Глава 3. Policing

Материал из Juniper Exam Wiki
Перейти к: навигация, поиск

В общем

  • Первая ступень управления трафиком при заторах. Использует bandwidth threshold and max burst size. Может управлять трафиком (назначать PLP, forw-class), который превысил оба порога (не только шейпить).
  • Применяются ограничения bandwidth для вх и исх трафика.
  • Обеспечивает соблюдение SLA.
  • Определяет трафик как: in-profile (трафик не превысивший threshold) и out-profile (трафик, превысивший threshold).

Особенности

- Для создания policer:

-bandwidth threshold + max burst size
-действие: reject, discard, ...

- Применяется:

- на интерфейс.
- в качестве действия внутри firewall filter, firewall filter вешается на интерфейс.

- Использует token-bucket алгоритм: есть некий burst, до того, как начать влиять на трафик.

Hard/Soft

Hard: Все что выходит за рамки ограничения - дропается.

Soft: Трафик который превышает лимит:

  1. Он "поступает" на устройство, но направляется в определенный forwarding class.
  2. Он попадает на устройство, но ему присваивается определенное значение PLP, по которому в случае заторов он будет отброшен шедулерами.

Параметры

CIR, CBS: commited information rate (бит/с) / burst size (байт): зеленый - кол-во трафика < CBS - точняк пройдет (in-profile).

PIR, PBS/EBS: peak information rate (бит/с), peak/exceed burst size (байт): то, что < PBS - пройдет, но в случае заторов пакеты могут быть дропнуты. То что больше - будет дропаться (out-of-profile).

Single-rate two-color policer

  • Один threshold по скорости (CIR)
  • Один burst threshold, с помощью которого создается 2 цвета, в которые может быть "окрашен" трафик. (CBS)
  • Трафик, превышающий CIR + CBS => discard / set forwarding class / set PLP

Config

blair> show configuration firewall policer 100m                                                                        
if-exceeding {
   bandwidth-limit 100m;        = CIR
   burst-size-limit 2500000; }  = CBS
then discard;

Tricolor marking policers

Также не только драпает трафик, а можно задавать PLP в зависимости от значений CIR, PIR, CBS, EBS.

Single-rate tricolor marking policy

Полисинг основан на двух burst thresholds.

  • Один threshold по скорости (CIR)
  • Два burst size threshold (CBS, EBS). Что дает создать 3 цвета для "окраски" трафика.
  • Назначение цветов:
  • < CBS - зеленый = low PLP
  • CBS < x < EBS - желтый = medium-high PLP
  • > EBS - красный - high PLP

Config

[edit firewall]
	three-color-policer 100m {
		single-rate { 
			(color-aware|color-blind);         - можно задать. Что это - будет описано ниже.
			committed-information-rate 90m;    = CIR
			committed-burst-size 10m;          = CBS
			excess-burst-size 100m;}.          = EBS
		logical-interface-policer; 
		action {
			loss-priority high then discard; }}
	family inet {
		filter 100m { 
			term 1 {
				then {
					three-color-policer 100m;}}}}
[edit interfaces]
	ge-0/0/0 {
		unit 110 {
			family inet {
				filter {
					input 100m; }}}}}

Two-rate tricolor marking policy

Полисинг основан на 2х bandwidth thresholds.

  • Два thresholds по скорости (CIR, PIR). Это уже создает 3 цвета для "окраски" трафика.
  • Два burst size threshold (CBS, PBS).
  • Markings:
  • < CIR+CBS - зеленый = low PLP
  • CIR+CBS < x < PIR+PBS - желтый = medium-low PLP
  • > PIR+PBS - красный = high PLP

Config

 [edit firewall]
 three-color-policer 50-60m {
	two-rate {
		committed-information-rate 50m;
		committed-burst-size 1500;
		peak-information-rate 60m;
		peak-burst-size 1500; }}
 family inet {
 	filter 50-60m { 
 		term 1 {
 			then {
 				three-color-policer 50-60m;}}}}
 [edit interfaces]
 	ge-0/0/0 {
 		unit 110 {
 			family inet {
 				filter {
 					input 50-60m; }}}}}

Color-blind mode

Policer не рассматривает предыдущее окрашивание пакета. Любые прежние настройки - игнорируются. PLP назначайся в соответствии с настройками policer.

Color-aware mode

Policer учитывает предыдущую окраску пакета.

При обработке single-rate tricolor и two-rate tricolor на выходе получается пакет с результирующей меткой PLP + учитывается текущее прохождение пакета.

PLP может увеличиваться, оставаться прежним, но не уменьшаться.

По умолчанию tricolor mode включён только на М120 и МХ серии.

Для остальных включается руками:

[edit class-of-service]
   tri-color;

Application

Interface policers

  • Не часть firewall filter.
  • Можно применить к: protocol family, logical int, physical int.
  • Можно применить на input и output.

Configuration

Для protocol family:

blair# top show | compare 
[edit interfaces ge-0/0/0 unit 110 family inet]
      policer {
          input 100m;
          output 100m; }
[edit firewall]
  policer 100m {
      if-exceeding {
          bandwidth-limit 100m;
          burst-size-limit 250k; }
      then discard | forwarding-class | loss-priority; }

В таком случае threshold по трафику на каждую family будет 100 Мбит.

Для Logical interface policers: полисер применяется к family на интерфейсе, но threshold теперь применяется ко всем family в unit сразу. То есть в нашем случае в общем на ge-0/0/0.110 будет ограничение 100m.

[edit firewall policer 100m]
+   logical-interface-policer;

Policing using a firewall filter

  • Можно применять полисеры внутри ff: тогда в then нужно указать не терминирующее действие, а назначение policer.
  • Могут применяться только к family
  • Могут применяться на in/out

Configuration

hard:

[edit firewall family inet]
    filter hard {
        term 1 {
            from {
                source-address {
                    10.200.86.3/32 except; }}
            then {
                policer hard-100m;
                accept; }}
        term all-accept {
            then accept; }}
[edit firewall]
  policer hard-100m {
      if-exceeding {
          bandwidth-limit 100m;
          burst-size-limit 250k;}
      then discard;}

soft:

[edit firewall family inet]
    filter soft {
        term 1 {
            from {
                source-address {
                    10.200.86.3/32 except; }}
            then {
                policer soft-100m;
                forwarding-class expedited-forwarding;
                accept; }}
        term all-accept {
            then accept; }}
[edit firewall]
  policer soft-100m {
      if-exceeding {
          bandwidth-limit 100m;
          burst-size-limit 250k; }
      then forwarding-class best-effort; }

В этом случае трафику, in-of-profile будет назначен fw-class expedited-forwarding, а трафику попадающему в out-of-profile - best-effort (default).

Filter-specific policer: применяется к term, на все термы суммарно будет одно общее ограничение. Применяется для выделения разных типов трафика, но policing над ними будет делаться как над одним потоком.

set firewall policer hard filter-specific
set firewall policer hard if-exceeding bandwidth-limit 100m
set firewall policer hard if-exceeding burst-size-limit 250k
set firewall policer hard then discard
set firewall family inet filter hard-f term A from source-address 10.200.86.5/32
set firewall family inet filter hard-f term A then policer hard
set firewall family inet filter hard-f term A then accept
set firewall family inet filter hard-f term B from source-address 10.200.86.3/32
set firewall family inet filter hard-f term B then policer hard
set firewall family inet filter hard-f term B then accept
set firewall family inet filter hard-f term all-other then accept
set interfaces ge-0/0/0 unit 110 family inet filter hard-f

В случае с single-rate/two-rate tricolor marking полисеры и фильтры выглядят по-другому:

set firewall three-color-policer srTCM-A single-rate color-blind
set firewall three-color-policer srTCM-A single-rate committed-information-rate 500m
set firewall three-color-policer srTCM-A single-rate committed-burst-size 1m
set firewall three-color-policer srTCM-A single-rate excess-burst-size 5m

set firewall family inet filter TCM-fil term A then three-color-policer single-rate srTCM-A
set interfaces ge-0/0/0 unit 110 family inet filter TCM-fil

Physical interface policer

ну и для two-rate не сложно догадаться как будет выглядеть.

Physical interface policer

Дает возможность создать аггрегированный полисер для одного физического интерфейса. Может быть полезным, если хочется создать общий полисер для разных family и разных unit на одном физическом интерфейсе.

set firewall policer int-poli physical-interface-policer
set firewall policer int-poli if-exceeding bandwidth-limit 100m
set firewall policer int-poli if-exceeding burst-size-limit 200k
set firewall policer int-poli then forwarding-class best-effort
set firewall family inet filter phys-int physical-interface-filter
set firewall family inet filter phys-int term A then policer int-poli
set firewall family inet filter phys-int term A then accept
set interfaces ge-1/0/5 unit 0 family inet filter input phys-int
set interfaces ge-1/0/5 unit 0 family inet6 filter input phys-int
set interfaces ge-1/0/5 unit 2 family inet filter input phys-int
set interfaces ge-1/0/5 unit 2 family inet6 filter input phys-int

В этом случае полисер 100 Мбит будет общим для всего физического интерфейса.

Policiers + Firewalls

Можно одновременно повесить на интерфейс и policer и filter.

Вх. трафик будет обрабатываться: 1.policer => 2.filter

Исх. трафик будет обрабатываться: 1.filter => 1.policer