Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration des mécanismes de contrôle Gigabit Ethernet

Les mécanismes de contrôle vous permettent d’effectuer des opérations simples de contrôle du trafic sur les interfaces Gigabit Ethernet sans configurer de filtre de pare-feu. Vous pouvez utiliser cette rubrique pour configurer une carte de priorité d’entrée, une carte de priorité de sortie, puis appliquer la stratégie. Utilisez cette rubrique pour obtenir des informations sur la configuration d’un mécanismes de contrôle bicolore et d’un mécanismes de contrôle tricolore.

Capacités des PIC intelligents Gigabit Ethernet et des PIC Gigabit Ethernet avec SFP

Pour les PIC IQ Gigabit Ethernet et les PIC Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i), vous pouvez configurer des capacités granulaires par classe de service (CoS) par VLAN, ainsi que des outils et des diagnostics étendus par VLAN et par adresse MAC.

La réécriture, l’étiquetage et la suppression du VLAN vous permettent d’utiliser l’espace d’adressage VLAN pour prendre en charge davantage de clients et de services.

VPLS vous permet de fournir un réseau LAN point à multipoint entre un ensemble de sites dans un VPN. Des PIC IP intelligents Ethernet et des PIC Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i) sont associés à VPLS pour fournir un service Metro Ethernet.

Pour les interfaces Gigabit Ethernet IQ2 et IQ2-E et 10-Gigabit Ethernet IQ2 et IQ2-E, vous pouvez appliquer le contrôle de couche 2 aux interfaces logiques dans la direction sortante ou entrante. Les mécanismes de contrôle de couche 2 sont configurés au niveau de la [edit firewall] hiérarchie. Vous pouvez également contrôler le débit du trafic envoyé ou reçu sur une interface en configurant un surcharge de mécanismes de contrôle au niveau de la [edit chassis fpc slot-number pic slot-number] hiérarchie.

Tableau 1 répertorie les capacités des PIC intelligents Gigabit Ethernet et des PIC Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i).

Tableau 1 : Capacités de Gigabit Ethernet intelligent et Gigabit Ethernet avec SFP

Capacité

Gigabit Ethernet IQ (SFP)

Gigabit Ethernet (SFP)

Couche 2

Agrégation de liens 802.3ad

Oui

Oui

Nombre maximal de VLAN par port

384

1023

Taille maximale de l’unité de transmission (MTU)

9192

9192

Apprentissage MAC

Oui

Oui

Comptabilité MAC

Oui

Oui

Filtrage MAC

Oui

Oui

Destinations par port

960

960

Sources par port

64

64

Mécanismes de contrôle MAC hiérarchiques

Oui, premium et agrégé

Non, agrégation uniquement

Prise en charge de multiples TPID et service IP pour les TPID non standard

Oui

Oui

Encapsulations Ethernet multiples

Oui

Oui

Double balise VLAN

Oui

Non

Réécriture VLAN

Oui

Non

VPN de couche 2

VLAN CCC

Oui

Oui

CCC basé sur les ports

Oui

Oui

Protocole de balise VLAN CCC (Virtual Metropolitan Area Network) étendue

Oui

Oui

CoS

Files d’attente sortantes basées sur PIC

Oui

Oui

VLAN en file d’attente

Oui

Non

VPLS

Oui

Oui

Pour plus d’informations sur la configuration de VPLS, consultez la bibliothèque de VPN Junos OS pour les équipements de routage.

Vous pouvez également configurer la CoS sur des interfaces logiquesiq. Pour plus d’informations, consultez le Junos OS Class of Service User Guide for Routing Devices.

Configuration des mécanismes de contrôle Gigabit Ethernet

Présentation

Sur les PIC Gigabit Ethernet IQ et Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i), vous pouvez définir des limites de débit pour le trafic surtaxé et agrégé reçu sur l’interface. Ces mécanismes de contrôle vous permettent d’effectuer un contrôle du trafic simple sans configurer de filtre de pare-feu. Vous configurez d’abord le profil du mécanismes de contrôle Ethernet, puis vous classez le trafic entrant et sortant, puis vous pouvez appliquer le mécanismes de contrôle à une interface logique.

Pour les PIC Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i), les débits de mécanismes de contrôle que vous configurez peuvent être différents des débits du moteur de transfert de paquets. La différence résulte d’une surcharge de couche 2. Le PIC explique cette différence.

Remarque :

Sur les routeurs MX Series dotés de cartes PIC Gigabit Ethernet ou Fast Ethernet, les considérations suivantes s’appliquent :

  • Les compteurs d’interface ne comptent pas le préambule de 7 octets et le délimitateur de trames 1 octet dans les trames Ethernet.

  • Dans les statistiques MAC, la taille de la trame comprend l’en-tête MAC et LE MENU AVANT l’application des règles de réécriture/imposition VLAN.

  • Dans les statistiques de trafic, la taille de la trame englobe l’en-tête de couche 2sansé APRÈS toute règle de réécriture/imposition VLAN.

Pour plus d’informations sur la compréhension des statistiques des trames Ethernet, consultez le Guide de configuration de couche 2 MX Series.

Configuration d’un dispositif de contrôle

Pour configurer un profil de policer Ethernet, incluez l’instruction ethernet-policer-profile au niveau de la [edit interfaces interface-name gigether-options ethernet-switch-profile] hiérarchie :

Dans le profil du mécanismes de contrôle Ethernet, le mécanismes de contrôle de priorité agrégée est obligatoire; le dispositif de contrôle prioritaire surtaxé est facultatif.

Pour les mécanismes de contrôle agrégés et premium, vous spécifiez la limite de bande passante en bits par seconde. Vous pouvez spécifier la valeur sous forme de décimale complète ou de décimale suivie de l’abréviation k (1 000), (1 000 000) ou g (1 000 000 000). Il n’existe pas de valeur minimale absolue pour la limite de bande passante, mais toute valeur inférieure à 61 040 milliards de paquets par jour se traduira par un taux effectif de 30 520 milliards de paquets par jour. La limite maximale de bande passante est de 4,29 Gbits/s.

La taille maximale de l’rafale contrôle le volume de trafic autorisé. Pour déterminer la limite de taille d’rafale, vous pouvez multiplier la bande passante de l’interface sur laquelle vous appliquez le filtre par la durée pendant laquelle vous autorisez une salve de trafic à cette bande passante à se produire :

Si vous ne connaissez pas la bande passante de l’interface, vous pouvez multiplier le MTU maximum du trafic sur l’interface par 10 pour obtenir une valeur. Par exemple, la taille d’une rafale pour un MTU de 4700 serait de 47 000 octets. La taille de l’rafale doit être d’au moins 10 MPU d’interface. La valeur maximale pour la limite de taille d’rafale est 100 Mo.

Spécification d’une carte de priorité en entrée

Une carte de priorité en entrée identifie le trafic entrant à l’aide de valeurs de priorité IEEE 802.1p spécifiées, et classe ce trafic comme « premium ».

Si vous incluez un mécanismes de contrôle « premium-priority », vous pouvez spécifier une carte de priorité d’entrée en incluant l’instruction ieee802.1 premium au niveau de la [edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map] hiérarchie :

Les valeurs de priorité peuvent être de 0 à 7. Le trafic restant est classé comme non préparé (ou agrégé). Pour un exemple de configuration, reportez-vous Exemple : Configuration des mécanismes de contrôle Gigabit Ethernetà .

Remarque :

Sur les interfaces IQ2 et IQ2-E et les interfaces MX Series, lorsqu’une balise VLAN est appliquée, les bits IEEE 802.1p VLAN internes sont copiés sur les bits IEEE des VLAN ou VLAN en cours d’émission. Si le paquet d’origine n’est pas marqué, les bits IEEE du VLAN ou des VLAN en cours d’émission sont définis sur 0.

Spécification d’une carte de priorité de sortie

Une carte de priorité de sortie identifie le trafic sortant à l’aide de la classification de file d’attente et de la priorité de perte de paquets (PLP) spécifiée, et classe ce trafic comme « premium ».

Si vous incluez un mécanismes de contrôle « premium-priority », vous pouvez spécifier une carte de priorité de sortie en incluant l’instruction classifier au niveau de la [edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map] hiérarchie :

Vous pouvez définir une classe de transfert ou utiliser une classe de transfert prédéfinie. Tableau 2 affiche les classes de transfert prédéfinies et les affectations de file d’attente associées.

Tableau 2 : Classes de transfert par défaut

Nom de la classe de transfert

File d’attente

le meilleur effort possible

File d’attente 0

transfert accéléré

File d’attente 1

transfert assuré

File d’attente 2

contrôle du réseau

File d’attente 3

Pour plus d’informations sur les classes de transfert CoS, consultez le Junos OS Class of Service User Guide for Routing Devices. Pour un exemple de configuration, reportez-vous Exemple : Configuration des mécanismes de contrôle Gigabit Ethernetà .

Application d’un dispositif de contrôle

Sur toutes les interfaces de routeur MX Series, les cartes PIC Gigabit Ethernet, IQ2 et IQ2-E et les PIC Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i), vous pouvez appliquer des mécanismes de contrôle d’entrée et de sortie qui définissent les limites de débit pour le trafic premium et agrégé reçu sur l’interface logique. Les mécanismes de contrôle agrégés sont pris en charge sur les PIC Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet 10 ports et du port Gigabit Ethernet intégré du routeur M7i).

Ces mécanismes de contrôle vous permettent d’effectuer un contrôle du trafic simple sans configurer de filtre de pare-feu.

Pour appliquer des mécanismes de contrôle à des adresses MAC source spécifiques, incluez l’instruction accept-source-mac :

Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :

  • [edit interfaces interface-name unit logical-unit-number ]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Vous pouvez spécifier l’adresse MAC comme nn:nn:nn:nn:nn:nn:nn ou nnnnnnnnnnnn..,n se trouve un nombre hexadécimal. Vous pouvez configurer jusqu’à 64 adresses source. Pour spécifier plusieurs adresses, ajoutez plusieurs mac-address instructions dans la configuration de l’interface logique.

Remarque :

Sur les interfaces Gigabit Ethernet non établies, vous ne devez pas configurer simultanément l’instruction source-address-filter au niveau de la [edit interfaces ge-fpc/pic/port gigether-options] hiérarchie et celle accept-source-mac au niveau de la [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] hiérarchie. Si ces instructions sont configurées simultanément pour les mêmes interfaces, un message d’erreur s’affiche.

Sur les interfaces Gigabit Ethernet balisées, vous ne devez pas configurer l’instruction source-address-filter au niveau de la [edit interfaces ge-fpc/pic/port gigether-options] hiérarchie et l’instruction accept-source-mac au niveau de la [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] hiérarchie avec une adresse MAC identique spécifiée dans les deux filtres. Si ces instructions sont configurées pour les mêmes interfaces avec une adresse MAC identique spécifiée, un message d’erreur s’affiche.

Remarque :

Si la carte Ethernet à distance est modifiée, celle-ci n’accepte pas le trafic de la nouvelle carte, car celle-ci a une adresse MAC différente.

Les adresses MAC que vous incluez dans la configuration sont saisies dans la base de données MAC du routeur. Pour afficher la base de données MAC du routeur, saisissez la show interfaces mac-database interface-name commande :

Dans l’instruction input , énumérer le nom d’un modèle de mécanismes de contrôle à évaluer lors de la réception de paquets sur l’interface.

Dans l’instruction output , énumérer le nom d’un modèle de mécanismes de contrôle à évaluer lors de la transmission de paquets sur l’interface.

Remarque :

Sur les interfaces PIC IQ2 et IQ2-E, la valeur par défaut pour une rétention maximale des entrées dans le tableau d’adresses MAC a changé, pour les cas où la table n’est pas complète. Le nouveau temps de rétention est de 12 heures. Le temps de conservation précédent de 3 minutes est toujours en vigueur lorsque la table est pleine.

Vous pouvez utiliser le même mécanismes de contrôle une ou plusieurs fois.

Si vous appliquez à la fois des mécanismes de contrôle et des filtres de pare-feu à une interface, les mécanismes de contrôle d’entrée sont évalués avant les filtres de pare-feu d’entrée et les mécanismes de contrôle de sortie sont évalués après les filtres de pare-feu de sortie.

Configuration du filtrage des adresses MAC

Vous ne pouvez pas définir explicitement le trafic avec des adresses MAC source spécifiques à refuser ; toutefois, pour les PIC Gigabit Ethernet intelligents et Gigabit Ethernet avec SFP (à l’exception du PIC Gigabit Ethernet 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i), et pour les DPC Gigabit Ethernet sur les routeurs MX Series, vous pouvez bloquer tous les paquets entrants qui n’ont pas d’adresse source spécifiée dans l’énoncé accept-source-mac . Pour plus d’informations sur l’énoncé accept-source-mac , reportez-vous Application d’un dispositif de contrôleà .

Pour activer ce blocage, incluez l’instruction source-filtering au niveau de la [edit interfaces interface-name gigether-options] hiérarchie :

Pour plus d’informations sur l’instruction, consultez Configuration du source-filteringfiltrage d’adresses MAC pour les interfaces Ethernet.

Pour accepter le trafic même s’il ne dispose pas d’adresse source indiquée dans l’instruction accept-source-mac , incluez l’instruction no-source-filtering au niveau de la [edit interfaces interface-name gigether-options] hiérarchie :

Exemple : Configuration des mécanismes de contrôle Gigabit Ethernet

Exemple

Cet exemple illustre les éléments suivants :

  • Configurez l’interface ge-6/0/0 pour traiter les valeurs de priorité 2 et 3 comme des valeurs premium. En cas d’entrant, cela signifie que les valeurs de priorité IEEE 802.1p sont 3 traitées comme des valeurs 2 premium. En cas de sortie, cela signifie que le trafic classé dans la file d’attente 0 ou 1 avec PLP de faible et 2 ou 3 avec PLP de haut, est traité comme une prime.

  • Définissez un dispositif de contrôle qui limite la bande passante haut de gamme à 100 Mbits/s et la taille d’rafale à 3 k, et la bande passante agrégée à 200 Mbits/s et la taille d’rafale à 3 k.

  • Indiquez que les trames reçues à partir de l’adresse 00:01:02:03:04:05 MAC et de l’ID 600 VLAN sont soumises au mécanismes de contrôle en entrée et en sortie. En entrée, cela signifie que les trames reçues avec l’adresse 00:01:02:03:04:05 MAC source et l’ID VLAN 600 sont soumises au mécanismes de contrôle. En sortie, les trames transmises depuis le routeur avec l’adresse 00:01:02:03:04:05 MAC de destination et l’ID 600 VLAN sont soumises au mécanismes de contrôle.

Exemple de configuration

Configuration des mécanismes de contrôle Gigabit Ethernet bicolores et tricolores

Présentation

Pour les interfaces Gigabit Ethernet et 10-Gigabit Ethernet IQ2 et IQ2-E sur les routeurs M Series et T Series, vous pouvez configurer des mécanismes de contrôle de marquage bicolore et tricolore et les appliquer aux interfaces logiques afin d’empêcher le trafic sur l’interface de consommer de la bande passante de manière inappropriée.

Les réseaux contrôlent le trafic en limitant le débit de transmission en entrée ou en sortie d’une classe de trafic selon des critères définis par l’utilisateur. Le contrôle du trafic vous permet de contrôler le débit maximal du trafic envoyé ou reçu sur une interface et de partitionner un réseau en plusieurs niveaux de priorité ou classes de service.

Les mécanismes de contrôle exigent que vous appliquiez une taille d’rafale et une limite de bande passante au flux de trafic, et définissiez une conséquence pour les paquets qui dépassent ces limites, généralement une priorité de perte plus élevée, de sorte que les paquets dépassant les limites du mécanismes de policer soient jetés en premier.

Les architectures de routeurs Juniper Networks prennent en charge trois types de mécanismes de contrôle :

  • Mécanismes de contrôle à deux couleurs : un mécanismes de contrôle à deux couleurs (ou « mécanismes de contrôle » lorsqu’ils sont utilisés sans qualification) mesure le flux de trafic et classe les paquets en deux catégories de priorité de perte de paquets (PLP) en fonction d’une bande passante configurée et d’une limite de taille d’rafale. Vous pouvez marquer des paquets qui dépassent d’une certaine manière la bande passante et la limite de taille d’rafale, ou simplement les jeter. Un dispositif de contrôle est plus utile pour mesurer le trafic au niveau du port (interface physique).

  • Marquage tricolore à débit unique (MTC à débit unique) : un mécanismes de contrôle de marquage tricolore à débit unique est défini dans le document RFC 2697, A Single Rate Three Color Marker, dans le cadre d’un système de classification PHB (Forwarding per-hop-behavior) garanti pour un environnement DiffServ (Differentiated Services). Ce type de contrôle mesure le trafic en fonction du débit d’information (CIR) configuré, de la taille de l’rafale validée (CBS) et de la taille de l’salve (EBS).

    À partir de Junos OS Version 13.1, le trafic est classé en trois catégories : Vert, Rouge et Jaune. La liste suivante décrit les catégories :

    • Vert : la taille de l’rafale des paquets arrivant est inférieure à la somme du CIR et du CBS configurés.

    • Rouge : la taille de l’rafale des paquets arrivant est supérieure à la somme du CIR et du EBS configurés.

    • Jaune : la taille de l’éclatement des paquets arrivant est supérieure au CBS, mais inférieure à celle du EBS.

    La MTC à débit unique est plus utile lorsqu’un service est structuré en fonction de la longueur des paquets et non du taux d’arrivée maximal.

  • Marquage tricolore à deux débits (TCM à deux débits) : ce type de mécanismes de contrôle est défini dans le document RFC 2698, A Two Rate Three Color Marker,comme faisant partie d’un système de classification PHB (Forwarding per-hop-behavior) garanti pour un environnement DiffServ (Differentiated Services). Ce type de contrôle mesure le trafic en fonction du CIR configuré et du débit d’information de pointe (PIR), ainsi que de leurs tailles d’rafales associées, les CBS et EBS.

    Le trafic est classé dans les trois catégories suivantes :

    • Vert : la taille de l’rafale des paquets arrivant est inférieure à la somme du CIR et du CBS configurés.

    • Rouge : la taille de l’rafale des paquets arrivant est supérieure à la somme des PIR et EBS configurés.

    • Jaune : le trafic n’appartient ni au vert ni à la catégorie rouge.

    La MTC à deux débits est plus utile lorsqu’un service est structuré en fonction des débits d’arrivée et pas nécessairement de la longueur des paquets.

Remarque :

Contrairement au contrôle (décrit dans la section Configuring Gigabit Ethernet Policers), la configuration de mécanismes de contrôle bicolores et de mécanismes de contrôle de marquage tricolore nécessite de configurer un filtre de pare-feu.

Configuration d’un dispositif de contrôle

Les mécanismes de contrôle de marquage tricolore et bicolore sont configurés au niveau de la [edit firewall] hiérarchie.

Un mécanismes de contrôle tricolore contrôle le trafic en fonction des débits mesurés, y compris le CIR, le PIR, les pics de fréquence associés et toute action de contrôle configurée pour le trafic.

Pour configurer le marquage de policer tricolore, incluez l’instruction three-color-policer avec des options au niveau de la [edit firewall] hiérarchie :

Pour plus d’informations sur la configuration des marquages des mécanismes de contrôle tricolores, consultez les manuels Routing Policies, Firewall Filters et Traffic Policers User Guide et Junos OS Class of Service User Guide for Routing Devices.

Application d’un dispositif de contrôle

Appliquez un mécanismes de contrôle à deux couleurs ou un mécanismes de contrôle tricolore à une interface logique afin d’empêcher le trafic sur l’interface de consommer de la bande passante de manière inappropriée. Pour appliquer des mécanismes de contrôle bicolores ou tricolores, indiquez :layer2-policer

Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Utilisez l’instruction input-policer pour appliquer un mécanismes de contrôle bicolore aux paquets reçus sur une interface logique, et l’instruction input-three-color d’appliquer un dispositif de contrôle tricolore. Utilisez l’instruction output-policer pour appliquer un mécanismes de contrôle bicolore aux paquets transmis sur une interface logique, et l’instruction output-three-color d’appliquer un dispositif de contrôle tricolore. Les mécanismes de contrôle spécifiés doivent être configurés au niveau de la [edit firewall] hiérarchie. Pour chaque interface, vous pouvez configurer un mécanismes de contrôle d’entrée en trois couleurs ou un mécanismes de contrôle d’entrée ou des mécanismes de contrôle d’entrée de deux couleurs. Vous ne pouvez pas configurer à la fois un policer trois couleurs et un policer deux couleurs.

Exemple : Configuration et application d’un dispositif de contrôle

Configurez les mécanismes de contrôle tricolores et appliquez-les à une interface :

Configurez un mécanismes de contrôle en deux couleurs et appliquez-le à une interface :

Tableau de l'historique des versions
Version
Description
13.1
À partir de Junos OS Version 13.1, le trafic est classé en trois catégories : Vert, Rouge et Jaune.