ingress-policer-overhead
Syntaxe
ingress-policer-overhead bytes;
Niveau hiérarchique
[edit chassis fpc slot-number pic pic-number]
Description
Ajoutez le nombre configuré d’octets à la longueur d’un paquet entrant dans l’interface.
Configurez une surcharge de contrôle pour contrôler le débit du trafic reçu sur une interface. Utilisez cette fonctionnalité pour éviter les attaques par déni de service (DoS) ou pour appliquer les taux de trafic pour se conformer à l’accord de niveau de service (SLA). Lorsque vous configurez un surcoût de police, la valeur de surcharge (octets) de police configurée est ajoutée à la longueur de la trame Ethernet finale. Cette longueur de trame calculée est utilisée pour déterminer le contrôle ou l’action limitant la vitesse.
Le contrôle du trafic combine les limites de bande passante des stratégies configurées et la taille des rafales pour déterminer comment mesurer le trafic entrant. Si vous configurez un contrôle sur une interface, Junos OS ajoute ces octets à la longueur des trames Ethernet entrantes. Cette surcharge supplémentaire remplit chaque trame plus proche de la taille de l’rafale, ce qui vous permet de contrôler le taux de trafic reçu sur une interface.
Vous pouvez configurer la charge de contrôle pour limiter les files d’attente et les polices de couche 2 et 3, pour les déploiements autonomes (SA) et haute avalabilité (HA). Les frais de contrôle et de mise en forme peuvent être configurés simultanément sur une interface.
Le pare-feu virtuel vSRX prend en charge les frais de police sur les polices de couche 3 uniquement.
La surcharge de contrôle s’applique à toutes les interfaces du PIC. Dans l’exemple suivant, Junos OS ajoute 10 octets de surcharge à toutes les trames Ethernet entrantes sur les ports ge-0/0/0 à ge-0/0/4.
set chassis fpc 0 pic 0 ingress-policer-overhead 10
Le pare-feu virtuel vSRX prend uniquement en charge fpc 0 pic 0. Lorsque vous validez l’instruction ingress-policer-overhead , le pare-feu virtuel vSRX met le PIC hors ligne, puis revient en ligne.
Vous devez créer la taille du surcoût de contrôle pour correspondre à votre trafic réseau. Une valeur trop faible aura un impact minimal sur les rafales de trafic. Une valeur trop élevée vous permettra de limiter une trop grande partie de votre trafic entrant.
Dans cet exemple, le surcoût de contrôle de 255 octets est configuré pour ge-0/0/0 à ge-0/0/4. Le pare-feu est configuré pour rejeter le trafic lorsque la taille de l’rafale est supérieure à 1 500 octets. Ce contrôle est appliqué aux ge-0/0/0 et ge 0/0/1. Junos OS ajoute 255 octets à chaque trame Ethernet entrant dans les ports configurés. Si, lors d’une rafale de trafic, la longueur combinée des trames entrantes et des octets de charge dépasse 1 500 octets, le contrôle commence à rejeter le trafic entrant supplémentaire.
set chassis fpc 0 pic 0 ingress-policer-overhead 255 set interfaces ge-0/0/0 unit 0 family inet policer input overhead_policer set interfaces ge-0/0/0 unit 0 family inet address 10.9.1.2/24 set interfaces ge-0/0/1 unit 0 family inet policer input overhead_policer set interfaces ge-0/0/1 unit 0 family inet address 10.9.2.2/24 set firewall policer overhead_policer if-exceeding bandwidth-limit 32k set firewall policer overhead_policer if-exceeding burst-size-limit 1500 set firewall policer overhead_policer then discard
Options
bytes: nombre d’octets ajoutés à une trame entrant dans une interface.
Gamme: Entre 0 et 255 octets
Par défaut: 0
[edit chassis fpc 0 pic 0] user@host# set ingress-policer-overhead 10;
Niveau de privilège requis
interface : pour afficher cette déclaration dans la configuration.
contrôle de l’interface : pour ajouter cette déclaration à la configuration.
Informations de publication
Déclaration introduite avant la version 11.1 de Junos OS.