Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de Policers

Un conmutador controla el tráfico limitando la velocidad de transmisión de entrada o salida de una clase de tráfico según criterios definidos por el usuario. La vigilancia (o limitación de velocidad) del tráfico le permite controlar la tasa máxima de tráfico enviado o recibido en una interfaz y proporcionar varios niveles de prioridad o clases de servicio.

La vigilancia también es un componente importante de los filtros de firewall. Puede lograr la vigilancia mediante la inclusión de aplicadores de políticas en las configuraciones de filtro de firewall .

Descripción general de Policer

Los aplicadores de políticas se usan para aplicar límites al flujo de tráfico y establecer consecuencias para los paquetes que superan estos límites (normalmente aplicando una prioridad de pérdida más alta), de modo que si los paquetes encuentran congestión descendente, se puedan descartar primero. Los aplicadores de políticas solo se aplican a los paquetes de unidifusión.

Los policías proporcionan dos funciones: Medición y marcado. Un aplicador medidor (mide) cada paquete con las tasas de tráfico y los tamaños de ráfaga que configure. A continuación, pasa el paquete y el resultado de la medición al marcador, que asigna una prioridad de pérdida de paquetes que corresponde al resultado de la medición. Figura 1 ilustra este proceso.

Nota:

Un aplicador de políticas restringe el tráfico a la velocidad de transmisión configurada por PFE. En los conmutadores QFX10016, QFX10002, QFX10002-60C y QFX10008, cuando los paquetes de interfaz Ethernet (AE) agregados abarcan varios PFE, la velocidad de transmisión global del aplicador para el suscriptor podría superar la velocidad de transmisión configurada del aplicador (dependiendo del número de PFE involucrados).

A modo de ejemplo:

  • Policer con límite de ancho de banda de 100 mbps configurado en una interfaz AE que tiene vínculos de miembro xe-1/0/0 (fpc1-pfe0) y xe-1/0/30 (fpc1-pfe1). Aquí, los dos enlaces de miembro pertenecen a FPC1, pero están en PFE diferentes. Cuando se aplica el aplicador de políticas a la interfaz AE, se obtiene un ancho de banda total de 200 Mbps, ya que el controlador está configurado para dos PFE.

  • Policer con límite de ancho de banda de 100 mbps configurado en una interfaz AE que tiene vínculos de miembro xe-1/0/0 (fpc1-pfe0), et-2/0/1 (fpc2-pfe1) y xe-2/0/18:0 (fpc2-pfe2) . Aquí, un enlace de miembro pertenece a FPC1 y PFE0 en este FPC. Los dos enlaces de miembros restantes pertenecen a FPC2, pero diferentes PFE. Cuando se aplica el aplicador de políticas a la interfaz AE, se obtiene un ancho de banda total de 300 Mbps, ya que el controlador policial está configurado para tres PFE.

  • Policer con límite de ancho de banda de 100 mbps configurado en una interfaz AE que tiene vínculos miembro xe-1/0/0 y xe-1/0/1 en un solo PFE (fpc1-pfe0). Aquí, los enlaces de los miembros pertenecen a FPC1 y al mismo PFE. Cuando se aplica el aplicador de políticas a la interfaz AE, se obtiene un ancho de banda total de 100 Mbps, ya que el controlador se configura por PFE.

Figura 1: Flujo de la Operación Policial de Marcado TricolorFlujo de la Operación Policial de Marcado Tricolor

Después de nombrar y configurar un aplicador de policía, puede usarlo especificándolo como una acción en uno o más filtros de firewall.

Tipos de policías

Un conmutador admite tres tipos de policías:

  • Marcador de dos colores de velocidad única: un controlador de dos colores (o "policíar" cuando se usa sin calificación) mide el flujo de tráfico y clasifica los paquetes en dos categorías de prioridad de pérdida de paquetes (PLP) de acuerdo con un ancho de banda configurado y un límite de tamaño de ráfaga. Puede marcar los paquetes que excedan el ancho de banda y el límite de tamaño de ráfaga con un PLP especificado o simplemente descartarlos.

    Puede especificar este tipo de aplicador de policía en un firewall de entrada o salida.

    Nota:

    Un aplicador de dos colores es más útil para medir el tráfico a nivel de puerto (interfaz física).

  • Marcador de tres colores de velocidad única: este tipo de aplicador se define en RFC 2697, Un marcador de tres colores de velocidad única, como parte de un sistema de clasificación de reenvío asegurado (AF) por comportamiento por salto (PHB) para un entorno de servicios diferenciados (DiffServ). Este tipo de controlador policial mide el tráfico en función de una tasa: la tasa de información confirmada configurada (CIR), así como el tamaño de ráfaga confirmada (CBS) y el tamaño de ráfaga excesiva (EBS). El CIR especifica la velocidad promedio a la que se admiten bits en el conmutador. El CBS especifica el tamaño de ráfaga habitual en bytes y el EBS especifica el tamaño máximo de ráfaga en bytes. El EBS debe ser mayor o igual que el CBS, y ninguno puede ser 0.

    Puede especificar este tipo de aplicador de policía en un firewall de entrada o salida.

    Nota:

    Un marcador de tres colores (TCM) de velocidad única es más útil cuando un servicio se estructura de acuerdo con la longitud del paquete y no con la tasa máxima de llegada.

  • Marcador de tres colores de dos velocidades: este tipo de aplicador se define en RFC 2698, Un marcador de tres colores de dos velocidades, como parte de un sistema de clasificación de reenvío asegurado por comportamiento por salto para un entorno de servicios diferenciados. Este tipo de policía mide el tráfico en función de dos tasas: el CIR y la tasa de información máxima (PIR) junto con sus tamaños de ráfaga asociados, el CBS y el tamaño de ráfaga máxima (PBS). El PIR especifica la velocidad máxima a la que se admiten bits en la red y debe ser mayor o igual que el CIR.

    Puede especificar este tipo de aplicador de policía en un firewall de entrada o salida.

    Nota:

    Un aplicador de dos velocidades y tres colores es más útil cuando un servicio está estructurado de acuerdo con las tasas de llegada y no necesariamente la longitud del paquete.

Consulte Tabla 1 para obtener información sobre cómo se aplican los resultados de la medición para cada uno de estos tipos de policía.

Acciones policiales

Las acciones de los policías son implícitas o explícitas y varían según el tipo de policía. Implícito significa que Junos OS asigna la prioridad de pérdida automáticamente. Tabla 1 Describe las acciones de la policía.

Tabla 1: Acciones policiales

Aplicador de policía

Marca

Acción implícita

Acción configurable

Tarifa única de dos colores

Verde (conforme)

Asignar prioridad de pérdida baja

Ninguna

Rojo (no conforme)

Ninguna

Descartar

Tarifa única de tres colores

Verde (conforme)

Asignar prioridad de pérdida baja

Ninguna

Amarillo (por encima del CIR y CBS)

Asignar prioridad de pérdida media-alta

Ninguna

Rojo (encima del EBS)

Asignar prioridad de pérdida alta

Descartar

Dos velocidades de tres colores

Verde (conforme)

Asignar prioridad de pérdida baja

Ninguna

Amarillo (por encima del CIR y CBS)

Asignar prioridad de pérdida media-alta

Ninguna

Rojo (por encima del PIR y PBS)

Asignar prioridad de pérdida alta

Descartar

Nota:

Si especifica un aplicador de policía en un filtro de firewall de salida, la única acción admitida es discard.

Colores de Policer

Los aplicadores de tres colores de una y dos velocidades pueden operar en dos modos:

  • Daltónico: en el modo daltónico, el controlador de tres colores asume que todos los paquetes examinados no han sido marcados o medidos previamente. En otras palabras, el policía de tres colores es "ciego" a cualquier coloración anterior que un paquete pueda haber tenido.

  • Consciente del color: en el modo con reconocimiento del color, el controlador de tres colores asume que todos los paquetes examinados han sido marcados o medidos previamente. En otras palabras, el policía de tres colores es "consciente" de la coloración anterior que un paquete podría haber tenido. En el modo consciente del color, el controlador de tres colores puede aumentar el PLP de un paquete, pero no puede disminuirlo. Por ejemplo, si un aplicador de tres colores con reconocimiento de color mide un paquete con una marca PLP mediana, puede elevar el nivel de PLP a alto, pero no puede reducir el nivel de PLP a bajo.

Aplicadores de políticas específicas de filtro

Puede configurar los aplicadores de políticas para que sean específicos del filtro, lo que significa que Junos OS solo crea una instancia de policía independientemente de cuántas veces se haga referencia al aplicador de policía. Cuando se hace esto en algunos conmutadores QFX, la limitación de velocidad se aplica en conjunto, por lo que si configura un policía para descartar el tráfico que supera 1 Gbps y hace referencia a ese controlador en tres términos diferentes, el ancho de banda total permitido por el filtro es de 1 Gbps. Sin embargo, el comportamiento de un aplicador de policía específico del filtro se ve afectado por la forma en que los términos de filtro de firewall que hacen referencia al aplicador se almacenan en TCAM. Si crea un aplicador de policía específico del filtro y hace referencia a él en varios términos de filtro de firewall, el controlador permite más tráfico del esperado si los términos se almacenan en distintos segmentos de TCAM. Por ejemplo, si configura un controlador de policía para descartar el tráfico que supera 1 Gbps y hace referencia a ese controlador en tres términos diferentes almacenados en tres segmentos de memoria independientes, el ancho de banda total permitido por el filtro es de 3 Gbps, no de 1 Gbps. (Este comportamiento no se produce en QFX10000 modificadores.)

Para evitar que se produzca este comportamiento inesperado, utilice la información sobre los segmentos TCAM presentada en Planeación del número de filtros de firewall que se van a crear para organizar el archivo de configuración de modo que todos los términos de filtro de firewall que hacen referencia a un aplicador específico del filtro determinado se almacenen en el mismo segmento TCAM.

Convención de nomenclatura sugerida para los aplicadores de políticas

Se recomienda utilizar la convención policertypeTCM#-color type de nomenclatura al configurar políticas de tres colores y policer# al configurar políticas de dos colores. TCM significa marcador de tres colores. Debido a que los aplicadores pueden ser numerosos y deben aplicarse correctamente para que funcionen, una convención de nomenclatura simple facilita la aplicación adecuada de los aplicadores. Por ejemplo, el primer controlador de tres colores de velocidad única y consciente del color configurado se denominaría srTCM1-ca. La segunda configuración de tres colores daltónica de dos velocidades se llamaría trTCM2-cb. Los elementos de esta convención de nomenclatura se explican a continuación:

  • SR (tarifa única)

  • TR (dos tasas)

  • TCM (marcado tricolor)

  • 1 o 2 (número de marcador)

  • CA (consciente del color)

  • CB (daltónico)

Contadores de policía

En algunos conmutadores QFX, cada aplicador de policía que configure incluye un contador implícito que cuenta el número de paquetes que superan los límites de velocidad especificados para el aplicador. Si usa el mismo aplicador de control en varios términos, ya sea dentro del mismo filtro o en filtros diferentes, el contador implícito cuenta todos los paquetes que se vigilan en todos estos términos y proporciona la cantidad total. (Esto no se aplica a QFX10000 conmutadores). Si desea obtener recuentos de paquetes independientes para cada término en un conmutador afectado, use estas opciones:

  • Configure un aplicador de políticas único para cada término.

  • Configure solo un aplicador de política, pero use un contador único y explícito en cada término.

Algoritmos Policer

La vigilancia utiliza el algoritmo token-bucket, que impone un límite en el ancho de banda promedio al tiempo que permite ráfagas de hasta un valor máximo especificado. Ofrece más flexibilidad que el algoritmo de cubo con fugas al permitir una cierta cantidad de tráfico de ráfagas antes de que comience a descartar paquetes.

Nota:

En un entorno de tráfico con ráfagas ligeras, es posible QFX5200 no replique todos los paquetes de multidifusión en dos o más interfaces descendentes. Esto solo ocurre en una ráfaga de velocidad de línea; si el tráfico es consistente, el problema no ocurre. Además, el problema solo se produce cuando el tamaño del paquete aumenta más allá de 6k en un flujo de tráfico de un gigabit.

¿Cuántos policías son compatibles?

QFX10000 conmutadores admiten aplicadores de 8K (todos los tipos de policías). Los conmutadores QFX5100 y QFX5200 admiten 1535 políticas de entrada y 1024 políticas de salida (suponiendo que un controlador por término de filtro de firewall). QFX5110 conmutadores admiten 6144 políticas de entrada y 1024 políticas de salida (suponiendo un aplicador de políticas por término de filtro de firewall).

QFX3500 y QFX3600 conmutadores independientes y dispositivos de nodo QFabric admiten los siguientes números de aplicadores de políticas (suponiendo que un controlador por término de filtro de firewall):

  • Aplicadores de dos colores utilizados en los filtros de firewall de entrada: 767

  • Aplicadores de política de tres colores utilizados en los filtros de firewall de entrada: 767

  • Aplicadores de dos colores utilizados en los filtros de firewall de salida: 1022

  • Aplicadores de políticas de tres colores utilizados en los filtros de firewall de salida: 512

Los responsables políticos pueden limitar los filtros de firewall de salida

En algunos conmutadores, el número de políticas de salida que configure puede afectar al número total de filtros de firewall de salida permitidos. Cada policía tiene dos contadores implícitos que ocupan dos entradas en un TCAM de 1024 entradas. Se usan para contadores, incluidos los contadores que están configurados como modificadores de acción en términos de filtro de firewall. (Los aplicadores de policía consumen dos entradas porque una se usa para paquetes verdes y otra se usa para paquetes no verdes, independientemente del tipo de aplicador). Si el TCAM se llena, no podrá confirmar más filtros de firewall de salida que tengan términos con contadores. Por ejemplo, si configura y confirma 512 policías de salida (de dos colores, de tres colores o una combinación de ambos tipos de policía), todas las entradas de memoria de los contadores se agotan. Si más adelante en el archivo de configuración inserta filtros de firewall de salida adicionales con términos que también incluyen contadores, ninguno de los términos de esos filtros se confirma porque no hay espacio de memoria disponible para los contadores.

Estos son algunos ejemplos adicionales:

  • Suponga que configura filtros de salida que incluyen un total de 512 policías y ningún contador. Más adelante en el archivo de configuración se incluye otro filtro de salida con 10 términos, 1 de los cuales tiene un modificador de contraacción. Ninguno de los términos de este filtro está confirmado porque no hay suficiente espacio TCAM para el contador.

  • Suponga que configura filtros de salida que incluyen un total de 500 policías, por lo que están ocupadas 1000 entradas TCAM. Más adelante en el archivo de configuración se incluyen los dos filtros de salida siguientes:

    • Filtro A con 20 términos y 20 contadores. Todos los términos de este filtro se confirman porque hay suficiente espacio TCAM para todos los contadores.

    • El filtro B viene después del filtro A y tiene cinco términos y cinco contadores. Ninguno de los términos de este filtro se confirma porque no hay suficiente espacio de memoria para todos los contadores. (Se requieren cinco entradas TCAM, pero solo cuatro están disponibles).

Puede evitar este problema asegurándose de que los términos del filtro de firewall de salida con acciones de contador se colocan antes en el archivo de configuración que los términos que incluyen aplicadores de directiva. En esta circunstancia, Junos OS confirma a los aplicadores incluso si no hay suficiente espacio TCAM para los contadores implícitos. Por ejemplo, suponga lo siguiente:

  • Tiene términos de filtro de firewall de salida 1024 con acciones contrarias.

  • Más adelante en el archivo de configuración tendrá un filtro de salida con 10 términos. Ninguno de los términos tiene contadores, pero uno tiene un modificador de acción de policía.

Puede confirmar correctamente el filtro con 10 términos aunque no haya suficiente espacio TCAM para los contadores implícitos del policía. El policía se compromete sin los contadores.