Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Controle do acesso à rede usando a visão geral do policiamento de tráfego

Gerenciamento de congestionamento para fluxos de tráfego IP

O policiamento de tráfego, também conhecido como limitação de taxa, é um componente essencial da segurança de acesso à rede que é projetado para impedir ataques de negação de serviço (DoS). O policiamento de tráfego permite que você controle a taxa máxima de tráfego IP enviado ou recebido em uma interface e também para dividir o tráfego de rede em vários níveis de prioridade, também conhecidos como classes de serviço. Um policial define um conjunto de limites de taxa de tráfego e define consequências para o tráfego que não está em conformidade com os limites configurados. Os pacotes em um fluxo de tráfego que não estejam em conformidade com os limites de tráfego são descartados ou marcados com um nível diferente de classe de encaminhamento ou prioridade de perda de pacotes (PLP).

Com exceção dos policiais configurados para limitar a taxa de tráfego agregado (todas as famílias de protocolo e interfaces lógicas configuradas em uma interface física), você pode aplicar um policiador a todos os pacotes IP em um fluxo de tráfego de Camada 2 ou Camada 3 em uma interface lógica.

Com exceção dos policiais configurados para limitar a taxa com base na taxa de mídia de interface física, você pode aplicar um policial a pacotes IP específicos em um fluxo de tráfego de Camada 3 em uma interface lógica usando um filtro de firewall stateless.

Você pode aplicar um policial ao tráfego de interface de entrada ou saída. Os policiais aplicados ao tráfego de entrada ajudam a conservar recursos, deixando cair o tráfego que não precisa ser roteado por uma rede. A queda do tráfego de entrada também ajuda a impedir ataques de negação de serviço (DoS). Os policiais aplicaram para controlar o tráfego de saída da largura de banda usada.

Nota:

Os policiais de tráfego são instanciados por PIC. O policiamento de tráfego não funciona quando o tráfego para uma função de decisão de política local (L-PDF) é distribuído em vários PICs multisserviços em um grupo AMS.

Limites de tráfego

Os policiais do Junos OS usam um algoritmo de balde de ficha para aplicar um limite em uma taxa média de transmissão ou recebimento de tráfego em uma interface, permitindo rajadas de tráfego de até um valor máximo com base no limite de largura de banda configurado e tamanho de explosão configurado. O algoritmo de balde de símbolo oferece mais flexibilidade do que um algoritmo de balde com vazamento , na medida em que você pode permitir uma explosão de tráfego especificada antes de começar a descartar pacotes ou aplicar uma penalidade, como prioridade de fila de saída de pacotes ou prioridade de queda de pacotes.

No modelo de balde de símbolo, o balde representa a função de limitação de taxa do policiador. Os símbolos são adicionados ao balde a uma taxa fixa, mas uma vez que a profundidade especificada do balde é alcançada, os símbolos alocados após não podem ser armazenados e usados. Cada símbolo representa um "crédito" para alguns bits, e os símbolos no balde são "sacados" pela capacidade de transmitir ou receber tráfego na interface. Quando os símbolos suficientes estão presentes no balde, um fluxo de tráfego continua irrestrito. Caso contrário, os pacotes podem ser descartados ou então re-marcados com uma classe de encaminhamento mais baixa, um nível mais alto de prioridade de perda de pacotes (PLP) ou ambos.

  • A taxa em que os símbolos são adicionados ao balde representa a maior taxa média de transmissão ou recebimento em bits por segundo permitido para um determinado nível de serviço. Você especifica essa taxa de tráfego média mais alta como o limite de largura de banda do policiador. Se a taxa de chegada de tráfego (ou bits fixos por segundo) for tão alta que em algum momento os símbolos insuficientes estão presentes no balde, então o fluxo de tráfego não está mais em conformidade com o limite de tráfego. Durante períodos de tráfego relativamente baixo (tráfego que chega ou parte da interface a taxas médias abaixo da taxa de chegada do símbolo), os símbolos não utilizados se acumulam no balde.

  • A profundidade do balde em bytes controla a quantidade de estouro de costas para trás permitido. Você especifica este fator como o limite de tamanho estourado do policial. Este segundo limite afeta a taxa média de transmissão ou recebimento limitando o número de bytes permitidos em uma explosão de transmissão por um determinado intervalo de tempo. Rajadas que excedem o limite de tamanho de explosão atual são descartadas até que haja fichas suficientes disponíveis para permitir que a explosão prossiga.

    Figura 1: Tráfego de rede e taxas de estouroTráfego de rede e taxas de estouro

    Como mostrado na figura acima, um código de barras upc é um bom fac-símile de como o tráfego se parece na linha; uma interface está transmitindo (estourando a taxa total) ou não está. As linhas pretas representam períodos de transmissão de dados e o espaço branco representa períodos de silêncio quando o balde de símbolo pode se repor.

Dependendo do tipo de policiador usado, pacotes em um fluxo de tráfego policiado que ultrapasse os limites definidos podem ser implicitamente definidos para um nível plp mais alto, atribuídos a uma classe de encaminhamento configurada ou definidos para um nível plp configurado (ou ambos), ou simplesmente descartados. Se os pacotes encontrarem congestionamento a jusante, os pacotes com low nível PLP serão menos propensos a serem descartados do que aqueles com nível de medium-lowPLP ou high de , medium-high

Marcação de cores de tráfego

Com base no conjunto específico de limites de tráfego configurados, um policial identifica um fluxo de tráfego como pertencente a uma das duas ou três categorias que são semelhantes às cores de um semáforo usado para controlar o tráfego de automóveis.

  • Um policial de marcação de duas cores (ou "policial" quando usado sem qualificação) medidora o fluxo de tráfego e classifica os pacotes em duas categorias de prioridade de perda de pacotes (PLP), de acordo com um limite configurado de largura de banda e tamanho de estouro. Você pode marcar pacotes que excedem a largura de banda e o limite de tamanho de explosão de alguma forma, ou simplesmente descartá-los.

    Um policial é mais útil para medir o tráfego no nível da porta (interface física).

  • Três cores de taxa única — esse tipo de policiador é definido em RFC 2697, um marcador de cores de taxa única três, como parte de um sistema de classificação de encaminhamento (AF) por hop-behavior (PHB) garantido para um ambiente de serviços diferenciados (DiffServ). Esse tipo de policiador metros de tráfego com base na taxa de informações comprometidas configuradas (CIR), tamanho de explosão cometido (CBS) e o tamanho de explosão em excesso (EBS). O tráfego é marcado como pertencente a uma das três categorias (verde, amarelo ou vermelho) com base em se os pacotes que chegam estão abaixo do CBS (verde), excedem o CBS (amarelo), mas não o EBS, ou excedem o EBS (vermelho).

    Um policiador de três cores de taxa única é mais útil quando um serviço é estruturado de acordo com o comprimento do pacote e não a taxa de chegada de pico.

  • Três cores de duas categorias — esse tipo de policiador é definido no RFC 2698, um marcador de cores de duas taxas três, como parte de um sistema de classificação de encaminhamento por hop-behavior (PHB) garantido para um ambiente de serviços diferenciados (DiffServ). Esse tipo de policiador metros de tráfego com base na CIR configurada e taxa de informação de pico (PIR), juntamente com seus tamanhos de explosão associados, o CBS e o tamanho de rajada de pico (PBS). O tráfego é marcado como pertencente a uma das três categorias (verde, amarelo ou vermelho) com base se os pacotes que chegam estão abaixo do CIR (verde), excedem o CIR (amarelo), mas não o PIR, ou excedem o PIR (vermelho).

    Um policiador de três cores de duas categorias é mais útil quando um serviço é estruturado de acordo com as taxas de chegada e não necessariamente o comprimento do pacote.

As ações dos policiais são implícitas ou explícitas e variam de acordo com o tipo de policial. O termo Implicit significa que o Junos atribui automaticamente a prioridade de perda. Tabela 1 descreve as ações do policiador.

Tabela 1: Ações de policiais

Policial

Marcação

Ação implícita

Ação configurável

Duas cores de taxa única

Verde (Em conformidade)

Atribuir prioridade de baixa perda

Nenhum

Vermelho (sem conformidade)

Nenhum

Atribua prioridade de baixa ou alta perda, atribua uma classe de encaminhamento ou descarteEm algumas plataformas, você pode atribuir prioridade a perdas médias baixas ou médias altas

Três cores de taxa única

Verde (Em conformidade)

Atribuir prioridade de baixa perda

Nenhum

Amarelo (Acima do CIR e CBS)

Atribua prioridade de perda média-alta

Nenhum

Vermelho (acima do EBS)

Atribua prioridade de alta perda

Descartar

Três cores de duas categorias

Verde (Em conformidade)

Atribuir prioridade de baixa perda

Nenhum

Amarelo (Acima do CIR e CBS)

Atribua prioridade de perda média-alta

Nenhum

Vermelho (Acima do PIR e PBS)

Atribua prioridade de alta perda

Descartar

Aulas de encaminhamento e níveis de PLP

A atribuição de classe de encaminhamento de um pacote e o nível de PLP são usados pelos recursos da classe de serviço (CoS) do Junos OS. Os recursos CoS do Junos OS incluem um conjunto de mecanismos que você pode usar para fornecer serviços diferenciados quando a entrega de tráfego de melhor esforço é insuficiente. Para interfaces de roteador (e switch) que transportam tráfego IPv4, IPv6 e MPLS, você pode configurar recursos de CoS para obter um único fluxo de tráfego entrando na borda de sua rede e fornecer diferentes níveis de serviço em toda a rede — encaminhamento interno e agendamento (fila) para saída — com base nas atribuições de classe de encaminhamento e níveis de PLP dos pacotes individuais.

Nota:

Atribuições de classe de encaminhamento ou prioridade de perda realizadas por um policiador ou um filtro de firewall apátrida sobrepõem tais atribuições realizadas na entrada pela classificação de precedência de IP padrão CoS em todas as interfaces lógicas ou por qualquer classificador de agregação de comportamento (BA) configurado que seja explicitamente mapeado para uma interface lógica.

Com base nas configurações de CoS, os pacotes de uma determinada classe de encaminhamento são transmitidos por uma fila de saída específica, e cada fila de saída está associada a um nível de serviço de transmissão definido em um agendador.

Com base em outras configurações de CoS, quando pacotes em uma fila de saída encontram congestionamento, pacotes com maiores valores de prioridade de perda são mais propensos a serem descartados pelo algoritmo de detecção antecipada aleatória (RED). Os valores de prioridade de perda de pacote afetam o agendamento de um pacote sem afetar a solicitação relativa do pacote dentro do fluxo de tráfego.

Aplicativo de policiador para o tráfego

Depois de definido e nomeado um policial, ele é armazenado como um modelo. Mais tarde, você pode usar o mesmo nome do policiador para fornecer a mesma configuração do policial cada vez que quiser usá-lo. Isso elimina a necessidade de definir os mesmos valores de policiador mais de uma vez.

Você pode aplicar um policial a um fluxo de tráfego de duas maneiras:

  • Você pode configurar um filtro de firewall sem estado padrão que especifica a ação policer policer-name não sufocante ou a ação three-color-policer (single-rate | two-rate) policer-name não sufocante. Quando você aplica o filtro padrão na entrada ou saída em uma interface lógica, o policial é aplicado a todos os pacotes da família de protocolo específica do filtro que correspondem às condições especificadas na configuração do filtro.

    Com esse método de aplicação de um policial, você pode definir classes específicas de tráfego em uma interface e aplicar limitações de taxa de tráfego a cada classe.

  • Você pode aplicar um policiador diretamente em uma interface para que a limitação da taxa de tráfego se aplique a todo o tráfego nessa interface, independentemente da família de protocolos ou quaisquer condições de correspondência.

Você pode configurar policiais no nível de fila, interface lógica ou Camada 2 (MAC). Apenas um único policial é aplicado a um pacote na fila de saída, e a busca por policiais ocorre nesta ordem:

  • Nível de fila

  • Nível de interface lógica

  • Nível de Camada 2 (MAC)