Descripción general sobre el control del acceso a la red mediante la vigilancia de tráfico
Gestión de congestión para flujos de tráfico IP
La vigilancia del tráfico, también conocida como limitación de velocidad, es un componente esencial de la seguridad de acceso a la red que está diseñado para frustrar los ataques de denegación de servicio (DoS). La vigilancia del tráfico le permite controlar la tasa máxima de tráfico IP enviado o recibido en una interfaz y también dividir el tráfico de red en varios niveles de prioridad, también conocidos como clases de servicio. Un aplicador de políticas define un conjunto de límites de velocidad de tráfico y establece consecuencias para el tráfico que no se ajusta a los límites configurados. Los paquetes de un flujo de tráfico que no se ajustan a los límites de tráfico se descartan o se marcan con una clase de reenvío o un nivel de prioridad de pérdida de paquetes (PLP) diferente.
Con la excepción de los aplicadores de políticas configurados para limitar la velocidad del tráfico agregado (todas las familias de protocolos e interfaces lógicas configuradas en una interfaz física), puede aplicar un aplicador de políticas a todos los paquetes IP de un flujo de tráfico de capa 2 o capa 3 en una interfaz lógica.
Con la excepción de los aplicadores de políticas configurados para limitar la velocidad en función de la velocidad de medios de la interfaz física, puede aplicar un aplicador de políticas a paquetes IP específicos en un flujo de tráfico de capa 3 en una interfaz lógica mediante un filtro de firewall sin estado.
Puede aplicar un aplicador de políticas al tráfico de interfaz entrante o saliente. Los aplicadores aplicados al tráfico entrante ayudan a conservar los recursos al eliminar el tráfico que no necesita enrutarse a través de una red. La disminución del tráfico entrante también ayuda a frustrar los ataques de denegación de servicio (DoS). Los aplicadores aplicaban al tráfico saliente controlar el ancho de banda utilizado.
Los aplicadores de políticas de tráfico se instancian por PIC. La vigilancia del tráfico no funciona cuando el tráfico de un suscriptor de la función de decisión de directiva local (L-PDF) se distribuye en varias PIC multiservicios de un grupo AMS.
Límites de tráfico
Los aplicadores de políticas de Junos OS utilizan un algoritmo de bucket de tokens para imponer un límite en una tasa media de tráfico de transmisión o recepción en una interfaz, a la vez que permiten ráfagas de tráfico de hasta un valor máximo basado en el límite de ancho de banda configurado y el tamaño de ráfaga configurado. El algoritmo de bucket de token ofrece más flexibilidad que un algoritmo de bucket con fugas , ya que puede permitir una ráfaga de tráfico especificada antes de comenzar a descartar paquetes o aplicar una penalización como prioridad de cola de salida de paquetes o prioridad de caída de paquetes.
En el modelo token-bucket, el bucket representa la función de limitación de velocidad del aplicador de políticas. Los tokens se agregan al bucket a una velocidad fija, pero una vez que se alcanza la profundidad especificada del bucket, los tokens asignados después no se pueden almacenar ni usar. Cada token representa un "crédito" para un cierto número de bits, y los tokens en el bucket se "cobran" por la capacidad de transmitir o recibir tráfico en la interfaz. Cuando hay suficientes tokens presentes en el bucket, un flujo de tráfico continúa sin restricciones. De lo contrario, los paquetes podrían descartarse o volver a marcarse con una clase de reenvío inferior, un nivel de prioridad de pérdida de paquetes (PLP) más alto o ambos.
La velocidad a la que se agregan tokens al bucket representa la tasa promedio de transmisión o recepción más alta en bits por segundo permitida para un nivel de servicio determinado. Especifique esta tasa de tráfico promedio más alta como el límite de ancho de banda del aplicador. Si la tasa de llegada de tráfico (o bits fijos por segundo) es tan alta que en algún momento no hay suficientes tokens presentes en el bucket, entonces el flujo de tráfico ya no se ajusta al límite de tráfico. Durante períodos de tráfico relativamente bajo (tráfico que llega o sale de la interfaz a velocidades promedio por debajo de la tasa de llegada de tokens), los tokens no utilizados se acumulan en el bucket.
La profundidad del bucket en bytes controla la cantidad de ráfagas consecutivas permitidas. Este factor se especifica como el límite de tamaño de ráfaga del aplicador de policía. Este segundo límite afecta a la velocidad media de transmisión o recepción al limitar el número de bytes permitidos en una ráfaga de transmisión durante un intervalo de tiempo determinado. Las ráfagas que excedan el límite actual de tamaño de ráfaga se eliminan hasta que haya suficientes fichas disponibles para permitir que la ráfaga continúe.
Figura 1: Tráfico de red y tasas de ráfagasComo se muestra en la figura anterior, un código de barras UPC es un buen facsímil de cómo se ve el tráfico en la línea; Una interfaz está transmitiendo (ráfaga a toda velocidad) o no lo está. Las líneas negras representan períodos de transmisión de datos y el espacio en blanco representa períodos de silencio cuando el bucket de tokens puede reponerse.
Según el tipo de aplicador de policía utilizado, los paquetes de un flujo de tráfico vigilado que superen los límites definidos pueden establecerse implícitamente en un nivel PLP superior, asignarse a una clase de reenvío configurada o establecerse en un nivel de PLP configurado (o ambos), o simplemente descartarse. Si los paquetes encuentran congestión descendente, es menos probable que se descarten los paquetes con un low
nivel PLP que aquellos con un nivel , medium-low
medium-high
o high
PLP.
Marcado de color de tráfico
Según el conjunto particular de límites de tráfico configurados, un policía identifica un flujo de tráfico como perteneciente a una de dos o tres categorías que son similares a los colores de un semáforo utilizado para controlar el tráfico de automóviles.
Velocidad única de dos colores: un policer de marcado de dos colores (o "policer" cuando se usa sin calificación) mide el flujo de tráfico y clasifica los paquetes en dos categorías de prioridad de pérdida de paquetes (PLP) de acuerdo con un ancho de banda configurado y un límite de tamaño de ráfaga. Puede marcar paquetes que excedan el ancho de banda y el límite de tamaño de ráfaga de alguna manera, o simplemente descartarlos.
Un aplicador de políticas es más útil para medir el tráfico en el nivel de puerto (interfaz física).
Tres colores de velocidad única: este tipo de aplicador se define en RFC 2697, Un marcador de tres colores de velocidad única, como parte de un sistema de clasificación de reenvío asegurado (AF) por comportamiento por salto (PHB) para un entorno de servicios diferenciados (DiffServ). Este tipo de controlador mide el tráfico en función de la tasa de información confirmada (CIR) configurada, el tamaño de ráfaga confirmada (CBS) y el tamaño de ráfaga excesiva (EBS). El tráfico se marca como perteneciente a una de tres categorías (verde, amarillo o rojo) en función de si los paquetes que llegan están por debajo del CBS (verde), superan el CBS (amarillo) pero no el EBS, o superan el EBS (rojo).
Un aplicador de tres colores de velocidad única es más útil cuando un servicio se estructura de acuerdo con la longitud del paquete y no con la tasa máxima de llegada.
Tres colores de dos velocidades: este tipo de aplicador se define en RFC 2698, Un marcador de tres colores de dos velocidades, como parte de un sistema de clasificación de reenvío asegurado (AF) por comportamiento por salto (PHB) para un entorno de servicios diferenciados (DiffServ). Este tipo de controlador mide el tráfico en función del CIR configurado y la tasa de información máxima (PIR), junto con sus tamaños de ráfaga asociados, el CBS y el tamaño de ráfaga máxima (PBS). El tráfico se marca como perteneciente a una de tres categorías (verde, amarillo o rojo) en función de si los paquetes que llegan están por debajo del CIR (verde), exceden el CIR (amarillo) pero no el PIR o exceden el PIR (rojo).
Un aplicador de dos velocidades y tres colores es más útil cuando un servicio está estructurado de acuerdo con las tasas de llegada y no necesariamente la longitud del paquete.
Las acciones de los policías son implícitas o explícitas y varían según el tipo de policía. El término Implícito significa que Junos asigna automáticamente la prioridad de pérdida. Tabla 1 Describe las acciones de la policía.
Aplicador de policía |
Marca |
Acción implícita |
Acción configurable |
---|---|---|---|
Tarifa única de dos colores |
Verde (conforme) |
Asignar prioridad de pérdida baja |
Ninguna |
Rojo (no conforme) |
Ninguna |
Asignar prioridad de pérdida baja o alta, asignar una clase de reenvío o descartarEn algunas plataformas, puede asignar prioridad de pérdida media-baja o media-alta |
|
Tarifa única de tres colores |
Verde (conforme) |
Asignar prioridad de pérdida baja |
Ninguna |
Amarillo (por encima del CIR y CBS) |
Asignar prioridad de pérdida media-alta |
Ninguna |
|
Rojo (encima del EBS) |
Asignar prioridad de pérdida alta |
Descartar |
|
Dos velocidades de tres colores |
Verde (conforme) |
Asignar prioridad de pérdida baja |
Ninguna |
Amarillo (por encima del CIR y CBS) |
Asignar prioridad de pérdida media-alta |
Ninguna |
|
Rojo (por encima del PIR y PBS) |
Asignar prioridad de pérdida alta |
Descartar |
Clases de envío y niveles PLP
Las características de clase de reenvío (CoS) de Junos OS usan la asignación de clase de reenvío de paquetes y el nivel PLP. Las funciones CoS de Junos OS incluyen un conjunto de mecanismos que puede utilizar para proporcionar servicios diferenciados cuando la entrega de tráfico de máximo esfuerzo es insuficiente. En el caso de las interfaces de enrutador (y conmutador) que transportan tráfico IPv4, IPv6 y MPLS, puede configurar las características de CoS para que abarquen un único flujo de tráfico que entra en el borde de la red y proporcionen diferentes niveles de servicio en toda la red (reenvío interno y programación (colas) para la salida) en función de las asignaciones de clase de reenvío y los niveles de PLP de los paquetes individuales.
Las asignaciones de clase de reenvío o de prioridad de pérdida realizadas por un aplicador de policía o un filtro de firewall sin estado anulan cualquier asignación de este tipo realizada en la entrada por la clasificación de precedencia de IP predeterminada de CoS en todas las interfaces lógicas o por cualquier clasificador de agregado de comportamiento configurado (BA) que esté asignado explícitamente a una interfaz lógica.
Según las configuraciones de CoS, los paquetes de una clase de reenvío determinada se transmiten a través de una cola de salida específica, y cada cola de salida se asocia con un nivel de servicio de transmisión definido en un programador.
Según otras configuraciones de CoS, cuando los paquetes en una cola de salida encuentran congestión, es más probable que el algoritmo de detección temprana aleatoria (RED) descarte los paquetes con valores de prioridad de pérdida más altos. Los valores de prioridad de pérdida de paquetes afectan a la programación de un paquete sin afectar el orden relativo del paquete dentro del flujo de tráfico.
Aplicación Policer al tráfico
Después de definir y nombrar un aplicador de policía, se almacena como una plantilla. Más adelante, puede usar el mismo nombre de policía para proporcionar la misma configuración de policía cada vez que desee usarlo. Esto elimina la necesidad de definir los mismos valores de aplicador más de una vez.
Puede aplicar un aplicador de políticas a un flujo de tráfico de dos maneras:
Puede configurar un filtro de firewall sin estado estándar que especifique la acción de
policer policer-name
no terminación o la acción dethree-color-policer (single-rate | two-rate) policer-name
no terminación. Cuando se aplica el filtro estándar a la entrada o salida en una interfaz lógica, el aplicador de políticas se aplica a todos los paquetes de la familia de protocolos específicos del filtro que cumplan las condiciones especificadas en la configuración del filtro.Con este método de aplicación de un aplicador de políticas, puede definir clases específicas de tráfico en una interfaz y aplicar límites de velocidad de tráfico a cada clase.
Puede aplicar un aplicador de políticas directamente a una interfaz para que la limitación de la velocidad de tráfico se aplique a todo el tráfico de esa interfaz, independientemente de la familia de protocolos o de las condiciones de coincidencia.
Puede configurar políticas en el nivel de cola, interfaz lógica o capa 2 (MAC). Sólo se aplica un único aplicador de control a un paquete en la cola de salida, y la búsqueda de aplicadores se produce en este orden:
Nivel de cola
Nivel de interfaz lógica
Nivel de capa 2 (MAC)