Filtre de file d’attente entrant avec fonctionnalité de maintien de l’ordre
À partir de Junos OS version 18.1R1, sur les MPC qui prennent en charge la mise en file d’attente entrante, vous pouvez mettre en œuvre des actions de police, ainsi que d’autres actions de filtre, sur le trafic avant que le trafic ne soit affecté aux files d’attente entrantes. Les filtres de contrôle des files d’attente entrantes vous permettent d’évaluer le trafic limite, ainsi que de compter et de définir la classe de transfert et la priorité de perte de paquets pour les paquets avant de sélectionner la file d’attente d’entrée. Les commandes de classe de service (CoS) peuvent ensuite être utilisées pour sélectionner des paramètres de file d’attente entrants.
Comprendre le filtre de contrôle des files d’attente entrantes
Le filtre de contrôle de file d’attente entrant () fonctionne de la même manière et au même point que le filtre de contrôle d’entrée (iq-policing-filteringress-queuing-filter), qui a été introduit dans Junos OS version 16.1, mais offre l’avantage supplémentaire d’accepter presque toutes les actions de filtre, y compris les actions de contrôle et de comptage. Le filtre de contrôle des files d’attente entrantes est également plus efficace et nécessite moins de ressources système.
Les filtres de file d’attente entrants ne sont disponibles que lorsque le mode gestionnaire de trafic est défini au ingress-and-egress niveau de la [edit chassis fpc fpc-id pic pic-id traffic-manager mode] hiérarchie.
L’instruction iq-policing-filter de configuration est utilisée au niveau de la hiérarchie pour désigner un filtre de [edit interfaces interface-name unit unit-number family family-name] pare-feu configuré précédemment à utiliser comme filtre de contrôle de file d’attente entrant. La liste suivante indique les familles de protocoles compatibles avec l’instruction iq-policing-filter :
bridgeinetvpls
Voir aussi
Exemple : configuration d’un filtre à utiliser comme filtre de contrôle des files d’attente entrantes
Cet exemple montre comment configurer un filtre de pare-feu à utiliser comme filtre de contrôle de file d’attente entrant. Le filtre de file d’attente entrant facilite les opérations de contrôle du trafic entrant en vous permettant d’évaluer le trafic limité avant de sélectionner la file d’attente entrante. Le filtre de pare-feu doit être configuré dans l’une des familles de protocoles suivantes : bridge, inetou vpls.
Le filtre de contrôle des files d’attente entrantes ne peut être utilisé que sur les routeurs MX Series dotés de MPC qui prennent en charge la mise en file d’attente entrante. Une erreur est générée lors de la validation si le filtre de file d’attente entrant est appliqué à une interface sur un autre type de concentrateur de ports.
Exigences
Cet exemple utilise les composants matériels et logiciels suivants :
Un routeur MX Series avec un MPC qui prend en charge la mise en file d’attente entrante
Pour que les filtres de file d’attente entrants fonctionnent, ingress-and-egress ils doivent être configurés comme traffic-manager mode au niveau de la [edit chassis fpc slot pic slot traffic-manager mode] hiérarchie.
Aperçu
Dans cet exemple, vous créez un filtre de pare-feu nommé vpls_iqp_filter dans la famille de vpls protocoles qui compte et contrôle le trafic vocal et le trafic au mieux. Vous appliquez ensuite le vpls_iqp_filter filtre à l’interface logique xe-0/0/0.0 en tant que filtre de contrôle de file d’attente entrant.
Pour configurer un filtre de pare-feu et l’appliquer en tant que filtre de file d’attente entrant, il faut :
Création d’un filtre de pare-feu nommé
vpls_iqp_filterdans la famille devplsprotocoles avec les actions suivantes :countetforwarding- classpolicer.Application du filtre de pare-feu à l’interface xe-0/0/0.0 en tant que filtre de contrôle de file d’attente entrant.
Configuration
- Configuration rapide de l’interface de ligne de commande
- Configuration du filtre de pare-feu et application à une interface en tant que filtre de contrôle de file d’attente d’entrée
- Résultats
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set firewall family vpls filter vpls_iqp_filter interface-specific set firewall family vpls filter vpls_iqp_filter term VoiceSum from learn-vlan-1p-priority 5 set firewall family vpls filter vpls_iqp_filter term VoiceSum then count VoiceSum set firewall family vpls filter vpls_iqp_filter term VoiceSum then forwarding-class Voice set firewall family vpls filter vpls_iqp_filter term VoiceSum then next term set firewall family vpls filter vpls_iqp_filter term Voice from learn-vlan-1p-priority 5 set firewall family vpls filter vpls_iqp_filter term Voice then policer Voice-IN set firewall family vpls filter vpls_iqp_filter term Voice then count Voice set firewall family vpls filter vpls_iqp_filter term Voice then accept set firewall family vpls filter vpls_iqp_filter term BestEffortSum then count BestEffortSum set firewall family vpls filter vpls_iqp_filter term BestEffortSum then next term set firewall family vpls filter vpls_iqp_filter term BestEffort then policer BestEffort-IN set firewall family vpls filter vpls_iqp_filter term BestEffort then count BestEffort set firewall family vpls filter vpls_iqp_filter term BestEffort then accept set firewall family vpls filter vpls_iqp_filter policer pol-vpls if-exceeding bandwidth-limit 400m set firewall family vpls filter vpls_iqp_filter policer pol-vpls if-exceeding burst-size-limit 40m set firewall family vpls filter vpls_iqp_filter policer pol-vpls then discard set firewall family vpls filter vpls_iqp_filter policer Voice-IN if-exceeding bandwidth-limit 100m set firewall family vpls filter vpls_iqp_filter policer Voice-IN if-exceeding burst-size-limit 10m set firewall family vpls filter vpls_iqp_filter policer Voice-IN then loss-priority high set firewall family vpls filter vpls_iqp_filter policer BestEffort-IN if-exceeding bandwidth-limit 350m set firewall family vpls filter vpls_iqp_filter policer BestEffort-IN if-exceeding burst-size-limit 30m set firewall family vpls filter vpls_iqp_filter policer BestEffort-IN then loss-priority high set interfaces xe-0/0/0 unit 0 family vpls iq-policing-filter vpls_iqp_filter
Configuration du filtre de pare-feu et application à une interface en tant que filtre de contrôle de file d’attente d’entrée
Procédure étape par étape
L’exemple suivant vous demande de naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, voir Utilisation de l’éditeur CLI en mode Configuration du Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer le filtre vpls_iqp_filterde pare-feu et l’appliquer à l’interface logique xe-0/0/0 unité 0 :
Créez un filtre de pare-feu nommé
vpls_iqp_filter.[edit firewall family vpls filter vpls_iqp_filter]user@router# set interface-specific user@router# set term VoiceSum from learn-vlan-1p-priority 5 user@router# set term VoiceSum then count VoiceSum user@router# set term VoiceSum then forwarding-class Voice user@router# set term VoiceSum then next term user@router# set term Voice from learn-vlan-1p-priority 5 user@router# set term Voice then policer Voice-IN user@router# set term Voice then count Voice user@router# set term Voice then accept user@router# set term BestEffortSum then count BestEffortSum user@router# set term BestEffortSum then next term user@router# set term BestEffort then policer BestEffort-IN user@router# set term BestEffort then count BestEffort user@router# set term BestEffort then accept user@router# set policer pol-vpls if-exceeding bandwidth-limit 400m user@router# set policer pol-vpls if-exceeding burst-size-limit 40m user@router# set policer pol-vpls then discard user@router# set policer Voice-IN if-exceeding bandwidth-limit 100m user@router# set policer Voice-IN if-exceeding burst-size-limit 10m user@router# set policer Voice-IN then loss-priority high user@router# set policer BestEffort-IN if-exceeding bandwidth-limit 350m user@router# set policer BestEffort-IN if-exceeding burst-size-limit 30m user@router# set policer BestEffort-IN then loss-priority highAppliquez le filtre de pare-feu à l’interface logique.
[edit interfaces xe-0/0/0]user@router# set unit 0 family vpls iq-policing-filter vpls_iqp_filter
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant les commandes et les show firewall show interfaces xe-0/0/0.0 commandes. Si la sortie n’affiche pas la configuration voulue, répétez les instructions de cet exemple pour corriger la configuration.
user@router# show firewall family vpls filter vpls_iqp_filter
interface-specific;
term VoiceSum {
from {
learn-vlan-1p-priority 5;
}
then {
count VoiceSum;
forwarding-class Voice;
next term;
}
}
term Voice {
from {
learn-vlan-1p-priority 5;
}
then {
policer Voice-IN;
count Voice;
accept;
}
}
term BestEffortSum {
then {
count BestEffortSum;
next term;
}
}
term BestEffort {
then {
policer BestEffort-IN;
count BestEffort;
accept;
}
}
policer pol_vpls {
if-exceeding {
bandwidth-limit 400m;
burst-size-limit 40m;
}
then discard;
}
policer Voice-IN {
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 10m;
}
then loss-priority high;
}
policer BestEffort-IN {
if-exceeding {
bandwidth-limit 350m;
burst-size-limit 30m;
}
then loss-priority high;
}
user@router# show interfaces xe-0/0/0 unit 0
family vpls {
iq-policing-filter vpls_iqp_filter;
}
Si vous avez terminé de configurer l’appareil, entrez commit à partir du mode de configuration.
user@router# commit