SUR CETTE PAGE
Exemple : Limitation du trafic sortant au sein de votre réseau en configurant un mécanisme de contrôle bicolore à débit unique de sortie et en configurant des classificateurs multichamps
Cet exemple montre comment limiter le trafic client au sein de votre réseau à l’aide d’un mécanisme de contrôle bicolore à débit unique. Les mécanismes de contrôle utilisent un concept connu sous le nom de compartiment de jetons pour identifier le trafic à abandonner. Le mécanisme de contrôle applique la stratégie de classe de service (CoS) du trafic contractuel et hors contrat au niveau de l’interface. Vous pouvez appliquer un mécanisme de contrôle bicolore à débit unique aux paquets entrants, sortants ou aux deux. Cet exemple applique le mécanisme de contrôle en tant que mécanisme de contrôle de sortie (sortie) pour le trafic sortant. L’option de mise en file d’attente CoS du classificateur à champs multiples place le trafic dans les files d’attente affectées, ce qui vous aidera à gérer l’utilisation des ressources au niveau de l’interface de sortie en appliquant ultérieurement la planification et la mise en forme.
Une explication détaillée du concept de compartiment de jetons et de ses algorithmes sous-jacents dépasse le cadre de ce document. Pour plus d’informations sur le contrôle de la circulation, et sur le CoS en général, reportez-vous à QOS-Enabled Networks—Tools and Foundations par Miguel Barreiros et Peter Lundqvist. Ce livre est disponible chez de nombreux libraires en ligne et chez www.juniper.net/books.
Exigences
Pour vérifier cette procédure, cet exemple utilise un générateur de trafic. Le générateur de trafic peut être matériel ou logiciel exécuté sur un serveur ou une machine hôte.
La fonctionnalité de cette procédure est largement prise en charge sur les périphériques qui exécutent Junos OS. L’exemple présenté ici a été testé et vérifié sur des routeurs MX Series exécutant Junos OS version 10.4.
Aperçu
Police
Le contrôle bicolore à débit unique applique un débit configuré de flux de trafic pour un niveau de service particulier en appliquant des actions implicites ou configurées au trafic qui ne respecte pas les limites. Lorsque vous appliquez un mécanisme de contrôle bicolore à débit unique au trafic d’entrée ou de sortie au niveau d’une interface, le mécanisme de contrôle mesure le flux de trafic en fonction de la limite de débit définie par les composants suivants :
Limite de bande passante : nombre moyen de bits par seconde autorisé pour les paquets reçus ou transmis à l’interface. Vous pouvez spécifier la limite de bande passante sous la forme d’un nombre absolu de bits par seconde ou d’un pourcentage compris entre 1 et 100. Si une valeur de pourcentage est spécifiée, la limite de bande passante effective est calculée sous la forme d’un pourcentage du débit de support de l’interface physique ou du débit de mise en forme configurée de l’interface logique.
Limite de taille en rafale : taille maximale autorisée pour les rafales de données. La taille des rafales est mesurée en octets. Nous recommandons deux formules pour calculer la taille de la rafale :
Taille de la rafale = bande passante x temps autorisé pour le trafic en rafale / 8
Ou
Taille de rafale = mtu d’interface x 10
Pour plus d’informations sur la configuration de la taille de rafale, reportez-vous à la section Détermination de la taille de rafale appropriée pour les mécanismes de contrôle du trafic.
Note:Il y a un espace tampon fini pour une interface. En général, la profondeur totale de la mémoire tampon estimée pour une interface est d’environ 125 ms.
Pour un flux de trafic conforme aux limites configurées (catégorisé comme trafic vert), les paquets sont implicitement marqués d’un niveau de priorité de perte de paquets (PLP) de low et sont autorisés à traverser l’interface sans restriction.
Pour un flux de trafic qui dépasse les limites configurées (catégorisé comme trafic rouge), les paquets sont traités en fonction des actions de contrôle du trafic configurées pour le mécanisme de contrôle. Cet exemple ignore les paquets qui dépassent la limite de 15 Kbits/s.
Pour limiter le débit du trafic de couche 3, vous pouvez appliquer un mécanisme de contrôle à deux couleurs de l’une des manières suivantes :
Directement vers une interface logique, au niveau d’un protocole spécifique.
Il s’agit de l’action d’un filtre de pare-feu sans état standard appliqué à une interface logique, à un niveau de protocole spécifique. C’est la technique utilisée dans cet exemple.
Pour limiter le débit du trafic de couche 2, vous pouvez appliquer un mécanisme de contrôle bicolore en tant que mécanisme de contrôle d’interface logique uniquement. Vous ne pouvez pas appliquer un mécanisme de contrôle bicolore au trafic de couche 2 à travers un filtre de pare-feu.
Vous pouvez choisir la limite de bande passante ou le pourcentage de bande passante dans le mécanisme de contrôle, car ils s’excluent mutuellement. Vous ne pouvez pas configurer un mécanisme de contrôle pour qu’il utilise le pourcentage de bande passante pour les interfaces d’agrégation, de tunnel et logicielles.
Dans cet exemple, comme illustré à la figure 1, Host1 connecté à l’appareil R1 et Host3 connecté à l’appareil R3 sont des générateurs de trafic émulant des serveurs Web. Host1 et Host3 envoient tous deux du trafic vers Host2 derrière l’appareil R2. Les appareils R1, R2 et R3 appartiennent à un fournisseur de services. Host1 est accédé par les utilisateurs sur Host2 derrière R2. Host1 et Host2 appartiennent au même client et leur trafic doit être géré. Host1 enverra du trafic avec un port HTTP TCP source de 80 aux utilisateurs. Un mécanisme de contrôle bicolore à débit unique est configuré et appliqué à l’interface sur R1 qui se connecte à R2. Le contrôleur applique le contrat convenu entre le propriétaire du serveur Web et le fournisseur de services pour la bande passante disponible pour le trafic Web circulant entre R1 et R2.
Cet exemple applique un mécanisme de contrôle de sortie entre R1 et R2, car il s’agit du point où le trafic des deux sites clients partage le même lien. Il est ainsi plus facile d’appliquer les paramètres de contrôle requis. Il serait compliqué d’essayer de limiter le débit du trafic client combiné sur la liaison entre R1 et R2 en appliquant les mécanismes de contrôle d’entrée sur les interfaces ge-0/0/0 sur R3 et ge-2/0/5 sur R1 parce qu’en utilisant le débit contractuel de 700 Mbps (70 %) de la bande passante disponible avec un débit en rafale admissible de 10 fois la taille MTU de l’interface Ethernet gigabit entre Host3 et R3 et Host1 et R1 permettrait d’atteindre un débit maximal de 1400 Mbit/s sur la liaison entre R1 et R2.
Par conséquent, la limitation de débit appliquée aux connexions de l’hôte entre les hôtes et R3 et R1 devrait être réduite en dessous de 700 Mbit/s. Le calcul de ce à quoi il faut réduire le nombre limite de débit serait un problème, car le simple fait de réduire chaque hôte à 350 Mbit/s signifierait que si un hôte transmettait du trafic alors que l’autre hôte ne transmettait pas, le débit maximal sur la liaison entre R1 et R2 ne serait que la moitié du débit contractuel (350 Mbit/s au lieu de 700 Mbit/s). C’est pourquoi cet exemple est utile pour montrer la quantité de réflexion qui doit être menée dans l’application de la CoS dans un réseau pour atteindre les objectifs souhaités.
En fonction de la disponibilité contractuelle de la bande passante, le mécanisme de contrôle de la sortie sur R1 limitera le trafic du port HTTP 80 provenant de l’hôte 1 à l’utilisation de 700 Mbit/s (70 %) de la bande passante disponible avec un débit en rafale admissible de 10 fois la taille MTU de l’interface Ethernet gigabit entre R1 et R2.
Le trafic supplémentaire du port source TCP 12345 est utilisé dans cet exemple pour illustrer plus en détail la façon dont le trafic est alloué aux files d’attente sortantes.
Dans un scénario réel, vous limiteriez probablement le débit du trafic pour une variété d’autres ports tels que FTP, SFTP, SSH, TELNET, SMTP, IMAP et POP3, car ils sont souvent inclus en tant que services supplémentaires avec les services d’hébergement Web.
Vous devez laisser une bande passante supplémentaire disponible qui n’est pas limitée en débit pour les protocoles de contrôle réseau tels que les protocoles de routage, le DNS et tout autre protocole requis pour maintenir la connectivité réseau opérationnelle. C’est pourquoi le filtre de pare-feu comporte une condition d’acceptation finale.
Topologie
Cet exemple utilise la topologie de la Figure 2.
La figure 3 montre le comportement des policiers.
Classification multichamps
Un classificateur est une opération logicielle qu’un routeur ou un commutateur utilise pour inspecter et classer un paquet une fois qu’il a franchi n’importe quel contrôle, si le contrôle est configuré. Au cours de la classification, le contenu de l’en-tête du paquet est examiné, et cet examen détermine la façon dont le paquet est traité lorsque l’interface sortante devient trop chargée pour gérer tous les paquets et que vous souhaitez que votre périphérique abandonne les paquets intelligemment, au lieu de les abandonner indistinctement. Une façon courante de détecter les paquets d’intérêt est le numéro de port source. Les numéros de port source TCP 80 et 12345 sont utilisés dans cet exemple, mais de nombreux autres critères de correspondance pour la détection de paquets sont disponibles pour les classificateurs à champs multiples, à l’aide des conditions de correspondance du filtre de pare-feu. La configuration de cet exemple spécifie que les paquets TCP avec un port source 80 sont classés dans la classe de transfert de données BE et le numéro de file d’attente 0, et que les paquets TCP avec un port source 12345 sont classés dans la classe de transfert de données Premium et le numéro de file d’attente 1. Le trafic provenant des deux numéros de port est d’abord surveillé par le mécanisme de contrôle. Si le trafic passe par le mécanisme de contrôle, il est transféré à l’interface sortante dans la file d’attente affectée pour transmission.
Les classificateurs multichamps sont généralement utilisés à la périphérie du réseau lorsque les paquets entrent dans un système autonome (AS). Cependant, comme expliqué précédemment dans la section sur le contrôle, dans cet exemple, le classificateur à champs multiples est configuré dans l’AS du fournisseur de services.
Dans cet exemple, vous configurez le filtre mf-classifier de pare-feu et spécifiez des classes de transfert personnalisées sur R1. En spécifiant les classes de transfert personnalisées, vous associez également chaque classe à une file d’attente.
Le fonctionnement du classificateur est illustré à la Figure 4.
source TCP
Vous surveillez le comportement des files d’attente sur les interfaces sur lesquelles le trafic est transmis. Dans cet exemple, pour déterminer comment les files d’attente sont traitées, vous examinez les statistiques de trafic sur l’interface ge-2/0/8 sur R1 à l’aide de l’option extensive de la show interfaces commande.
Configuration
Procédure
- Configuration rapide de l’interface de ligne de commande
- Procédure étape par étape
- Procédure étape par étape
- Procédure étape par étape
- Résultats
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
Appareil R1
set interfaces ge-0/0/1 description to-R3 set interfaces ge-0/0/1 unit 0 family inet address 10.51.0.1/30 set interfaces ge-2/0/5 description to-Host set interfaces ge-2/0/5 unit 0 family inet address 172.16.70.2/30 set interfaces ge-2/0/8 description to-R2 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.1/30 set interfaces ge-2/0/8 unit 0 family inet filter output mf-classifier set interfaces lo0 unit 0 description loopback-interface set interfaces lo0 unit 0 family inet address 192.168.13.1/32 set firewall policer discard if-exceeding bandwidth-limit 700m set firewall policer discard if-exceeding burst-size-limit 15k set firewall policer discard then discard set class-of-service forwarding-classes class BE-data queue-num 0 set class-of-service forwarding-classes class Premium-data queue-num 1 set class-of-service forwarding-classes class Voice queue-num 2 set class-of-service forwarding-classes class NC queue-num 3 set firewall family inet filter mf-classifier term BE-data from protocol tcp set firewall family inet filter mf-classifier term BE-data from port http set firewall family inet filter mf-classifier term BE-data then forwarding-class BE-data set firewall family inet filter mf-classifier term BE-data then policer discard set firewall family inet filter mf-classifier term Premium-data from protocol tcp set firewall family inet filter mf-classifier term Premium-data from port 12345 set firewall family inet filter mf-classifier term Premium-data then forwarding-class Premium-data set firewall family inet filter mf-classifier term Premium-data then policer discard set firewall family inet filter mf-classifier term accept then accept set protocols ospf area 0.0.0.0 interface ge-2/0/5.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Appareil R2
set interfaces ge-2/0/7 description to-Host set interfaces ge-2/0/7 unit 0 family inet address 172.16.80.2/30 set interfaces ge-2/0/8 description to-R1 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.2/30 set interfaces lo0 unit 0 description loopback-interface set interfaces lo0 unit 0 family inet address 192.168.14.1/32 set protocols ospf area 0.0.0.0 interface ge-2/0/7.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Appareil R3
set interfaces ge-0/0/0 description to-Host set interfaces ge-0/0/0 unit 0 family inet address 172.16.71.1/30 set interfaces ge-0/0/1 description to-R1 set interfaces ge-0/0/1 unit 0 family inet address 10.51.0.2/30 set interfaces lo0 unit 0 description loopback-interface set interfaces lo0 unit 0 family inet address 192.168.15.1/32 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-0/0/1.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer R1 :
Configurez les interfaces de l’appareil.
[edit interfaces] user@R1# set ge-0/0/1 description to-R3 user@R1# set ge-0/0/1 unit 0 family inet address 10.51.0.1/30 user@R1# set ge-2/0/5 description to-Host user@R1# set ge-2/0/5 unit 0 family inet address 172.16.70.2/30 user@R1# set ge-2/0/8 description to-R2 user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.1/30
Configurez le mécanisme de contrôle pour qu’il limite le débit à une bande passante de 700 Mbits/s et à une taille de rafale de 15 Kbits/s.
[edit firewall policer discard] user@R1# set if-exceeding bandwidth-limit 700m user@R1# set if-exceeding burst-size-limit 15k
Configurez le mécanisme de contrôle pour qu’il rejette les paquets dans le flux de trafic rouge.
[edit firewall policer discard] user@R1# set then discard
Configurez les classes de transfert personnalisées et les numéros de file d’attente associés.
[edit class-of-service forwarding-classes] user@R1# set class BE-data queue-num 0 user@R1# set class Premium-data queue-num 1 user@R1# set class Voice queue-num 2 user@R1# set class NC queue-num 3
Configurez le terme de filtre de pare-feu qui place le trafic TCP avec un port source de 80 (trafic HTTP) dans la classe de transfert de données BE, associée à la file d’attente 0.
[edit firewall family inet filter mf-classifier] user@R1# set term BE-data from protocol tcp user@R1# set term BE-data from port http user@R1# set term BE-data then forwarding-class BE-data user@R1# set term BE-data then policer discard
Configurez le terme de filtre de pare-feu qui place le trafic TCP avec un port source de 12345 dans la classe de transfert de données Premium, associée à la file d’attente 1.
[edit firewall family inet filter mf-classifier] user@R1# set term Premium-data from protocol tcp user@R1# set term Premium-data from port 12345 user@R1# set term Premium-data then forwarding-class Premium-data user@R1# set term Premium-data then policer discard
À la fin du filtre de votre pare-feu, configurez un terme par défaut qui accepte tout le reste du trafic.
Dans le cas contraire, tout le trafic qui arrive sur l’interface et qui n’est pas explicitement accepté par le filtre de pare-feu est ignoré.
[edit firewall family inet filter mf-classifier] user@R1# set term accept then accept
Appliquez le filtre de pare-feu à l’interface ge-2/0/8 en tant que filtre de sortie.
[edit interfaces] user@R1# set ge-2/0/8 unit 0 family inet filter output mf-classifier
Configurez OSPF.
[edit protocols ospf] user@R1# set area 0.0.0.0 interface ge-2/0/5.0 passive user@R1# set area 0.0.0.0 interface lo0.0 passive user@R1# set area 0.0.0.0 interface ge-0/0/1.0 user@R1# set area 0.0.0.0 interface ge-2/0/8.0
Procédure étape par étape
Pour configurer R2 :
Configurez les interfaces de l’appareil.
[edit] user@R2# set interfaces ge-2/0/7 description to-Host user@R2# set interfaces ge-2/0/7 unit 0 family inet address 172.16.80.2/30 user@R2# set interfaces ge-2/0/8 description to-R1 user@R2# set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.2/30 user@R2# set interfaces lo0 unit 0 description loopback-interface user@R2# set interfaces lo0 unit 0 family inet address 192.168.14.1/32
Configurez OSPF.
[edit protocols ospf] user@R2# set area 0.0.0.0 interface ge-2/0/7.0 passive user@R2# set area 0.0.0.0 interface lo0.0 passive user@R2# set area 0.0.0.0 interface ge-2/0/8.0
Procédure étape par étape
Pour configurer R3 :
Configurez les interfaces.
[edit] user@R3# set interfaces ge-0/0/0 description to-Host user@R3# set interfaces ge-0/0/0 unit 0 family inet address 172.16.71.1/30 user@R3# set interfaces ge-0/0/1 description to-R1 user@R3# set interfaces ge-0/0/1 unit 0 family inet address 10.51.0.2/30 user@R3# set interfaces lo0 unit 0 description loopback-interface user@R3# set interfaces lo0 unit 0 family inet address 192.168.15.1/32
Configurer OSPF
[edit protocols ospf] user@R3# set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 passive user@R3# set protocols ospf area 0.0.0.0 interface lo0.0 passive user@R3# set protocols ospf area 0.0.0.0 interface ge-0/0/1.0
Résultats
À partir du mode de configuration, confirmez votre configuration en saisissant les show interfacescommandes , show class-of-service, show firewallet show protocols ospf . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@R1# show interfaces
ge-0/0/1 {
description to-R3;
unit 0 {
family inet {
address 10.51.0.1/30;
}
}
}
}
ge-2/0/5 {
description to-Host;
unit 0 {
family inet {
address 172.16.70.2/30;
}
}
}
ge-2/0/8 {
description to-R2;
unit 0 {
family inet {
filter {
output mf-classifier;
}
address 10.50.0.1/30;
}
}
}
lo0 {
unit 0 {
description loopback-interface;
family inet {
address 192.168.13.1/32;
}
}
}
user@R1# show class-of-service
forwarding-classes {
class BE-data queue-num 0;
class Premium-data queue-num 1;
class Voice queue-num 2;
class NC queue-num 3;
}
user@R1# show firewall
family inet {
filter mf-classifier {
term BE-data {
from {
protocol tcp;
port http;
}
then {
policer discard;
forwarding-class BE-data;
}
}
term Premium-data {
from {
protocol tcp;
port 12345;
}
then {
policer discard;
forwarding-class Premium-data;
}
}
term accept {
then accept;
}
}
}
policer discard {
if-exceeding {
bandwidth-limit 700m;
burst-size-limit 15k;
}
then discard;
}
user@R1# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/5.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-0/0/1.0;
interface ge-2/0/8.0;
}
Si vous avez terminé de configurer R1, passez commit en mode de configuration.
user@R2# show interfaces
ge-2/0/7 {
description to-Host;
unit 0 {
family inet {
address 172.16.80.2/30;
}
}
}
ge-2/0/8 {
description to-R1;
unit 0 {
family inet {
address 10.50.0.2/30;
}
}
}
lo0 {
unit 0 {
description loopback-interface;
family inet {
address 192.168.14.1/32;
}
}
}
user@R2# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/7.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-2/0/8.0;
}
Si vous avez terminé de configurer R2, passez commit en mode de configuration.
user@R3# show interfaces
ge-0/0/0 {
description to-Host;
unit 0 {
family inet {
address 172.16.71.2/30;
}
}
}
ge-0/0/1 {
description to-R1;
unit 0 {
family inet {
address 10.51.0.2/30;
}
}
}
lo0 {
unit 0 {
description loopback-interface;
family inet {
address 192.168.15.1/32;
}
}
}
user@R3# show protocols ospf
area 0.0.0.0 {
interface ge-0/0/0.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-0/0/1.0;
}
Si vous avez terminé de configurer R3, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification des paramètres CoS
- Vidage des compteurs
- Envoi de trafic sur le réseau à partir du port HTTP TCP 80 et surveillance des résultats
- Envoi de trafic sur le réseau à partir du port TCP 12345 et surveillance des résultats
Vérification des paramètres CoS
But
Vérifiez que les classes de transfert sont correctement configurées.
Action
À partir de R1, exécutez la show class-of-service forwarding-class commande.
user@R1> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority BE-data 0 0 0 low normal low Premium-data 1 1 1 low normal low Voice 2 2 2 low normal low NC 3 3 3 low normal low
Sens
La sortie affiche les paramètres du classificateur personnalisé configuré.
Vidage des compteurs
But
Vérifiez que les compteurs de pare-feu et d’interface sont effacés.
Action
Sur R1, exécutez la
clear firewall allcommande pour remettre les compteurs de pare-feu à 0.user@R1> clear firewall all
Sur R1, exécutez la
clear interface statistics ge-2/0/5commande pour remettre les compteurs d’interface à 0.user@R1> clear interface statistics ge-2/0/8
Envoi de trafic sur le réseau à partir du port HTTP TCP 80 et surveillance des résultats
But
Envoyez le trafic qui peut être surveillé au niveau du mécanisme de contrôle et de la file d’attente personnalisée.
Action
Utilisez un générateur de trafic pour envoyer 20 paquets TCP avec un port source de 80 dans le réseau.
L’indicateur
-sdéfinit le port source. L’indicateur-kpermet au port source de rester stable à 80 au lieu de s’incrémenter. L’indicateur-cdéfinit le nombre de paquets à 20. L’indicateur-ddéfinit la taille du paquet.Note:Dans cet exemple, les numéros de mécanismes de contrôle sont réduits à une limite de bande passante de 8 Kbits/s et à une limite de taille de rafale de 1 500 Kbits/s pour garantir que certains paquets sont abandonnés.
[User@host]# hping 172.16.80.1 -c 20 -s 80 -k -d 300 [User@Host]# hping 172.16.80.1 -s 80 -k -c 20 -d 375 HPING 172.16.80.1 (eth1 172.16.80.1): NO FLAGS are set, 40 headers + 375 data bytes len=46 ip=172.16.80.1 ttl=62 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=1001.0 ms . . . --- 172.16.80.1 hping statistic --- 20 packets transmitted, 14 packets received, 30% packet loss round-trip min/avg/max = 1001.0/10287.1/19002.1 ms
Sur R1, vérifiez les compteurs de pare-feu à l’aide de la
show firewallcommande.user@R1> show firewall Filter: mf-classifier Policers: Name Bytes Packets discard-BE-data 2490 6 discard-Premium-data 0 0
Notez que dans la sortie,
hpingil y a eu une perte de paquets de 30 % (6 paquets sur 20) et que le même nombre de paquets a été abandonné par le mécanisme de contrôle, comme indiqué dans la sortie de lashow firewallcommande. Notez également que les abandons sont associés à la file d’attenteBE-datacomme spécifié dans lemf-classifierdans la configuration du pare-feu.Sur R1, vérifiez les compteurs de file d’attente à l’aide de la
show interfaces extensive ge-2/0/8| find "Queue counters"commande.user@R1> show interfaces extensive ge-2/0/8| find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 14 14 0 1 0 0 0 2 0 0 0 3 16 16 0 Queue number: Mapped forwarding classes 0 BE-data 1 Premium-data 2 Voice 3 NC
Notez que 14 paquets ont été transmis à l’interface 2/0/8 en utilisant la file d’attente
BE-dataspécifiée dans le dans la configuration dumf-classifierpare-feu. Les 6 paquets restants ont été abandonnés par le policier, comme indiqué ci-dessus. Les 16 paquets envoyés à la file d’attente 3 constituent du trafic de contrôle réseau. Il s’agit peut-être de mises à jour du protocole de routage.
Sens
La sortie des deux périphériques montre que 6 paquets ont été rejetés Cela signifie qu’il y avait au moins 8 Kbits/s de trafic vert (port HTTP 80 sous contrat) et que l’option de rafale de 1500 Ko pour le trafic rouge (port HTTP 80 hors contrat) a été dépassée. Dans les étapes 2 et 3, vous pouvez voir que les files d’attente correctes ont été utilisées pour transmettre l’interface de sortie de trafic restant 2/0/8.
Envoi de trafic sur le réseau à partir du port TCP 12345 et surveillance des résultats
But
Envoyez le trafic qui peut être surveillé au niveau du mécanisme de contrôle et de la file d’attente personnalisée.
Action
Effacez à nouveau les compteurs comme indiqué dans la section Effacer les compteurs.
Utilisez un générateur de trafic pour envoyer 20 paquets TCP avec un port source de 12345 dans le réseau.
L’indicateur
-sdéfinit le port source. L’indicateur-kpermet au port source de rester stable à 12345 au lieu de s’incrémenter. L’indicateur-cdéfinit le nombre de paquets à 20. L’indicateur-ddéfinit la taille du paquet.[User@host]# hping 172.16.80.1 -c 20 -s 12345 -k -d 300 [Host@User]# hping 172.16.80.1 -s 12345 -k -c 20 -d 375 HPING 172.16.80.1 (eth1 172.16.80.1): NO FLAGS are set, 40 headers + 375 data bytes len=46 ip=172.16.80.1 ttl=62 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=1000.4 ms . . . --- 172.16.80.1 hping statistic --- 20 packets transmitted, 13 packets received, 35% packet loss round-trip min/avg/max = 1000.4/10924.5/19002.2 ms
Sur R1, vérifiez les compteurs de pare-feu à l’aide de la
show firewallcommande.user@R1> show firewall Filter: mf-classifier Policers: Name Bytes Packets discard-BE-data 0 0 discard-Premium-data 2905 7
Notez que dans la sortie,
hpingil y a eu une perte de paquets de 35 % (7 paquets sur 20) et que le même nombre de paquets a été abandonné par le mécanisme de contrôle, comme indiqué dans la sortie de lashow firewallcommande. Notez également que les abandons sont associés à la file d’attentePremium-datacomme spécifié dans lemf-classifierdans la configuration du pare-feu.Sur R1, vérifiez les compteurs de file d’attente à l’aide de la
show interfaces extensive ge-2/0/8| find "Queue counters"commande.user@R1> show interfaces extensive ge-2/0/8| find "Queue counters" Queue counters: Queued packets Transmitted packets Dropped packets 0 0 0 0 1 13 13 0 2 0 0 0 3 16 16 0 Queue number: Mapped forwarding classes 0 BE-data 1 Premium-data 2 Voice 3 NC
Notez que 13 paquets ont été transmis à l’interface 2/0/8 à l’aide des files d’attente de données Premium spécifiées dans le dans la configuration du
mf-classifierpare-feu. Les 7 paquets restants ont été abandonnés par le policier, comme indiqué ci-dessus. Les 16 paquets envoyés à la file d’attente 3 constituent du trafic de contrôle réseau. Il s’agit peut-être de mises à jour du protocole de routage.
Sens
La sortie des deux périphériques montre que 7 paquets ont été rejetés. Cela signifie qu’il y avait au moins 8 Kbit/s de trafic vert (port HTTP 80 sous contrat) et que l’option de rafale de 1 500 Kbit/s pour le trafic rouge (port HTTP 80 hors contrat) a été dépassée. Dans les étapes 3 et 4, vous pouvez voir que les files d’attente correctes ont été utilisées pour transmettre le trafic sortant restant interface 2/0/8.