Tipos de policía de tráfico

Policias de dos colores de velocidad única

Puede usar un policiador de dos colores de velocidad única, o "policiar" cuando se usa sin calificación, para limitar un flujo de tráfico a una velocidad de llegada promedio de bits por segundo (especificada por el límite de ancho de banda único especificado) a la vez que permite ráfagas de tráfico durante períodos breves (controlado por el límite de tamaño de ráfaga especificado). Este tipo de agente de policía categoriza un flujo de tráfico como verde (conforme) o rojo (no conforme). Los paquetes en un flujo verde se establecen implícitamente con una low prioridad de pérdida y, luego, se transmiten. Los paquetes en un flujo rojo se manejan de acuerdo con las acciones especificadas en la configuración del agente de policía. Los paquetes en un flujo rojo se pueden marcar (establecerse en una clase de reenvío especificada, establecerse en una prioridad de pérdida especificada o ambas) o se pueden descartar.

Un policiador de dos colores de velocidad única es más útil para medir el tráfico en el nivel del puerto (interfaz física).

Policiador de dos colores básico de velocidad única
Agente de policía de ancho de banda
Policía de ancho de banda lógico

Policiador de dos colores básico de velocidad única

Puede aplicar un policiador básico de dos colores de velocidad única al tráfico de capa 3 de dos maneras: como agente de policía de interfaz o como policía de filtro de firewall. Puede aplicar el agente de policía como un agente de policía de interfaz, lo que significa que lo aplica directamente a una interfaz lógica en el nivel de familia de protocolos. Si desea aplicar el agente de policía solo a paquetes seleccionados, puede aplicar el agente de policía como un agente de filtrado de firewall, lo que significa que hace referencia al agente de policía en un término de filtro de firewall sin estado y, luego, aplicar el filtro a una interfaz lógica en el nivel de familia de protocolo.

Agente de policía de ancho de banda

Un agente de policía de ancho de banda es simplemente un policia de dos colores de velocidad única que se define mediante un límite de ancho de banda especificado como un valor de porcentaje en lugar de como un número absoluto de bits por segundo. Cuando se aplica el agente de políticas (como agente de políticas de interfaz o como agente de filtrado de firewall) a una interfaz lógica en el nivel de la familia de protocolos, el límite de ancho de banda efectivo se calcula en función de la velocidad de medios de la interfaz física o de la velocidad de configuración de la interfaz lógica configurada.

Policía de ancho de banda lógico

Un policiador lógico de ancho de banda es un policiador de ancho de banda para el cual el límite de ancho de banda efectivo se calcula en función de la velocidad de formación de la interfaz lógica configurada. Puede aplicar el agente de policía como solo un agente de policía de filtro de firewall, y el filtro de firewall debe configurarse como un filtro específico de la interfaz. Cuando se aplica un filtro específico de interfaz a varias interfaces lógicas en plataformas de enrutamiento compatibles, cualquiera count o policer las acciones actúan en la secuencia de tráfico que entra o sale de cada interfaz individual, independientemente de la suma de tráfico en las varias interfaces.

Policías de tres colores

Junos OS admite dos tipos de policias de tres colores: de velocidad única y de dos velocidades. La principal diferencia entre un policiador de velocidad única y uno de dos velocidades es que el policiador de una sola velocidad permite ráfagas de tráfico durante períodos cortos, mientras que el policiador de dos velocidades permite ráfagas de tráfico más continuas. La política de velocidad única se implementa mediante un modelo de bucket de token único, de modo que deben ocurrir períodos de tráfico relativamente bajo entre ráfagas de tráfico para permitir que el bucket de token se renueve. La política de dos velocidades se implementa mediante un modelo de bucket de token dual, que permite ráfagas de tráfico durante períodos más largos.

Policias tricolores de velocidad única
Policias de tres colores de dos velocidades

Policias tricolores de velocidad única

El tipo de policía de tres colores de velocidad única se define en RFC 2697, un marcador de tres colores de velocidad única. Se usa este tipo de agente de policía para limitar la velocidad de un flujo de tráfico a una sola velocidad y tres categorías de tráfico (verde, amarillo y rojo). Un policiador de tres colores de velocidad única define un límite de ancho de banda comprometido y un límite de tamaño de ráfaga más un límite de exceso de tamaño de ráfaga. El tráfico que se ajusta a los límites de tráfico comprometidos se categoriza como verde (conforme). El tráfico que se ajuste al límite de ancho de banda mientras permite ráfagas de tráfico controladas por el límite de tamaño de ráfaga se categoriza como amarillo. El resto del tráfico se categoriza como rojo.

Un policiador de tres colores de velocidad única es más útil cuando un servicio se estructura según la longitud del paquete, no la velocidad de llegada máxima.

Policias de tres colores de dos velocidades

El tipo de policía de dos velocidades de tres colores se define en RFC 2698, un marcador de color de tres velocidades de dos velocidades. Se usa este tipo de agente de policía para limitar la velocidad de un flujo de tráfico a dos velocidades y tres categorías de tráfico (verde, amarillo y rojo). Un policiador de tres colores de dos velocidades define un límite de ancho de banda comprometido y un límite de tamaño de ráfaga más un límite de ancho de banda máximo y un límite de tamaño de ráfaga. El tráfico que se ajusta a los límites de tráfico comprometidos se categoriza como verde (conforme). El tráfico que supera los límites de tráfico comprometidos pero permanece por debajo de los límites de tráfico máximo se clasifica como amarillo. El tráfico que supera los límites de tráfico máximo se clasifica como rojo.

Un policia de tres colores de dos velocidades es más útil cuando un servicio se estructura de acuerdo con las tasas de llegada y no necesariamente la longitud del paquete.

Opciones de policía de dos y tres colores

Tanto los policiadores de dos colores como los de tres colores se pueden configurar con las siguientes opciones:

Policiadores de interfaz lógica (agregado)
Policías de interfaz física
Agentes de policía aplicados al tráfico de la capa 2
Clasificación de varios campos

Policiadores de interfaz lógica (agregado)

Un agente de policía de interfaz lógica puede ser un agente de dos colores, no un agente de policía de tres colores. Cuando se aplica un policia de interfaz lógica a varias familias de protocolos en la misma interfaz lógica, se crean varias instancias del agente de policía, lo que significa que el tráfico de cada familia de protocolos se configura por separado. Se aplica un agente de policía de interfaz lógica directamente a una configuración de interfaz lógica (y no haciendo referencia al agente de policía en un filtro de firewall sin estado y, luego, aplicando el filtro a la interfaz lógica).

Puede aplicar el agente de policía en el nivel de unidad lógica de la interfaz para limitar la velocidad a todos los tipos de tráfico, independientemente de la familia de protocolos.

Cuando se aplica de esta manera, el agente de policía de interfaz lógica será utilizado por todos los tipos de tráfico (inet, intet6, etc.) y en todas las capas (capa 2, capa 3), independientemente de dónde esté conectado el agente de policía en la interfaz lógica.
También puede aplicar el agente de policía a nivel de familia de protocolos de interfaz lógica para limitar la velocidad de tráfico de una familia de protocolos específica.

Puede aplicar un agente de policía de interfaz lógica solo al tráfico de unidifusión. Para obtener más información acerca de cómo configurar un filtro de firewall sin estado para el tráfico inundado, consulte "Aplicación de filtros de tabla de reenvío" en la sección "Muestreo de tráfico, reenvío y supervisión" de la Guía del usuario de políticas de enrutamiento, filtros de firewall y policías de tráfico.

Policías de interfaz física

Un agente de policía de interfaz físico puede ser un policiador de dos o tres colores. Cuando se aplica el agente de policía de interfaz físico, a diferentes familias de protocolos en la misma interfaz lógica, las familias de protocolo comparten la misma instancia de agente de policía. Esto significa que la limitación de velocidad se realiza de forma agregada para las familias de protocolos para las que se aplica el agente de policía. Esta característica le permite usar una única instancia de policía para realizar políticas agregadas para diferentes familias de protocolos en la misma interfaz física. Si desea que una instancia de policía se asocie con una familia de protocolos, se debe aplicar el filtro de interfaz física correspondiente a esa familia de protocolos. El agente de policía no se aplica automáticamente a todas las familias de protocolos configuradas en la interfaz física.

Por el contrario, con los policiadores de interfaz lógica hay varias instancias de agente de policía independientes.

Agentes de policía aplicados al tráfico de la capa 2

Además de la política jerárquica, también puede aplicar policias de dos colores y tres colores de velocidad única (tanto de velocidad única como de dos velocidades) al tráfico de entrada o salida de capa 2. Debe configurar el policiador de dos o tres colores como un policiador de interfaz lógica y hacer referencia al policia en la configuración de interfaz en el nivel de unidad lógica y no en el nivel de protocolo. No puede aplicar un agente de policía de dos o tres colores al tráfico de capa 2 como una acción de filtro de firewall sin estado.

Clasificación de varios campos

Al igual que la clasificación de agregado de comportamiento (BA), que a veces se conoce como clasificación de tráfico de valor de clase de servicio (CoS), la clasificación de varios campos es un método para clasificar el tráfico entrante asociando cada paquete con una clase de reenvío, un nivel de prioridad de pérdida de paquete o ambos. La configuración de programación de CoS asigna paquetes a colas de salida basadas en la clase de reenvío. El proceso de detección temprana aleatoria de CoS (RED) utiliza la configuración de probabilidad de caída, el porcentaje de plenitud de la cola de salida y la prioridad de pérdida de paquetes a la caída de paquetes según sea necesario para controlar la congestión en la etapa de salida.

La clasificación ba y la clasificación de varios campos usan diferentes campos de un paquete para realizar la clasificación de tráfico. La clasificación de BA se basa en un valor CoS en el encabezado del paquete IP. La clasificación de varios campos puede basarse en varios campos en el encabezado del paquete IP, incluidos los valores CoS. La clasificación de varios campos se utiliza en lugar de la clasificación ba cuando necesita clasificar paquetes según información en el paquete que no sea solo los valores de CoS. La clasificación de varios campos se configura mediante un término de filtro de firewall sin estado que coincide en cualquier campo de encabezado de paquete y asocia paquetes coincidentes con una clase de reenvío, una prioridad de pérdida o ambos. La prioridad de pérdida o la clase de reenvío se pueden establecer mediante una acción de filtro de firewall o un agente de policía al que se hace referencia como una acción de filtro de firewall.

EN ESTA PÁGINA