SUR CETTE PAGE
Classe d’action de service dans une stratégie IDP
L’action CoS d’une stratégie IDP permet aux pare-feu SRX Series de modifier la priorité du trafic réseau en fonction des résultats de la détection d’intrusion.
Le CoS ou QoS permet de gérer plusieurs profils de trafic sur un réseau en donnant la priorité à certains types de trafic par rapport à d’autres. Par exemple, vous pouvez donner la priorité au trafic vocal par rapport au courrier électronique ou au trafic HTTP.
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version.
Consultez les sections Comportement d’action de classe de service spécifique à la plate-forme et Comportement des règles de réécriture spécifiques à la plate-forme pour obtenir des remarques relatives à votre plate-forme.
Vue d’ensemble des actions de classe de service IDP
Les services différenciés (DS) sont un système de marquage (ou « marquage ») du trafic à une position dans une hiérarchie de priorité. Le marquage DSCP (Differentiated Services Codepoint) mappe le niveau de classe de service (CoS) de Junos OS au champ DSCP dans l’en-tête du paquet IP. Sur les équipements SRX1500, SRX3400, SRX3600, SRX5600 et SRX5800, les valeurs DSCP des paquets IP peuvent être réécrites par les deux modules logiciels suivants :
Réécriture DSCP (Differentiated Services Code Point) au niveau d’une interface de sortie.
Module IDP conformément aux stratégies IDP.
Dans le plan de données, avant qu’un paquet n’atteigne une interface de sortie, le module IDP peut notifier le module de flux de sécurité pour qu’il réécrive la valeur DSCP du paquet. Le module IDP et le réécrivain basé sur l’interface réécrivent les valeurs DSCP en fonction de règles différentes et indépendantes. Le module IDP réécrit la valeur DSCP d’un paquet en fonction des stratégies IDP ; tandis que l’enregistreur basé sur l’interface réécrit la valeur DSCP d’un paquet en fonction des résultats de la classification des paquets. Par conséquent, les décisions de réécriture du module IDP et du réécrivain basé sur l’interface peuvent être différentes.
Un réécrivain basé sur l’interface réécrit les valeurs DSCP en comparant la classe de transfert d’un paquet à un ensemble de classes de transfert configurées en tant que règles de réécriture. Une classe de transfert qui n’appartient pas à cet ensemble de classes de transfert est utilisée pour notifier à un réauteur basé sur l’interface de ne pas réécrire la valeur DSCP d’un paquet lorsqu’elle a été définie par le module IDP.
En plus d’influencer la réécriture de la valeur DSCP d’un paquet, les classes de transfert sont également utilisées pour hiérarchiser le trafic dans l’équipement. En affectant une classe de transfert à un numéro de file d’attente, vous affectez la planification et le marquage d’un paquet lorsqu’il transite par un pare-feu SRX Series. Pour plus d’informations sur le transfert de classes, consultez Vue d’ensemble des classes de transfert.
Lorsque le module IDP réécrit la valeur DSCP d’un paquet, IDP peut définir la classe de transfert associée au paquet de telle sorte que la classe de transfert ne figure pas dans l’ensemble des classes de transfert définies comme règle pour un réécriture basé sur l’interface de sortie. Pour plus d’informations sur les règles de réécriture, consultez Présentation des règles de réécriture et Exemple : configuration et application de règles de réécriture sur un dispositif de sécurité.
Lorsque le réécrivain basé sur l’interface traite le paquet, il remarque que la classe de transfert du paquet ne correspond à aucune des classes définies dans la règle de réécriture et ne modifie donc pas la valeur DSCP du paquet. Par conséquent, la valeur DSCP du paquet est marquée par le module IDP et le réécriture basé sur l’interface est contourné. Des classes de transfert distinctes pour le module IDP et le réécrivain basé sur l’interface peuvent être définies à l’aide de l’instruction set forwarding-class au niveau de la hiérarchie [edit class-of-service]. Par exemple, les classes de transfert fc0, fc1, fc2 et fc3 peuvent être définies pour le module IDP, tandis que les classes de transfert fc4, fc5, fc6 et fc7 peuvent être définies pour les réécritures basées sur l’interface. Sous Junos OS, plusieurs classes de transfert peuvent être mappées à une file d’attente prioritaire. Par conséquent, le nombre de classes de transfert peut être supérieur au nombre de files d’attente.
Lorsque le réécrivain basé sur l’interface et les modules IDP tentent de réécrire des valeurs DSCP, le module IDP est prioritaire sur le réécrivain basé sur l’interface, car IDP marque les valeurs DSCP avec plus d’informations sur les paquets et a des critères de sécurité plus stricts que le module de réécriture basé sur l’interface.
Pour obtenir un exemple de configuration qui montre comment réécrire les valeurs DSCP avec le module IDP et contourner le réécriture basé sur l’interface, reportez-vous à la section Exemple : Application de l’action CoS dans une stratégie IDP.
Voir aussi
Vue d’ensemble des classes de transfert
Les classes de transfert (FC) vous permettent de regrouper des paquets à transmettre et d’affecter des paquets à des files d’attente de sortie. La classe de transfert et la priorité de perte définissent le comportement par saut (PHB dans DiffServ) d’un paquet.
Les équipements Juniper Networks prennent en charge huit files d’attente (de 0 à 7). Pour qu’un classifieur puisse affecter une file d’attente de sortie (files d’attente par défaut de 0 à 3) à chaque paquet, il doit associer le paquet à l’une des classes de transfert suivantes :
Transfert accéléré (EF) : fournit un service de bout en bout à faible perte, à faible latence, à faible gigue et à bande passante garantie.
Transfert assuré (AF) : fournit un groupe de valeurs que vous pouvez définir et comprend quatre sous-classes (AF1, AF2, AF3 et AF4), chacune avec trois probabilités de perte (faible, moyenne et élevée).
Best effort (BE) : ne fournit aucun profil de service. Pour la classe de transfert BE, la priorité aux pertes n’est généralement pas prise en compte dans une valeur de classe de service (CoS) et les profils d’abandon de détection précoce aléatoire (RED) sont plus agressifs.
Contrôle du réseau (NC) : cette classe est généralement hautement prioritaire, car elle prend en charge le contrôle de protocole.
En plus de la classification par agrégateur de comportement (BA) et multichamp (MF), la classe de transfert (FC) d’un paquet peut être directement déterminée par l’interface logique qui reçoit le paquet. Le FC du paquet peut être configuré à l’aide de commandes CLI et, s’il est configuré, ce FC remplace le FC de toute classification BA précédemment configurée sur l’interface logique.
La commande CLI suivante permet d’affecter un FC directement aux paquets reçus au niveau d’une interface logique :
[edit class-of-service interfaces interface-name unit logical-unit-number] forwarding-class class-name;
Cette section contient les rubriques suivantes :
Transfert des affectations de file d’attente de classe
Les équipements Juniper Networks intègrent huit files d’attente. Par défaut, quatre files d’attente sont affectées à quatre FC. Le Tableau 1 présente les quatre FC et files d’attente par défaut que les classificateurs Juniper Networks attribuent aux paquets, en fonction des valeurs de classe de service (CoS) dans les en-têtes des paquets entrants.
Les files d’attente 4 à 7 n’ont pas d’affectations par défaut aux FC et ne sont pas mappées. Pour utiliser les files d’attente 4 à 7, vous devez créer des noms FC personnalisés et les mapper aux files d’attente.
Par défaut, tous les paquets entrants, à l’exception des paquets de contrôle IP, sont affectés au FC associé à la file d’attente 0. Tous les paquets de contrôle IP sont affectés au FC associé à la file d’attente 3.
File d’attente de transfert |
Classe de transfert |
Description de la classe de transfert |
|---|---|---|
File d’attente 0 |
best-effort (BE) |
L’équipement Juniper Networks n’applique aucune gestion CoS spéciale aux paquets avec 000000 dans le champ DiffServ, une fonctionnalité de rétrocompatibilité. Ces paquets sont généralement abandonnés lorsque le réseau est encombré. |
File d’attente 1 |
Transfert accéléré (EF) |
L’équipement Juniper Networks fournit une bande passante garantie, une faible perte, un faible délai et une faible variation de délai (gigue) de bout en bout pour les paquets de cette classe de services. Les périphériques acceptent le trafic excédentaire dans cette classe, mais contrairement au transfert garanti, les paquets de transfert accéléré hors profil peuvent être transférés hors séquence ou abandonnés. |
File d’attente 2 |
transfert assuré (AF) |
L’équipement Juniper Networks garantit la livraison des paquets tant que le flux de paquets en provenance du client reste dans les limites d’un certain profil de service que vous définissez. L’appareil accepte le trafic excédentaire, mais applique un profil d’abandon RED (Random Early Detection) pour déterminer si les paquets excédentaires sont abandonnés et non transférés. Trois probabilités de perte (faible, moyenne et élevée) sont définies pour cette classe de service. |
File d’attente 3 |
contrôle du réseau (NC) |
L’équipement Juniper Networks fournit des paquets de cette classe de services avec une priorité faible. (Ces paquets ne sont pas sensibles aux retards.) En règle générale, ces paquets représentent des messages hello ou keepalive du protocole de routage. Étant donné que la perte de ces paquets compromet le bon fonctionnement du réseau, il est préférable d’attendre plutôt que de les rejeter. |
Options de stratégie de transfert
Le transfert basé sur CoS (CBF) vous permet de contrôler la sélection du prochain saut en fonction du CoS d'un paquet et, en particulier, de la valeur des bits de priorité du paquet IP. Par exemple, vous pouvez spécifier une interface particulière ou un saut suivant pour acheminer le trafic prioritaire tandis que tout le trafic best effort emprunte un autre chemin. Le CBF permet de sélectionner les chemins en fonction de FC. Lorsqu’un protocole de routage découvre des chemins de coût égal, il peut soit choisir un chemin au hasard, soit équilibrer la charge des paquets sur les chemins, soit par sélection par hachage, soit par sélection par tourniquet.
Une stratégie de transfert vous permet également de créer des remplacements de classification CoS. Vous pouvez remplacer la classification CoS entrante et affecter les paquets à un FC en fonction des interfaces d’entrée, des bits de priorité d’entrée ou des adresses de destination des paquets. Lorsque vous remplacez la classification des paquets entrants, tous les mappages que vous avez configurés pour les bits de priorité associés ou les interfaces entrantes aux files d’attente de transmission de sortie sont ignorés.
Voir aussi
Vue d’ensemble des règles de réécriture
Une règle de réécriture modifie les bits de classe de service (CoS) appropriés dans un paquet sortant. La modification des bits CoS permet à l’équipement suivant en aval de classer le paquet dans le groupe de services approprié. La réécriture ou le marquage des paquets sortants est utile lorsque l’équipement se trouve à la frontière d’un réseau et doit modifier les valeurs CoS pour se conformer aux stratégies de l’homologue ciblé. Une règle de réécriture examine la classe de transfert et la priorité de perte d’un paquet et définit ses bits sur une valeur correspondante spécifiée dans la règle.
En règle générale, un équipement réécrit les valeurs CoS dans les paquets sortants sur les interfaces sortantes d’un équipement de périphérie, afin de respecter les stratégies de l’homologue ciblé. Après avoir lu la classe de transfert actuelle et les informations de priorité de perte associées au paquet, l’appareil émetteur localise la valeur CoS choisie à partir d’une table et écrit cette valeur CoS dans l’en-tête du paquet.
Vous pouvez configurer jusqu’à 32 règles de réécriture IEEE 802.1p sur chaque SRX5K-MPC des pare-feu SRX5600 et SRX5800.
Vous pouvez configurer la réécriture 802.1p sur l’interface VDSL logique, c’est-à-dire
ptl’interface.
Exemple : Configuration et application de règles de réécriture sur un dispositif de sécurité
Cet exemple montre comment configurer et appliquer des règles de réécriture pour un appareil.
Exigences
Avant de commencer, créez et configurez les classes de transfert.
Aperçu
Vous pouvez configurer des règles de réécriture pour remplacer les valeurs CoS des paquets reçus du client ou de l’hôte par les valeurs attendues par d’autres équipements. Vous n’avez pas besoin de configurer des règles de réécriture si les paquets reçus contiennent déjà des valeurs CoS valides. Les règles de réécriture appliquent les informations de classe de transfert et la priorité de perte de paquets utilisées en interne par l’équipement pour établir la valeur CoS sur les paquets sortants. Une fois que vous avez configuré les règles de réécriture, vous devez les appliquer aux interfaces appropriées.
Dans cet exemple, vous configurez la règle de réécriture pour DiffServ CoS en tant que rewrite-dscps. Vous spécifiez la classe de transfert best-effort en tant que be-class, la classe de transfert accéléré en tant que classe ef, une classe de transfert assuré en tant que classe af et une classe de contrôle réseau en tant que classe nc. Enfin, vous appliquez la règle de réécriture à une interface IRB.
Vous pouvez appliquer une règle de réécriture à chaque interface logique.
Le tableau 2 montre comment les règles de réécriture remplacent les DSCP sur les paquets dans les quatre classes de transfert.
mf-classifier Classe de transfert |
Pour le type de trafic CoS |
rewrite-dscps Règles de réécriture |
|---|---|---|
Classe Be |
Trafic best-effort : ne fournit aucune gestion CoS spéciale des paquets. En règle générale, le profil de chute RED est agressif et aucune priorité de perte n’est définie. |
Point de code de faible priorité : 000000 Point de code haute priorité : 000001 |
Classe EF |
Transfert accéléré du trafic : offre de faibles pertes, de faibles délais, une faible gigue, une bande passante assurée et un service de bout en bout. Les paquets peuvent être transférés hors séquence ou abandonnés. |
Point de code de faible priorité : 101110 Point de code haute priorité : 101111 |
Classe AF |
Trafic de transfert assuré : fournit une assurance élevée pour les paquets dans le profil de service spécifié. Les paquets excédentaires sont abandonnés. |
Point de code de faible priorité : 001010 Point de code haute priorité : 001100 |
Classe NC |
Trafic de contrôle réseau : les paquets peuvent être retardés, mais pas abandonnés. |
Point de code de faible priorité : 110000 Point de code haute priorité : 110001 |
Les classes de transfert peuvent être configurées dans un réauteur DSCP et également en tant qu’action d’une stratégie IDP pour réécrire des points de code DSCP. Pour vous assurer que la classe de transfert est utilisée en tant qu’action dans une stratégie IDP, il est important de ne pas configurer de stratégie IDP et de règles de réécriture basées sur l’interface avec la même classe de transfert.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority low code-point 000000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority high code-point 000001 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority low code-point 101110 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority high code-point 101111 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority low code-point 001010 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority high code-point 001100 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority low code-point 110000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority high code-point 110001 set class-of-service interfaces irb unit 0 rewrite-rules dscp rewrite-dscps
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer et appliquer des règles de réécriture à un appareil :
Configurez les règles de réécriture pour les CoS DiffServ.
[edit] user@host# edit class-of-service user@host# edit rewrite-rules dscp rewrite-dscps
Configurez des règles de réécriture de classe de transfert au mieux.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class be-class loss-priority low code-point 000000 user@host# set forwarding-class be-class loss-priority high code-point 000001
Configurez les règles de réécriture de la classe de transfert accéléré.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class ef-class loss-priority low code-point 101110 user@host# set forwarding-class ef-class loss-priority high code-point 101111
Configurez les règles de réécriture de la classe de transfert assurée.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class af-class loss-priority low code-point 001010 user@host# set forwarding-class af-class loss-priority high code-point 001100
Configurez les règles de réécriture des classes de contrôle réseau.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class nc-class loss-priority low code-point 110000 user@host# set forwarding-class nc-class loss-priority high code-point 110001
Appliquer des règles de réécriture à une interface IRB.
[edit class-of-service] user@host# set interfaces irb unit 0 rewrite-rules dscp rewrite-dscps
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show class-of-service commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show class-of-service
interfaces {
irb {
unit 0 {
rewrite-rules {
dscp rewrite-dscps;
}
}
}
}
rewrite-rules {
dscp rewrite-dscps {
forwarding-class be-class {
loss-priority low code-point 000000;
loss-priority high code-point 000001;
}
forwarding-class ef-class {
loss-priority low code-point 101110;
loss-priority high code-point 101111;
}
forwarding-class af-class {
loss-priority low code-point 001010;
loss-priority high code-point 001100;
}
forwarding-class nc-class {
loss-priority low code-point 110000;
loss-priority high code-point 110001;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérification de la configuration des règles de réécriture
But
Vérifiez que les règles de réécriture sont correctement configurées.
Action
À partir du mode opérationnel, entrez la show class-of-service interface irb commande.
user@host> show class-of-service interface irb Physical interface: irb, Index: 130 Maximum usable queues: 8, Queues in use: 4 Scheduler map: <default> , Index: 2 Congestion-notification: Disabled Logical interface: irb.10, Index: 71 Object Name Type Index Rewrite-Output rewrite-dscps dscp 17599 Classifier ipprec-compatibility ip 13
Signification
Les règles de réécriture sont configurées sur l’interface IRB comme prévu.
Exemple : Application de l’action CoS dans une stratégie IDP
Lorsque des paquets entrent ou sortent d’un réseau, les équipements peuvent être amenés à modifier les paramètres CoS du paquet. Les règles de réécriture définissent la valeur des bits CoS dans l’en-tête du paquet. En outre, vous devez souvent réécrire un marqueur donné (par exemple, DSCP) au niveau des interfaces entrantes d’un périphérique pour prendre en charge la classification BA par périphériques centraux.
Sur les pare-feu SRX Series, les valeurs DSCP des paquets IP peuvent être réécrites à l’aide des deux modules logiciels suivants :
Réécriture DSCP au niveau d’une interface de sortie
Module IDP conforme aux stratégies IDP
Cet exemple décrit comment créer une stratégie IDP qui définit une classe de transfert en tant qu’élément d’action pour réécrire la valeur DSCP d’un paquet.
Exigences
Avant de commencer, passez en revue les composants CoS.
Aperçu
Cet exemple montre comment vous pouvez réécrire les valeurs DSCP avec le module IDP et contourner le réécriture basé sur l’interface. Lorsque vous créez une stratégie IDP pour réécrire les valeurs DSCP, vous devez spécifier les éléments suivants :
Configurez des classes de transfert distinctes pour le module IDP et les réécritures basées sur l’interface. Dans cet exemple, huit classes de transfert, fc1 à fc8, sont configurées. Sur ces huit classes de transfert, quatre classes, fc1 à fc4, sont affectées à des réécritures basées sur l’interface ; les quatre autres, fc5 à fc8, sont affectés au module IDP. Ces huit classes de transfert sont mappées à quatre files d’attente prioritaires, de la file d’attente 0 à la file d’attente 3.
Configurez le réauteur DSCP (rw_dscp) avec les classes de transfert fc1 à fc4.
Configurez un classificateur DSCP (c1) avec les mêmes classes de transfert que le réauteur DSCP. Essentiellement, le classifieur fournit des entrées, des classes de transfert et des priorités de perte au réécrivain.
Appliquez le réécriture DSCP, rw_dscp, à une interface logique, ge-0/0/5.
Appliquez le classificateur c1 à une interface logique d’entrée, ge-0/0/6.
Créez une stratégie IDP (cos-policy) et attribuez la classe de transfert de classe de service fc5 en tant qu’action.
Note:Pour garantir la réécriture DSCP par IDP, il est important de ne pas configurer de stratégie IDP et de règles de réécriture DSCP basées sur l’interface avec la même classe de transfert.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set class-of-service forwarding-classes queue 0 fc1 set class-of-service forwarding-classes queue 1 fc2 set class-of-service forwarding-classes queue 2 fc3 set class-of-service forwarding-classes queue 3 fc4 set class-of-service forwarding-classes queue 0 fc5 set class-of-service forwarding-classes queue 1 fc6 set class-of-service forwarding-classes queue 2 fc7 set class-of-service forwarding-classes queue 3 fc8 set class-of-service rewrite-rules dscp rw_dscp set class-of-service rewrite-rules dscp rw_dscp forwarding-class fc1 loss-priority low code-point 000000 set class-of-service rewrite-rules dscp rw_dscp forwarding-class fc2 loss-priority low code-point 001000 set class-of-service rewrite-rules dscp rw_dscp forwarding-class fc3 loss-priority low code-point 010000 set class-of-service rewrite-rules dscp rw_dscp forwarding-class fc4 loss-priority low code-point 011000 set class-of-service classifiers dscp c1 forwarding-class fc1 loss-priority low code-points 111111 set class-of-service classifiers dscp c1 forwarding-class fc2 loss-priority low code-points 110000 set class-of-service classifiers dscp c1 forwarding-class fc3 loss-priority low code-points 100000 set class-of-service classifiers dscp c1 forwarding-class fc4 loss-priority low code-points 000000 set class-of-service interfaces ge-0/0/5 unit 0 rewrite-rules dscp rw_dscp set class-of-service interfaces ge-0/0/6 unit 0 classifiers dscp c1 set security idp idp-policy cos-policy set security idp idp-policy cos-policy rulebase-ips set-security idp idp-policy cos-policy rulebase-ips rule r1 set-security idp idp-policy cos-policy rulebase-ips rule r1 match from-zone any to-zone any application default set-security idp idp-policy cos-policy rulebase-ips rule r1 match attacks predefined-attack-groups 'P2P - All' set security idp idp-policy cos-policy rulebase-ips rule r1 then action class-of-service forwarding-class fc5 set security idp idp-policy cos-policy rulebase-ips rule r1 then action class-of-service dscp-code-point 62 set security idp idp-policy cos-policy rulebase-ips rule r1 then notification log-attacks set security idp idp-policy cos-policy rulebase-ips rule r1 then severity critical
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configurationdans le Guide de l’utilisateur de l’interface de ligne de commande.
Pour configurer une stratégie IDP qui utilise une classe de transfert comme action de notification pour la réécriture DSCP, effectuez les tâches suivantes :
Configurez les classes de transfert.
Pour configurer un mappage un-à-un entre les huit classes de transfert et les quatre files d’attente prioritaires, incluez les instructions suivantes au niveau de la
[edit class-of-service]hiérarchie :[edit class-of-service] user@host# set forwarding-classes fc1 queue-num 0 user@host# set forwarding-classes fc2 queue-num 1 user@host# set forwarding-classes fc3 queue-num 2 user@host# set forwarding-classes fc4 queue-num 3 user@host# set forwarding-classes fc5 queue-num 0 user@host# set forwarding-classes fc6 queue-num 1 user@host# set forwarding-classes fc7 queue-num 2 user@host# set forwarding-classes fc8 queue-num 3
Configurez un réauteur DSCP avec des classes de transfert.
[edit class-of-service] user@host# set rewrite-rules dscp rw_dscp forwarding-class fc1 loss-priority low code-point 000000 user@host# set rewrite-rules dscp rw_dscp forwarding-class fc2 loss-priority low code-point 001000 user@host# set rewrite-rules dscp rw_dscp forwarding-class fc3 loss-priority low code-point 010000 user@host# set rewrite-rules dscp rw_dscp forwarding-class fc4 loss-priority low code-point 011000
Configurez un classificateur BA avec les mêmes classes de transfert que le réauteur DSCP.
[edit class-of-service] user@host# set classifiers dscp c1 forwarding-class fc1 loss-priority low code-points 111111 user@host# set classifiers dscp c1 forwarding-class fc2 loss-priority low code-points 110000 user@host# set classifiers dscp c1 forwarding-class fc3 loss-priority low code-points 100000 user@host# set classifiers dscp c1 forwarding-class fc4 loss-priority low code-points 000000
Appliquez le réécrivain à une interface logique.
[edit class-of-service] user@host# set interfaces ge-0/0/5 unit 0 rewrite-rules dscp rw_dscp
Appliquez le classifieur à une interface logique.
[edit class-of-service] user@host# set interfaces ge-0/0/6 unit 0 classifiers dscp c1
Configurez la stratégie IDP avec l’action de la classe de transfert.
Les étapes suivantes montrent comment une stratégie IDP inclut une classe de transfert de classe de service comme l’une des actions. Dans la stratégie cos-policy, la classe de transfert fc5 est définie comme une action en conjonction avec l’action de dscp-code-point 62, qui nécessite que le module IDP réécrive les valeurs DSCP à 62. En prenant des mesures de R1, le module IDP exécute le module de flux de sécurité pour réécrire les valeurs DSCP des paquets en tant que 62 et définir leurs classes de transfert en tant que fc5.
Pour définir une classe de transfert comme l’une des actions d’une stratégie IDP, effectuez les tâches suivantes :
Procédure étape par étape
Créez une stratégie en lui attribuant un nom significatif.
[edit ] user@host# edit security idp idp-policy cos-policy
Associez une base de règles à la stratégie.
[edit security idp idp-policy cos-policy ] user@host# edit rulebase-ips
Ajoutez des règles à la base de règles.
[edit security idp idp-policy cos-policy rulebase-ips] user@host# edit rule R1
Définissez les critères de correspondance de la règle.
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set match from-zone any to-zone any application default
Définissez une attaque comme critère de correspondance.
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set match attacks predefined-attack-groups 'P2P - All'
Spécifiez la classe de transfert en tant qu’action pour la règle.
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set then action class-of-service forwarding-class fc5
Spécifiez dscp–code-point en tant qu’action pour la règle.
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set then action class-of-service dscp-code-point 62
Spécifiez les options de notification et de journalisation de la règle.
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set then notification log-attacks alert
Définissez le niveau de gravité de la règle.
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set then severity critical
Activez la stratégie.
[edit] user@host# set security idp active-policy cos-policy
Résultats
En mode configuration, confirmez votre configuration en entrant les show security idp commandes and show class-of-service . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show security idp
idp-policy cos-policy {
rulebase-ips {
rule R1 {
match {
from-zone any;
to-zone any;
application default;
attacks {
predefined-attack-groups P2P - All;
}
}
then {
action {
class-of-service {
forwarding-class fc5;
dscp-code-point 62;
}
}
notification {
log-attacks {
alert;
}
}
severity critical;
}
}
}
}
active-policy cos-policy;
[edit]
user@host# show class-of-service
classifiers {
dscp c1 {
forwarding-class fc1 {
loss-priority low code-points 111111;
}
forwarding-class fc2 {
loss-priority low code-points 110000;
}
forwarding-class fc3 {
loss-priority low code-points 100000;
}
forwarding-class fc4 {
loss-priority low code-points 000000;
}
}
}
forwarding-classes {
queue 0 fc5;
queue 1 fc6;
queue 2 fc7;
queue 3 fc8;
}
interfaces {
ge-0/0/5 {
unit 0 {
rewrite-rules {
dscp rw_dscp;
}
}
}
ge-0/0/6 {
unit 0 {
classifiers {
dscp c1;
}
}
}
}
rewrite-rules {
dscp rw_dscp {
forwarding-class fc1 {
loss-priority low code-point 000000;
}
forwarding-class fc2 {
loss-priority low code-point 001000;
}
forwarding-class fc3 {
loss-priority low code-point 010000;
}
forwarding-class fc4 {
loss-priority low code-point 011000;
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification de la configuration de la stratégie IDP
But
Vérifiez que la classe de transfert fc5 est configurée en tant qu’action dans la stratégie IDP.
Action
À partir du mode opérationnel, entrez la show security idp idp-policy cos-policy commande.
Vérification de la configuration CoS
But
Vérifiez si le mappage un-à-un entre les huit classes de transfert et les quatre files d’attente prioritaires, l’application du classificateur BA aux interfaces et la règle de réécriture fonctionnent.
Action
À partir du mode opérationnel, entrez la show class-of-service commande.
Comportement d’action de classe de service spécifique à la plate-forme
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version.
Utilisez le tableau suivant pour passer en revue les comportements spécifiques à votre plateforme.
| Plateforme |
Différence |
|---|---|
| Pare-feu SRX Series |
Les pare-feu SRX1500, SRX3400, SRX3600, SRX5600 et SRX5800 Series qui prennent en charge les actions CoS permettent de réécrire les valeurs DSCP dans les paquets IP à l’aide des deux modules logiciels suivants :
|
Comportement des règles de réécriture spécifiques à la plate-forme
Utilisez l’explorateur de fonctionnalités pour confirmer la prise en charge de fonctionnalités spécifiques par la plate-forme et la version.
Utilisez le tableau suivant pour passer en revue les comportements spécifiques à votre plateforme.
| Plateforme |
Différence |
|---|---|
| Pare-feu SRX Series |
Les pare-feu SRX5600 et SRX5800 Series qui prennent en charge les règles de réécriture permettent de configurer jusqu’à 32 règles de réécriture IEEE 802.1p sur chaque concentrateur de port modulaire (MPC) SRX5K. |
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
pt l’interface).