Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Обзор ловуных сотрудников

Коммутатор ограничивает трафик, ограничив скорость передачи вводимого или выходного трафика класса трафика в соответствии с определенными пользователем критериями. Контроль (или ограничение скорости) трафика позволяет контролировать максимальную скорость трафика, отправленного или полученного на интерфейсе, а также обеспечивать несколько уровней приоритета или классов обслуживания.

Политика также является важным компонентом фильтров межсетевых экранов. Для этого можно использовать управление, включив в конфигурации фильтра межсетевой экран.

Обзор policer

Для применения ограничителей к потоку трафика и для пакетов, превышающих эти ограничения, используются ограничители приоритет потери, и при возникновении перегрузки в потоке пакеты могут быть в первую очередь отброшены. Правила применения относятся только к однонастным пакетам.

Функции управления политиками выполняют две функции: metering и marking. Ограничительные меры измеряют каждый пакет от настроенного уровня трафика и размера пакета. Затем пакет и результат измериния проходят метку, которая назначает приоритет потери пакета, соответствующий результату измериния. Рис. 1 иллюстрирует этот процесс.

Рис. 1: Поток операций tri трахронной маркировки PolicerПоток операций tri трахронной маркировки Policer

После того, как вы настроите и настроив план, можно использовать его, указав его в качестве действия в одном или более фильтрах межсетевых экранов.

Типы policer

Коммутатор поддерживает три типа policers:

  • Двухцветный маркер 2-го уровня — двухцветный ограничитер (или «ограничитер» в случае использования без квалификации) измерит поток трафика и классифицирует пакеты на две категории приоритета потери пакетов (PLP) в соответствии с заданной полосой пропускания и предельным размером пакета. Можно пометить пакеты, превышают пропускную способность и предел размера пакета с помощью указанного PLP, или просто отбросить их.

    Этот тип policer можно указать на впадаемом или выпадаемом межсетевом экране.

    Прим.:

    Двухцветный policer наиболее полезен для измериния трафика на уровне порта (физического интерфейса).

  • Одностанавтная трехцветная метка. Этот тип контроля определяется в RFC 2697, Маркер цветовой маркировки на одной скорости (AF) в рамках гарантированной пересылки (AF) классификации поведения за переход (PHB) для среды дифференцированного обслуживания (DiffServ). Этот тип скорости измерит трафик на основе одной скорости — настроенной настроенной скорости конфигурирования информации (CIR), а также заданной размеров всплеска (CBS) и избыточного размера всплеска (EBS). CIR указывает среднюю скорость, на которой биты признаются коммутатору. CBS определяет обычный размер всплеска в bytes, а EBS - максимальный размер всплеска в bytes. EBS должен быть больше или равен CBS, и ни один из них не может быть равным 0.

    Этот тип policer можно указать на впадаемом или выпадаемом межсетевом экране.

    Прим.:

    Трехцветная метка (TCM) наиболее полезна, когда служба структурирована в соответствии с длиной пакета, а не пиковой скоростью поступления.

  • Двух-скоростная трехцветная метка. Этот тип контроля определяется в RFC 2698, Двухскопной трехцветной маркировке как часть гарантированной классификации пересылания в рамках системы классификации поведения на уровне переходов для среды дифференцированного обслуживания. Этот тип измерит трафик на основе двух скоростей — CIR и пиковой скорости информации (PIR), а также связанных с ними размеров всплеска, CBS и пиковых размеров (PBS). PIR указывает максимальную скорость, на которой биты пустят в сеть, и должен быть больше или равен CIR.

    Этот тип policer можно указать на впадаемом или выпадаемом межсетевом экране.

    Прим.:

    Двух скоростной трехцветный инструмент управления больше всего полезен, когда служба структурирована в соответствии с скоростью поступления и необязательной длиной пакета.

См. Табл. 1 сведения о применении результатов измериния к каждому из этих типов policer.

Действия сотрудника правоохранительных органов

Действия policer являются неявными или явными и изменяются в зависимости от типа. Неявное означает Junos OS автоматически назначает приоритет потери. Табл. 1 описывает действия сотрудника правоохранительных органов.

Табл. 1: Действия сотрудника правоохранительных органов

Policer (сотрудник правоохранительных органов)

Маркировка

Неявное действие

Настраиваемое действие

двухцветный однонацветный

Зеленый (согласующийся)

Назначение приоритета с низким уровнем потерь

Ни один

Красный (несодержание)

Ни один

Отменить

Одно-скоростной трехцветный

Зеленый (согласующийся)

Назначение приоритета с низким уровнем потерь

Ни один

Желтый (над CIR и CBS)

Назначение среднескоростного приоритета потерь

Ни один

Красный (над EBS)

Назначение высокой приоритетности потери

Отменить

двух скоростной трехцветный

Зеленый (согласующийся)

Назначение приоритета с низким уровнем потерь

Ни один

Желтый (над CIR и CBS)

Назначение среднескоростного приоритета потерь

Ни один

Красный (над PIR и PBS)

Назначение высокой приоритетности потери

Отменить

Прим.:

Если в фильтре от межсетевых экранов указан policer,то единственным поддерживаемым действием является discard .

Цвета policer

Одно-скоростные и двух-скоростные трехцветные службы управления могут работать в двух режимах:

  • Цветовая маркировка-разрежим — в режиме цветовой маркировки цветовой маркировки трехцветный счетчик предполагает, что все рассмотренные пакеты не были предварительно помечены или не измерлены. Другими словами, трехцветный policer - это "неуровно" для любой предыдущей цветовой разлики пакета.

  • Color-aware. В режиме цветовой маркировки трехцветный policer предполагает, что все проверяемые пакеты уже помечались или измеримы. Другими словами, трехцветный policer "знает" о предыдущей цветовой раскрашиваниях пакета. В режиме цветовой знаю, трехцветный policer может увеличить PLP пакета, но не может уменьшить его. Например, если трехцветный счетчик на 3-цветный измерит пакет со средней маркировкой PLP, это может привести к повышению уровня PLP до высокого, но не может понизить уровень PLP до низкого.

Фильтруемые функции policers

Можно настроить функцию policers в зависимости от фильтра. Это означает, что Junos OS создает только один экземпляр, независимо от того, сколько раз на нее ссылались. При этом на некоторых коммутаторах QFX ограничение скорости применяется в совокупности, поэтому при настройке ограничителя для отбрасывание трафика, превышающий 1 Гбит/с, и ссылки на этот ограничитер в трех разных терминах, общая пропускная способность, разрешенная фильтром, составляет 1 Гбит/с. Однако на поведение определенного фильтра policer влияет то, как термины фильтра межсетевых экранов, которые ссылаются на этот policer, хранятся в TCAM. При создании определенного фильтра правила управления и ссылке на него с несколькими терминами фильтра межсетевых экранов он позволяет трафику больше, чем ожидалось, если эти термины хранятся в разных фрагментах TCAM. Например, если настроить policer на отбрасывание трафика с превышением 1 Гбит/с и ссылаться на этот policer в трех разных терминах, которые хранятся в трех отдельных срезах памяти, общая пропускная способность, разрешенная фильтром, составляет 3 Гбит/с, а не 1 Гбит/с. (Такое поведение не наблюдается на QFX10000 коммутаторах.)

Чтобы предотвратить это непредвиденное поведение, используйте информацию о срезах TCAM, представленные в "Планирование количества фильтров межсетевых экранов для создания", чтобы организовать конфигурацию файла, чтобы все условия фильтра брандмауэра, которые ссылались на заданный фильтр-определенный policer, хранились в одном срезе TCAM.

Рекомендуемая конвенция об именованиях для сотрудников по защите от нее

Рекомендуется использовать соглашение об именованиях при настройке трехцветных policers и при настройке policertypeTCM#-color typepolicer# двухцветных. TCM обозначает трехцветную метку. Так как они могут быть многочисленными и должны быть корректно применены для работы, простое соглашение о наименовании упрощает применение. Например, будет назван первый настроенный одноконфигурный трехцветный policer. srTCM1-ca Будет назван второй двухконфигурный трехцветный цветовой перехеастройка. trTCM2-cb Элементы этого соглашения об именованиях поясняется ниже:

  • sr (разовая скорость)

  • tr (двух скорость)

  • TCM (маркировка триаскет)

  • 1 или 2 (число маркеров)

  • ca (цветоо осведомленный)

  • cb (цвет-цвет-нее)

Счетчики policer

На некоторых коммутаторах QFX каждый настроенный ограничители включают неявный счетчик, который подсчитывают количество пакетов, превыша которое превышает пределы скорости, заданные для ограничителя. Если используется один и тот же policer несколькими терминами — в пределах одного фильтра или в разных фильтрах — неявный счетчик подсчитывают все пакеты, которые были в обоих терминах, и предоставляет общую сумму. (Это не относится к QFX10000 коммутаторам.) Если необходимо получить отдельные подсчеты пакетов для каждого термина на затронутом коммутаторе, используйте эти параметры:

  • Настройте уникальный policer для каждого термина.

  • Настройте только один policer, но используйте уникальный, явный счетчик в каждом термине.

Алгоритмы policer

Применение ограничители средней пропускной способности при одновременном реализации всплесков до указанного максимального значения. Он обеспечивает большую гибкость, чем алгоритм "утечки ведра", позволяя определенному объему пакетного трафика до того, как он начнет отбрасывать пакеты.

Прим.:

В среде малого пакетного трафика QFX5200 реплицировать все многоаренные пакеты на два или более 9-х интерфейсов. Это происходит только при пропускная способность канала всплеске — если трафик является последовательным, проблема не возникает. Кроме того, проблема возникает, только когда размер пакета за один гигабитный поток увеличивается более чем на 6 кбит.

Сколько поддерживаемых policers?

QFX10000 поддерживают 8 КБ (все типы). QFX5100 и QFX5200 поддерживают 1535 ветвей и 1024 выпадаевых policers (при условии, что на каждый срок фильтра межсетевых экранов он будет по одному). Коммутаторы QFX5110 поддерживают 6144 ветвей policer и 1024 egress policers (при условии, что каждый срок фильтра межсетевых экранов поддерживается одним policer).

QFX3500 и QFX3600 автономных коммутаторов и устройств QFabric Node поддерживают следующее число средств обеспечения безопасности (при условии, что каждый термин фильтра межсетевых экранов содержит один policer).

  • Двухцветные политика, используемые в фильтрах межсетевых экранов: 767

  • Трехцветные политика, используемые в фильтрах межсетевых экранов: 767

  • Двухцветные политика, используемые в фильтрах от межсетевых экранов: 1022

  • Трехцветные политика, используемые в фильтрах от межсетевых экранов: 512

Ограничители скорости могут ограничить фильтры от межсетевых экранов

На некоторых коммутаторах количество настроенных вами деспозитантов для выпадения может повлиять на общее количество разрешенных фильтров на межсетевом экране. Каждый policer имеет два неявных счетчика, которые в 1024-записи TCAM принимают участие в двух записях. Они используются для счетчиков, включая счетчики, настроенные как модификаторы действий в терминах фильтра межсетевых экранов. (Сотрудники службы безопасности используют две записи, поскольку одна используется для зеленых пакетов, а одна – для невыпрямых пакетов, независимо от типа. Если TCAM становится заполненной, то нельзя будет зафиксировать большее заполнение фильтров от межсетевых экранов, которые имеют термины со счетчиками. Например, если настроить и зафиксировать 512 выпадаемых policer (двухцветные, трехцветные или комбинации обоих типов), будут использованы все записи памяти для счетчиков. Если позже в файле конфигурации будут вставляться дополнительные фильтры для выпаданого межсетевых экрана с терминами, которые также содержат счетчики, никакие из этих условий в этих фильтрах не будут включены, поскольку для счетчиков не существует доступного пространства памяти.

Вот несколько дополнительных примеров:

  • Предположим, что вы настраивали фильтры для выпадателей, включив в себя в сумме 512 policers и no counters. Позже в файле конфигурации будет включен другой фильтр для выпада с 10 терминами, 1 из которых имеет модификатор счетчика действий. Ни одно из условий этого фильтра не является совеяным, поскольку счетчику не хватает места TCAM.

  • Предположим, что настроены фильтры на входе, которые содержат в сумме 500 policers, поэтому будет занято 1000 записей TCAM. Далее в файле конфигурации вы включаете два следующих фильтра для отката:

    • Фильтр A с 20 терминами и 20 счетчиками. Все термины в этом фильтре являются совеяными, поскольку для всех счетчиков достаточно места TCAM.

    • Фильтр B идет после фильтра A и имеет пять терминов и пять счетчиков. Ни одно из условий этого фильтра не является сомнамерилось, поскольку для всех счетчиков недостаточно места в памяти. (Требуется пять записей TCAM, но доступно только четыре.

Эту проблему можно предотвратить, убедившись, что термины фильтрации на межсетевом экране с действиями счетчика помещаются раньше в файл конфигурации, чем термины, включающие механизмы управления. В таких случаях Junos OS, даже если не хватает места TCAM для неявных счетчиков. Например, предположим следующее:

  • Имеется 1024 термина фильтра межсетевых экранов с действиями счетчика.

  • Далее в файле конфигурации имеется фильтр для отката с 10 терминами. Ни у одного из этих терминов нет счетчиков, но у одного есть модификатор действия policer.

Фильтр можно успешно использовать с 10 терминами, даже если не хватает места TCAM для неявных счетчиков policer. Policer действовать без счетчиков.