EN ESTA PÁGINA
Ejemplo: limitar el tráfico entrante dentro de la red mediante la configuración de un aplicador de dos colores de entrada de una sola velocidad y la configuración de clasificadores de múltiples campos
En este ejemplo se muestra cómo limitar el tráfico de clientes dentro de la red mediante un aplicador de dos colores de tarifa única. Los aplicadores de políticas utilizan un concepto conocido como bucket de tokens para identificar qué tráfico eliminar. El agente de policía aplica la estrategia de clase de servicio (CoS) del tráfico dentro y fuera de contrato en el nivel de interfaz. Puede aplicar un aplicador de dos colores de velocidad única a los paquetes entrantes, salientes o ambos. En este ejemplo se aplica el aplicador de policía como un controlador de entrada (entrada) para el tráfico entrante. La opción de cola de CoS del clasificador de múltiples campos coloca el tráfico en las colas asignadas, lo que le ayudará a administrar la utilización de recursos en el nivel de la interfaz de salida mediante la aplicación de programación y modelado en una fecha posterior.
Una explicación detallada del concepto de bucket de tokens y sus algoritmos subyacentes está fuera del alcance de este documento. Para obtener más información sobre la vigilancia del tráfico y la CoS en general, consulte Redes habilitadas para QOS: herramientas y fundamentos por Miguel Barreiros y Peter Lundqvist. Este libro está disponible en muchas librerías en línea y en www.juniper.net/books.
Requisitos
Para comprobar este procedimiento, en este ejemplo se utiliza un generador de tráfico. El generador de tráfico puede estar basado en hardware o puede ser software que se ejecuta en un servidor o máquina host.
La funcionalidad de este procedimiento es ampliamente admitida en dispositivos que ejecutan Junos OS. El ejemplo que se muestra aquí se probó y verificó en enrutadores de la serie MX que ejecutan Junos OS versión 10.4.
Visión general
Policía
La vigilancia de dos colores de velocidad única aplica una tasa configurada de flujo de tráfico para un nivel de servicio determinado mediante la aplicación de acciones implícitas o configuradas al tráfico que no se ajusta a los límites. Cuando se aplica un policer de dos colores de velocidad única al tráfico de entrada o salida en una interfaz, el aplicador mide el flujo de tráfico hasta el límite de velocidad definido por los siguientes componentes:
Límite de ancho de banda: el número promedio de bits por segundo permitido para los paquetes recibidos o transmitidos en la interfaz. Puede especificar el límite de ancho de banda como un número absoluto de bits por segundo o como un valor porcentual del 1 al 100. Si se especifica un valor de porcentaje, el límite de ancho de banda efectivo se calcula como un porcentaje de la velocidad de medios de la interfaz física o de la velocidad de modelado configurada de la interfaz lógica.
Límite de tamaño de ráfaga: el tamaño máximo permitido para ráfagas de datos. Los tamaños de ráfaga se miden en bytes. Recomendamos dos fórmulas para calcular el tamaño de ráfaga:
Tamaño de ráfaga = ancho de banda x tiempo permitido para el tráfico de ráfaga / 8
O
Tamaño de ráfaga = mtu de interfaz x 10
Para obtener información acerca de cómo configurar el tamaño de ráfaga, consulte Determinación del tamaño de ráfaga adecuado para los policías de tráfico.
Nota:Hay un espacio de búfer finito para una interfaz. En general, la profundidad de búfer total estimada para una interfaz es de unos 125 ms.
Para un flujo de tráfico que se ajusta a los límites configurados (categorizados como tráfico verde), los paquetes se marcan implícitamente con un nivel de prioridad de pérdida de paquetes (PLP) bajo y se les permite pasar a través de la interfaz sin restricciones.
Para un flujo de tráfico que supera los límites configurados (categorizado como tráfico rojo), los paquetes se manejan de acuerdo con las acciones de control de tráfico configuradas para el policía. En este ejemplo se descartan los paquetes que superan el límite de 15 kbps.
Para limitar la velocidad del tráfico de capa 3, puede aplicar un aplicador de dos colores de las siguientes maneras:
Directamente a una interfaz lógica, en un nivel de protocolo específico.
Como la acción de un filtro de firewall sin estado estándar que se aplica a una interfaz lógica, en un nivel de protocolo específico. Esta es la técnica utilizada en este ejemplo.
Para limitar la velocidad del tráfico de capa 2, puede aplicar un aplicador de dos colores únicamente como controlador de interfaz lógica. No puede aplicar un aplicador de dos colores al tráfico de capa 2 a través de un filtro de firewall.
Puede elegir entre el límite de ancho de banda o el porcentaje de ancho de banda dentro del aplicador, ya que son mutuamente excluyentes. No puede configurar un aplicador de políticas para que utilice el porcentaje de ancho de banda para interfaces agregadas, de túnel o de software.
En este ejemplo, el host es un generador de tráfico que emula un servidor web. Los dispositivos R1 y R2 son propiedad de un proveedor de servicios. Los usuarios detrás del dispositivo R2 acceden al servidor web. El host enviará tráfico con un puerto de origen, TCP, un puerto HTTP 80 y un puerto de origen 12345 a los usuarios. Se configura un aplicador de dos colores de velocidad única y se aplica a la interfaz del dispositivo R1 que conecta el host al dispositivo R1. El controlador hace cumplir la disponibilidad contractual de ancho de banda realizada entre el propietario del servidor web (en este caso emulado por el host) y el proveedor de servicios propietario del dispositivo R1 para el tráfico web que fluye a través del enlace que conecta el host con el dispositivo R1.
De acuerdo con la disponibilidad contractual de ancho de banda realizada entre el propietario del servidor web y el proveedor de servicios propietario de los dispositivos R1 y R2, el controlador limitará el tráfico del puerto HTTP 80 y el tráfico del puerto 12345 que se origina en el host a utilizar 700 Mbps (70 por ciento) del ancho de banda disponible con una velocidad de ráfaga permitida de 10 veces el tamaño MTU de la interfaz gigabit Ethernet entre el host y el dispositivo R1.
En un escenario del mundo real, probablemente también limitaría la velocidad del tráfico para una variedad de otros puertos, como FTP, SFTP, SSH, TELNET, SMTP, IMAP y POP3, ya que a menudo se incluyen como servicios adicionales con los servicios de alojamiento web.
Debe dejar disponible un ancho de banda adicional que no esté limitado por velocidad para los protocolos de control de red, como los protocolos de enrutamiento, DNS y cualquier otro protocolo necesario para mantener operativa la conectividad de red. Esta es la razón por la que el filtro de firewall tiene una condición de aceptación final.
Topología
En este ejemplo se usa la topología de la figura 1.
de un solo controlador de dos colores
La figura 2 muestra el comportamiento policial.
de aplicador de dos colores de velocidad única
Clasificación de múltiples campos
Un clasificador es una operación de software que un enrutador o conmutador utiliza para inspeccionar y clasificar un paquete después de haber pasado por cualquier vigilancia, si la policía está configurada. Durante la clasificación, se examina el contenido del encabezado del paquete, y este examen determina cómo se trata el paquete cuando la interfaz saliente está demasiado ocupada para manejar todos los paquetes y desea que el dispositivo descarte paquetes de forma inteligente, en lugar de descartarlos indiscriminadamente. Una forma común de detectar paquetes de interés es por número de puerto de origen. En este ejemplo se utilizan los números de puerto de origen TCP 80 y 12345, pero hay muchos otros criterios coincidentes disponibles para la detección de paquetes para los clasificadores de varios campos, mediante condiciones de coincidencia de filtro de firewall. La configuración de este ejemplo especifica que los paquetes TCP con un puerto de origen 80 se clasifican en la clase de reenvío de datos BE y el número de cola 0, y que los paquetes TCP con un puerto de origen 12345 se clasifican en la clase de reenvío de datos Premium y el número de cola 1. El tráfico de ambos números de puerto es supervisado primero por el policía. Si el tráfico pasa por el policía, se transfiere a la interfaz saliente en la cola asignada para la transmisión.
Los clasificadores multicampo se usan normalmente en el borde de la red cuando los paquetes entran en un sistema autónomo (AS).
En este ejemplo, configure el filtro de firewall mf-classifier y especifique algunas clases de reenvío personalizadas en el dispositivo R1. Al especificar las clases de reenvío personalizadas, también se asocia cada clase con una cola.
La operación del clasificador se muestra en la figura 3.
de origen TCP
El filtro de firewall del clasificador de varios campos se aplica como filtro de entrada en cada interfaz orientada al cliente o al host que necesite el filtro. En este ejemplo, se utiliza la interfaz entrante ge-2/0/5 en el dispositivo R1. El comportamiento de las colas se supervisa en las interfaces por las que se transmite el tráfico. En este ejemplo, para determinar cómo se atienden las colas, examine las estadísticas de tráfico en la interfaz ge-2/0/8 mediante la extensive opción del show interfaces comando.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.
Dispositivo R1
set interfaces ge-2/0/5 description to-Host set interfaces ge-2/0/5 unit 0 family inet address 172.16.70.2/30 set interfaces ge-2/0/5 unit 0 family inet filter input mf-classifier set interfaces ge-2/0/8 description to-R2 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.1/30 set interfaces lo0 unit 0 description looback-interface set interfaces lo0 unit 0 family inet address 192.168.13.1/32 set firewall policer discard if-exceeding bandwidth-limit 700m set firewall policer discard if-exceeding burst-size-limit 15k set firewall policer discard then discard set class-of-service forwarding-classes class BE-data queue-num 0 set class-of-service forwarding-classes class Premium-data queue-num 1 set class-of-service forwarding-classes class Voice queue-num 2 set class-of-service forwarding-classes class NC queue-num 3 set firewall family inet filter mf-classifier term BE-data from protocol tcp set firewall family inet filter mf-classifier term BE-data from port http set firewall family inet filter mf-classifier term BE-data then forwarding-class BE-data set firewall family inet filter mf-classifier term BE-data then policer discard set firewall family inet filter mf-classifier term Premium-data from protocol tcp set firewall family inet filter mf-classifier term Premium-data from port 12345 set firewall family inet filter mf-classifier term Premium-data then forwarding-class Premium-data set firewall family inet filter mf-classifier term Premium-data then policer discard set firewall family inet filter mf-classifier term accept then accept set protocols ospf area 0.0.0.0 interface ge-2/0/5.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Dispositivo R2
set interfaces ge-2/0/7 description to-Host set interfaces ge-2/0/7 unit 0 family inet address 172.16.80.2/30 set interfaces ge-2/0/8 description to-R1 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.2/30 set interfaces lo0 unit 0 description looback-interface set interfaces lo0 unit 0 family inet address 192.168.14.1/32 set protocols ospf area 0.0.0.0 interface ge-2/0/7.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar el dispositivo R1:
Configure las interfaces del dispositivo.
[edit interfaces] user@R1#set ge-2/0/5 description to-Host user@R1#set ge-2/0/5 unit 0 family inet address 172.16.70.2/30 user@R1#set ge-2/0/8 description to-R2 user@R1#set ge-2/0/8 unit 0 family inet address 10.50.0.1/30 user@R1# set lo0 unit 0 description looback-interface user@R1#set lo0 unit 0 family inet address 192.168.13.1/32
Configure el aplicador para limitar la velocidad a un ancho de banda de 700 Mbps y un tamaño de ráfaga de 15 kbps.
[edit firewall policer discard] user@R1# set if-exceeding bandwidth-limit 700m user@R1# set if-exceeding burst-size-limit 15k
Configure el aplicador de políticas para descartar paquetes en el flujo de tráfico rojo.
[edit firewall policer discard] user@R1# set then discard
Configure las clases de reenvío personalizadas y los números de cola asociados.
[edit class-of-service forwarding-classes] user@R1# set class BE-data queue-num 0 user@R1# set class Premium-data queue-num 1 user@R1# set class Voice queue-num 2 user@R1# set class NC queue-num 3
Configure el término de filtro de firewall que coloca el tráfico TCP con un puerto de origen de 80 (tráfico HTTP) en la clase de reenvío de datos BE, asociada a la cola 0.
[edit firewall family inet filter mf-classifier] user@R1# set term BE-data from protocol tcp user@R1# set term BE-data from port http user@R1# set term BE-data then forwarding-class BE-data user@R1# set term BE-data then policer discard
Configure el término de filtro de firewall que coloca el tráfico TCP con un puerto de origen de 12345 en la clase de reenvío de datos Premium, asociada a la cola 1.
[edit firewall family inet filter mf-classifier] user@R1# set term Premium-data from protocol tcp user@R1# set term Premium-data from port 12345 user@R1# set term Premium-data then forwarding-class Premium-data user@R1# set term Premium-data then policer discard
Al final del filtro de firewall, configure un término predeterminado que acepte el resto del tráfico.
De lo contrario, se descartará todo el tráfico que llegue a la interfaz y que no sea aceptado explícitamente por el filtro del firewall.
[edit firewall family inet filter mf-classifier] user@R1# set term accept then accept
Aplique el filtro de firewall a la interfaz ge-2/0/5 como filtro de entrada.
[edit interfaces] user@R1# set ge-2/0/5 unit 0 family inet filter input mf-classifier
Configure OSPF.
[edit protocols ospf] user@R1# set area 0.0.0.0 interface ge-2/0/5.0 passive user@R1# set area 0.0.0.0 interface lo0.0 passive user@R1# set area 0.0.0.0 interface ge-2/0/8.0
Procedimiento paso a paso
Para configurar el dispositivo R2:
Configure las interfaces del dispositivo.
[edit interfaces] user@R2# set ge-2/0/7 description to-Host user@R2# set ge-2/0/7 unit 0 family inet address 172.16.80.2/30 user@R2# set ge-2/0/8 description to-R1 user@R2# set ge-2/0/8 unit 0 family inet address 10.50.0.2/30 user@R2# set lo0 unit 0 description looback-interface user@R2# set lo0 unit 0 family inet address 192.168.14.1/32
Configure OSPF.
[edit protocols ospf] user@R2# set area 0.0.0.0 interface ge-2/0/7.0 passive user@R2# set area 0.0.0.0 interface lo0.0 passive user@R2# set area 0.0.0.0 interface ge-2/0/8.0
Resultados
Desde el modo de configuración, escriba los comandos , , show class-of-serviceshow firewally show protocols ospf para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
user@R1# show interfaces
ge-2/0/5 {
description to-Host;
unit 0 {
family inet {
filter {
input mf-classifier;
}
address 172.16.70.2/30;
}
}
}
ge-2/0/8 {
description to-R2;
unit 0 {
family inet {
address 10.50.0.1/30;
}
}
}
lo0 {
unit 0 {
description looback-interface;
family inet {
address 192.168.13.1/32;
}
}
}
user@R1# show class-of-service
forwarding-classes {
class BE-data queue-num 0;
class Premium-data queue-num 1;
class Voice queue-num 2;
class NC queue-num 3;
}
user@R1# show firewall
family inet {
filter mf-classifier {
term BE-data {
from {
protocol tcp;
port http;
}
then {
policer discard;
forwarding-class BE-data;
}
}
term Premium-data {
from {
protocol tcp;
port 12345;
}
then {
policer discard;
forwarding-class Premium-data;
}
}
term accept {
then accept;
}
}
}
policer discard {
if-exceeding {
bandwidth-limit 700m;
burst-size-limit 15k;
}
then discard;
}
user@R1# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/5.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-2/0/8.0;
}
Si ha terminado de configurar el dispositivo R1, ingrese commit en el modo de configuración.
user@R2# show interfaces
ge-2/0/7 {
description to-Host;
unit 0 {
family inet {
address 172.16.80.2/30;
}
}
}
ge-2/0/8 {
description to-R1;
unit 0 {
family inet {
address 10.50.0.2/30;
}
}
}
lo0 {
unit 0 {
description looback-interface;
family inet {
address 192.168.14.1/32;
}
}
}
user@R2# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/7.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-2/0/8.0;
}
Si ha terminado de configurar el dispositivo R2, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Comprobación de la configuración del CoS
- Limpieza de los contadores
- Envío de tráfico a la red desde el puerto TCP HTTP 80 y supervisión de los resultados
- Envío de tráfico a la red desde el puerto TCP 12345 y supervisión de los resultados
Comprobación de la configuración del CoS
Propósito
Confirme que las clases de reenvío están configuradas correctamente.
Acción
Desde el dispositivo R1, ejecute el show class-of-service forwarding-class comando.
user@R1> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority BE-data 0 0 0 low normal low Premium-data 1 1 1 low normal low Voice 2 2 2 low normal low NC 3 3 3 low normal low
Significado
El resultado muestra los valores del clasificador personalizado configurados.
Limpieza de los contadores
Propósito
Confirme que el firewall y los contadores de interfaz estén borrados.
Acción
En el dispositivo R1, ejecute el
clear firewall allcomando para restablecer los contadores del firewall a 0.user@R1> clear firewall all
En el dispositivo R1, ejecute el
clear interface statistics ge-2/0/5comando para restablecer los contadores de interfaz a 0.user@R1> clear interface statistics ge-2/0/8
Envío de tráfico a la red desde el puerto TCP HTTP 80 y supervisión de los resultados
Propósito
Envíe tráfico que se pueda supervisar a nivel de cola personalizada y de policía.
Acción
Utilice un generador de tráfico para enviar 20 paquetes TCP con un puerto de origen de 80 a la red.
El indicador -s establece el puerto de origen. El indicador -k hace que el puerto de origen permanezca estable en 80 en lugar de incrementarse. El indicador -c establece el número de paquetes en 20. El indicador -d establece el tamaño del paquete.
Nota:En este ejemplo, los números de los aplicadores se reducen a un límite de ancho de banda de 8 Kbps y un límite de tamaño de ráfaga de 1500 Kbps para garantizar que algunos paquetes se descarten.
[User@host]# hping 172.16.80.1 -c 20 -s 80 -k -d 300 [root@host]# hping 172.16.80.1 -s 80 -k -c 20 -d 300 HPING 172.16.80.1 (eth1 172.16.80.1): NO FLAGS are set, 40 headers + 300 data bytes len=46 ip=172.16.80.1 ttl=62 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=1.4 ms . . . --- 172.16.80.1 hping statistic --- 20 packets transmitted, 16 packets received, 20% packet loss round-trip min/avg/max = 1.4/8688.9/17002.3 ms
En el dispositivo R1, compruebe los contadores del firewall con el
show firewallcomando.user@R1> show firewall Filter: mf-classifier Policers: Name Bytes Packets discard-BE-data 1360 4 discard-Premium-data 0 0
Observe que en la salida de hping hubo una pérdida de paquetes del 20% (4 paquetes de 20) y el controlador dejó caer el mismo número de paquetes que se muestra en la
show firewallsalida del comando. Tenga en cuenta también que las caídas están asociadas con los datos BE de la cola como se especifica en el clasificador mf en la configuración del firewall.En el dispositivo R1, compruebe los contadores de cola con el
show interfaces extensive ge-2/0/8| find "Queue counters"comando.user@R1> show interfaces extensive ge-2/0/8| find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 16 16 0 1 0 0 0 2 0 0 0 3 4 4 0 Queue number: Mapped forwarding classes 0 BE-data 1 Premium-data 2 Voice 3 NCObserve que 16 paquetes se transmitieron fuera de la interfaz 2/0/8 utilizando los datos BE-data de cola como se especifica en el clasificador mf en la configuración del firewall. Los 4 paquetes restantes, fueron dejados caer por el policía, como se muestra arriba. Los 4 paquetes enviados a la cola 3 son tráfico de control de red. Posiblemente sean actualizaciones de protocolos de enrutamiento.
Significado
La salida de ambos dispositivos muestra que se descartaron 4 paquetes Esto significa que hubo al menos 8 Kbps de tráfico verde (puerto HTTP 80 en el contrato) y que se superó la opción de ráfaga de 1500 kbps para el tráfico del puerto HTTP 80 rojo fuera de contrato. En los pasos 2 y 3, puede ver que se utilizaron las colas correctas para transmitir el tráfico restante fuera de la interfaz 2/0/8.
Envío de tráfico a la red desde el puerto TCP 12345 y supervisión de los resultados
Propósito
Envíe tráfico que se pueda supervisar a nivel de cola personalizada y de policía.
Acción
Borre los contadores de nuevo, como se muestra en la sección Borrar los contadores.
Utilice un generador de tráfico para enviar 20 paquetes TCP con un puerto de origen de 12345 a la red.
El indicador -s establece el puerto de origen. El indicador -k hace que el puerto de origen permanezca estable en 12345 en lugar de incrementarse. El indicador -c establece el número de paquetes en 20. El indicador -d establece el tamaño del paquete.
[User@host]# hping 172.16.80.1 -c 20 -s 12345 -k -d 300 [root@tp-host]# hping 172.16.80.1 -s 12345 -k -c 20 -d 300 HPING 172.16.80.1 (eth1 172.16.80.1): NO FLAGS are set, 40 headers + 300 data bytes len=46 ip=172.16.80.1 ttl=62 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=0.4 ms . . . --- 172.16.80.1 hping statistic --- 20 packets transmitted, 16 packets received, 20% packet loss round-trip min/avg/max = 0.4/9126.3/18002.4 ms
En el dispositivo R1, compruebe los contadores del firewall con el
show firewallcomando.user@R1> show firewall Filter: mf-classifier Policers: Name Bytes Packets discard-BE-data 0 0 discard-Premium-data 1360 4
Observe que en la salida de hping hubo una pérdida de paquetes del 20% (4 paquetes de 20) y el controlador dejó caer el mismo número de paquetes que se muestra en la
show firewallsalida del comando. Tenga en cuenta también que las caídas están asociadas con la cola Premium-data como se especifica en el clasificador mf en la configuración del firewall.En el dispositivo R1, compruebe los contadores de cola con el
show interfaces extensive ge-2/0/8| find "Queue counters"comando.user@R1> show interfaces extensive ge-2/0/8| find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 0 0 0 1 16 16 0 2 0 0 0 3 19 19 0 Queue number: Mapped forwarding classes 0 BE-data 1 Premium-data 2 Voice 3 NCObserve que 16 paquetes se transmitieron fuera de la interfaz 2/0/8 utilizando las colas de datos Premium como se especifica en la configuración del firewall del clasificador MF. Los 4 paquetes restantes fueron lanzados por el policía, como se muestra arriba. Los 19 paquetes enviados a la cola 3 son tráfico de control de red. Posiblemente sean actualizaciones de protocolos de enrutamiento.
Significado
La salida de ambos dispositivos muestra que se descartaron 4 paquetes. Esto significa que hubo al menos 8 Kbps de tráfico verde (puerto HTTP 80 en contrato) y que se superó la opción de ráfaga de 1500 Kbps para el tráfico rojo del puerto HTTP 80 fuera de contrato. En los pasos 3 y 4, puede ver que se utilizaron las colas correctas para transmitir el tráfico restante fuera de la interfaz 2/0/8.