Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Las políticas básicas de dos colores a una velocidad

Descripción general de la políticas de dos colores a una velocidad

Las políticas de dos colores de una sola tasa imponen una tasa configurada de flujo de tráfico para un nivel de servicio determinado, mediante la aplicación de acciones implícitas o configuradas al tráfico que no cumple dichos límites. Cuando se aplica una aplicación de políticas de dos colores de una sola vez al tráfico de entrada o salida en una interfaz, el policíal mide el flujo de tráfico hasta el límite de velocidad definido por los siguientes componentes:

  • Límite de ancho de banda: la cantidad promedio de bits por segundo permitida para los paquetes recibidos o transmitidos en la interfaz. Puede especificar el límite de ancho de banda como un número absoluto de bits por segundo o como un valor porcentual entre 1 y 100. Si se especifica un valor porcentual, el límite de ancho de banda efectivo se calcula como un porcentaje de la velocidad de medios de interfaz física o de la interfaz lógica configurada en la velocidad de cambio.

  • Límite de paquetes por segundo (pps) (serie MX solo con MPC): la cantidad promedio de paquetes por segundo permitido para paquetes recibidos o transmitidos en la interfaz. El límite de PPS se especifica como un número absoluto de paquetes por segundo.

  • Límite de tamaño de ráfaga: el tamaño máximo permitido para ráfagas de datos.

  • Límite de ráfaga de paquetes:

Para un flujo de tráfico que cumple con los límites configurados (clasificados como tráfico verde), los paquetes se marcan implícitamente con un nivel de prioridad de low pérdida de paquetes (PLP) y se les permite que pasen a través de la interfaz Unrestricted.

En el caso de un flujo de tráfico que exceda los límites configurados (clasificados como tráfico rojo), los paquetes se gestionarán según las acciones de control de tráfico configuradas para el responsable de la policía. Es posible que la acción sea descartar el paquete o que la acción sea volver a marcar el paquete con una clase de reenvío especificada, una PLP especificada o ambas cosas y, a continuación, transmitir el paquete.

Para limitar la velocidad del tráfico de capa 3, puede aplicar una política de dos colores de la siguiente manera:

  • Directamente a una interfaz lógica, en un nivel de protocolo específico.

  • Como la acción de un filtro estándar de firewall sin estado que se aplica a una interfaz lógica, en un nivel de protocolo específico.

Para limitar la velocidad del tráfico de capa 2, puede aplicar un limitador de dos colores solo como un limitador de interfaz lógica. No puede aplicar una política de dos colores al tráfico de capa 2 mediante un filtro de firewall.

Ejemplo Limitación del tráfico entrante en el borde de la red mediante la configuración de un equipo de políticas de dos colores de una velocidad de entrada única

Este ejemplo muestra cómo configurar una policiales de dos colores de una sola tasa para filtrar el tráfico entrante. La policía exige la estrategia de clase de servicio (CoS) para el tráfico en el contrato y fuera del contrato. Puede aplicar una sola clase de políticas de dos colores a los paquetes entrantes, los paquetes de salida o ambos. En este ejemplo, se aplica a la aplicación de políticas como policía de entrada (Ingress). El objetivo de este tema es ofrecer una introducción a la aplicación de políticas mediante un ejemplo que muestra el funcionamiento del tráfico.

Las directivas utilizan un concepto que se conoce como depósito de token para asignar recursos del sistema basándose en los parámetros definidos para el responsable de la policía. Una explicación completa del concepto de depósito de tokens y sus algoritmos subyacentes queda fuera del ámbito de este documento. Para obtener más información acerca de la política de tráfico y los CoS en general, consulte QoS-Enabled Networks: Tools and Foundations de Miguel Barreiros y Peter Lundqvist. Este manual está disponible en varias librerías en línea y en www.juniper.net/books.

Aplicables

Para comprobar este procedimiento, en este ejemplo se utiliza un generador de tráfico. El generador de tráfico puede estar basado en hardware o puede ser software que se ejecuta en un servidor o en un equipo host.

La funcionalidad de este procedimiento está ampliamente admitida en los dispositivos que ejecutan Junos OS. El ejemplo que se muestra aquí fue probado y comprobado en enrutadores de la serie MX que ejecuta Junos OS versión 10,4.

Descripción general

Las políticas de dos colores de una sola tasa imponen una tasa configurada de flujo de tráfico para un nivel de servicio determinado, mediante la aplicación de acciones implícitas o configuradas al tráfico que no cumple dichos límites. Cuando se aplica una aplicación de políticas de dos colores de una sola vez al tráfico de entrada o salida en una interfaz, el policíal mide el flujo de tráfico hasta el límite de velocidad definido por los siguientes componentes:

  • Límite de ancho de banda: la cantidad promedio de bits por segundo permitida para los paquetes recibidos o transmitidos en la interfaz. Puede especificar el límite de ancho de banda como un número absoluto de bits por segundo o como un valor porcentual entre 1 y 100. Si se especifica un valor porcentual, el límite de ancho de banda efectivo se calcula como un porcentaje de la velocidad de medios de interfaz física o de la interfaz lógica configurada en la velocidad de cambio.

  • Límite de tamaño de ráfaga: el tamaño máximo permitido para ráfagas de datos. Los tamaños de ráfaga se miden en bytes. Recomendamos dos fórmulas para calcular el tamaño de ráfaga:

    Tamaño de ráfaga = ancho de banda x tiempo permitido para el tráfico de ráfagas/8

    O

    Tamaño de ráfaga = MTU de interfaz x 10

    Para obtener más información sobre cómo configurar el tamaño de ráfaga, consulte determinar el tamaño de ráfagas adecuado para las políticas de tráfico.

    Nota:

    Hay un espacio de búfer finito para una interfaz. En general, la profundidad total estimada de memoria intermedia para una interfaz es de unos 125 ms.

Para un flujo de tráfico que cumple con los límites configurados (clasificados como tráfico verde), los paquetes se marcan implícitamente con un nivel de prioridad de pérdida de paquetes (PLP) inferior y se les permite que pasen a través de la interfaz Unrestricted.

En el caso de un flujo de tráfico que exceda los límites configurados (clasificados como tráfico rojo), los paquetes se gestionarán según las acciones de control de tráfico configuradas para el responsable de la policía. En este ejemplo, se descartan paquetes que superen el límite de 15 KBps.

Para el tráfico de capa 3 con límite de velocidad, puede aplicar una policía de dos colores de la siguiente manera:

  • Directamente a una interfaz lógica, en un nivel de protocolo específico.

  • Como la acción de un filtro estándar de Firewall sin estado que se aplica a una interfaz lógica, en un nivel de protocolo específico. Esta es la técnica que se utiliza en este ejemplo.

Para el tráfico de capa 2 con límite de tasa, puede aplicar un operador de dos colores como un usuario de interfaz lógica únicamente. No puede aplicar una aplicación de políticas de dos colores al tráfico de capa 2 a través de un filtro de cortafuegos.

PRECAUCIÓN:

Puede elegir el límite de ancho de banda o el porcentaje de ancho de banda en el policial, ya que se excluyen mutuamente. No se puede configurar una policía para que utilice el porcentaje de ancho de banda para las interfaces de agregación, túnel e software.

En este ejemplo, el host es un generador de tráfico que emula un servidor webserver. Los dispositivos R1 y R2 son propiedad de un proveedor de servicios. Los usuarios en el dispositivo host2 tienen acceso al servidor webserver. Host1 del dispositivo va a enviar tráfico con un puerto TCP HTTP de origen 80 a los usuarios. Se configura una configuración de políticas de dos colores de una sola tasa y se aplica a la interfaz del dispositivo R1 que se conecta al Host1 del dispositivo. La policía aplica la disponibilidad de ancho de banda contractual entre el propietario del servidor Web y el proveedor de servicios que posee el dispositivo R1 para el tráfico web que fluye a través del vínculo que conecta el dispositivo Host1 al dispositivo R1.

De conformidad con la disponibilidad de ancho de banda contractual realizada entre el propietario del servidor web y el proveedor de servicios propietario de los dispositivos R1 y R2, la política limitará el tráfico del puerto HTTP 80 que se origina en el dispositivo Host1 a usar 700 Mbps (70 por ciento) del ancho de banda disponible con una velocidad de ráfaga permitida de 10 x el tamaño UMT de la interfaz gigabit Ethernet entre el host del dispositivo host 1 y el dispositivo R1.

Nota:

En un escenario real, probablemente también calificaría el tráfico limitado para una variedad de puertos, como FTP, SFTP, SSH, TELNET, SMTP, IMAP y POP3, ya que a menudo se incluyen como servicios adicionales con servicios de hospedaje Web.

Nota:

Es necesario dejar disponible un ancho de banda adicional que no está limitado a la velocidad de los protocolos de control de red, como los protocolos de enrutamiento, DNS y otros protocolos necesarios para mantener operativa la conectividad de red. Esta es la razón por la que el filtro firewall tiene una condición definitiva de aceptación.

Topología

En este ejemplo se utiliza la topología Figura 1de.

Figura 1: Escenario de políticas de dos colores de una sola clasificaciónEscenario de políticas de dos colores de una sola clasificación

Figura 2muestra el comportamiento de las políticas.

Figura 2: Limitación del tráfico en un escenario de políticas de dos colores de una sola clasificaciónLimitación del tráfico en un escenario de políticas de dos colores de una sola clasificación

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y [edit] pegue los comandos en la CLI en el nivel de jerarquía.

Dispositivo R1

Dispositivo R2

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI de Junos os.

Para configurar el dispositivo R1:

  1. Configure las interfaces del dispositivo.

  2. Aplique el filtro Firewall a interface GE-2/0/5 como filtro de entrada.

  3. Configure el agente de policía para limitar la velocidad a un ancho de banda de 700 Mbps y un tamaño de ráfaga de 15000 KBps para el tráfico HTTP (puerto TCP 80).

  4. Configure la policía para descartar los paquetes en el flujo de tráfico en rojo.

  5. Configure las dos condiciones del cortafuegos para que acepten todo el tráfico TCP en el puerto HTTP (puerto 80).

  6. Configure la acción del cortafuegos para limitar el tráfico HTTP TCP por medio del policía.

  7. Al final del filtro de cortafuegos, configure una acción predeterminada que acepte el resto de tráfico.

    De lo contrario, se descarta todo el tráfico que llega a la interfaz y que el cortafuegos no acepta de forma explícita.

  8. Configure OSPF.

Procedimiento paso a paso

Para configurar el dispositivo R2:

  1. Configure las interfaces del dispositivo.

  2. Configure OSPF.

Resultados

Desde el modo de configuración, escriba los show interfaces comandos, show firewally y show protocols ospf para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ya ha terminado de configurar el dispositivo R1 commit , entre el modo de configuración.

Si has terminado la configuración del dispositivo R2, commit entra en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Borrar los contadores

Purpose

Confirme que los contadores del cortafuegos están borrados.

Intervención

En el dispositivo R1, ejecute clear firewall all el comando para restablecer los contadores del Firewall a 0.

Envío de tráfico TCP a la red y supervisión de los descartes

Purpose

Asegúrese de que el tráfico de interés que se envía se limita a la velocidad en la interfaz de entrada (GE-2/0/5).

Intervención
  1. Utilice un generador de tráfico para enviar 10 paquetes TCP con un puerto de origen 80.

    El indicador-s establece el puerto de origen. El indicador-k hace que el puerto de origen permanezca estable en 80 en lugar de incrementar. El indicador-c establece el número de paquetes en 10. El indicador-d establece el tamaño del paquete.

    La dirección IP de destino de 172.16.80.1 pertenece al host de dispositivo 2 que está conectado al dispositivo R2. El usuario del Device host 2 solicitó una página web del dispositivo host 1 (el servidor Web emulado por el generador de tráfico del dispositivo host 1). Los paquetes a los que se les aplica la velocidad limitada se envían desde el host de dispositivo 1 en respuesta a la solicitud del host de dispositivo 2.

    Nota:

    En este ejemplo, los números de los agentes de policía se reducen a un límite de ancho de banda de 8 Kbps y un límite de tamaño de ráfaga de 1500 KBps para asegurarse de que algunos paquetes se caen durante esta prueba.

  2. En el dispositivo R1, compruebe los contadores del firewall con show firewall el comando.

Efectos

En los pasos 1 y 2 la salida de ambos dispositivos muestra que se descartaron 4 paquetes Esto significa que había al menos 8 Kbps de tráfico verde (puerto HTTP en contrato 80) y que se superó la opción de ráfaga de 1500 KBps para el tráfico HTTP no contractual 80 rojo.

Ejemplo Configuración de la interfaz y las políticas de filtro del firewall en la misma interfaz

En este ejemplo se muestra cómo configurar tres directivas de dos colores de una sola clasificación y aplicar las políticas para el tráfico de entrada de IPv4 en la misma interfaz lógica de LAN virtual (VLAN) de una sola etiqueta.

Aplicables

No es necesaria ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

En este ejemplo, se configuran tres políticas de dos colores de una sola tasa y se aplican las políticas para el tráfico de entrada de IPv4 en la misma interfaz lógica de VLAN de una sola etiqueta. Se aplican dos políticas a la interfaz a través de un filtro de cortafuegos y se aplica un policía a la interfaz directamente.

Puede configurar un agente de policía, llamado , para limitar la velocidad del tráfico a 1 Mbps con un tamaño de ráfaga p-all-1m-5k-discard de 5000 bytes. Esta policía se aplica directamente al tráfico de entrada de IPv4 en la interfaz lógica. Cuando se aplica un agente de policía directamente al tráfico específico del protocolo en una interfaz lógica, se dice que se aplica como un aplicador de política de interfaz.

Las otras dos políticas se configuran para permitir ráfagas de 500 KB y estas políticas se aplican al tráfico de entrada IPv4 en la interfaz lógica mediante un filtro de firewall sin estado estándar IPv4. Cuando se aplica un agente de policía al tráfico específico del protocolo en una interfaz lógica mediante una acción de filtro de firewall, se dice que se aplica como un aplicador de política de filtro de firewall.

  • Puede configurar el agente de policía nombrado para limitar la velocidad de tráfico a 500 Kbps con un tamaño de ráfaga de 500 bytes de K descartando paquetes que no cumplan estos p-icmp-500k-500k-discard límites. Configure uno de los términos del filtro de Firewall para aplicar esta policía a los paquetes del Protocolo de mensajes de control de Internet (ICMP).

  • Puede configurar el agente de policía llamado para limitar el tráfico de velocidad a un ancho de banda del 10 por ciento con un tamaño de ráfaga de 500 KB descartando paquetes que no cumplan estos p-ftp-10p-500k-discard límites. Configure otro término del filtro de Firewall para aplicar este policial a los paquetes del Protocolo de transferencia de archivos (FTP).

Un agente de policía que configure con un límite de ancho de banda manifestado como un valor porcentaje (en lugar de como un valor de ancho de banda absoluto) se denomina limitador de ancho de banda. Solo las directivas de dos colores de una sola clasificación se pueden configurar con una especificación de ancho de banda porcentual. De forma predeterminada, una frecuencia de policía de banda ancha limita el tráfico al porcentaje especificado de la velocidad de línea de la interfaz física subyacente a la interfaz lógica de destino.

Topología

La interfaz lógica de destino se configura como una interfaz lógica VLAN de etiqueta única en una interfaz Fast Ethernet que funciona a 100 Mbps. Esto significa que la política que configure con el límite de ancho de banda del 10 por ciento (el aplicador de políticas a los paquetes FTP) limita la velocidad del tráfico FTP en esta interfaz a 10 Mbps.

Nota:

En este ejemplo, no se configura el limitador de ancho de banda como un limitador de ancho de banda lógico. Por lo tanto, el porcentaje se basa en la velocidad de medios físicos en vez de en la velocidad de forma configurada de la interfaz lógica.

El filtro de firewall que configure para hacer referencia a dos de las directivas debe estar configurado como un filtro específicode la interfaz. Dado que la policía que se utiliza para limitar el límite de paquetes FTP especifica el límite del ancho de banda como un valor porcentual, el filtro de firewall que haga referencia a este contratante debe configurarse como un filtro específico de la interfaz. Por lo tanto, si este filtro de Firewall se aplicara a varias interfaces en lugar de solo la interfaz Fast Ethernet en este ejemplo, se crearían directivas y contadores únicos para cada interfaz a la que se aplique el filtro.

Automática

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo CLI, consulte Uso del editor de CLI en el modo de configuración .

Para configurar este ejemplo, realice las tareas siguientes:

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los comandos de configuración siguientes en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en [edit] la CLI en el nivel de la jerarquía.

Configuración de la interfaz lógica de VLAN de etiqueta única

Procedimiento paso a paso

Para configurar la interfaz lógica de VLAN de etiqueta única:

  1. Activar la configuración de la interfaz Fast Ethernet.

  2. Activar tramas de VLAN de etiqueta única.

  3. Enlazar los identificadores de VLAN a las interfaces lógicas.

  4. Configure IPv4 en las interfaces lógicas de VLAN de etiqueta única.

Resultados

Confirme la configuración de la VLAN especificando el show interfaces comando modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Configuración de las tres políticas

Procedimiento paso a paso

Para configurar las tres políticas:

  1. Habilite la configuración de un enrutador de dos colores que descarte paquetes que no cumplan un ancho de banda de 1 Mbps y un tamaño de ráfaga de 5000 bytes.

    Nota:

    Este agente de política se aplica directamente a todo el tráfico de entrada IPv4 en la interfaz lógica de VLAN de etiqueta única, de modo que los paquetes no se filtren antes de estar sujetos a limitación de velocidad.

  2. Configure el primer policía.

  3. Habilite la configuración de un limitador de dos colores que descarte paquetes que no cumplan con un ancho de banda especificado como "10 por ciento" y un tamaño de ráfaga de 500 000 bytes.

    Esta policía sólo se aplica al tráfico FTP en la interfaz lógica VLAN de etiqueta única.

    Esta aplicación se aplica a la acción de un término de filtro de Firewall IPv4 que coincide con paquetes FTP procedentes de TCP.

  4. Configure los límites y las acciones de políticas.

    Dado que el límite del ancho de banda se especifica como un porcentaje, el filtro de firewall que hace referencia a esta policía debe configurarse como un filtro específico de la interfaz.

    Nota:

    Si desea que este limitador de velocidad limite la velocidad al 10 por ciento de la velocidad de modelación configurada de interfaz lógica (en lugar de un 10 por ciento de la velocidad de medios de la interfaz física), tendría que incluir la instrucción en el nivel de logical-bandwidth-policer[edit firewall policer p-all-1m-5k-discard] jerarquía. Este tipo de policía se denomina " policía de ancho de banda lógico".

  5. Habilite la configuración de la policía del filtro de Firewall IPv4 para paquetes ICMP.

  6. Configure los límites y las acciones de políticas.

Resultados

Para confirmar la configuración de las directivas, escriba el show firewall comando de modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Configuración del filtro de Firewall IPv4

Procedimiento paso a paso

Para configurar el filtro de Firewall IPv4:

  1. Activar la configuración del filtro de Firewall IPv4.

  2. Configure el filtro de Firewall como específico de la interfaz.

    El filtro del firewall debe ser específico de la interfaz porque una de las directivas a las que se hace referencia está configurada con un límite de ancho de banda expresado como un valor porcentual.

  3. Habilite la configuración de un término de filtro para los paquetes FTP con limitación de velocidad.

    Los mensajes FTP se envían a través del puerto TCP 20 ( ftp ) y se reciben a través del puerto TCP 21 ( ftp-data ).

  4. Configure el término de filtro para que coincida con los paquetes FTP.

  5. Habilite la configuración de un término de filtro para los paquetes ICMP con límite de velocidad.

  6. Configuración del término de filtro para paquetes de ICMP

  7. Configure un término de filtro para aceptar todos los demás paquetes sin políticas.

Resultados

Confirme la configuración del filtro de cortafuegos mediante el show firewall comando modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Aplicar a la interfaz lógica el Policíaer de interfaz y las políticas de filtro del cortafuegos

Procedimiento paso a paso

Para aplicar estas tres políticas a la VLAN:

  1. Activar la configuración de IPv4 en la interfaz lógica.

  2. Aplicar a la interfaz las políticas de filtro del firewall.

  3. Aplique la policía de interfaz a la interfaz.

    Los paquetes introducidos fe-0/1/1.0 en se evalúan contra el policial de la interfaz antes de evaluarlos con las políticas de filtro del cortafuegos. Para obtener más información, Orden de las operaciones de filtro de policiales y firewallsconsulte.

Resultados

Para confirmar la configuración de la interfaz, escriba show interfaces el comando de modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Comproba

Confirme que la configuración funciona correctamente.

Mostrar las políticas de policía aplicadas directamente a la interfaz lógica

Purpose

Compruebe que la policía de interfaz se evalúa cuando se reciben paquetes en la interfaz lógica.

Intervención

Utilice el show interfaces policers comando modo operativo para la interfaz fe-0/1/1.1lógica. La sección de salida del comando para la columna y columna muestra que el agente de policía se evalúa cuando se reciben paquetes ProtoInput Policer en la interfaz p-all-1m-5k-discard lógica.

En este ejemplo, la policía de interfaz se aplica únicamente al tráfico de la interfaz lógica en la dirección de entrada.

Visualización de las estadísticas del responsable de la policía aplicada directamente a la interfaz lógica

Purpose

Compruebe el número de paquetes evaluados por el policía de la interfaz.

Intervención

Utilice el show policer comando modo de funcionamiento y especifique opcionalmente el nombre de la policía. El comando de salida muestra el número de paquetes evaluados por cada uno de los policiales configurado (o el de la policía especificada), en cada dirección.

Visualización de las políticas y los filtros de Firewall aplicados a una interfaz

Purpose

Compruebe que el filtro filter-ipv4-with-limits de Firewall se aplica al tráfico de entrada IPv4 de la fe-0/1/1.1interfaz lógica.

Intervención

Utilice el show interfaces statistics comando modo operativo para la interfaz fe-0/1/1.1lógica e incluya la detail opción. En la sección de la sección de salida del comando, las líneas y muestran los nombres del filtro y el aplicador a la interfaz lógica Protocol inet en la dirección de Input FiltersPolicer entrada.

En este ejemplo, las dos políticas de filtro de Firewall se aplican a tráfico de interfaz lógica solo en la dirección de entrada.

Mostrar estadísticas para las políticas de filtro de Firewall

Purpose

Compruebe el número de paquetes evaluados por las políticas de filtro del firewall.

Intervención

Utilice el show firewall comando modo operativo del filtro que haya aplicado a la interfaz lógica.

La salida del comando muestra los nombres de las políticas (p-ftp-10p-500k-discard y p-icmp-500k-500k-discard), combinadas con los nombres de los términos delt-ftp filtro t-icmp(y, respectivamente) según los cuales se especifica la acción de la policía. Las líneas de salida específicas del policía muestran el número de paquetes que coinciden con el término de filtro. Esto es sólo el número de paquetes fuera de la especificación (fuera de las especificaciones), no todos los paquetes superpuestos por el policía.