Tipos de policiais de trânsito
Policiais de duas cores de taxa única
Você pode usar um policiador de duas cores de taxa única, ou "policiador" quando usado sem qualificação, para limitar um fluxo de tráfego a uma taxa média de chegada de bits por segundo (especificada pelo único limite de largura de banda especificado) ao mesmo tempo em que permite rajadas de tráfego por períodos curtos (controlado pelo único limite de tamanho de explosão especificado). Esse tipo de policiador categoriza um fluxo de tráfego como verde (em conformidade) ou vermelho (sem conformidade). Os pacotes em um fluxo verde são implicitamente definidos para uma prioridade de low perda e depois transmitidos. Os pacotes em um fluxo vermelho são tratados de acordo com as ações especificadas na configuração do policiador. Os pacotes em um fluxo vermelho podem ser marcados — definidos para uma classe de encaminhamento especificada, definidos para uma prioridade de perda especificada ou ambos — ou podem ser descartados.
Um policiador de duas cores de taxa única é mais útil para medir o tráfego no nível da porta (interface física).
- Policiador básico de duas cores de taxa única
- Policiador de largura de banda
- Policiador lógico de largura de banda
Policiador básico de duas cores de taxa única
Você pode aplicar um policial básico de duas cores de taxa única ao tráfego de Camada 3 de duas maneiras: como um policiador de interface ou como um policiador de filtro de firewall. Você pode aplicar o policiador como um policiador de interface, o que significa que você aplica o policial diretamente a uma interface lógica no nível da família de protocolo. Se você quiser aplicar o policial apenas a pacotes selecionados, você pode aplicar o policial como um policiador de filtro de firewall, o que significa que você faz referência ao policiador em um termo de filtro de firewall sem estado e, em seguida, aplicar o filtro a uma interface lógica no nível familiar do protocolo.
Policiador de largura de banda
Um policial de largura de banda é simplesmente um policial de duas cores de taxa única que é definido usando um limite de largura de banda especificado como um valor percentual em vez de como um número absoluto de bits por segundo. Quando você aplica o policiador (como um policiador de interface ou como um policiador de filtro de firewall) a uma interface lógica no nível da família de protocolo, o limite de largura de banda eficaz é calculado com base na taxa de mídia da interface física ou na taxa de configuração configurada pela interface lógica.
Policiador lógico de largura de banda
Um policial lógico de largura de banda é um policiador de largura de banda para o qual o limite de largura de banda eficaz é calculado com base na taxa de modelagem configurada pela interface lógica. Você pode aplicar o policiador apenas como um policiador de filtro de firewall, e o filtro de firewall deve ser configurado como um filtro específico da interface. Quando você aplica um filtro específico de interface a várias interfaces lógicas em plataformas de roteamento suportadas, qualquer count ou policer ação age no fluxo de tráfego entrando ou saindo de cada interface individual, independentemente da soma do tráfego nas várias interfaces.
Policiais de três cores
O Junos OS oferece suporte a dois tipos de policiais de três cores: de taxa única e de duas taxas. A principal diferença entre um policial de taxa única e um policial de duas taxas é que o policial de taxa única permite explosões de tráfego por curtos períodos, enquanto o policial de duas taxas permite explosões mais sustentadas de tráfego. O policiamento de taxa única é implementado usando um único modelo de balde de símbolo, de modo que períodos de tráfego relativamente baixo devem ocorrer entre rajadas de tráfego para permitir que o balde de símbolo seja recarregado. O policiamento de duas taxas é implementado usando um modelo duplo de balde de símbolo, que permite rajadas de tráfego por períodos mais longos.
Policiais de três cores de taxa única
O tipo de policiador de três cores de taxa única é definido em RFC 2697, um marcador de cores de taxa única de três. Você usa esse tipo de policiador para limitar um fluxo de tráfego a uma taxa única e três categorias de tráfego (verde, amarelo e vermelho). Um policial de três cores de taxa única define um limite de largura de banda comprometido e limite de tamanho de explosão, além de um limite de tamanho de explosão em excesso . O tráfego que está em conformidade com os limites de tráfego comprometidos é categorizado como verde (em conformidade). O tráfego que está em conformidade com o limite de largura de banda, ao mesmo tempo em que permite rajadas de tráfego controladas pelo limite de tamanho de explosão em excesso, é categorizado como amarelo. Todo o tráfego é categorizado como vermelho.
Um policiador de três cores de taxa única é mais útil quando um serviço é estruturado de acordo com o comprimento do pacote, não a taxa de chegada máxima.
Policiais tricolores de duas categorias
O tipo de policiador de três cores de duas categorias é definido em RFC 2698, um marcador de cores de duas taxas três. Você usa esse tipo de policiador para limitar um fluxo de tráfego a duas taxas e três categorias de tráfego (verde, amarelo e vermelho). Um policial de três cores de duas categorias define um limite de largura de banda comprometido e limite de tamanho de explosão, além de um limite máximo de largura de banda e limite de tamanho de explosão. O tráfego que está em conformidade com os limites de tráfego comprometidos é categorizado como verde (em conformidade). O tráfego que excede os limites de tráfego comprometidos, mas permanece abaixo dos limites de tráfego máximos, é categorizado como amarelo. O tráfego que excede os limites máximos de tráfego é categorizado como vermelho.
Um policiador de três cores de duas categorias é mais útil quando um serviço é estruturado de acordo com as taxas de chegada e não necessariamente o comprimento do pacote.
Opções de policiamento de duas cores e três cores
Ambos os policiais de duas cores e três cores podem ser configurados com as seguintes opções:
- Policiais de interface lógica (agregada)
- Policiais de interface física
- Policiais aplicados ao tráfego de camada 2
- Classificação multicampo
Policiais de interface lógica (agregada)
Um policiador de interface lógica pode ser um policial de duas cores, não um policial de três cores. Quando você aplica um policiador de inteface lógica a várias famílias de protocolo na mesma interface lógica, várias instâncias do policiador são criadas, o que significa que o tráfego para cada família de protocolo é policiado separadamente. Você aplica um policiador de interface lógica diretamente a uma configuração de interface lógica (e não fazendo referência ao policiador em um filtro de firewall stateless e, em seguida, aplicando o filtro na interface lógica).
Você pode aplicar o policiador no nível da unidade lógica de interface para limitar todos os tipos de tráfego, independentemente da família de protocolo.
Quando aplicado dessa maneira, o policiador de interface lógica será usado por todos os tipos de tráfego (inet, intet6 etc.) e em todas as camadas (camada 2, camada 3) independentemente de onde o policiador esteja conectado na interface lógica.
Você também pode aplicar o policiador no nível da família de protocolo de interface lógica, para limitar o tráfego para uma família de protocolo específica.
Você pode aplicar um policiador de interface lógica apenas para tráfego unicast. Para obter informações sobre a configuração de um filtro de firewall sem estado para tráfego inundado, veja "Aplicando filtros de tabela de encaminhamento" na seção "Amostragem de tráfego, encaminhamento e monitoramento" das políticas de roteamento, filtros de firewall e guia de usuário dos policiais de tráfego.
Policiais de interface física
Um policiador de interface física pode ser um policial de duas cores ou três cores. Quando você aplica o policiador de interface física a diferentes famílias de protocolo na mesma interface lógica, as famílias de protocolo compartilham a mesma instância policial. Isso significa que a limitação da taxa é realizada de forma agregada para as famílias de protocolo para as quais o policiador é aplicado. Esse recurso permite que você use uma única instância policial para realizar o policiamento agregado para diferentes famílias de protocolo na mesma interface física. Se você quiser que uma instância policial seja associada a uma família de protocolo, o filtro de interface física correspondente precisa ser aplicado a essa família de protocolo. O policiador não é aplicado automaticamente a todas as famílias de protocolo configuradas na interface física.
Em contraste, com os policiais de interface lógica existem várias instâncias de policial separadas.
Policiais aplicados ao tráfego de camada 2
Além do policiamento hierárquico, você também pode aplicar policiais de duas cores de taxa única e policiais de três cores (tanto de taxa única quanto de duas taxas) ao tráfego de entrada ou saída de Camada 2. Você deve configurar o policiador de duas cores ou três cores como um policiador de interface lógica e fazer referência ao policiador na configuração da interface no nível da unidade lógica, e não no nível do protocolo. Você não pode aplicar um policiador de duas cores ou três cores ao tráfego de Camada 2 como uma ação de filtro de firewall apátrida.
Classificação multicampo
Como a classificação agregada de comportamento (BA), que às vezes é referida como classificação de tráfego de valor de classe de serviço (CoS), a classificação multicampo é um método de classificação de tráfego de entrada associando cada pacote a uma classe de encaminhamento, um nível de prioridade de perda de pacotes ou ambos. A configuração de agendamento cos atribui pacotes a filas de saída com base na classe de encaminhamento. O processo de detecção antecipada aleatória de CoS (RED) usa a configuração de probabilidade de queda, a porcentagem de plenitude da fila de saída e a prioridade de perda de pacotes para soltar pacotes conforme necessário para controlar o congestionamento na fase de saída.
A classificação BA e a classificação multicampo usam diferentes campos de um pacote para realizar a classificação de tráfego. A classificação BA é baseada em um valor de CoS no cabeçalho de pacote IP. A classificação multicampo pode ser baseada em vários campos no cabeçalho de pacote IP, incluindo valores de CoS. A classificação multicampo é usada em vez de classificação BA quando você precisa classificar pacotes com base em informações no pacote que não sejam apenas os valores de CoS. A classificação multicampo é configurada usando um termo de filtro de firewall sem estado que corresponde a quaisquer campos de cabeçalho de pacotes e os associados combinam pacotes com uma classe de encaminhamento, uma prioridade de perda ou ambos. A classe de encaminhamento ou a prioridade de perda podem ser definidas por uma ação de filtro de firewall ou por um policial mencionado como uma ação de filtro de firewall.