Descripción del uso de políticas en filtros de firewall
La vigilancia, o limitación de velocidad, es un componente importante de los filtros de firewall que le permite controlar la cantidad de tráfico que ingresa a una interfaz en los conmutadores Ethernet de la serie EX de Juniper Networks. Puede lograr la vigilancia mediante la inclusión de aplicadores de políticas en las configuraciones de filtro de firewall .
Descripción general de Policers
Puede utilizar políticas para especificar límites de velocidad en el tráfico. Un filtro de firewall configurado con un aplicador de políticas solo permite el tráfico dentro de un conjunto especificado de límites de velocidad, lo que proporciona protección contra ataques de denegación de servicio (DoS). El tráfico que supera los límites de velocidad especificados por el agente de policía se descarta inmediatamente o se marca como de menor prioridad que el tráfico que se encuentra dentro de los límites de velocidad. El conmutador descarta el tráfico de menor prioridad cuando hay congestión de tráfico.
Un aplicador de policía aplica dos tipos de límites de velocidad al tráfico:
Ancho de banda: el número de bits por segundo permitido, en promedio.
Tamaño máximo de ráfaga: el tamaño máximo permitido para ráfagas de datos que superan el límite de ancho de banda especificado.
La vigilancia utiliza un algoritmo para imponer un límite en el ancho de banda promedio al tiempo que permite ráfagas de hasta un valor máximo especificado. Puede definir clases específicas de tráfico en una interfaz y aplicar un conjunto de límites de velocidad a cada clase. Después de asignar un nombre y configurar un aplicador de policía, se almacena como una plantilla. A continuación, puede utilizar el aplicador de políticas en una configuración de filtro de firewall.
En todos los conmutadores de la serie EX, excepto en los conmutadores Ethernet EX8200 de Juniper Networks, cada aplicador de control que configure incluye un contador implícito que cuenta el número de paquetes que superan el límite de velocidad especificado para el aplicador de policía. Cada conmutador EX8200 contiene tres contadores de administración global. Debe asignar controladores de entrada a estos contadores de administración global para obtener estadísticas de aplicadores. Puede asignar cualquier número de políticas de entrada a cada contador de administración global. Las estadísticas de policía para cada contador de administración global son el agregado de las estadísticas de controlador de policía para todos los aplicadores asociados con ese contador de administración global.
Para obtener recuentos de paquetes específicos del filtro, debe configurar un aplicador de políticas diferente para cada filtro de firewall. Los policías dan recuentos específicos de términos por defecto.
Tipos de policías
Los conmutadores admiten tres tipos de policías:
Velocidad única de dos colores: un aplicador de dos colores (a veces llamado simplemente "policíar") mide el flujo de tráfico y clasifica los paquetes en dos categorías de prioridad de pérdida de paquetes (PLP) de acuerdo con un ancho de banda configurado y un límite de tamaño de ráfaga. Puede marcar los paquetes que superen el ancho de banda y el límite de tamaño de ráfaga o simplemente descartarlos. Un aplicador de dos colores es más útil para medir el tráfico a nivel de puerto (interfaz física).
Tres colores de velocidad única: este tipo de aplicador se define en RFC 2697, Un marcador de tres colores de velocidad única, como parte de un sistema de clasificación de reenvío asegurado (AF) por comportamiento por salto (PHB) para un entorno de servicios diferenciados (DiffServ). Este tipo de controlador mide el tráfico en función de la tasa de información confirmada (CIR) configurada, el tamaño de ráfaga confirmada (CBS) y el tamaño de ráfaga excesiva (EBS). El tráfico se marca como perteneciente a una de tres categorías (verde, amarillo o rojo) en función de si los paquetes están llegando a velocidades inferiores al CBS (verde), exceden el CBS pero no el EBS (amarillo) o exceden el EBS (rojo). Un aplicador de tres colores de una sola velocidad es más útil cuando un servicio se estructura de acuerdo con el tamaño del paquete y no de acuerdo con la tasa máxima de llegada.
Tres colores de dos velocidades: este tipo de aplicador se define en RFC 2698, Un marcador de tres colores de dos velocidades, como parte de un sistema de clasificación de reenvío asegurado (AF) por comportamiento por salto (PHB) para un entorno de servicios diferenciados (DiffServ). Este tipo de aplicador medidor el tráfico basado en el CIR configurado y la tasa de información máxima (PIR), junto con sus tamaños de ráfaga asociados; el CBS y el tamaño máximo de ráfaga (PBS). El tráfico se marca como perteneciente a una de tres categorías (verde, amarillo o rojo) en función de los paquetes que llegan a velocidades que están por debajo del CIR (verde), exceden el CIR pero no el PIR (amarillo) o exceden el PIR (rojo). Un aplicador de dos velocidades y tres colores es más útil cuando un servicio está estructurado de acuerdo con las tasas de llegada y no con el tamaño del paquete.
Acciones policiales
Las acciones del policía pueden ser implícitas o explícitas y varían según el tipo de policía. El término implícito significa que Junos OS asigna un valor de prioridad de pérdida automáticamente; explícito significa que se configura la acción. Tabla 1 enumera las acciones de los policías.
Aplicador de policía |
Marca |
Acción implícita |
Acción configurable |
---|---|---|---|
Tarifa única de dos colores |
Verde (conforme) |
Asignar prioridad de pérdida baja |
Ninguna |
Rojo (no conforme) |
Ninguna |
Asignar prioridad de pérdida baja o alta, asignar una clase de reenvío o descartar |
|
Amarillo |
No compatible |
No compatible |
|
Tarifa única de tres colores |
Verde (conforme) |
Asignar prioridad de pérdida baja |
Ninguna |
Rojo (encima del EBS) |
Asignar prioridad de pérdida alta |
Descartar |
|
Amarillo (supera el CBS pero no el EBS) |
Asignar prioridad de pérdida alta Nota:
No compatible con conmutadores EX8200 |
Ninguna Nota:
No compatible con conmutadores EX8200 |
|
Dos velocidades de tres colores |
Verde (conforme) |
Asignar prioridad de pérdida baja |
Ninguna |
Rojo (por encima del PIR) |
Asignar prioridad de pérdida alta |
Descartar |
|
Amarillo (excede el CIR pero no el PIR) |
Asignar prioridad de pérdida alta Nota:
No compatible con conmutadores EX8200 |
Ninguna Nota:
No compatible con conmutadores EX8200 |
No puede aplicar un aplicador de políticas con una acción de a un filtro de forwarding-class
firewall de salida.
A partir de Junos OS versión 17.1, en conmutadores EX4300, puede configurar la acción loss-priority
del aplicador para que sea low
, medium-low
, medium-high
, o high
.
Niveles de Policer
Puede configurar políticas en el nivel de cola, el nivel de interfaz lógica o el nivel de capa 2 (MAC). Solo se aplica un único aplicador de control a un paquete en la cola de salida. La búsqueda de policías se produce en este orden:
Nivel de cola
Nivel de interfaz lógica
Nivel de capa 2 (MAC)
Modos de color
Los aplicadores de marcado tricolor (TCM) no están sujetos a una convención de coloración verde-amarillo-rojo. Los paquetes se marcan con configuraciones de bits PLP bajos o altos basados en el color. Por lo tanto, ambos tipos de policías de tres colores (de velocidad única y de dos velocidades) amplían la funcionalidad de la vigilancia del tráfico de clase de servicio (CoS) al proporcionar tres niveles de prioridad de caída (prioridad de pérdida) en lugar de los dos normalmente disponibles en los policías. Tanto los tipos de policía de tres colores de una sola velocidad como los de dos velocidades pueden operar en dos modos:
Daltónico: en el modo daltónico, el controlador de tres colores funciona sin hacer referencia a si los paquetes examinados se han marcado o medido previamente. En otras palabras, el policía de tres colores es ciego a cualquier coloración anterior que un paquete pueda haber tenido.
Consciente del color: en el modo con reconocimiento del color, el controlador de tres colores funciona con referencia a cualquier marcado o medición anterior de los paquetes examinados. En otras palabras, el policía de tres colores es consciente de la coloración previa que un paquete podría haber tenido. En el modo consciente del color, el controlador de tres colores puede aumentar el PLP de un paquete, pero nunca puede disminuirlo. Por ejemplo, si un aplicador de tres colores con reconocimiento de color mide un paquete con una marca PLP baja, puede elevar el nivel de PLP a alto. Pero no puede reducir un nivel alto de PLP a bajo.
Convenciones de nomenclatura para aplicadores de políticas
Le recomendamos que utilice la convención rate-TCMnumber-colortype de nomenclatura al configurar políticas de tres colores. TCM significa marcado tricolor. Debido a que los aplicadores pueden ser numerosos y deben aplicarse correctamente para que funcionen, observar una convención de nomenclatura simple hace que sea más fácil aplicar los aplicadores correctamente.
Por ejemplo, si configura un aplicador de una sola velocidad, tres colores y con reconocimiento de color, asígnele el nombre srTCM1-ca. Si configura un aplicador de dos velocidades, tres colores y daltónico, asígnele el nombre trTCM2-cb.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.
loss-priority
del aplicador para que sea low
, medium-low
, medium-high
, o high
.