Descripción general de los agentes de policía
Un conmutador policía el tráfico mediante la limitación de la velocidad de transmisión de entrada o salida de una clase de tráfico de acuerdo con criterios definidos por el usuario. El tráfico de políticas (o limitación de velocidad) le permite controlar la velocidad máxima de tráfico enviado o recibido en una interfaz y proporcionar varios niveles de prioridad o clases de servicio.
El control de políticas también es un componente importante de los filtros de firewall. Puede lograr políticas mediante la inclusión de policias en configuraciones de filtro de firewall .
Descripción general del agente de policía
Se utilizan agentes de policía para aplicar límites al flujo de tráfico y establecer consecuencias para los paquetes que superan estos límites (generalmente aplicando una prioridad de pérdida más alta), de modo que si los paquetes encuentran congestión descendente, se puedan descartar primero. Los policias solo se aplican a paquetes de unidifusión.
Los policías proporcionan dos funciones: medición y marcación. Un medidor de policía (mide) cada paquete con las tasas de tráfico y los tamaños de ráfagas que configure. Luego, pasa el paquete y el resultado de la medición al marcador, el cual asigna una prioridad de pérdida de paquete que corresponde al resultado de medición. La figura 1 ilustra este proceso.
Un agente de policía restringe el tráfico a la velocidad de transmisión configurada por PFE. En los conmutadores QFX10016, QFX10002, QFX10002-60C y QFX10008, cuando los paquetes de interfaz de Ethernet (AE) agregados abarcan varios PFE, la velocidad de transmisión general del agente de policía para el suscriptor podría superar la velocidad de transmisión configurada del agente de policía (dependiendo del número de PFE involucrados).
Como ejemplo:
-
Agente de policía con un límite de ancho de banda de 100 Mbps configurado en una interfaz AE que tiene los vínculos miembro xe-1/0/0 (fpc1-pfe0) y xe-1/0/30 (fpc1-pfe1) . Aquí, los dos vínculos miembros pertenecen a FPC1, pero se encuentran en PPE diferentes. Cuando el agente de policía se aplica a la interfaz AE, esto dará como resultado un ancho de banda total de 200 Mbps, ya que el agente de policía está configurado para dos PSE.
-
Agente de policía con un límite de ancho de banda de 100 Mbps configurado en una interfaz AE que tiene los vínculos miembro xe-1/0/0 (fpc1-pfe0), et-2/0/1 (fpc2-pfe1) y xe-2/0/18:0 (fpc2-pfe2) . Aquí, un vínculo de miembro pertenece a FPC1 y PFE0 en esta FPC. El resto, dos vínculos miembros pertenecen a FPC2, pero diferentes PPE. Cuando el agente de policía se aplica a la interfaz AE, esto dará como resultado un ancho de banda total de 300 Mbps, ya que el agente de policía está configurado para tres PSE.
-
Agente de policía con un límite de ancho de banda de 100 Mbps configurado en una interfaz AE que tiene vínculos miembros xe-1/0/0 y xe-1/0/1 en una sola PFE (fpc1-pfe0). Aquí, los vínculos de miembro pertenecen a FPC1 y al mismo PFE. Cuando el agente de policía se aplica a la interfaz AE, esto dará como resultado un ancho de banda total de 100 Mbps a medida que el agente de policía se configura según una base de PFE.
de policía de marcado tricolor
Después de nombrar y configurar un agente de policía, puede usarlo especificando como una acción en uno o varios filtros de firewall.
Tipos de agente de policía
Un conmutador admite tres tipos de políticas:
Marcador de dos colores de velocidad única: un policiador de dos colores (o "policía" cuando se usa sin calificación) evalúa la transmisión de tráfico y clasifica los paquetes en dos categorías de prioridad de pérdida de paquetes (PLP) de acuerdo con un ancho de banda configurado y un límite de tamaño de ráfaga. Puede marcar paquetes que superen el ancho de banda y el límite de tamaño de ráfagas con un PLP especificado o simplemente descartarlos.
Puede especificar este tipo de agente de policía en un firewall de entrada o salida.
Nota:Un policiador de dos colores es más útil para medir el tráfico en el nivel del puerto (interfaz física).
Marcador de tres colores de velocidad única: este tipo de agente de policía se define en el RFC 2697, un marcador de tres colores de velocidad única, como parte de un sistema de clasificación de reenvío seguro (AF) por salto de comportamiento (PHB) para un entorno de servicios diferenciados (DiffServ). Este tipo de policía compara el tráfico según una velocidad: la velocidad de información comprometida configurada (CIR), así como el tamaño de ráfaga comprometido (CBS) y el tamaño de ráfaga excesivo (EBS). El CIR especifica la velocidad media a la que se admiten bits en el conmutador. El CBS especifica el tamaño de ráfaga habitual en bytes y el EBS especifica el tamaño máximo de ráfaga en bytes. El EBS debe ser mayor o igual que el CBS, y ninguno puede ser 0.
Puede especificar este tipo de agente de policía en un firewall de entrada o salida.
Nota:Un marcador de tres colores (TCM) de velocidad única es más útil cuando un servicio se estructura según la longitud del paquete y no la velocidad de llegada máxima.
Marcador de tres colores de dos velocidades: este tipo de agente de policía se define en rfc 2698, un marcador de color de dos velocidades de tres colores, como parte de un sistema de clasificación de reenvío seguro por salto-comportamiento para un entorno de servicios diferenciados. Este tipo de policía compara el tráfico según dos tasas: el CIR y la velocidad de información máxima (PIR) junto con sus tamaños de ráfaga asociados, el CBS y el tamaño de ráfaga máxima (PBS). El PIR especifica la velocidad máxima a la que se admiten bits en la red y debe ser mayor o igual que el CIR.
Puede especificar este tipo de agente de policía en un firewall de entrada o salida.
Nota:Un policia de tres colores de dos velocidades es más útil cuando un servicio se estructura de acuerdo con las tasas de llegada y no necesariamente la longitud del paquete.
Consulte la Tabla 1 para obtener información sobre cómo se aplican los resultados de la medición para cada uno de estos tipos de policía.
Acciones de policía
Las acciones de agente de policía son implícitas o explícitas y varían según el tipo de agente de policía. Implícito significa que Junos OS asigna la prioridad de pérdida automáticamente. En la tabla 1 se describen las acciones del agente de policía.
Agente de policía |
Marca |
Acción implícita |
Acción configurable |
|---|---|---|---|
Dos colores de velocidad única |
Verde (conforme) |
Asignar prioridad de baja pérdida |
Ninguno |
Rojo (no conformidad) |
Ninguno |
Deseche |
|
Tres colores de velocidad única |
Verde (conforme) |
Asignar prioridad de baja pérdida |
Ninguno |
Amarillo (por encima del CIR y CBS) |
Asignar prioridad de pérdida media-alta |
Ninguno |
|
Rojo (encima del EBS) |
Asignar prioridad de alta pérdida |
Deseche |
|
Tres colores de dos velocidades |
Verde (conforme) |
Asignar prioridad de baja pérdida |
Ninguno |
Amarillo (por encima del CIR y CBS) |
Asignar prioridad de pérdida media-alta |
Ninguno |
|
Rojo (por encima del PIR y PBS) |
Asignar prioridad de alta pérdida |
Deseche |
Si especifica un agente de policía en un filtro de firewall de salida, la única acción compatible es discard.
Colores del agente de policía
Los policiadores de tres colores de velocidad única y dos velocidades pueden funcionar en dos modos:
Daltónicos: en el modo daltónicos, el policiador de tres colores asume que todos los paquetes examinados no se han marcado ni medido previamente. En otras palabras, el agente de policía de tres colores es "ciego" a cualquier coloración anterior que un paquete pueda haber tenido.
Detección de colores: en el modo de conciencia de color, el policiador de tres colores asume que todos los paquetes examinados han sido marcados o medidos previamente. En otras palabras, el policía de tres colores es "consciente" de la coloración anterior que pudo haber tenido un paquete. En el modo consciente del color, el policiador de tres colores puede aumentar el PLP de un paquete, pero no puede disminuirlo. Por ejemplo, si un policiador de tres colores consciente del color medidora un paquete con un marcado PLP medio, puede elevar el nivel del PLP a un nivel alto, pero no puede reducir el PLP a bajo.
Policiadores específicos de filtro
Puede configurar los agentes de políticas para que sean específicos del filtro, lo que significa que Junos OS crea solo una instancia de policía, independientemente de la cantidad de veces que se haga referencia al agente de policía. Cuando hace esto en algunos conmutadores QFX, la limitación de velocidad se aplica en conjunto, por lo que si configura un agente de política para descartar tráfico que supere 1 Gbps y hace referencia a ese agente de policía en tres términos diferentes, el ancho de banda total permitido por el filtro es de 1 Gbps. Sin embargo, el comportamiento de un agente de policía específico de un filtro se ve afectado por cómo se almacenan los términos de filtro de firewall que hacen referencia al agente de policía en TCAM. Si crea un agente de policía específico para filtros y lo hace referencia a varios términos de filtro de firewall, el agente de policía permite más tráfico del esperado si los términos se almacenan en diferentes segmentos de TCAM. Por ejemplo, si configura un agente de política para descartar tráfico que supere 1 Gbps y hace referencia a ese agente de policía en tres términos diferentes que se almacenan en tres segmentos de memoria independientes, el ancho de banda total permitido por el filtro es de 3 Gbps, no de 1 Gbps. (Este comportamiento no se produce en conmutadores QFX10000.)
Para evitar que se produzca este comportamiento inesperado, utilice la información acerca de los segmentos TCAM que se presenta en Planificación del número de filtros de firewall que se crearán para organizar el archivo de configuración de modo que todos los términos del filtro de firewall que hacen referencia a un agente de política específico de filtro determinado se almacenen en el mismo segmento TCAM.
Convención de nomenclatura sugerida para policías
Se recomienda usar la convención policertypeTCM#-color type de nomenclatura al configurar policiacos de tres colores y policer# al configurar policiacos de dos colores. TCM significa marcador de tres colores. Dado que los policías pueden ser numerosos y deben aplicarse correctamente para funcionar, una simple convención de nomenclatura hace que sea más fácil aplicarlos correctamente. Por ejemplo, el primer policiador de tres colores de velocidad única y con conciencia de color configurado se denominaría srTCM1-ca. La segunda configuración de tres colores de dos velocidades y ciega de tres colores se denominaría trTCM2-cb. Los elementos de esta convención de nomenclatura se explican a continuación:
sr (tasa única)
tr (dos velocidades)
TCM (marca tricolor)
1 o 2 (número de marcador)
ca (consciente del color)
cb (daltónicos)
Contadores de policía
En algunos conmutadores QFX, cada agente de policía que configure incluye un contador implícito que cuenta la cantidad de paquetes que superan los límites de velocidad especificados para el agente de policía. Si utiliza el mismo agente de política en varios términos, ya sea dentro del mismo filtro o en filtros diferentes, el contador implícito cuenta todos los paquetes que están policiados en todos estos términos y proporciona la cantidad total. (Esto no se aplica a los conmutadores QFX10000.) Si desea obtener recuentos de paquetes independientes para cada término en un conmutador afectado, utilice estas opciones:
Configure un agente de policía único para cada término.
Configure solo un agente de policía, pero use un contador único y explícito en cada término.
Algoritmos de policía
La política utiliza el algoritmo de bucket de token, que aplica un límite en el ancho de banda promedio mientras permite ráfagas hasta un valor máximo especificado. Ofrece más flexibilidad que el algoritmo de bucket con fugas al permitir una cierta cantidad de tráfico reventado antes de que comience a descartar paquetes.
En un entorno de tráfico con ráfagas ligeras, es posible que el QFX5200 no replique todos los paquetes de multidifusión en dos o más interfaces descendentes. Esto ocurre solo en una ráfaga de velocidad de línea: si el tráfico es coherente, el problema no se produce. Además, el problema se produce solo cuando el tamaño del paquete aumenta más de 6k en un flujo de tráfico de un gigabit.
¿Cuántos policías son compatibles?
Los conmutadores QFX10000 admiten policías 8K (todos los tipos de policía). Los conmutadores QFX5100 y QFX5200 admiten 1535 policías de entrada y 1024 de salida (suponiendo un agente de policía por término de filtro de firewall). Los conmutadores QFX5110 admiten 6144 policías de entrada y 1024 de salida (suponiendo un agente de policía por término de filtro de firewall).
Los conmutadores independientes QFX3500 y QFX3600 y los dispositivos QFabric Node admiten los siguientes números de agentes de policía (suponiendo un agente de policía por término de filtro de firewall):
Polines de dos colores utilizados en los filtros de firewall de entrada: 767
Policias de tres colores utilizados en los filtros de firewall de entrada: 767
Policias de dos colores utilizados en filtros de firewall de salida: 1022
Policias de tres colores utilizados en los filtros de firewall de salida: 512
Los policias pueden limitar los filtros de firewall de salida
En algunos conmutadores, la cantidad de policias de salida que configure puede afectar al número total de filtros de firewall de salida permitidos. Cada policía tiene dos contadores implícitos que toman dos entradas en una TCAM de 1024 entradas. Estos se utilizan para contadores, incluidos los contadores que están configurados como modificadores de acción en términos de filtro de firewall. (Los agentes de policía consumen dos entradas, ya que una se utiliza para paquetes verdes y otra para paquetes no verdes, independientemente del tipo de agente de policía).) Si la TCAM se llena, no podrá confirmar más filtros de firewall de salida que tengan términos con contadores. Por ejemplo, si configura y confirma los policías de salida 512 (dos colores, tres colores o una combinación de ambos tipos de policia), todas las entradas de memoria de los contadores se acostumbran. Si más adelante en el archivo de configuración inserta filtros de firewall de salida adicionales con términos que también incluyen contadores, ninguno de los términos de esos filtros se confirma porque no hay espacio de memoria disponible para los contadores.
Estos son algunos ejemplos adicionales:
Supongamos que configura filtros de salida que incluyen un total de 512 policias y ningún contador. Más adelante, en el archivo de configuración se incluye otro filtro de salida con 10 términos, 1 de los cuales tiene un modificador de acción de contador. Ninguno de los términos de este filtro se confirma porque no hay suficiente espacio TCAM para el contador.
Suponga que configura filtros de salida que incluyen un total de 500 policías, por lo que se ocupan 1000 entradas TCAM. Más adelante, en el archivo de configuración, se incluyen los dos filtros de salida siguientes:
Filtrar A con 20 términos y 20 contadores. Todos los términos de este filtro están comprometidos porque hay suficiente espacio TCAM para todos los contadores.
El filtro B viene después del filtro A y tiene cinco términos y cinco contadores. Ninguno de los términos de este filtro se confirma porque no hay suficiente espacio de memoria para todos los contadores. (Se requieren cinco entradas de TCAM, pero solo cuatro están disponibles.)
Para evitar este problema, asegúrese de que los términos del filtro de firewall de salida con acciones de contador se colocan antes en el archivo de configuración que en los términos que incluyen policías. En esta circunstancia, Junos OS confirma los agentes de policía incluso si no hay suficiente espacio TCAM para los contadores implícitos. Por ejemplo, suponga lo siguiente:
Tiene términos de filtro de firewall de salida 1024 con acciones de contador.
Más adelante, en el archivo de configuración, tiene un filtro de salida con 10 términos. Ninguno de los términos tiene contadores, pero uno tiene un modificador de acción de policía.
Puede confirmar correctamente el filtro con 10 términos aunque no haya suficiente espacio TCAM para los contadores implícitos del agente de policía. El policía se comete sin los contadores.