SUR CETTE PAGE
Exemple : Limitation du trafic entrant à la frontière de votre réseau en configurant un mécanisme de contrôle bicolore à débit unique d’entrée
Cet exemple vous montre comment configurer un mécanisme de contrôle bicolore à débit unique d’entrée pour filtrer le trafic entrant. Le responsable de la surveillance applique la stratégie de classe de service (CoS) pour le trafic sous contrat et hors contrat. Vous pouvez appliquer un mécanisme de contrôle bicolore à débit unique aux paquets entrants, sortants ou aux deux. Cet exemple applique le mécanisme de contrôle en tant que mécanisme de contrôle d’entrée (d’entrée). L’objectif de cette rubrique est de vous fournir une introduction au maintien de l’ordre à l’aide d’un exemple qui montre le maintien de l’ordre de la circulation en action.
Les mécanismes de contrôle utilisent un concept connu sous le nom de compartiment de jetons pour allouer des ressources système en fonction des paramètres définis pour le mécanisme de contrôle. Une explication détaillée du concept de compartiment de jetons et de ses algorithmes sous-jacents dépasse le cadre de ce document. Pour plus d’informations sur le contrôle de la circulation, et sur le CoS en général, reportez-vous à QOS-Enabled Networks—Tools and Foundations par Miguel Barreiros et Peter Lundqvist. Ce livre est disponible chez de nombreux libraires en ligne et chez www.juniper.net/books.
Exigences
Pour vérifier cette procédure, cet exemple utilise un générateur de trafic. Le générateur de trafic peut être matériel ou logiciel exécuté sur un serveur ou une machine hôte.
La fonctionnalité de cette procédure est largement prise en charge sur les périphériques qui exécutent Junos OS. L’exemple présenté ici a été testé et vérifié sur des routeurs MX Series exécutant Junos OS version 10.4.
Aperçu
Le contrôle bicolore à débit unique applique un débit configuré de flux de trafic pour un niveau de service particulier en appliquant des actions implicites ou configurées au trafic qui ne respecte pas les limites. Lorsque vous appliquez un mécanisme de contrôle bicolore à débit unique au trafic d’entrée ou de sortie au niveau d’une interface, le mécanisme de contrôle mesure le flux de trafic en fonction de la limite de débit définie par les composants suivants :
Limite de bande passante : nombre moyen de bits par seconde autorisé pour les paquets reçus ou transmis à l’interface. Vous pouvez spécifier la limite de bande passante sous la forme d’un nombre absolu de bits par seconde ou d’un pourcentage compris entre 1 et 100. Si une valeur de pourcentage est spécifiée, la limite de bande passante effective est calculée sous la forme d’un pourcentage du débit de support de l’interface physique ou du débit de mise en forme configurée de l’interface logique.
Limite de taille en rafale : taille maximale autorisée pour les rafales de données. La taille des rafales est mesurée en octets. Nous recommandons deux formules pour calculer la taille de la rafale :
Taille de la rafale = bande passante x temps autorisé pour le trafic en rafale / 8
Ou
Taille de rafale = mtu d’interface x 10
Pour plus d’informations sur la configuration de la taille de rafale, reportez-vous à la section Détermination de la taille de rafale appropriée pour les mécanismes de contrôle du trafic.
Note:Il y a un espace tampon fini pour une interface. En général, la profondeur totale de la mémoire tampon estimée pour une interface est d’environ 125 ms.
Pour un flux de trafic conforme aux limites configurées (catégorisé comme trafic vert), les paquets sont implicitement marqués d’un niveau de priorité de perte de paquets (PLP) faible et sont autorisés à traverser l’interface sans restriction.
Pour un flux de trafic qui dépasse les limites configurées (catégorisé comme trafic rouge), les paquets sont traités en fonction des actions de contrôle du trafic configurées pour le mécanisme de contrôle. Cet exemple ignore les paquets qui dépassent la limite de 15 Kbits/s.
Pour limiter le débit du trafic de couche 3, vous pouvez appliquer un mécanisme de contrôle à deux couleurs de l’une des manières suivantes :
Directement vers une interface logique, au niveau d’un protocole spécifique.
Il s’agit de l’action d’un filtre de pare-feu sans état standard appliqué à une interface logique, à un niveau de protocole spécifique. C’est la technique utilisée dans cet exemple.
Pour limiter le débit du trafic de couche 2, vous pouvez appliquer un mécanisme de contrôle bicolore en tant que mécanisme de contrôle d’interface logique uniquement. Vous ne pouvez pas appliquer un mécanisme de contrôle bicolore au trafic de couche 2 à travers un filtre de pare-feu.
Vous pouvez choisir la limite de bande passante ou le pourcentage de bande passante dans le mécanisme de contrôle, car ils s’excluent mutuellement. Vous ne pouvez pas configurer un mécanisme de contrôle pour qu’il utilise le pourcentage de bande passante pour les interfaces d’agrégation, de tunnel et logicielles.
Dans cet exemple, l’hôte est un générateur de trafic émulant un serveur web. Les appareils R1 et R2 appartiennent à un fournisseur de services. Les utilisateurs accèdent au serveur Web sur l’hôte de l’appareil2. L’hôte de périphérique1 enverra du trafic avec un port HTTP TCP source de 80 aux utilisateurs. Un mécanisme de contrôle bicolore à débit unique est configuré et appliqué à l’interface de l’appareil R1 qui se connecte à l’hôte d’appareil1. Le mécanisme de contrôle applique la disponibilité contractuelle de la bande passante établie entre le propriétaire du serveur Web et le fournisseur de services propriétaire de l’appareil R1 pour le trafic Web qui circule sur la liaison qui relie l’hôte de l’appareil 1 à l’appareil R1.
Conformément à la disponibilité contractuelle de la bande passante établie entre le propriétaire du serveur Web et le fournisseur de services propriétaire des périphériques R1 et R2, le contrôleur limitera le trafic du port HTTP 80 provenant de l’hôte de périphérique1 à l’utilisation de 700 Mbit/s (70 %) de la bande passante disponible avec un débit de rafale autorisé de 10 fois la taille MTU de l’interface Ethernet gigabit entre l’hôte hôte Hôte 1 et l’équipement R1.
Dans un scénario réel, vous appliqueriez probablement une limite de débit pour une variété d’autres ports tels que FTP, SFTP, SSH, TELNET, SMTP, IMAP et POP3, car ils sont souvent inclus en tant que services supplémentaires avec les services d’hébergement Web.
Vous devez laisser une bande passante supplémentaire disponible qui n’est pas limitée en débit pour les protocoles de contrôle réseau tels que les protocoles de routage, le DNS et tout autre protocole requis pour maintenir la connectivité réseau opérationnelle. C’est pourquoi le filtre de pare-feu comporte une condition d’acceptation finale.
Topologie
Cet exemple utilise la topologie de la Figure 1.
La figure 2 montre le comportement des forces de l’ordre.
Configuration
Procédure
- Configuration rapide de l’interface de ligne de commande
- Procédure étape par étape
- Procédure étape par étape
- Résultats
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
Appareil R1
set interfaces ge-2/0/5 description to-Host set interfaces ge-2/0/5 unit 0 family inet address 172.16.70.2/30 set interfaces ge-2/0/5 unit 0 family inet filter input mf-classifier set interfaces ge-2/0/8 description to-R2 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.1/30 set interfaces lo0 unit 0 description looback-interface set interfaces lo0 unit 0 family inet address 192.168.13.1/32 set firewall policer discard if-exceeding bandwidth-limit 700m set firewall policer discard if-exceeding burst-size-limit 15k set firewall policer discard then discard set firewall family inet filter mf-classifier term t1 from protocol tcp set firewall family inet filter mf-classifier term t1 from port 80 set firewall family inet filter mf-classifier term t1 then policer discard set firewall family inet filter mf-classifier term t2 then accept set protocols ospf area 0.0.0.0 interface ge-2/0/5.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Appareil R2
set interfaces ge-2/0/8 description to-R1 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.2/30 set interfaces ge-2/0/7 description to-Host set interfaces ge-2/0/7 unit 0 family inet address 172.16.80.2/30 set interfaces lo0 unit 0 description looback-interface set interfaces lo0 unit 0 family inet address 192.168.14.1/32 set protocols ospf area 0.0.0.0 interface ge-2/0/7.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer l’appareil R1 :
Configurez les interfaces de l’appareil.
[edit interfaces] user@R1# set ge-2/0/5 description to-Host user@R1# set ge-2/0/5 unit 0 family inet address 172.16.70.2/30 user@R1# set ge-2/0/8 description to-R2 user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.1/30 user@R1# set lo0 unit 0 description looback-interface user@R1# set lo0 unit 0 family inet address 192.168.13.1/32
Appliquez le filtre de pare-feu à l’interface ge-2/0/5 en tant que filtre d’entrée.
[edit interfaces ge-2/0/5 unit 0 family inet] user@R1# set filter input mf-classifier
Configurez le mécanisme de contrôle pour limiter le débit à une bande passante de 700 Mbits/s et à une taille de rafale de 15 000 Ko pour le trafic HTTP (port TCP 80).
[edit firewall policer discard] user@R1# set if-exceeding bandwidth-limit 700m user@R1# set if-exceeding burst-size-limit 15k
Configurez le mécanisme de contrôle pour qu’il rejette les paquets dans le flux de trafic rouge.
[edit firewall policer discard] user@R1# set then discard
Configurez les deux conditions du pare-feu pour qu’il accepte tout le trafic TCP vers le port HTTP (port 80).
[edit firewall family inet filter mf-classifier] user@R1# set term t1 from protocol tcp user@R1# set term t1 from port 80
Configurez l’action de pare-feu pour limiter le débit du trafic TCP HTTP à l’aide du mécanisme de contrôle.
[edit firewall family inet filter mf-classifier] user@R1# set term t1 then policer discard
À la fin du filtre de pare-feu, configurez une action par défaut qui accepte tout le reste du trafic.
Dans le cas contraire, tout le trafic qui arrive sur l’interface et qui n’est pas explicitement accepté par le pare-feu est ignoré.
[edit firewall family inet filter mf-classifier] user@R1# set term t2 then accept
Configurez OSPF.
[edit protocols ospf] user@R1# set area 0.0.0.0 interface ge-2/0/5.0 passive user@R1# set area 0.0.0.0 interface lo0.0 passive user@R1# set area 0.0.0.0 interface ge-2/0/8.0
Procédure étape par étape
Pour configurer l’appareil R2 :
Configurez les interfaces de l’appareil.
[edit interfaces] user@R1# set ge-2/0/8 description to-R1 user@R1# set ge-2/0/7 description to-Host user@R1# set lo0 unit 0 description looback-interface user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.2/30 user@R1# set ge-2/0/7 unit 0 family inet address 172.16.80.2/30 user@R1# set lo0 unit 0 family inet address 192.168.14.1/32
Configurez OSPF.
[edit protocols ospf] user@R1# set area 0.0.0.0 interface ge-2/0/7.0 passive user@R1# set area 0.0.0.0 interface lo0.0 passive user@R1# set area 0.0.0.0 interface ge-2/0/8.0
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les show interfaces commandes , show firewallet show protocols ospf . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@R1# show interfaces
ge-2/0/5 {
description to-Host;
unit 0 {
family inet {
filter {
input mf-classifier;
}
address 172.16.70.2/30;
}
}
}
ge-2/0/8 {
description to-R2;
unit 0 {
family inet {
address 10.50.0.1/30;
}
}
}
lo0 {
unit 0 {
description looback-interface;
family inet {
address 192.168.13.1/32;
}
}
}
user@R1# show firewall
family inet {
filter mf-classifier {
term t1 {
from {
protocol tcp;
port 80;
}
then policer discard;
}
term t2 {
then accept;
}
}
}
policer discard {
if-exceeding {
bandwidth-limit 700m;
burst-size-limit 15k;
}
then discard;
}
user@R1# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/5.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-2/0/8.0;
}
Si vous avez terminé de configurer l’appareil R1, passez commit en mode de configuration.
user@R2# show interfaces
ge-2/0/7 {
description to-Host;
unit 0 {
family inet {
address 172.16.80.2/30;
}
}
}
ge-2/0/8 {
description to-R1;
unit 0 {
family inet {
address 10.50.0.2/30;
}
}
}
lo0 {
unit 0 {
description looback-interface;
family inet {
address 192.168.14.1/32;
}
}
}
user@R2# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/7.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-2/0/8.0;
}
Si vous avez terminé de configurer le périphérique R2, passez en commit mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vidage des compteurs
But
Vérifiez que les compteurs de pare-feu sont effacés.
Action
Sur l’appareil R1, exécutez la clear firewall all commande pour réinitialiser les compteurs du pare-feu à 0.
user@R1> clear firewall all
Envoi de trafic TCP dans le réseau et surveillance des rejets
But
Assurez-vous que le trafic d’intérêt envoyé est limité en débit sur l’interface d’entrée (ge-2/0/5).
Action
Utilisez un générateur de trafic pour envoyer 10 paquets TCP avec un port source de 80.
L’option -s définit le port source. L’option -k permet au port source de rester stable à 80 au lieu de s’incrémenter. L’option -c définit le nombre de paquets sur 10. L’option -d définit la taille du paquet.
L’adresse IP de destination 172.16.80.1 appartient à l’hôte de périphérique 2 qui est connecté à l’appareil R2. L’utilisateur de l’hôte de périphérique 2 a demandé une page Web à l’hôte de périphérique 1 (le serveur Web émulé par le générateur de trafic sur l’hôte de périphérique 1). Les paquets dont le débit est limité sont envoyés par l’hôte de périphérique 1 en réponse à la demande de l’hôte de périphérique 2.
Note:Dans cet exemple, les numéros de contrôle sont réduits à une limite de bande passante de 8 Kbits/s et à une limite de taille de rafale de 1500 Kbits/s pour garantir que certains paquets sont abandonnés pendant ce test.
[root@host]# hping 172.16.80.1 -c 10 -s 80 -k -d 300 [User@Host]# hping 172.16.80.1 -c 10 -s 80 -k -d 350 HPING 172.16.80.1 (eth1 172.16.80.1): NO FLAGS are set, 40 headers + 350 data bytes len=46 ip=172.16.80.1 ttl=62 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=0.5 ms . . . --- 172.16.80.1 hping statistic --- 10 packets transmitted, 6 packets received, 40% packet loss round-trip min/avg/max = 0.5/3000.8/7001.3 ms
Sur l’appareil R1, vérifiez les compteurs du pare-feu à l’aide de la
show firewallcommande.user@R1> show firewall User@R1# run show firewall Filter: __default_bpdu_filter__ Filter: mf-classifier Policers: Name Bytes Packets discard-t1 1560 4
Sens
Dans les étapes 1 et 2, la sortie des deux périphériques montre que 4 paquets ont été rejetés Cela signifie qu’il y avait au moins 8 Kbits/s de trafic vert (port HTTP 80 sous contrat) et que l’option de rafale de 1500 Ko pour le trafic HTTP rouge hors contrat port 80 a été dépassée.