Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration des policeurs Gigabit Ethernet

Les policers vous permettent d’effectuer un contrôle simple du trafic sur les interfaces Gigabit Ethernet sans configurer de filtre de pare-feu. Vous pouvez utiliser ce sujet pour configurer une carte des priorités d’entrée, une carte de priorités de sortie, puis appliquer la stratégie. Utilisez ce sujet pour obtenir des informations sur la configuration d’un policer deux couleurs et d’un policer tricolore.

Capacités des PICs Gigabit Ethernet IQ et des PIC Gigabit Ethernet avec SPF

Pour les PIC Gigabit Ethernet IQ et Gigabit Ethernet PIC avec SPC (à l’exception du PIC Gigabit Ethernet 10 ports et du port Gigabit Ethernet intégré du routeur M7i), vous pouvez configurer des capacités de classe de service (CoS) VLAN granulaires et des fonctions d’instrumentation et de diagnostic étendues sur une adresse par VLAN et par adresse MAC.

La réécriture, le balisage et la suppression des VLAN vous permettent d’utiliser l’espace d’adresse VLAN pour prendre en charge un plus grand nombre de clients et de services.

VPLS vous permet de fournir un réseau LAN point à multipoint entre un ensemble de sites dans un VPN. Les PIC Iq Ethernet et les PIC Gigabit Ethernet avec SPC (à l’exception du PIC Gigabit Ethernet 10 ports et du port Gigabit Ethernet intégré du routeur M7i) sont associés à VPLS pour fournir un service Metro Ethernet.

Pour les interfaces Gigabit Ethernet IQ2, IQ2-E et 10 Gigabit Ethernet IQ2 et IQ2-E, vous pouvez appliquer le contrôle de couche 2 aux interfaces logiques dans la direction du sortie ou de l’entrée. Les policeurs de couche 2 sont configurés au niveau [edit firewall] de la hiérarchie. Vous pouvez également contrôler le taux de trafic envoyé ou reçu sur une interface en configurant une charge de contrôle au niveau [edit chassis fpc slot-number pic slot-number] de la hiérarchie.

Tableau 1 répertorie les capacités des PIC Gigabit Ethernet IQ et des PIC Gigabit Ethernet avec SPC (à l’exception du PIC Gigabit Ethernet 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i).

Tableau 1 : Capacités du gigabit Ethernet IQ et du Gigabit Ethernet avec SPF

Capacité

Iq. Gigabit Ethernet (SFP)

Gigabit Ethernet (SFP)

Couche 2

Agrégation de liaisons 802.3ad

Oui

Oui

Nombre maximal de VLAN par port

384

1023

Taille maximale de l’unité de transmission (MTU)

9192

9192

Apprentissage MAC

Oui

Oui

Comptabilisation MAC

Oui

Oui

Filtrage MAC

Oui

Oui

Destinations par port

960

960

Sources par port

64

64

Policers MAC hiérarchiques

Oui, premium et agrégation

Non, agrégation uniquement

Prise en charge TPID multiple et service IP pour les TPID non conformes

Oui

Oui

Encapsulations Ethernet multiples

Oui

Oui

Balises VLAN double

Oui

Non

Réécriture VLAN

Oui

Non

VPN de couche 2

VLAN CCC

Oui

Oui

CCC basée sur les ports

Oui

Oui

Protocole de balise VLAN CCC Virtual Metropolitan Area Network (VMAN)

Oui

Oui

CoS

Files d’attente de sortie basées sur PIC

Oui

Oui

VLANs en file d’attente

Oui

Non

VPLS

Oui

Oui

Pour plus d’informations sur la configuration de VPLS, consultez la bibliothèque Junos OS VPN pour les équipements de routage.

Vous pouvez également configurer CoS interfaces IQ logiques. Pour plus d’informations, consultez le Junos OS Classe de service (Class of Service User Guide) pour les équipements de routage.

Configuration des policeurs Gigabit Ethernet

Présentation

Sur les PIC Gigabit Ethernet IQ et Gigabit Ethernet avec SPC (sauf PIC Gigabit Ethernet 10 ports et port Gigabit Ethernet intégré sur le routeur M7i), vous pouvez définir des limites de débit pour le trafic premium et agrégé reçu sur l’interface. Ces policers vous permettent d’effectuer un contrôle simple du trafic sans configurer de filtre de pare-feu. Vous configurez d’abord le profil du policer Ethernet, puis classifiez le trafic d’entrée et de sortie, puis appliquez le policer à une interface logique.

Pour les CARTES PIC Gigabit Ethernet avec SPC (à l’exception du PIC Gigabit Ethernet 10 ports et du port Gigabit Ethernet intégré du routeur M7i), les débits des policers que vous configurez peuvent être différents des débits du moteur de paquets de paquets. Résultat: les coûts de couche 2 sont énormes. Le PIC explique cette différence.

Remarque :

Sur les routeurs MX Series à PIC Gigabit Ethernet ou Fast Ethernet, les considérations suivantes s’appliquent:

  • Les compteurs d’interface ne comptent pas les trames préambles de 7 to/s et les trames d’un nombre d’heures dans les trames Ethernet.

  • Dans les statistiques MAC, la taille de trame inclut l’en-tête MAC et le CRC avant toute réécriture/règles de réécriture VLAN.

  • Dans les statistiques de trafic, la taille de trame couvre l’en-tête de L2 sans CRC après une règle de réécriture/règles de réécriture VLAN.

Pour plus d’informations sur les statistiques de trames Ethernet, consultez le MX Series de configuration de couche 2.

Configuration d’un policer

Pour configurer un profil de policer Ethernet, inclure l’instruction au niveau ethernet-policer-profile[edit interfaces interface-name gigether-options ethernet-switch-profile] de la hiérarchie:

Dans le profil de policer Ethernet, le policer avec priorité agrégée est obligatoire ; le dispositif de police prioritaire est facultatif.

Pour les policeurs d’agrégation et premium, indiquez la limite de bande passante par seconde. Vous pouvez spécifier la valeur comme numéro de décimal complet ou décimal suivi de l’abréviation k (1000), (1 000 000) ou g (1 000 000). Il n’y a pas de valeur minimale absolue pour la limite de bande passante, mais toute valeur inférieure à 61 040 b/s vous permettra d’obtenir un débit effectif de 30 520 b/s. La limite maximale de bande passante est de 4,29Gbits/s.

La taille maximale du rafale permet de contrôler la quantité de rafales de trafic autorisée. Pour déterminer la limite de taille d’accès, vous pouvez multiplier la bande passante de l’interface sur laquelle vous appliquez le filtre par la durée pendant laquelle vous autorisez une rafale de trafic à cette bande passante:

Si vous ne connaissez pas la bande passante de l’interface, vous pouvez multiplier par 10 le nombre maximal MTU du trafic sur l’interface afin d’obtenir une valeur. Par exemple, la taille d’un MTU de 4 700 octets est de 47 000 octets. La taille de la rafale doit être au moins 10 TTM d’interface. La valeur maximale pour la limite de taille d’rafale est de 100 Mo.

Spécifiant une carte de priorité d’entrée

Une carte de priorité d’entrée identifie le trafic d’entrée avec les valeurs IEEE de priorité 802.1p spécifiées, et classe ce trafic comme premium.

Si vous avez inclus un policer premium, vous pouvez spécifier une carte de priorité d’entrée en incluant l’instruction au niveau ieee802.1 premium[edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map] de la hiérarchie:

Les valeurs de priorité peuvent être de 0 à 7. Le trafic restant est classé nonpremium (ou agrégation). Pour un exemple de configuration, Exemple: Configuration des policeurs Gigabit Ethernet consultez .

Remarque :

Sur les interfaces IQ2 et IQ2-E et les interfaces MX Series, lorsqu’une balise VLAN est repoussée, les IEEE bits 802.1p du VLAN interne sont copiés sur les bits IEEE du VLAN ou des VLAN. Si le paquet d’origine n’est pas en retard, les bits IEEE du VLAN ou des VLAN en cours d’utilisation sont définir 0.

Définition d’une carte de priorité de sortie

Une carte de priorité de sortie identifie le trafic de sortie avec une classification spécifiée de la file d’attente et des priorités de perte de paquets (PLP), et classifie ce trafic en tant que priorité.

Si vous avez inclus un policer premium, vous pouvez spécifier une carte de priorité de sortie en incluant l’instruction au niveau classifier[edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map] de la hiérarchie:

Vous pouvez définir une classe de forwarding ou utiliser une classe de forwarding prédéfiny. Tableau 2 indique les classes de forwarding prédéfinées et les attributions de files d’attente associées.

Tableau 2 : Classes de passation par défaut

Nom de la classe de forwarding

File d’attente

les efforts déployés

File d’attente 0

passation accélérée

File d’attente 1

forwarding assuré

File d’attente 2

contrôle du réseau

File d’attente 3

Pour plus d’informations sur CoS de routage, consultez le Junos OS Classe de service (Class of Service User Guide) pour les équipements de routage. Pour un exemple de configuration, Exemple: Configuration des policeurs Gigabit Ethernet consultez .

Application d’un policer

Sur toutes les interfaces de routeur MX Series, les CARTES PIC Gigabit Ethernet, IQ2 et IQ2-E et les PIC Gigabit Ethernet avec SPC (à l’exception du PIC Gigabit Ethernet à 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i), vous pouvez appliquer des policeurs d’entrée et de sortie qui définissent les limites de débit du trafic premium et agrégé reçu sur l’interface logique. Les policeurs d’agrégation sont pris en charge sur les PIC Gigabit Ethernet avec SPC (à l’exception du PIC Gigabit Ethernet 10 ports et du port Gigabit Ethernet intégré du routeur M7i).

Ces policers vous permettent d’effectuer un contrôle simple du trafic sans configurer de filtre de pare-feu.

Pour appliquer des policers à des adresses MAC source spécifiques, inclure accept-source-mac l’instruction:

Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants:

  • [edit interfaces interface-name unit logical-unit-number ]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Vous pouvez spécifier l’adresse MAC comme nn:nn:nn:nn: nn :nn: nn ounnnnnnnn.nnnn., dont est un numéro n hexadécimaux. Vous pouvez configurer jusqu’à 64 adresses source. Pour spécifier plusieurs adresses, inclure plusieurs mac-address instructions dans la configuration de l’interface logique.

Remarque :

Sur les interfaces Gigabit Ethernet non configurées, vous ne devriez pas configurer l’instruction au niveau de la hiérarchie et l’instruction au niveau de source-address-filter[edit interfaces ge-fpc/pic/port gigether-options] la hiérarchie accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] simultanément. Si ces instructions sont configurées pour les mêmes interfaces en même temps, un message d’erreur s’affiche.

Sur les interfaces Gigabit Ethernet balisé, vous ne devez pas configurer l’instruction au niveau de la hiérarchie et l’instruction au niveau de la hiérarchie, avec une adresse MAC identique spécifiée dans les source-address-filter[edit interfaces ge-fpc/pic/port gigether-options] deux accept-source-mac[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number] filtres. Si ces instructions sont configurées pour les mêmes interfaces avec une adresse MAC identique spécifiée, un message d’erreur s’affiche.

Remarque :

Si la carte Ethernet distante est modifiée, l’interface n’accepte pas le trafic provenant de la nouvelle carte, car la nouvelle carte possède une adresse MAC différente.

Les adresses MAC que vous inclut dans la configuration sont saisies dans la base de données MAC du routeur. Pour afficher la base de données MAC du routeur, saisissez la show interfaces mac-database interface-name commande:

Dans l’énoncé, énumérer le nom d’un modèle de policer à évaluer lors de la réception de input paquets sur l’interface.

Dans l’énoncé, énumérer le nom d’un modèle de policer à évaluer lorsque des output paquets sont transmis sur l’interface.

Remarque :

Sur les interfaces IQ2 et IQ2-E PIC, la valeur par défaut pour la conservation maximale des entrées dans la table d’adresse MAC a changé, pour les cas où la table n’est pas complète. Le nouveau délai d’en-cas est de 12 heures. Le temps de conservation précédent de 3 minutes est toujours en vigueur lorsque la table est complète.

Vous pouvez utiliser le même policer une ou plusieurs fois.

Si vous appliquez des policers et des filtres de pare-feu à une interface, les policers d’entrée sont évalués avant d’entrer des filtres de pare-feu, et des policers de sortie sont évalués après filtres de pare-feu de sortie.

Configuration du filtrage des adresses MAC

Vous ne pouvez pas définir de trafic avec des adresses MAC source spécifiques pour être rejetés ; cependant, pour les PIC Gigabit Ethernet IQ et Gigabit Ethernet avec SPC (à l’exception du PIC Gigabit Ethernet 10 ports et du port Gigabit Ethernet intégré sur le routeur M7i) et des DPC Gigabit Ethernet sur les routeurs MX Series, vous pouvez bloquer tous les paquets entrants qui ne disposent pas d’une adresse source spécifiée dans accept-source-mac l’énoncé. Pour plus d’informations sur accept-source-mac cette déclaration, consultez Application d’un policer .

Pour activer ce blocage, inclure source-filtering l’instruction au niveau [edit interfaces interface-name gigether-options] de la hiérarchie:

Pour plus d’informations sur cet source-filtering énoncé, consultez la déclaration Configuring MAC Address Filtering for Ethernet Interfaces.

Pour accepter le trafic même s’il n’a pas d’adresse source spécifiée dans l’énoncé, inclure l’instruction au niveau accept-source-macno-source-filtering de la [edit interfaces interface-name gigether-options] hiérarchie:

Exemple: Configuration des policeurs Gigabit Ethernet

Exemple

Cet exemple illustre les exemples suivants:

  • Configurez l’interface ge-6/0/0 pour traiter les valeurs de priorité 2 et 3 comme priorités. À l’entrée, cela signifie que les IEEE de priorité 802.1p et sont 23 traités comme des priorités. À la sortie, cela signifie que le trafic classé dans la file d’attente 0 ou 1 avec PLP de faible et file d’attente 2 ou 3 avec PLP de grande valeur est traité comme premium.

  • Définissez un policer qui limite la bande passante premium à 100 Mbits/s et la taille d’un rafale à 3 k, et la bande passante globale à 200 Mbits/s et la taille d’accès jusqu’à 3 k.

  • Indiquez que les trames reçues de l’adresse MAC et de l’ID VLAN sont soumises au 00:01:02:03:04:05600 policer en entrée et en sortie. En entrée, cela signifie que les trames reçues avec l’adresse MAC source et 00:01:02:03:04:05 l’ID 600 du VLAN sont soumis au policer. En sortie, cela signifie que les trames transmises depuis le routeur avec l’adresse MAC de destination et l’ID VLAN sont soumis 00:01:02:03:04:05600 au policer.

Configuration de l’exemple

Configuration des policeurs Gigabit Ethernet deux couleurs et tricolore

Présentation

Pour les interfaces Gigabit Ethernet et 10 Gigabit Ethernet IQ2 et IQ2-E sur les routeurs M Series et T Series, vous pouvez configurer des policers de marquage tricolore et deux couleurs et les appliquer aux interfaces logiques afin d’empêcher le trafic de l’interface de consommer de la bande passante de façon inopportune.

Les réseaux contrôlent le trafic en limitant le débit de transmission en entrée ou en sortie d’une classe de trafic selon des critères définis par l’utilisateur. Le contrôle du trafic vous permet de contrôler le taux maximal de trafic envoyé ou reçu sur une interface et de partitionner un réseau en plusieurs niveaux de priorité ou classes de service.

Les policers vous obligent à appliquer une taille de rafale et une limite de bande passante au flux de trafic et à définir des conséquences pour les paquets qui dépassent ces limites, ce qui signifie généralement une priorité de perte plus élevée, de sorte que les paquets qui dépassent les limites des policeurs sont d’abord écartés.

Juniper Networks architectures de routeurs de sécurité sont en charge trois types de policer:

  • Policer deux couleurs: un policeur en deux couleurs (ou « policer » lorsqu’il est utilisé sans qualification) mètres le flux de trafic et classe les paquets en deux catégories de priorité de perte de paquets (PLP) en fonction d’une bande passante configurée et de la limite de taille d’rafale. Vous pouvez marquer des paquets qui dépassent la bande passante et les limites de taille d’un paquet, ou tout simplement les éliminer. Un outil de contrôle est particulièrement utile pour mesurer le trafic au niveau du port (interface physique).

  • Marquage tricolore à taux unique (TCM à taux unique): un policer de marquage tricolore à un seul taux est défini dans le RFC 2697, un marqueur 3 couleurs à taux unique, dans le cadre d’un système de classification PHB (Forwarding Per-Hop-Behavior) garanti pour un environnement de services différenciés (DiffServ). Ce type de policer mètres le trafic en fonction du taux d’informations pré-configurés, de la taille d’rafale engagée (AUD) et de la taille d’accès en suramorce (EBS).

    À partir Junos OS version 13.1, le trafic est classé en trois catégories: Vert, rouge et jaune. La liste suivante décrit les catégories suivantes:

    • Vert: la taille d’rafale des paquets qui arrivent est inférieure à la somme du CIR et duES configurés.

    • Rouge: la taille d’rafale des paquets qui arrivent est supérieure à la somme du CIR et du EBS configurés.

    • Jaune: la taille d’rafale des paquets qui arrivent est supérieure à la CARTE DE COMMUTATION, mais inférieure à la carte EBS.

    Un TCM à taux unique est particulièrement utile lorsqu’un service est structuré en fonction de la longueur du paquet et non du taux d’arrivée maximum.

  • Marquage tricolore à deux vitesses (TCM à deux vitesses): ce type de policer est défini dans le RFC 2698, un marqueur 2 taux de trois couleurs, dans le cadre d’un système de classification PHB (Forwarding Per-Hop-Behavior) garanti pour un environnement de services différenciés (DiffServ). Ce type de policer mesure le trafic en fonction du CIR configuré et du taux d’informations de pointe (CONFIGURed), ainsi que de leurs pics de trafic associés, le PARE-feu ET EBS.

    Le trafic est classé dans les trois catégories suivantes:

    • Vert: la taille d’rafale des paquets qui arrivent est inférieure à la somme du CIR et duES configurés.

    • Rouge: la taille d’rafale des paquets qui arrivent est supérieure à la somme de LAS ET DSE configurées.

    • Jaune: le trafic n’appartient ni à la catégorie verte, ni à la catégorie rouge.

    Un TCM à deux vitesses est particulièrement utile lorsqu’un service est structuré en fonction des vitesses d’arrivée et pas nécessairement de la longueur des paquets.

Remarque :

Contrairement aux fonctions de contrôle (décrites dans configuring Gigabit Ethernet Policers),la configuration de policeurs en deux couleurs et de policers de marquage tricolore nécessite de configurer un filtre de pare-feu.

Configuration d’un policer

Les policeurs de marquage tricolore et deux couleurs sont configurés au niveau [edit firewall] de la hiérarchie.

Un dispositif de contrôle tricolore contrôle le trafic en fonction des taux de mesure, y compris le CIR, le CER, la taille des rafales associées et toutes les actions de contrôle configurées pour le trafic.

Pour configurer le marquage du policeur tricolore, inclure l’instruction avec des options au niveau three-color-policer[edit firewall] de la hiérarchie:

Pour plus d’informations sur la configuration des marquages de policer tricolores, consultez les stratégies de routage, les filtres de pare-feu et le Guide de l’utilisateur des policeurs du trafic, ainsi que le guide de l’utilisateur de la classe de service Junos OS pour les équipements de routage.

Application d’un policer

Appliquez un policeur en deux couleurs ou un policer tricolore à une interface logique afin d’empêcher le trafic de l’interface de consommer de la bande passante de manière inopportune. Pour appliquer des policers en deux couleurs ou tricolores, indiquez la layer2-policer déclaration suivante:

Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants:

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

Utilisez la déclaration pour appliquer un policer deux couleurs pour recevoir les paquets sur une interface logique et l’instruction d’appliquer un input-policerinput-three-color policer tricolore. Utilisez la déclaration pour appliquer un policer deux couleurs aux paquets transmis sur une interface logique, ainsi que l’instruction d’appliquer un output-policeroutput-three-color policer tricolore. Les policeurs spécifiés doivent être configurés au niveau [edit firewall] de la hiérarchie. Pour chaque interface, vous pouvez configurer un policer en trois couleurs ou un policer d’entrée deux couleurs ou des policers de sortie. Vous ne pouvez pas configurer à la fois un policeur trois couleurs et un policer deux couleurs.

Exemple: Configuration et application d’un policer

Configurez des policers tricolores et appliquez-les à une interface:

Configurez un policer en deux couleurs et appliquez-le à une interface:

Tableau de l'historique des versions
Version
Description
13.1
À partir Junos OS version 13.1, le trafic est classé en trois catégories: Vert, rouge et jaune.