Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de las directivas

Un conmutador controla el tráfico limitando la velocidad de transmisión de entrada o salida de una clase de tráfico según los criterios definidos por el usuario. El tráfico de políticas (o limitación de velocidad) le permite controlar la velocidad máxima de tráfico enviado o recibido en una interfaz y proporcionar varios niveles de prioridad o clases de servicio.

Las políticas también son un componente importante de los filtros del cortafuegos. Puede lograr las políticas mediante la inclusión de las políticas de configuración de filtros de Firewall .

Descripción general del policía

Utiliza agentes de policía para aplicar límites al flujo de tráfico y establecer consecuencias para los paquetes que superan estos límites( por lo general, aplicando una prioridad de pérdida mayor), de modo que si los paquetes encuentran congestión descendente, se pueden descartar primero. Las políticas de policía sólo se aplican a paquetes de unidifusión.

Las políticas de policía proporcionan dos funciones: medición y marcado. Los medidores (medidas) de cada paquete se comparan con los índices de tráfico y los tamaños de ráfagas que configure. A continuación, pasa el paquete y el resultado de la medición al marcador, que asigna una prioridad de pérdida de paquetes que corresponde al resultado de la medición. Figura 1 ilustra este proceso.

Figura 1: Flujo de funcionamiento de la aplicación de políticas de marcado tricolorFlujo de funcionamiento de la aplicación de políticas de marcado tricolor

Después de asignar un nombre a un usuario y configurarlo, puede utilizarlo si lo especifica como una acción en uno o varios filtros del cortafuegos.

Tipos de policíación

Un conmutador es compatible con tres tipos de directivas:

  • Marcador de dos colores de velocidad única: un agente de política de dos colores (o "policer" cuando se usa sin calificación) metros la corriente de tráfico y clasifica los paquetes en dos categorías de prioridad de pérdida de paquetes (PLP) de acuerdo con un ancho de banda configurado y un límite de tamaño de ráfaga. Puede marcar paquetes que superan el límite de ancho de banda y tamaño de ráfaga con un PLP especificado o simplemente descartarlos.

    Puede especificar este tipo de policía en un servidor de seguridad de entrada o salida.

    Nota:

    Una policía de dos colores es muy útil para medir el tráfico en el nivel de puerto (interfaz física).

  • Marcador de tres colores de una velocidad: este tipo de indicador se define en RFC 2697, Un marcador de tres coloresde una sola velocidad, como parte de un sistema de clasificación de reenvío seguro (AF) por comportamiento de salto (PHB) para un entorno de servicios diferenciados (DiffServ). Este tipo de agente de policía metros de tráfico según una velocidad: la velocidad de información comprometida configurada (CIR), así como el tamaño de ráfaga comprometido (CBS) y el tamaño de ráfaga excesiva (EBS). El valor de CIR especifica la velocidad media a la que se admiten los bits al conmutador. CBS especifica el tamaño de ráfagas normal en bytes y EBS especifica el tamaño de ráfaga máximo en bytes. EBS debe ser mayor o igual que CBS, y ninguno puede ser 0.

    Puede especificar este tipo de policía en un servidor de seguridad de entrada o salida.

    Nota:

    Un marcador de tres colores (TCM) de una sola tasa es muy útil cuando un servicio está estructurado de acuerdo con la longitud del paquete y no con la tasa de llegada de pico.

  • Marcador de tres colores de dos velocidades: este tipo de indicador se define en rfc 2698, Un marcador de tres coloresde dos velocidades como parte de un sistema de clasificación de comportamiento de reenvío por salto seguro para un entorno de servicios diferenciados. Este tipo de agentes de policía metros de tráfico según dos velocidades: el CIR y la velocidad máxima de información (PIR) junto con sus tamaños de ráfaga asociados, la CBS y el tamaño de ráfaga máxima (PBS). PIR especifica la velocidad máxima a la que se admiten los bits en la red y debe ser mayor o igual que el valor de CIR.

    Puede especificar este tipo de policía en un servidor de seguridad de entrada o salida.

    Nota:

    Una policía de tres tipos es especialmente útil cuando un servicio está estructurado según la velocidad de llegada y no necesariamente la longitud del paquete.

Consulte Tabla 1 para obtener más información acerca de cómo se aplican los resultados de la medición para cada uno de estos tipos de policía.

Acciones de policía

Las acciones de policía son implícitas o explícitas y varían según el tipo de policía. Implícita significa que Junos os asigna la prioridad de pérdida de forma automática. Tabla 1 describe las acciones de los Subla policiales.

Tabla 1: Acciones de policía

Policía

Marque

Acción implícita

Acción configurable

Dos colores de una velocidad

Verde (conforme)

Asignar prioridad de pérdida baja

Ninguno

Rojo (no compatible)

Ninguno

Rechaza

Tres colores de una sola tasa

Verde (conforme)

Asignar prioridad de pérdida baja

Ninguno

Amarillo (por encima de CIR y CBS)

Asignar prioridad de pérdida media-alta

Ninguno

Rojo (por encima de EBS)

Asignar prioridad de pérdida alta

Rechaza

Tres tasas

Verde (conforme)

Asignar prioridad de pérdida baja

Ninguno

Amarillo (por encima de CIR y CBS)

Asignar prioridad de pérdida media-alta

Ninguno

Rojo (encima de PIR y PBS)

Asignar prioridad de pérdida alta

Rechaza

Nota:

Si especifica una policía en un filtro de cortafuegosde salida, la única medida compatible es discard.

Colores de policía

Las políticas de tres colores y una sola clase pueden funcionar de dos modos:

  • Color-blind: en el modo de color ciego, el agente de política de tres colores asume que todos los paquetes examinados no se marcaron ni se mediron anteriormente. En otras palabras, el agente de policía de tres colores es "ciego" a cualquier color anterior que pudiera haber tenido un paquete.

  • Consciente del color: en el modo consciente del color, el agente de política de tres colores asume que todos los paquetes examinados se marcaron o se midaron anteriormente. En otras palabras, el agente de policía de tres colores es "consciente" de la coloración anterior que podría haber tenido un paquete. En el modo de reconocimiento de color, la policía de tres colores puede aumentar la PLP de un paquete pero no reducirlo. Por ejemplo, si una políticas de tres colores que tienen en cuenta el color mide un paquete con un marcado PLP medio, puede elevar el nivel PLP a alto, pero no reducir el nivel PLP a baja.

Políticas específicas para filtros

Puede configurar las políticas para que sean específicas del filtro, lo que significa que Junos OS creará únicamente una instancia de policía, independientemente del número de veces que se haga referencia a la misma. Cuando hace esto en algunos conmutadores QFX, la limitación de velocidad se aplica de forma agregada, por lo que si configura un aplicador de política para descartar tráfico que supere 1 Gbps y hacer referencia a dicho aplicador en tres términos diferentes, el ancho de banda total permitido por el filtro es de 1 Gbps. Sin embargo, el comportamiento de una policía de filtro específica se ve afectado por la forma en que se almacenan en TCAM los términos del filtro de firewall que hacen referencia al policial. Si crea una policía de filtro específica y hace referencia a ella en varios términos de filtro de cortafuegos, la policía puede conceder más tráfico del esperado si los términos se almacenan en diferentes segmentos de TCAM. Por ejemplo, si configura un agente de política para descartar tráfico que exceda de 1 Gbps y haga referencia a dicho aplicador en tres términos diferentes que se almacenan en tres segmentos de memoria independientes, el ancho de banda total permitido por el filtro es de 3 Gbps, no 1 Gbps. (Este comportamiento no se produce en los conmutadores QFX10000).

Para evitar que ocurra este comportamiento inesperado, utilice la información acerca de TCAM segmentos que se presentan en la planificación del número de filtros de cortafuegos que desea crear para organizar el archivo de configuración de modo que todos los términos de filtro de firewall que hacen referencia a un determinado la policía específica del filtro se almacenan en el mismo segmento de TCAM.

Convención de nomenclatura sugerida para los responsables de las políticas

Recomendamos que utilice la Convención policertypeTCM#-color type de nomenclatura cuando configure políticas de tres colores y policer# cuando configure políticas de dos colores. TCM significa tres colores. Dado que las políticas de policía pueden ser numerosas y se deben aplicar correctamente, una sencilla Convención de nomenclatura facilita la aplicación de las políticas. Por ejemplo, el primer responsable de tres colores con reconocimiento de colores de una sola velocidad se denominaría srTCM1-ca. El segundo configurado para tres colores que afecta a dos velocidades, que se trTCM2-cbconfigura con colores. A continuación se explican los elementos de esta Convención de nomenclatura:

  • Sr (velocidad única)

  • TR (dos-Rate)

  • TCM (marcado tricolor)

  • 1 ó 2 (número de marcadores)

  • CA (compatible con el color)

  • CB (daltonismo)

Contadores de policía

En algunos conmutadores QFX, cada uno de los subusuarios que configure incluye un contador implícito que cuenta el número de paquetes que superan los límites de velocidad especificados para el responsable de la policía. Si utiliza el mismo aplicador de política en varios términos (ya sea dentro del mismo filtro o en distintos filtros), el contador implícito cuenta todos los paquetes que se aplica la política en todos estos términos y proporciona la cantidad total. (Esto no es aplicable a los conmutadores QFX10000.) Si desea obtener recuentos de paquetes independientes para cada término en un conmutador afectado, utilice estas opciones:

  • Configure un único policial para cada término.

  • Configure solo una policía, pero utilice un contador único y explícito en cada término.

Algoritmos de policía

Las políticas utilizan el algoritmo de cubo de testigos, que impone un límite en el promedio de ancho de banda mientras permite ráfagas hasta un valor máximo especificado. Ofrece más flexibilidad que el algoritmo del depósito con pérdida de información, al permitir una cierta cantidad de tráfico en ráfaga antes de empezar a descartar los paquetes.

Nota:

En un entorno de tráfico por ráfagas, es posible que QFX5200 no replique todos los paquetes de multidifusión en dos o más interfaces del mismo nivel. Esto solo se produce en una ráfaga de velocidad de línea: si el tráfico es coherente, el problema no se produce. Además, el problema sólo se produce cuando el tamaño del paquete aumenta más allá de la 6K en un único flujo de tráfico Gigabit.

¿Cuántas políticas se admiten?

Los conmutadores QFX10000 son compatibles con las políticas de 8 KB (todos los tipos de policía). Los conmutadores QFX5100 y QFX5200 son compatibles con 1535 de políticas de entrada y 1024 de políticas de salida (suponiendo un mandato de servicio de políticas por cortafuegos). Los conmutadores QFX5110 son compatibles con el 6144 de políticas de entrada y 1024 de políticas de salida (suponiendo un mandato de servicio de políticas por cortafuegos).

QFX3500 y QFX3600 los conmutadores autónomos y los dispositivos de nodo de QFabric admiten el siguiente número de microseguridads (suponiendo un mandato de servicio de políticas por cortafuegos):

  • Las políticas de dos colores se utilizan en los filtros del firewall de entrada: 767

  • Directivas de tres colores utilizadas en filtros de Firewall de entrada: 767

  • Las políticas de dos colores se utilizan en filtros de cortafuegos de salida: 1022

  • Directivas de tres colores utilizadas en filtros de cortafuegos de salida: 512

Las políticas pueden limitar los filtros de Firewall de salida

En algunos conmutadores, el número de políticas de salida que configure puede afectar al número total de filtros de Firewall de salida permitidos. Cada policía tiene dos contadores implícitos que ocupan dos entradas en un TCAM de entrada de 1024. Se utilizan para contadores, incluidos los contadores que están configurados como modificadores de acciones en los términos de filtros de Firewall. (Los enpoliciales utilizan dos entradas porque una se utiliza para los paquetes verdes y la otra se utiliza para los paquetes que no son verdes independientemente del tipo de policíación). Si el TCAM se llena, no podrá confirmar más filtros de Firewall de salida con términos con contadores. Por ejemplo, si configura y confirma 512 políticas de salida (dos colores, tres colores o una combinación de ambos tipos de policíación), se utilizan todas las entradas de memoria para los contadores. Si más adelante en el archivo de configuración inserta filtros adicionales de Firewall de salida con términos que también incluyen contadores, no se confirmará ninguno de los términos de esos filtros porque no hay espacio de memoria disponible para los contadores.

A continuación, encontrará algunos ejemplos adicionales:

  • Suponga que configura filtros de salida que incluyen un total de 512 policiales y ningún contador. Más adelante en el archivo de configuración, incluye otro filtro de salida con 10 términos, uno de los cuales tiene un modificador de acción de contador. Ninguno de los términos de este filtro están confirmados porque no hay espacio en TCAM suficiente para el contador.

  • Suponga que configura filtros de salida que incluyen un total de 500 policiales, por lo que las entradas 1000 TCAM están ocupadas. Más adelante en el archivo de configuración, se incluyen los dos filtros de salida siguientes:

    • Filtrar con 20 términos y 20 contadores. Todos los términos de este filtro están confirmados porque hay suficiente espacio en TCAM para todos los contadores.

    • El filtro B va después del filtro A y tiene cinco términos y cinco contadores. Ninguno de los términos de este filtro están confirmados porque no hay suficiente espacio en memoria para todos los contadores. (Se requieren cinco entradas TCAM, pero solo hay cuatro disponibles.)

Puede evitar este problema asegurándose de que los términos de filtro de Firewall de salida con acciones de contador se colocan anteriormente en su archivo de configuración que los términos que incluyen policiales. En estas circunstancias, Junos OS confirma las políticas, incluso si no hay suficiente espacio en TCAM para los contadores implícitos. Por ejemplo, supongamos lo siguiente:

  • Dispone de términos de filtro de Firewall de 1024 con acciones de contador.

  • Más adelante en su archivo de configuración tiene un filtro de salida con 10 términos. Ninguno de los términos tiene contadores pero uno tiene un modificador de acciones de policía.

Puede confirmar correctamente el filtro con 10 términos, aunque no haya espacio TCAM suficiente para los contadores implícitos del policía. El policial se confirma sin los contadores.