitido para ráfagas de datos.

  • Límite de ráfaga de paquete–

Para un flujo de tráfico que cumple con los límites configurados (clasificados como tráfico verde), los paquetes se marcan implícitamente con un nivel de prioridad de low pérdida de paquetes (PLP) y se les permite que pasen a través de la interfaz Unrestricted.

En el caso de un flujo de tráfico que exceda los límites configurados (clasificados como tráfico rojo), los paquetes se gestionarán según las acciones de control de tráfico configuradas para el responsable de la policía. Es posible que la acción sea descartar el paquete o que la acción sea volver a marcar el paquete con una clase de reenvío especificada, una PLP especificada o ambas cosas y, a continuación, transmitir el paquete.

Para el tráfico de capa 3 con límite de velocidad, puede aplicar una policía de dos colores de la siguiente manera:

  • Directamente a una interfaz lógica, en un nivel de protocolo específico.

  • Como la acción de un filtro estándar de firewall sin estado que se aplica a una interfaz lógica, en un nivel de protocolo específico.

Para el tráfico de capa 2 con límite de tasa, puede aplicar un operador de dos colores como un usuario de interfaz lógica únicamente. No puede aplicar una aplicación de políticas de dos colores al tráfico de capa 2 a través de un filtro de cortafuegos.

Ejemplo Limitación del tráfico entrante en el borde de la red mediante la configuración de un equipo de políticas de dos colores de una velocidad de entrada única

Este ejemplo muestra cómo configurar una policiales de dos colores de una sola tasa para filtrar el tráfico entrante. La policía exige la estrategia de clase de servicio (CoS) para el tráfico en el contrato y fuera del contrato. Puede aplicar una sola clase de políticas de dos colores a los paquetes entrantes, los paquetes de salida o ambos. En este ejemplo, se aplica a la aplicación de políticas como policía de entrada (Ingress). El objetivo de este tema es ofrecer una introducción a la aplicación de políticas mediante un ejemplo que muestra el funcionamiento del tráfico.

Las directivas utilizan un concepto que se conoce como depósito de token para asignar recursos del sistema basándose en los parámetros definidos para el responsable de la policía. Una explicación completa del concepto de depósito de tokens y sus algoritmos subyacentes queda fuera del ámbito de este documento. Para obtener más información acerca de la políticas de tráfico y de CoS en general, consulte Herramientas y fundamentos de—redes habilitadas para QoS por Miguel Barreiros y Peter Lundqvist. Este manual está disponible en varias librerías en línea y en www.juniper.net/books.

Aplicables

Para comprobar este procedimiento, en este ejemplo se utiliza un generador de tráfico. El generador de tráfico puede estar basado en hardware o puede ser software que se ejecuta en un servidor o en un equipo host.

La funcionalidad de este procedimiento está ampliamente admitida en los dispositivos que ejecutan Junos OS. El ejemplo que se muestra aquí fue probado y comprobado en enrutadores de la serie MX que ejecuta Junos OS versión 10,4.

Descripción general

Las políticas de dos colores de una sola tasa imponen una tasa configurada de flujo de tráfico para un nivel de servicio determinado, mediante la aplicación de acciones implícitas o configuradas al tráfico que no cumple dichos límites. Cuando se aplica una aplicación de políticas de dos colores de una sola vez al tráfico de entrada o salida en una interfaz, el policíal mide el flujo de tráfico hasta el límite de velocidad definido por los siguientes componentes:

  • Límite—de ancho de banda promedio permitido de número de bits por segundo para paquetes recibidos o transmitidos en la interfaz. Puede especificar el límite de ancho de banda como un número absoluto de bits por segundo o como un valor porcentual entre 1 y 100. Si se especifica un valor porcentual, el límite de ancho de banda efectivo se calcula como un porcentaje de la velocidad de medios de interfaz física o de la interfaz lógica configurada en la velocidad de cambio.

  • Límite—del tamaño de ráfagas tamaño máximo permitido para ráfagas de datos. Los tamaños de ráfaga se miden en bytes. Recomendamos dos fórmulas para calcular el tamaño de ráfaga:

    Tamaño de ráfaga = ancho de banda x tiempo permitido para el tráfico de ráfagas/8

    O

    Tamaño de ráfaga = MTU de interfaz x 10

    Para obtener más información sobre cómo configurar el tamaño de ráfaga, consulte Determining Proper Burst Size for Traffic Policers.

    Nota

    Hay un espacio de búfer finito para una interfaz. En general, la profundidad de búfer de total estimada de una interfaz es de unos 125 ms.

Para un flujo de tráfico que cumple con los límites configurados (clasificados como tráfico verde), los paquetes se marcan implícitamente con un nivel de prioridad de pérdida de paquetes (PLP) inferior y se les permite que pasen a través de la interfaz Unrestricted.

En el caso de un flujo de tráfico que exceda los límites configurados (clasificados como tráfico rojo), los paquetes se gestionarán según las acciones de control de tráfico configuradas para el responsable de la policía. Este ejemplo descarta paquetes que se fragmentan a lo largo del límite de 15 kbps.

Para el tráfico de capa 3 con límite de velocidad, puede aplicar una policía de dos colores de la siguiente manera:

  • Directamente a una interfaz lógica, en un nivel de protocolo específico.

  • Como la acción de un filtro estándar de Firewall sin estado que se aplica a una interfaz lógica, en un nivel de protocolo específico. Esta es la técnica que se utiliza en este ejemplo.

Para el tráfico de capa 2 con límite de tasa, puede aplicar un operador de dos colores como un usuario de interfaz lógica únicamente. No puede aplicar una aplicación de políticas de dos colores al tráfico de capa 2 a través de un filtro de cortafuegos.

Precaución

Puede elegir el límite de ancho de banda o el porcentaje de ancho de banda en el policial, ya que se excluyen mutuamente. No se puede configurar una policía para que utilice el porcentaje de ancho de banda para las interfaces de agregación, túnel e software.

En este ejemplo, el host es un generador de tráfico que emula un servidor webserver. Los dispositivos R1 y R2 son propiedad de un proveedor de servicios. Los usuarios en el dispositivo host2 tienen acceso al servidor webserver. Host1 del dispositivo va a enviar tráfico con un puerto TCP HTTP de origen 80 a los usuarios. Se configura una configuración de políticas de dos colores de una sola tasa y se aplica a la interfaz del dispositivo R1 que se conecta al Host1 del dispositivo. La policía aplica la disponibilidad de ancho de banda contractual entre el propietario del servidor Web y el proveedor de servicios que posee el dispositivo R1 para el tráfico web que fluye a través del vínculo que conecta el dispositivo Host1 al dispositivo R1.

De acuerdo con la disponibilidad de banda ancha contractual hecha entre el propietario del servidor y el proveedor de servicios que posee los dispositivos R1 y R2, el servicio de políticas limita el tráfico del puerto HTTP 80 que proviene del Host1 del dispositivo para usar 700 Mbps (70 por ciento) del ancho de banda disponible con una velocidad de ráfaga permitida de 10 x el tamaño de MTU de la interfaz Gigabit Ethernet entre el dispositivo de host Host1 y el dispositivo R1.

Nota

En un escenario real, probablemente también calificaría el tráfico limitado para una variedad de puertos, como FTP, SFTP, SSH, TELNET, SMTP, IMAP y POP3, ya que a menudo se incluyen como servicios adicionales con servicios de hospedaje Web.

Nota

Es necesario dejar disponible un ancho de banda adicional que no está limitado a la velocidad de los protocolos de control de red, como los protocolos de enrutamiento, DNS y otros protocolos necesarios para mantener operativa la conectividad de red. Esta es la razón por la que el filtro firewall tiene una condición definitiva de aceptación.

Topología

En este ejemplo se utiliza la topología Figura 1de.

Figura 1: Escenario de políticas de dos colores de una sola clasificación
Escenario de políticas de dos colores de una sola clasificación

Figura 2muestra el comportamiento de las políticas.

Figura 2: Limitación del tráfico en un escenario de políticas de dos colores de una sola clasificación
Limitación del tráfico en un escenario de políticas de dos colores de una sola clasificación

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y [edit] pegue los comandos en la CLI en el nivel de jerarquía.

Dispositivo R1

Dispositivo R2

Procedimiento detallado

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte Using the CLI Editor in Configuration Mode en el Guía de usuario de CLI.

Para configurar el dispositivo R1:

  1. Configure las interfaces del dispositivo.
  2. Aplique el filtro Firewall a interface GE-2/0/5 como filtro de entrada.
  3. Configure el polivisador para limitar el límite a un ancho de banda de 700 Mbps y un tamaño de ráfaga de 15000 Kbps para el tráfico HTTP (puerto TCP 80).
  4. Configure la policía para descartar los paquetes en el flujo de tráfico en rojo.
  5. Configure las dos condiciones del cortafuegos para que acepten todo el tráfico TCP en el puerto HTTP (puerto 80).
  6. Configure la acción del cortafuegos para limitar el tráfico HTTP TCP por medio del policía.
  7. Al final del filtro de cortafuegos, configure una acción predeterminada que acepte el resto de tráfico.

    De lo contrario, se descarta todo el tráfico que llega a la interfaz y que el cortafuegos no acepta de forma explícita.

  8. Configure OSPF.

Procedimiento detallado

Para configurar el dispositivo R2:

  1. Configure las interfaces del dispositivo.
  2. Configure OSPF.

Resultados

Desde el modo de configuración, escriba los show interfaces comandos, show firewally y show protocols ospf para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ya ha terminado de configurar el dispositivo R1 commit , entre el modo de configuración.

Si has terminado la configuración del dispositivo R2, commit entra en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Borrar los contadores

Finalidad

Confirme que los contadores del cortafuegos están borrados.

Acción

En el dispositivo R1, ejecute clear firewall all el comando para restablecer los contadores del Firewall a 0.

user@R1> clear firewall all

Envío de tráfico TCP a la red y supervisión de los descartes

Finalidad

Asegúrese de que el tráfico de interés que se envía se limita a la velocidad en la interfaz de entrada (GE-2/0/5).

Acción

  1. Utilice un generador de tráfico para enviar 10 paquetes TCP con un puerto de origen 80.

    El indicador-s establece el puerto de origen. El indicador-k hace que el puerto de origen permanezca estable en 80 en lugar de incrementar. El indicador-c establece el número de paquetes en 10. El indicador-d establece el tamaño del paquete.

    La dirección IP de destino de 172.16.80.1 pertenece al host de dispositivo 2 que está conectado al dispositivo R2. El usuario del Device host 2 solicitó una página web del dispositivo host 1 (el servidor Web emulado por el generador de tráfico del dispositivo host 1). Los paquetes a los que se les aplica la velocidad limitada se envían desde el host de dispositivo 1 en respuesta a la solicitud del host de dispositivo 2.

    Nota

    En este ejemplo, los números de policía se reducen a un límite de ancho de banda de 8 Kbps y un límite de tamaño de ráfaga de 1500 kbps para garantizar que algunos paquetes se interrumpan durante esta prueba.

    [root@host]# hping 172.16.80.1 -c 10 -s 80 -k -d 300
  2. En el dispositivo R1, compruebe los contadores del firewall con show firewall el comando.

    user@R1> show firewall

Significado

En los pasos 1 y 2, el resultado de ambos dispositivos muestra que se descartaron 4 paquetes esto significa que había al menos 8 Kbps de tráfico verde (el puerto http 80) en el contrato y que la opción de ráfaga de 1500 kbps para el tráfico de http 80 puerto ha.

Consulte también

  • Junos OS Routing Protocols and Policies Configuration Guide for Security Devices

Ejemplo Configuración de la interfaz y las políticas de filtro del firewall en la misma interfaz

En este ejemplo se muestra cómo configurar tres directivas de dos colores de una sola clasificación y aplicar las políticas para el tráfico de entrada de IPv4 en la misma interfaz lógica de LAN virtual (VLAN) de una sola etiqueta.

Aplicables

No es necesaria ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

En este ejemplo, se configuran tres políticas de dos colores de una sola tasa y se aplican las políticas para el tráfico de entrada de IPv4 en la misma interfaz lógica de VLAN de una sola etiqueta. Se aplican dos políticas a la interfaz a través de un filtro de cortafuegos y se aplica un policía a la interfaz directamente.

Configure un tipo de policía, p-all-1m-5k-discardnombre, para limitar el tráfico a 1 Mbps con un tamaño de ráfaga de 5000 bytes. Esta policía se aplica directamente al tráfico de entrada de IPv4 en la interfaz lógica. Cuando se aplica una policía a un tráfico específico de un protocolo a una interfaz lógica, se dice que la policía se aplica como un policía de la interfaz.

Configure las otras dos políticas para que permitan tamaños de ráfagas de 500 KB y aplique estas políticas a tráfico de entrada IPv4 en la interfaz lógica mediante un filtro de Firewall estándar de IPv4. Cuando se aplica una policía al tráfico específico de un protocolo en una interfaz lógica a través de una acción de filtro de cortafuegos, se dice que la policía se aplica como una policía de filtro de cortafuegos.

  • Configure p-icmp-500k-500k-discard el nombre del usuario de la clase de policía para limitar el tráfico a 500 kbps con un tamaño de ráfaga de 500 KB, descartando paquetes que no cumplan estos límites. Configure uno de los términos del filtro de Firewall para aplicar esta policía a los paquetes del Protocolo de mensajes de control de Internet (ICMP).

  • p-ftp-10p-500k-discard Configure el nombre del usuario de la policía para limitar el tráfico a un 10% de ancho de banda con un tamaño de ráfaga de 500 KB, descartando paquetes que no cumplan estos límites. Configure otro término del filtro de Firewall para aplicar este policial a los paquetes del Protocolo de transferencia de archivos (FTP).

Una policía que configure con un límite de ancho de banda expresado como un valor porcentual (en lugar de un valor de ancho de banda absoluto) se denomina "policía de banda ancha ". Solo las directivas de dos colores de una sola clasificación se pueden configurar con una especificación de ancho de banda porcentual. De forma predeterminada, una frecuencia de policía de banda ancha limita el tráfico al porcentaje especificado de la velocidad de línea de la interfaz física subyacente a la interfaz lógica de destino.

Topología

La interfaz lógica de destino se configura como una interfaz lógica VLAN de etiqueta única en una interfaz Fast Ethernet que funciona a 100 Mbps. Esto significa que la policía que configure con el límite del 10 por ciento de ancho de banda (el de policía que aplica a los paquetes de FTP) limita el tráfico FTP en esta interfaz a 10 Mbps.

Nota

En este ejemplo, no configure la políticas de ancho de banda como un policía de ancho de banda lógico. Por lo tanto, el porcentaje se basa en la velocidad de medios físicos en vez de en la velocidad de forma configurada de la interfaz lógica.

El filtro de firewall que configure para hacer referencia a dos de las directivas debe estar configurado como un filtro específicode la interfaz. Dado que la policía que se utiliza para limitar el límite de paquetes FTP especifica el límite del ancho de banda como un valor porcentual, el filtro de firewall que haga referencia a este contratante debe configurarse como un filtro específico de la interfaz. Por lo tanto, si este filtro de Firewall se aplicara a varias interfaces en lugar de solo la interfaz Fast Ethernet en este ejemplo, se crearían directivas y contadores únicos para cada interfaz a la que se aplique el filtro.

Automática

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre Cómo desplazarse por la CLI, consulte Using the CLI Editor in Configuration Mode.

Para configurar este ejemplo, realice las tareas siguientes:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los comandos de configuración siguientes en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en [edit] la CLI en el nivel de la jerarquía.

Configuración de la interfaz lógica de VLAN de etiqueta única

Procedimiento detallado

Para configurar la interfaz lógica de VLAN de etiqueta única:

  1. Activar la configuración de la interfaz Fast Ethernet.

  2. Activar tramas de VLAN de etiqueta única.

  3. Enlazar los identificadores de VLAN a las interfaces lógicas.

  4. Configure IPv4 en las interfaces lógicas de VLAN de etiqueta única.

Resultados

Confirme la configuración de la VLAN especificando el show interfaces comando modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Configuración de las tres políticas

Procedimiento detallado

Para configurar las tres políticas:

  1. Habilite la configuración de una utilidad de dos colores que descarte paquetes que no se ajustan a un ancho de banda de 1 Mbps y un tamaño de ráfaga de 5000 bytes.

    Nota

    Esta policía se aplica directamente a todo el tráfico de entrada de IPv4 en la interfaz lógica de VLAN de etiqueta única, por lo que los paquetes no se filtrarán antes de ser sometidos a la limitación de velocidad.

  2. Configure el primer policía.

  3. Habilite la configuración de un subcontrolador de dos colores que descarte paquetes que no cumplan el “10 por ciento” del ancho de banda y el tamaño de ráfaga de 500.000 bytes.

    Esta policía sólo se aplica al tráfico FTP en la interfaz lógica VLAN de etiqueta única.

    Esta aplicación se aplica a la acción de un término de filtro de Firewall IPv4 que coincide con paquetes FTP procedentes de TCP.

  4. Configure los límites y las acciones de políticas.

    Dado que el límite del ancho de banda se especifica como un porcentaje, el filtro de firewall que hace referencia a esta policía debe configurarse como un filtro específico de la interfaz.Nota

    Si desea que la policía califique- limite al 10 por ciento de la interfaz lógica configurada velocidad de forma (en vez de al 10% de la velocidad de medios de interfaz física), deberá logical-bandwidth-policer incluir la instrucción [edit firewall policer p-all-1m-5k-discard] en la jerarquía nivel. Este tipo de policía se denomina " policía de ancho de banda lógico".

  5. Habilite la configuración de la policía del filtro de Firewall IPv4 para paquetes ICMP.

  6. Configure los límites y las acciones de políticas.

Resultados

Para confirmar la configuración de las directivas, escriba el show firewall comando de modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Configuración del filtro de Firewall IPv4

Procedimiento detallado

Para configurar el filtro de Firewall IPv4:

  1. Activar la configuración del filtro de Firewall IPv4.

  2. Configure el filtro de Firewall como específico de la interfaz.

    El filtro del firewall debe ser específico de la interfaz porque una de las directivas a las que se hace referencia está configurada con un límite de ancho de banda expresado como un valor porcentual.
  3. Habilite la configuración de un término de filtro para los paquetes FTP con limitación de velocidad.

    Los mensajes FTP se envían a través del puertoftpTCP 20 () y se reciben aftp-datatravés del puerto TCP 21 ().
  4. Configure el término de filtro para que coincida con los paquetes FTP.

  5. Habilite la configuración de un término de filtro para los paquetes ICMP con límite de velocidad.

  6. Configuración del término de filtro para paquetes de ICMP

  7. Configure un término de filtro para aceptar todos los demás paquetes sin políticas.

Resultados

Confirme la configuración del filtro de cortafuegos mediante el show firewall comando modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Aplicar a la interfaz lógica el Policíaer de interfaz y las políticas de filtro del cortafuegos

Procedimiento detallado

Para aplicar estas tres políticas a la VLAN:

  1. Activar la configuración de IPv4 en la interfaz lógica.

  2. Aplicar a la interfaz las políticas de filtro del firewall.

  3. Aplique la policía de interfaz a la interfaz.

    Los paquetes introducidos fe-0/1/1.0 en se evalúan contra el policial de la interfaz antes de evaluarlos con las políticas de filtro del cortafuegos. Para obtener más información, consulte Order of Policer and Firewall Filter Operations.

Resultados

Para confirmar la configuración de la interfaz, escriba show interfaces el comando de modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Mostrar las políticas de policía aplicadas directamente a la interfaz lógica

Finalidad

Compruebe que la policía de interfaz se evalúa cuando se reciben paquetes en la interfaz lógica.

Acción

Utilice el show interfaces policers comando modo operativo para la interfaz fe-0/1/1.1lógica. La sección de resultados del comando Proto columnas y Input Policer columna muestra que la policía p-all-1m-5k-discard se evalúa cuando se reciben paquetes en la interfaz lógica.

user@host> show interfaces policers fe-0/1/1.1

En este ejemplo, la policía de interfaz se aplica únicamente al tráfico de la interfaz lógica en la dirección de entrada.

Visualización de las estadísticas del responsable de la policía aplicada directamente a la interfaz lógica

Finalidad

Compruebe el número de paquetes evaluados por el policía de la interfaz.

Acción

Utilice el show policer comando modo de funcionamiento y especifique opcionalmente el nombre de la policía. El comando de salida muestra el número de paquetes evaluados por cada uno de los policiales configurado (o el de la policía especificada), en cada dirección.

user@host> show policer p-all-1m-5k-discard-fe-0/1/1.1-inet-i

Visualización de las políticas y los filtros de Firewall aplicados a una interfaz

Finalidad

Compruebe que el filtro filter-ipv4-with-limits de Firewall se aplica al tráfico de entrada IPv4 de la fe-0/1/1.1interfaz lógica.

Acción

Utilice el show interfaces statistics comando modo operativo para la interfaz fe-0/1/1.1lógica e incluya la detail opción. Con arreglo a la Protocol inet de la sección de resultados del comando, Input Filters y Policer las líneas muestran los nombres del filtro y de los policiales aplicados a la interfaz lógica en la dirección de entrada.

user@host> show interfaces statistics fe-0/1/1.1 detail

En este ejemplo, las dos políticas de filtro de Firewall se aplican a tráfico de interfaz lógica solo en la dirección de entrada.

Mostrar estadísticas para las políticas de filtro de Firewall

Finalidad

Compruebe el número de paquetes evaluados por las políticas de filtro del firewall.

Acción

Utilice el show firewall comando modo operativo del filtro que haya aplicado a la interfaz lógica.

[edit]
user@host> show firewall filter filter-ipv4-with-limits-fe-0/1/1.1-i

La salida del comando muestra los nombres de las políticas (p-ftp-10p-500k-discard y p-icmp-500k-500k-discard), combinadas con los nombres de los términos delt-ftp filtro t-icmp(y, respectivamente) según los cuales se especifica la acción de la policía. Las líneas de salida específicas del policía muestran el número de paquetes que coinciden con el término de filtro. Esto es sólo el número de paquetes fuera de la especificación (fuera de las especificaciones), no todos los paquetes superpuestos por el policía.