Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción del uso de las políticas en filtros de Firewall

Las políticas, o límites de velocidad, son un componente importante de los filtros del cortafuegos que le permite controlar la cantidad de tráfico que entra en una interfaz en Juniper Networks conmutadores Ethernet de la serie EX. Puede lograr las políticas mediante la inclusión de las políticas de configuración de filtros de Firewall .

Información general de los policía

Puede utilizar directivas para especificar los límites de velocidad de tráfico. Un filtro de firewall configurado con un servicio de políticas permite únicamente el tráfico dentro de un conjunto específico de límites de velocidad, lo que proporciona protección contra ataques de denegación de servicio (DoS). El tráfico que supera los límites de velocidad especificados por el policial se descarta inmediatamente o está marcado con una prioridad más baja que el tráfico que se encuentra dentro de los límites de velocidad. El conmutador descarta el tráfico de menor prioridad cuando hay congestión en el tráfico.

Un policial aplica dos tipos de límites de velocidad al tráfico:

  • Ancho de banda: la cantidad de bits por segundo permitidos, en promedio.

  • Tamaño máximo de ráfaga: el tamaño máximo permitido para ráfagas de datos que superan el límite de ancho de banda determinado.

Las políticas utilizan un algoritmo para imponer un límite de ancho de banda medio a la vez que permiten ráfagas hasta un valor máximo especificado. Puede definir clases específicas de tráfico en una interfaz y aplicar un conjunto de límites de velocidad a cada clase. Después de asignar un nombre a un policial y configurarlo, se almacenará como una plantilla. A continuación, puede utilizar la policía en una configuración de filtro de Firewall.

En todos los conmutadores de la serie EX, excepto Juniper Networks conmutadores EX8200 Ethernet, cada uno de los policiales que configure incluye un contador implícito que cuenta el número de paquetes que superan el límite de velocidad especificado para el responsable de la policía. Cada conmutador EX8200 contiene tres contadores de administración global. Debe asignar las políticas de entrada a estos contadores de administración global para obtener estadísticas de la policía. Puede asignar cualquier número de directivas de entrada a cada contador de administración global. Las estadísticas de policía de cada contador de gestión global son el agregado de las estadísticas de policía para todas las políticas asociadas con ese contador de gestión global.

Para obtener recuentos de paquetes específicos de filtros, debe configurar una configuración distinta para cada filtro de cortafuegos. De forma predeterminada, proporcionan recuentos específicos de términos.

Tipos de policíación

Los conmutadores admiten tres tipos de directivas:

  • Dos colores de velocidad única: un agente de policía de dos colores (a veces llamado simplemente "limitador") metros la corriente de tráfico y clasifica los paquetes en dos categorías de prioridad de pérdida de paquetes (PLP) de acuerdo con un ancho de banda configurado y un límite de tamaño de ráfaga. Puede marcar paquetes que superan el límite de ancho de banda y tamaño de ráfaga o simplemente descartarlos. Una policía de dos colores es muy útil para medir el tráfico en el nivel de puerto (interfaz física).

  • Tres colores de una velocidad: este tipo de aplicación se define en rfc 2697, Un marcador de tres coloresde una sola velocidad, como parte de un sistema de clasificación de reenvío por salto (PHB) seguro para un entorno de servicios diferenciados (DiffServ). Este tipo de policíaismo mide el tráfico basado en la velocidad de información convenida (CIR), el tamaño de ráfaga confirmada (CBS) y el tamaño de ráfaga excesiva (EBS). El tráfico se marca como perteneciente a una de las tres categorías (verde, amarillo o rojo) en función de si los paquetes llegan a velocidades inferiores a la CBS (verde), pero no a EBS (amarillo) o si superan el EBS (rojo). Una policía de tres colores de tasa única es muy útil cuando un servicio está estructurado de acuerdo con el tamaño del paquete y no según la tasa máxima de llegada.

  • Tres colores de dos velocidades: este tipo de indicador se define en la RFC 2698, Un marcador de tres coloresde dos velocidades como parte de un sistema de clasificación de reenvío seguro (AF) por comportamiento de salto (PHB) para un entorno de servicios diferenciados (DiffServ). Este tipo de policíaa mide el tráfico basado en el CIR configurado y la velocidad de información máxima (PIR), junto con sus tamaños de ráfaga asociados; la CBS y el tamaño de ráfaga máxima (PBS). El tráfico se marca como perteneciente a una de las tres categorías (verde, amarillo o rojo) basadas en paquetes que llegan a velocidades inferiores a la del CIR (verde), pero que superan el CIR pero no el PIR (amarillo), o bien superan el PIR (rojo). Una policía de tres tipos es especialmente útil cuando un servicio está estructurado según la velocidad de llegada y no el tamaño del paquete.

Acciones de policía

Las acciones policiales pueden ser implícitas o explícitas, y varían según el tipo de policía. El término implícito significa que Junos OS asigna automáticamente un valor de pérdida de prioridad; Explicit significa que se configura la acción. Tabla 1 enumera las acciones de los policiales.

Tabla 1: Acciones de policía

Policía

Marque

Acción implícita

Acción configurable

Dos colores de una velocidad

Verde (conforme)

Asignar prioridad de pérdida baja

Ninguno

Rojo (no compatible)

Ninguno

Asigne prioridad de pérdida baja o alta, asigne una clase de reenvío o descarte

Clama

No compatible

No compatible

Tres colores de una sola tasa

Verde (conforme)

Asignar prioridad de pérdida baja

Ninguno

Rojo (por encima de EBS)

Asignar prioridad de pérdida alta

Rechaza

Amarillo (supera la CBS, pero no EBS)

Asignar prioridad de pérdida alta

Nota:

No se admite en conmutadores EX8200

Ninguno

Nota:

No se admite en conmutadores EX8200

Tres tasas

Verde (conforme)

Asignar prioridad de pérdida baja

Ninguno

Rojo (encima de la PIR)

Asignar prioridad de pérdida alta

Rechaza

Amarillo (supera el CIR pero no el PIR)

Asignar prioridad de pérdida alta

Nota:

No se admite en conmutadores EX8200

Ninguno

Nota:

No se admite en conmutadores EX8200

Nota:

No puede aplicar una policía con una acción a un forwarding-class filtro Firewall de salida.

Nota:

A partir de Junos os versión 17,1, en conmutadores EX4300, puede configurar la acción loss-priority de la policía lowpara medium-lowque medium-highsea, high, o.

Niveles de policíación

Puede configurar las políticas en el nivel de cola, de interfaz lógica o de capa 2 (Mac). Solo se aplica un único policía a un paquete en la cola de salida. La búsqueda de políticas se produce en este orden:

  • Nivel de cola

  • Nivel lógico de interfaz

  • Nivel de capa 2 (MAC)

Modos de color

Las políticas de nomenclatura tricolor (TCM) no están vinculadas por una Convención de colores verde-amarillo-rojo. Los paquetes se marcan con configuraciones de PLP bits bajas o altas basadas en el color. Por lo tanto, ambos tipos de políticas de tres colores (single y Two) amplían la funcionalidad de la calidad de la clase de servicio (CoS) mediante el suministro de tres niveles de precedencia de descarte (prioridad de pérdida) en lugar de los dos normalmente disponibles en las políticas. Los tipos de políticas monotasa y de tres tasas pueden funcionar de dos modos:

  • Color-blind: en modo de color ciego, la política de tres colores funciona sin referencia a si los paquetes examinados se marcaron o se midaron anteriormente. En otras palabras, el policía de tres colores es ciego a cualquier color anterior que un paquete pueda haber tenido.

  • Consciente del color: en modo consciente de color, la política de tres colores funciona con referencia a cualquier marca o medición anterior de los paquetes examinados. En otras palabras, la policía de tres colores conoce el color anterior que un paquete podría haber tenido. En el modo de reconocimiento de color, la policía de tres colores puede aumentar la PLP de un paquete pero nunca puede reducirlo. Por ejemplo, si un policíaría que tenga en cuenta el color y mide un paquete con un marcado PLP bajo, puede elevar el nivel PLP a alto. Pero no puede reducir un nivel de PLP alto a bajo.

Convenciones de nomenclatura para los responsables de las políticas

Le recomendamos que utilice el tipo de velocidad de convención de nomenclatura-CTMnumber-colortype cuando configure agentes de policía de tres colores. TCM significa un marcador tricolor. Dado que las políticas de policía pueden ser numerosas y se deben aplicar correctamente, la aplicación de una Convención de nomenclatura sencilla facilita la tarea de las políticas.

Por ejemplo, si configura una configuración de una sola tasa, de tres colores que tenga en cuenta el color, asígnele el nombre srTCM1-CA. Si configura una policía de dos tasas, tres colores, ciega, asígnele el nombre trTCM2-CB.

Tabla de historial de versiones
Liberación
Descripción
17.1
A partir de Junos os versión 17,1, en conmutadores EX4300, puede configurar la acción loss-priority de la policía lowpara medium-lowque medium-highsea, high, o.