Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation des policers

Un commutateur contrôle le trafic en limitant le débit de transmission en entrée ou en sortie d’une classe de trafic selon les critères définis par l’utilisateur. Le trafic de contrôle (ou de limitation du taux) vous permet de contrôler le taux maximal de trafic envoyé ou reçu sur une interface et de fournir plusieurs niveaux de priorité ou classes de service.

Le contrôle est également un composant important des filtres de pare-feu. Vous pouvez obtenir un contrôle en incluant des policers dans des configurations de filtres de pare-feu.

Présentation du policer

Vous utilisez des policeurs pour appliquer des limites au flux de trafic et définir les conséquences pour les paquets qui dépassent ces limites, en appliquant généralement une priorité plus élevée en cas de perte, afin que si les paquets rencontrent un encombrement en aval, ils peuvent d’abord être éliminés. Les policers s’appliquent uniquement aux paquets unicast.

Les policers offrent deux fonctions: de mesure et de marquage. Un mètres de contrôle (mesure) chaque paquet avec les taux de trafic et la taille des rafales que vous configurez. Il passe ensuite le paquet et le résultat du relevé au repère, qui donne la priorité à la perte de paquets correspondant au résultat de mesure. Figure 1 illustre ce processus.

Figure 1 : Flow of Tricolor Marking Policer OperationFlow of Tricolor Marking Policer Operation

Après avoir nommé et configuré un policer, vous pouvez l’utiliser en le spécifiant comme action dans un ou plusieurs filtres de pare-feu.

Types de policers

Un commutateur prend en charge trois types de policers:

  • Marqueur deux couleurs à débit unique: un policeur en deux couleurs (ou « policer » lorsqu’il est utilisé sans qualification) mètres le flux de trafic et classe les paquets en deux catégories de priorité de perte de paquets (PLP) en fonction d’une bande passante configurée et de la limite de taille de rafale. Vous pouvez marquer des paquets qui dépassent la bande passante et la limite de taille d’rafale avec un PLP spécifié ou simplement les éliminer.

    Vous pouvez spécifier ce type de policer dans un pare-feu d’entrée ou de sortie.

    Remarque :

    Un policer en deux couleurs est plus utile pour mesurer le trafic au niveau du port (interface physique).

  • Marqueur trois couleurs à taux unique: ce type de dispositif de contrôle est défini dans le RFC 2697, un marqueur trois couleurs à taux unique, dans le cadre d’un système de classification PHB (Assured Forwarding) par comportement du saut (PHB) pour un environnement de services différenciés (DiffServ). Ce type de policer mesure le trafic en fonction d’un rythme unique, à savoir le taux d’informations pré-configurés, la taille d’rafales engagée (CONFIGURed Burst Size) et EBS (Excess Burst Size). Le ciR indique le taux moyen d’admission des bits sur le commutateur. LE PROGRAMME DE LA NORMALE SPÉCIFIE LA TAILLE d’rafale habituelle en octets et l’EBS spécifie la taille maximale des rafales en octets. L’EBS doit être supérieur ou égal au COURS DESE et ne peut pas être 0.

    Vous pouvez spécifier ce type de policer dans un pare-feu d’entrée ou de sortie.

    Remarque :

    Un marqueur TCM (single-rate three-color marker) est particulièrement utile lorsqu’un service est structuré en fonction de la longueur du paquet et non du taux d’arrivée le plus élevé.

  • Marqueur à deux vitesses trois couleurs: ce type de dispositif de contrôle est défini dans le RFC 2698, marqueur 2 vitesses à trois couleurs, dans le cadre d’un système de classification de type forwarding par saut pour un environnement de services différenciés. Ce type de policer mesure le trafic en fonction de deux vitesses: le CIR et le taux d’informations de pointe (PBS) ainsi que leurs pics d’accès associés, le AUXSR et les pics d’rafales (PBS). LE AUDES (THEE) spécifie la vitesse maximale à laquelle les bits sont admis sur le réseau et doit être supérieur ou égal au CIR.

    Vous pouvez spécifier ce type de policer dans un pare-feu d’entrée ou de sortie.

    Remarque :

    Un policer à deux vitesses trois couleurs est particulièrement utile lorsqu’un service est structuré en fonction du taux d’arrivée et pas nécessairement de la longueur des paquets.

Vous pouvez obtenir des informations sur l’application des résultats des mesures pour Tableau 1 chacun de ces types de policers.

Policer Actions

Les actions des agents de police sont implicites ou explicites et varient selon le type de policer. Cela signifie implicitement Junos OS automatiquement la priorité des pertes. Tableau 1 décrit les actions du policer.

Tableau 1 : Policer Actions

Policer (Policer)

Marquage

Action implicite

Actions configurables

Deux couleurs à vitesse unique

Vert (conforme)

Priorité des pertes de données

Aucune

Rouge (non-formant)

Aucune

Jeter

Trois couleurs à vitesse unique

Vert (conforme)

Priorité des pertes de données

Aucune

Jaune (au-dessus du CIR et DE LASA)

Priorité des pertes moyennes et élevées

Aucune

Rouge (au-dessus du EBS)

Priorité élevée des pertes

Jeter

Deux vitesses trois couleurs

Vert (conforme)

Priorité des pertes de données

Aucune

Jaune (au-dessus du CIR et DE LASA)

Priorité des pertes moyennes et élevées

Aucune

Rouge (au-dessus du PBS et du PBS et du PBS)

Priorité élevée des pertes

Jeter

Remarque :

Si vous spécifiez un policer dans un filtre de pare-feu de sortie,la seule action prise en charge est discard .

Couleurs du policer

Les policeurs à une vitesse unique et à deux vitesses trois couleurs peuvent fonctionner en deux modes:

  • Color-blind: en mode color-blind, le policer trois couleurs part du principe que tous les paquets examinés n’ont pas été marqués ou mesure précédemment. En d’autres termes, le policer trois couleurs est « aveugle » à toute coloration antérieure d’un paquet.

  • Color-aware: en mode color-aware, le policer trois couleurs part du principe que tous les paquets examinés ont été précédemment marqués ou mesureurs. En d’autres termes, le policer en trois couleurs est « conscient » de la coloration précédente d’un paquet. En mode color-aware, le policer trois couleurs peut augmenter le PLP d’un paquet, mais ne peut pas le réduire. Par exemple, si un policeur trois couleurs pour couleurs mesure un paquet avec un marquage PLP de taille moyenne, il peut élever le niveau de PLP à un niveau élevé, mais ne peut pas réduire le niveau de PLP à un niveau bas.

Policers spécifiques aux filtres

Vous pouvez configurer les policers pour qu’ils soient spécifiques aux filtres, ce qui signifie que Junos OS ne crée qu’une seule instance de policer, quel que soit le nombre de fois que le système de police est mentionné. Lorsque vous faites cela sur certains commutateurs QFX, la limitation du débit est appliquée dans l’agrégation. Si vous configurez un policer pour éliminer le trafic qui dépasse 1Gbit/s et que vous faites référence à ce système de contrôle en trois termes différents, la bande passante totale autorisée par le filtre est de 1 Gbps. Toutefois, le comportement d’un policer spécifique aux filtres est influencé par la façon dont les termes de filtre de pare-feu qui font référence au policer sont stockés dans TCAM. Si vous créez un policer spécifique à un filtre et que vous le référez en plusieurs termes de filtre de pare-feu, le policer autorise plus de trafic que prévu si les termes sont stockés dans différentes tranches de TCAM. Par exemple, si vous configurez un policer pour écarter le trafic qui dépasse 1Gbit/s et que vous lui référez en trois termes différents, stockés dans trois tranches de mémoire distinctes, la bande passante totale autorisée par le filtre est de 3Gbits/s, et non de 1Gbit/s. (Ce comportement ne se produit pas QFX10000 commutateurs.)

Pour éviter que ce comportement imprévu ne se produise, Planification du nombre de filtres de pare-feu à créer utilisez les informations sur les tranches TCAM présentées dans la planification du nombre de filtres de pare-feu pour créer afin d’organiser votre fichier de configuration afin que tous les termes du filtre de pare-feu qui référencent un policer spécifique à un filtre donné soient stockés dans la même tranche de TCAM.

Convention de nommage suggérée pour les agents de police

Nous vous recommandons d’utiliser la convention de noms lors de la configuration de policeurs en trois couleurs et lors de la configuration de policertypeTCM#-color typepolicer# policers en deux couleurs. L’indicateur TCM est un marqueur trois couleurs. Les policers peuvent être nombreux et doivent être appliqués correctement pour fonctionner. Une simple convention de nommage facilite l’application des policeurs correctement. Par exemple, le premier système de policer trois couleurs à vitesse unique, qui s’appellerait « color-aware ». srTCM1-ca Le deuxième système à deux vitesses configuré en trois couleurs est appelé « color-blind trTCM2-cb ». Les éléments de cette convention de nomination sont expliqués ci-dessous:

  • sr (à taux unique)

  • tr (à deux vitesses)

  • TCM (marquage tricolore)

  • 1 ou 2 (nombre de marqueurs)

  • ca (color-aware)

  • cb (color-blind)

Compteurs De policer

Sur certains commutateurs QFX, chaque policer que vous configurez inclut un compteur implicite qui compte le nombre de paquets qui dépassent les limites de vitesse spécifiées pour le policer. Si vous utilisez le même système de contrôle en plusieurs termes( dans le même filtre ou dans différents filtres), le compteur implicite compte tous les paquets qui sont polices dans l’ensemble de ces termes et fournit le montant total. (Cela ne s’applique pas QFX10000 commutateurs.) Si vous souhaitez obtenir différents nombres de paquets pour chaque terme d’un commutateur affecté, utilisez les options ci-après:

  • Configurez un système de policer unique pour chaque terme.

  • Configurez un seul policer, mais utilisez un compteur unique et explicite pour chaque terme.

Algorithmes de policer

Le contrôle utilise l’algorithme « token-bucket» (jeton), qui applique une limite de bande passante moyenne tout en permettant d’atteindre une valeur maximale spécifiée. Il offre davantage de flexibilité que l’algorithme « leaky bucket » pour permettre à un certain volume de trafic d’être défassé avant qu’il n’écarte les paquets.

Remarque :

Dans un environnement de trafic faible, il est possible QFX5200 de ne pas répliquer tous les paquets multicast sur deux interfaces en aval ou plus. Cette situation se produit uniquement lors d’une salve de fréquences; si le trafic est cohérent, le problème ne se produit pas. En outre, le problème se produit uniquement lorsque la taille des paquets augmente au-delà de 6 000 dans un flux de trafic en gigabits.

Combien de policers sont pris en charge?

QFX10000 commutateurs de polices 8K (tous les types de policeurs). QFX5100 et QFX5200 prend en charge 1 535 policeurs d’entrée et 1 024 policeurs de sortie (en supposant qu’un seul policer par terme de filtre de pare-feu). QFX5110 de sécurité prend en charge 6 144 policeurs d’entrée et 1 024 policeurs de sortie (en supposant qu’un seul policer par terme de filtre de pare-feu).

QFX3500 et QFX3600 des commutateurs autonomes et des équipements de nœudS QFabric prenant en charge le nombre de policers suivants (en supposant qu’un seul policer par terme de filtre de pare-feu):

  • Policers en deux couleurs utilisés dans les filtres de pare-feu d’entrée: 767

  • Policers en trois couleurs utilisés dans les filtres de pare-feu d’entrée: 767

  • Policers en deux couleurs utilisés dans les filtres de pare-feu de sortie: 1022

  • Policers en trois couleurs utilisés dans les filtres de pare-feu de sortie: 512

Policers peut limiter les filtres de pare-feu de sortie

Sur certains commutateurs, le nombre de policers de sortie que vous configurez peut affecter le nombre total de filtres de pare-feu de sortie autorisés. Chaque policeur dispose de deux compteurs implicites qui prennent deux entrées dans une TCAM 1024 d’entrée. Ces éléments sont utilisés pour les compteurs, y compris les compteurs configurés en tant que modification de l’action dans les termes de filtre de pare-feu. (Les agents de police consomment deux entrées, car l’une est utilisée pour les paquets verts et l’autre pour les paquets nongreens, quel que soit le type de policer.) Si la TCAM devient complète, vous ne pouvez pas valider d’autres filtres de pare-feu de sortie qui ont des conditions avec des compteurs. Par exemple, si vous configurez et commit 512 policers de sortie (deux couleurs, trois couleurs ou une combinaison des deux types de policer), toutes les entrées mémoire des compteurs sont utilisées. Si, dans votre fichier de configuration, vous insérez des filtres de pare-feu de sortie supplémentaires avec des termes qui incluent également des compteurs, aucune des modalités de ces filtres n’est engagée car il n’y a pas d’espace mémoire disponible pour les compteurs.

Voici quelques exemples supplémentaires:

  • Supposez que vous configuriez des filtres de sortie qui incluent un total de 512 policers et aucun compteur. Plus tard dans votre fichier de configuration, vous inclut un autre filtre de sortie avec 10 termes, dont un avec un modifier la contre-action. Aucune des modalités de ce filtre n’est engagée car il n’y a pas assez d’espace TCAM pour le compteur.

  • Supposez que vous configuriez des filtres de sortie qui incluent un total de 500 policers, afin d’occuper 1 000 entrées TCAM. Plus tard dans votre fichier de configuration, vous inclut les deux filtres de sortie suivants:

    • Filtre A avec 20 termes et 20 compteurs. Toutes les conditions de ce filtre sont engagées car il y a assez d’espace TCAM pour tous les compteurs.

    • Le filtre B vient après le filtre A et dispose de cinq termes et cinq compteurs. Aucune des modalités de ce filtre n’est engagée car il n’y a pas assez d’espace mémoire pour tous les compteurs. (Cinq entrées TCAM sont requises mais seules quatre sont disponibles.)

Vous pouvez prévenir ce problème en s’assurant que les termes du filtre de pare-feu de sortie avec les contre-actions sont placés plus tôt dans votre fichier de configuration que les termes qui incluent les policers. Dans ce cas, un Junos OS policers même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites. Par exemple, assumez les déclarations suivantes:

  • Vous avez des termes de filtre de pare-feu de sortie 1024 avec des contre-actions.

  • Plus tard dans votre fichier de configuration, vous avez un filtre de sortie avec 10 termes. Aucune des modalités n’a de compteurs, mais une seule a un modifier l’action du policer.

Vous pouvez valider le filtre en 10 conditions, même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites du policer. Le policer s’engage sans les compteurs.