Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration des mécanismes de contrôle Gigabit Ethernet

Les mécanismes de contrôle vous permettent d’effectuer un contrôle du trafic simple sur les interfaces Gigabit Ethernet sans avoir à configurer de filtre de pare-feu. Vous pouvez utiliser cette rubrique pour configurer une carte des priorités en entrée, une carte des priorités en sortie, puis appliquer la stratégie. Utilisez cette rubrique pour plus d’informations sur la configuration d’un mécanisme de contrôle bicolore et d’un mécanisme de contrôle tricolore.

Capacités des PIC Gigabit Ethernet IQ et des PIC Gigabit Ethernet avec SFP

Pour les PIC Gigabit Ethernet IQ et Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet à 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i), vous pouvez configurer des fonctionnalités de classe de service (CoS) granulaires par VLAN ainsi qu’une instrumentation et des diagnostics étendus par VLAN et par adresse MAC.

La réécriture, le balisage et la suppression de VLAN vous permettent d’utiliser l’espace d’adressage VLAN pour prendre en charge davantage de clients et de services.

VPLS vous permet de fournir un réseau local point à multipoint entre un ensemble de sites dans un VPN. Les PIC Ethernet IQ et les PIC Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet à 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i) sont combinés avec VPLS pour fournir un service Ethernet métropolitain.

Pour les interfaces Gigabit Ethernet IQ2 et IQ2-E et 10 Gigabit Ethernet IQ2 et IQ2-E, vous pouvez appliquer un contrôle de couche 2 aux interfaces logiques dans le sens de sortie ou d’entrée. Les mécanismes de contrôle de couche 2 sont configurés au niveau de la [edit firewall] hiérarchie. Vous pouvez également contrôler le débit de trafic envoyé ou reçu sur une interface en configurant une surcharge de mécanisme de contrôle au niveau de la [edit chassis fpc slot-number pic slot-number] hiérarchie.

Tableau 1 répertorie les capacités des PIC Gigabit Ethernet IQ et des PIC Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet à 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i).

Tableau 1 : Capacités de Gigabit Ethernet IQ et Gigabit Ethernet avec SFP

Capacité

Gigabit Ethernet IQ (SFP)

Gigabit Ethernet (SFP)

Couche 2

Agrégation de liens 802.3ad

Oui

Oui

Nombre maximal de VLAN par port

384

1023

Taille maximale de l’unité de transmission (MTU)

9192

9192

Apprentissage MAC

Oui

Oui

Comptabilité MAC

Oui

Oui

Filtrage MAC

Oui

Oui

Destinations par port

960

960

Sources par port

64

64

Mécanismes de contrôle MAC hiérarchiques

Oui, premium et aggregate

Non, agrégat uniquement

Prise en charge de plusieurs TPID et service IP pour les TPID non standard

Oui

Oui

Encapsulations Ethernet multiples

Oui

Oui

Deux balises VLAN

Oui

Non

Réécriture VLAN

Oui

Non

VPN de couche 2

VLAN CCC

Oui

Oui

CCC basé sur les ports

Oui

Oui

Protocole VMAN (Virtual Metropolitan Area Network) VLAN CCC étendu

Oui

Oui

CoS

Files d’attente de sortie basées sur PIC

Oui

Oui

VLAN en file d’attente

Oui

Non

VPLS

Oui

Oui

Pour plus d’informations sur la configuration de VPLS, reportez-vous à la bibliothèque de VPN Junos OS pour les périphériques de routage.

Vous pouvez également configurer CoS sur des interfaces IQ logiques. Pour plus d’informations, reportez-vous au Guide de l’utilisateur de la classe de service de Junos OS pour les périphériques de routage.

Configuration des mécanismes de contrôle Gigabit Ethernet

Présentation

Sur les PIC Gigabit Ethernet IQ et Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet à 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i), vous pouvez définir des limites de débit pour le trafic premium et agrégé reçu sur l’interface. Ces mécanismes de contrôle vous permettent d’effectuer un contrôle du trafic simple sans avoir à configurer de filtre de pare-feu. Tout d’abord, vous configurez le profil du mécanisme de contrôle Ethernet, puis vous classez le trafic entrant et sortant, puis vous pouvez appliquer le mécanisme de contrôle à une interface logique.

Pour les PIC Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet à 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i), les débits de contrôle que vous configurez peuvent être différents de ceux du moteur de transfert de paquets. La différence provient de la surcharge de couche 2. Le CIP explique cette différence.

REMARQUE :

Sur les routeurs MX Series avec des PIC Gigabit Ethernet ou Fast Ethernet, les considérations suivantes s’appliquent :

  • Les compteurs d’interface ne comptent pas le préambule de 7 octets et le délimiteur de trames de 1 octet dans les trames Ethernet.

  • Dans les statistiques MAC, la taille de trame inclut l’en-tête MAC et le CRC avant l’application des règles de réécriture/imposition du VLAN.

  • Dans les statistiques de trafic, la taille de trame englobe l’en-tête L2 sans CRC après une réécriture/imposition d’une règle VLAN.

Pour plus d’informations sur la compréhension des statistiques des trames Ethernet, consultez le Guide de configuration de couche 2 de la gamme MX Series.

Configuration d’un mécanisme de contrôle

Pour configurer un profil de mécanisme de contrôle Ethernet, incluez l’instruction suivante ethernet-policer-profile au niveau de la [edit interfaces interface-name gigether-options ethernet-switch-profile] hiérarchie :

Dans le profil du mécanisme de contrôle Ethernet, le mécanisme de contrôle de priorité agrégée est obligatoire. Le mécanisme de contrôle de la priorité Premium est facultatif.

Pour les mécanismes de contrôle agrégés et premium, spécifiez la limite de bande passante en bits par seconde. Vous pouvez spécifier la valeur sous la forme d’un nombre décimal complet ou d’un nombre décimal suivi de l’abréviation k (1000), (1 000 000) ou g (1 000 000 000). Il n’y a pas de valeur minimale absolue pour la limite de bande passante, mais toute valeur inférieure à 61 040 pb se traduira par un taux effectif de 30 520 bps. La limite de bande passante maximale est de 4,29 Gbit/s.

La taille de rafale maximale contrôle la quantité de rafale de trafic autorisée. Pour déterminer la limite de taille de la bande montante, vous pouvez multiplier la bande passante de l’interface sur laquelle vous appliquez le filtre par la durée pendant laquelle vous autorisez une rafale de trafic à cette bande passante :

Si vous ne connaissez pas la bande passante de l’interface, vous pouvez multiplier la MTU maximale du trafic sur l’interface par 10 pour obtenir une valeur. Par exemple, la taille de rafale pour une MTU de 4700 serait de 47 000 octets. La taille de rafale doit être d’au moins 10 MTU d’interface. La valeur maximale de la limite de taille en rafale est de 100 Mo.

Spécification d’une carte de priorité en entrée

Une carte de priorité en entrée identifie le trafic entrant avec des valeurs de priorité IEEE 802.1p spécifiées et classe ce trafic comme premium.

Si vous incluez un mécanisme de contrôle de priorité premium, vous pouvez spécifier un mappage de priorité en entrée en incluant l’instruction ieee802.1 premium au niveau de la [edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map] hiérarchie :

Les valeurs de priorité peuvent être comprises entre 0 et 7. Le trafic restant est classé comme non premium (ou agrégé). Pour obtenir un exemple de configuration, reportez-vous à la section Exemple : Configuration des mécanismes de contrôle Gigabit Ethernet.

REMARQUE :

Sur les interfaces IQ2 et IQ2-E et les interfaces MX Series, lorsqu’une balise VLAN est envoyée, les bits IEEE 802.1p du VLAN interne sont copiés vers les bits IEEE du ou des VLAN envoyés. Si le paquet d’origine n’est pas étiqueté, les bits IEEE du ou des VLAN envoyés sont définis sur 0.

Spécification d’une carte de priorité en sortie

Une carte de priorité de sortie identifie le trafic sortant avec une classification de file d’attente et une priorité de perte de paquets (PLP) spécifiées, et classe ce trafic comme premium.

Si vous incluez un mécanisme de contrôle de priorité premium, vous pouvez spécifier un mappage de priorité en sortie en incluant l’instruction classifier au niveau de la [edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map] hiérarchie :

Vous pouvez définir une classe de transfert ou utiliser une classe de transfert prédéfinie. Tableau 2 Affiche les classes de transfert prédéfinies et les affectations de file d’attente associées.

Tableau 2 : Classes de transfert par défaut

Nom de la classe de transfert

File d’attente

au mieux de leurs efforts

File d’attente 0

Expédition accélérée

File d’attente 1

transfert assuré

File d’attente 2

contrôle-réseau

File d’attente 3

Pour plus d’informations sur les classes de transfert CoS, consultez le Guide de l’utilisateur de la classe de service Junos OS pour les périphériques de routage. Pour obtenir un exemple de configuration, reportez-vous à la section Exemple : Configuration des mécanismes de contrôle Gigabit Ethernet.

Application d’un mécanisme de contrôle

Sur toutes les interfaces de routeur MX Series, les PIC Gigabit Ethernet IQ, IQ2 et IQ2-E, et les PIC Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet à 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i), vous pouvez appliquer des mécanismes de contrôle des entrées et des sorties qui définissent des limites de débit pour le trafic premium et agrégé reçu sur l’interface logique. Les mécanismes de contrôle agrégés sont pris en charge sur les PIC Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet à 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i).

Ces mécanismes de contrôle vous permettent d’effectuer un contrôle du trafic simple sans avoir à configurer de filtre de pare-feu.

Pour appliquer des mécanismes de contrôle à des adresses MAC sources spécifiques, incluez l’instruction accept-source-mac suivante :

Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :

  • [edit interfaces interface-name unit logical-unit-number ]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Vous pouvez spécifier l’adresse MAC comme nn:::::nnnnnnnn ou nnnn.nnnn.nnnn, où n est un nombre hexadécimal.nn Vous pouvez configurer jusqu’à 64 adresses source. Pour spécifier plusieurs adresses, incluez plusieurs mac-address instructions dans la configuration de l’interface logique.

REMARQUE :

Sur les interfaces Gigabit Ethernet non balisées, vous ne devez pas configurer simultanément l’instruction au niveau de la hiérarchie et l’instruction source-address-filteraccept-source-mac au niveau de la [edit interfaces ge-fpc/pic/port gigether-options][edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] hiérarchie. Si ces instructions sont configurées pour les mêmes interfaces en même temps, un message d’erreur s’affiche.

Sur les interfaces Gigabit Ethernet balisées, vous ne devez pas configurer l’instruction au niveau de la hiérarchie et l’instruction source-address-filteraccept-source-mac au niveau de la [edit interfaces ge-fpc/pic/port gigether-options][edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] hiérarchie avec une adresse MAC identique spécifiée dans les deux filtres. Si ces instructions sont configurées pour les mêmes interfaces avec une adresse MAC identique spécifiée, un message d’erreur s’affiche.

REMARQUE :

Si la carte Ethernet distante est changée, l’interface n’accepte pas le trafic de la nouvelle carte car la nouvelle carte a une adresse MAC différente.

Les adresses MAC que vous incluez dans la configuration sont entrées dans la base de données MAC du routeur. Pour afficher la base de données MAC du routeur, entrez la show interfaces mac-database interface-name commande :

Dans l’instruction, indiquez le nom d’un modèle de mécanisme de contrôle à évaluer lorsque des paquets sont reçus sur l’interface input .

Dans l’instruction, indiquez le nom d’un modèle de mécanismes de contrôle à évaluer lorsque des paquets sont transmis sur l’interface output .

REMARQUE :

Sur les interfaces IQ2 et IQ2-E PIC, la valeur par défaut pour la rétention maximale des entrées dans la table d’adresses MAC a changé, pour les cas dans lesquels la table n’est pas pleine. Le nouveau temps de maintien est de 12 heures. Le temps de rétention précédent de 3 minutes est toujours en vigueur lorsque la table est pleine.

Vous pouvez utiliser le même mécanisme de contrôle une ou plusieurs fois.

Si vous appliquez à la fois des mécanismes de contrôle et des filtres de pare-feu à une interface, les mécanismes de contrôle d’entrée sont évalués avant les filtres de pare-feu d’entrée, et les mécanismes de contrôle de sortie sont évalués après les filtres de pare-feu de sortie.

Configuration du filtrage des adresses MAC

Vous ne pouvez pas définir explicitement le trafic avec des adresses MAC sources spécifiques à rejeter. Toutefois, pour les PIC Gigabit Ethernet IQ et Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet à 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i), et pour les DPC Gigabit Ethernet sur les routeurs MX Series, vous pouvez bloquer tous les paquets entrants qui n’ont pas d’adresse source spécifiée dans l’instruction accept-source-mac . Pour plus d’informations sur l’instruction, reportez-vous à la accept-source-mac section Application d’un mécanisme de contrôle.

Pour activer ce blocage, incluez l’instruction source-filtering au niveau de la [edit interfaces interface-name gigether-options] hiérarchie :

Pour plus d’informations sur l’instruction, reportez-vous à la section Configuration du filtrage d’adresses MAC pour lessource-filtering interfaces Ethernet.

Pour accepter le trafic même s’il n’a pas d’adresse source spécifiée dans l’instruction, incluez l’instruction accept-source-macno-source-filtering au niveau de la [edit interfaces interface-name gigether-options] hiérarchie :

Exemple : Configuration des mécanismes de contrôle Gigabit Ethernet

Exemple

Cet exemple illustre les éléments suivants :

  • Configurez l’interface ge-6/0/0 pour traiter les valeurs de priorité 2 et 3 comme une prime. À l’entrée, cela signifie que les valeurs 2 de priorité IEEE 802.1p et 3 sont traitées comme premium. En cas de sortie, cela signifie que le trafic classé dans la file d’attente 0 ou 1 avec PLP faible et la file d’attente 2 ou 3 avec PLP élevé est traité comme premium.

  • Définissez un mécanisme de contrôle qui limite la bande passante premium à 100 Mbits/s et la taille de rafale à 3 k, et la bande passante agrégée à 200 Mbit/s et la taille de rafale à 3 k.

  • Spécifiez que les trames reçues de l’adresse MAC 00:01:02:03:04:05 et de l’ID 600 VLAN sont soumises au mécanisme de contrôle en entrée et en sortie. En entrée, cela signifie que les trames reçues avec l’adresse MAC 00:01:02:03:04:05 source et l’ID VLAN 600 sont soumises au contrôleur. En sortie, cela signifie que les trames transmises par le routeur avec l’adresse MAC 00:01:02:03:04:05 de destination et l’ID 600 VLAN sont soumises au contrôleur.

Exemple de configuration

Configuration des mécanismes de contrôle bicolores et tricolores Gigabit Ethernet

Présentation

Pour les interfaces Gigabit Ethernet et 10 Gigabit Ethernet IQ2 et IQ2-E sur les routeurs M Series et T Series, vous pouvez configurer des mécanismes de contrôle du marquage bicolore et tricolore et les appliquer aux interfaces logiques afin d’éviter que le trafic sur l’interface ne consomme la bande passante de manière inappropriée.

Les réseaux contrôlent le trafic en limitant le débit de transmission d’entrée ou de sortie d’une classe de trafic sur la base de critères définis par l’utilisateur. Le contrôle du trafic vous permet de contrôler le débit maximal de trafic envoyé ou reçu sur une interface et de partitionner un réseau en plusieurs niveaux de priorité ou classes de service.

Les mécanismes de contrôle exigent que vous appliquiez une limite de taille de rafale et de bande passante au flux de trafic, et que vous définissiez une conséquence pour les paquets qui dépassent ces limites (généralement une priorité de perte plus élevée, de sorte que les paquets dépassant les limites du mécanisme de contrôle soient ignorés en premier).

Les architectures de routeur Juniper Networks prennent en charge trois types de mécanismes de contrôle :

  • Mécanisme de contrôle bicolore : un mécanisme de contrôle bicolore (ou « mécanisme de contrôle » lorsqu’il est utilisé sans qualification) mesure le flux de trafic et classe les paquets en deux catégories de priorité de perte de paquets (PLP) en fonction d’une limite de bande passante et de taille de rafale configurée. Vous pouvez marquer les paquets qui dépassent la limite de bande passante et de taille de rafale d’une manière ou d’une autre, ou simplement les ignorer. Un mécanisme de contrôle est particulièrement utile pour mesurer le trafic au niveau du port (interface physique).

  • Marquage tricolore à débit unique (TCM à débit unique) : un mécanisme de contrôle du marquage tricolore à débit unique est défini dans la RFC 2697, Marqueur à trois couleurs à débit unique, dans le cadre d’un système de classification PHB (Transfert par saut) assuré pour un environnement de services différenciés (DiffServ). Ce type de mécanisme de contrôle mesure le trafic en fonction du débit d’informations garanti (CIR), de la taille des rafales validées (CBS) et de la taille des rafales excédentaires (EBS) configurés.

    À partir de Junos OS version 13.1, le trafic est classé en trois catégories : Vert, rouge et jaune. La liste suivante décrit les catégories :

    • Green (Vert) : la taille en rafale des paquets qui arrivent est inférieure à la somme du CIR et du CBS configurés.

    • Rouge : la taille en rafale des paquets qui arrivent est supérieure à la somme du CIR et de l’EBS configurés.

    • Yellow (Jaune) : la taille en rafale des paquets qui arrivent est supérieure à celle du CBS, mais inférieure à celle de l’EBS.

    Le TCM à débit unique est particulièrement utile lorsqu’un service est structuré en fonction de la longueur des paquets et non du taux d’arrivée des pics.

  • Marquage tricolore à deux débits (TCM à deux débits) : ce type de mécanisme de contrôle est défini dans la RFC 2698, A Two Rate Three Color Marker, dans le cadre d’un système de classification PHB (Transfert par saut) assuré pour un environnement de services différenciés (DiffServ). Ce type de mécanisme de contrôle mesure le trafic en fonction du CIR et du débit d’informations de crête (PIR) configurés, ainsi que des tailles de rafale qui leur sont associées, le CBS et l’EBS.

    Le trafic est classé dans les trois catégories suivantes :

    • Green (Vert) : la taille en rafale des paquets qui arrivent est inférieure à la somme du CIR et du CBS configurés.

    • Rouge : la taille en rafale des paquets qui arrivent est supérieure à la somme du PIR et de l’EBS configurés.

    • Yellow (Jaune) : le trafic n’appartient ni à la catégorie verte ni à la catégorie rouge.

    Le TCM à deux débits est particulièrement utile lorsqu’un service est structuré en fonction des taux d’arrivée et pas nécessairement de la longueur des paquets.

REMARQUE :

Contrairement au contrôle (décrit dans la section Configuration des mécanismes de contrôle Gigabit Ethernet), la configuration des mécanismes de contrôle bicolores et tricolores nécessite la configuration d’un filtre de pare-feu.

Configuration d’un mécanisme de contrôle

Les mécanismes de contrôle du marquage bicolore et tricolore sont configurés au niveau de la [edit firewall] hiérarchie.

Un mécanisme de contrôle de marquage tricolore contrôle le trafic en fonction des débits de comptage, notamment le CIR, le PIR, les tailles de rafale associées et toute action de contrôle configurée pour le trafic.

Pour configurer le marquage tricolore du mécanisme de contrôle, incluez l’instruction three-color-policer avec des options au niveau de la [edit firewall] hiérarchie :

Pour plus d’informations sur la configuration des marquages de mécanismes de contrôle tricolores, consultez le Guide de l’utilisateur des stratégies de routage , des filtres de pare-feu et des mécanismes de contrôle du trafic et le Guide de l’utilisateur de la classe de service Junos OS pour les périphériques de routage.

Application d’un mécanisme de contrôle

Appliquez un mécanisme de contrôle bicolore ou tricolore à une interface logique afin d’éviter que le trafic de l’interface ne consomme la bande passante de manière inappropriée. Pour appliquer des mécanismes de contrôle bicolores ou tricolores, incluez l’instruction layer2-policer suivante :

Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Utilisez l’instruction pour appliquer un mécanisme de contrôle bicolore aux paquets reçus sur une interface logique et l’instruction input-policerinput-three-color pour appliquer un mécanisme de contrôle tricolore. Utilisez l’instruction pour appliquer un mécanisme de contrôle bicolore aux paquets transmis sur une interface logique et l’instruction output-policeroutput-three-color pour appliquer un mécanisme de contrôle tricolore. Les mécanismes de contrôle spécifiés doivent être configurés au niveau de la [edit firewall] hiérarchie. Pour chaque interface, vous pouvez configurer un mécanisme de contrôle tricolore ou un mécanisme de contrôle d’entrée ou de sortie bicolore (vous ne pouvez pas configurer à la fois un mécanisme de contrôle tricolore et un mécanisme de contrôle bicolore).

Exemple : Configuration et application d’un mécanisme de contrôle

Configurez les mécanismes de contrôle tricolores et appliquez-les à une interface :

Configurez un mécanisme de contrôle bicolore et appliquez-le à une interface :

Tableau de l'historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Version
Description
13.1
À partir de Junos OS version 13.1, le trafic est classé en trois catégories : Vert, rouge et jaune.