Comprendre l’utilisation des mécanismes de contrôle dans les filtres de pare-feu

Vue d’ensemble des mécanismes de contrôle

Vous pouvez utiliser des mécanismes de contrôle pour spécifier des limites de débit sur le trafic. Un filtre de pare-feu configuré à l’aide d’un mécanisme de contrôle autorise uniquement le trafic dans les limites de débit spécifiées, assurant ainsi une protection contre les attaques par déni de service (DoS). Le trafic qui dépasse les limites de débit spécifiées par le mécanisme de contrôle est immédiatement ignoré ou est marqué comme ayant une priorité inférieure à celle du trafic qui se trouve dans les limites de débit. En cas d’encombrement, le commutateur rejette le trafic de priorité inférieure.

Un mécanisme de contrôle applique deux types de limites de débit sur le trafic :

• Bande passante : nombre de bits par seconde autorisés, en moyenne.

• Taille maximale des rafales : taille maximale autorisée pour les rafales de données qui dépassent la limite de bande passante donnée.

Le contrôle utilise un algorithme pour imposer une limite à la bande passante moyenne tout en autorisant les rafales jusqu’à une valeur maximale spécifiée. Vous pouvez définir des classes de trafic spécifiques sur une interface et appliquer un ensemble de limites de débit à chaque classe. Une fois que vous avez nommé et configuré un mécanisme de contrôle, il est stocké en tant que modèle. Vous pouvez ensuite utiliser le mécanisme de contrôle dans une configuration de filtre de pare-feu.

Sur tous les commutateurs EX Series, à l’exception Juniper Networks EX8200 Commutateurs Ethernet, chaque mécanisme de contrôle que vous configurez inclut un compteur implicite qui compte le nombre de paquets qui dépassent la limite de débit spécifiée pour le mécanisme de contrôle. Chaque commutateur EX8200 contient trois compteurs de gestion globale. Vous devez affecter des mécanismes de contrôle d’entrée à ces compteurs de gestion globale pour obtenir des statistiques sur les mécanismes de contrôle. Vous pouvez affecter autant de mécanismes de contrôle d’entrée que vous le souhaitez à chaque compteur de gestion global. Les statistiques des mécanismes de contrôle pour chaque compteur de gestion global sont l’agrégation des statistiques des mécanismes de contrôle pour tous les mécanismes de contrôle associés à ce compteur de gestion globale.

Pour obtenir le nombre de paquets spécifique au filtre, vous devez configurer un mécanisme de contrôle différent pour chaque filtre de pare-feu. Par défaut, les mécanismes de contrôle attribuent des nombres spécifiques aux termes.

Types de mécanismes de contrôle

Les commutateurs prennent en charge trois types de mécanismes de contrôle :

• Débit unique bicolore : un mécanisme de contrôle bicolore (parfois appelé simplement « mécanisme de contrôle ») mesure le flux de trafic et classe les paquets en deux catégories de priorité de perte de paquets (PLP) en fonction d’une limite de bande passante et de taille de rafale configurée. Vous pouvez marquer les paquets qui dépassent la limite de bande passante et de taille de rafale ou simplement les ignorer. Un mécanisme de contrôle bicolore est particulièrement utile pour mesurer le trafic au niveau du port (interface physique).

• Single-rate three-color (Trois couleurs à débit unique) : ce type de mécanisme de contrôle est défini dans la RFC 2697, A Single Rate Three Color Marker, dans le cadre d’un système de classification PHB (Transfert par saut) assuré pour un environnement de services différenciés (DiffServ). Ce type de mécanisme de contrôle mesure le trafic en fonction du débit d’informations validées (CIR) configuré, de la taille des rafales validées (CBS) et de la taille des rafales excédentaires (EBS). Le trafic est marqué comme appartenant à l’une des trois catégories suivantes (vert, jaune ou rouge) selon que les paquets arrivent à des débits inférieurs au CBS (vert), supérieurs au CBS mais pas à l’EBS (jaune) ou supérieurs à l’EBS (rouge). Un mécanisme de contrôle tricolore à débit unique est particulièrement utile lorsqu’un service est structuré en fonction de la taille des paquets et non en fonction du taux d’arrivée des pics.

• Two-rate three-color : ce type de mécanisme de contrôle est défini dans la RFC 2698, A Two Rate Three Color Marker, dans le cadre d’un système de classification PHB (Assured forwarding) per hop behavior (PHB) pour un environnement de services différenciés (DiffServ). Ce type de mécanisme de contrôle mesure le trafic en fonction du CIR configuré et du débit d’information maximal (PIR), ainsi que de la taille des rafales associées. le CBS et la taille de la rafale maximale (PBS). Le trafic est marqué comme appartenant à l’une des trois catégories suivantes (vert, jaune ou rouge) en fonction des paquets arrivant à des taux inférieurs au CIR (vert), supérieurs au CIR mais pas au PIR (jaune) ou supérieurs au PIR (rouge). Un mécanisme de contrôle à deux taux et trois couleurs est particulièrement utile lorsqu’un service est structuré en fonction des taux d’arrivée et non de la taille des paquets.

Actions du contrôleur

Les actions du mécanisme de contrôle peuvent être implicites ou explicites et varient selon le type de mécanisme de contrôle. Le terme implicite signifie que Junos OS attribue automatiquement une valeur de priorité de perte ; explicite signifie que vous configurez l’action. Tableau 1 Répertorie les actions du mécanisme de contrôle.

Niveaux de contrôle

Vous pouvez configurer les mécanismes de contrôle au niveau de la file d’attente, de l’interface logique ou de la couche 2 (MAC). Un seul mécanisme de contrôle est appliqué à un paquet dans la file d’attente de sortie. La recherche des mécanismes de contrôle s’effectue dans l’ordre suivant :

• Niveau de la file d’attente

• Niveau de l’interface logique

• Niveau de couche 2 (MAC)

Modes colorimétriques

Les mécanismes de contrôle du marquage tricolore (TCM) ne sont pas liés par une convention de coloration vert-jaune-rouge. Les paquets sont marqués avec des configurations de bits PLP faibles ou élevées en fonction de leur couleur. Par conséquent, les deux types de mécanismes de contrôle tricolores (à débit unique et à deux débits) étendent les fonctionnalités du contrôle du trafic de classe de service (CoS) en fournissant trois niveaux de priorité d’interruption (priorité aux pertes) au lieu des deux normalement disponibles dans les mécanismes de contrôle. Les types de mécanismes de contrôle à trois couleurs à débit unique et à deux taux peuvent fonctionner selon deux modes :

• Daltonien : en mode daltonien, le mécanisme de contrôle tricolore fonctionne sans référence au fait que les paquets examinés aient été préalablement marqués ou mesurés. En d’autres termes, le mécanisme de contrôle tricolore est aveugle à toute coloration antérieure qu’un paquet aurait pu avoir.

• Reconnaissance des couleurs : en mode sensible aux couleurs, le mécanisme de contrôle tricolore fonctionne en se référant à tout marquage ou mesure antérieur des paquets examinés. En d’autres termes, le mécanisme de contrôle tricolore est conscient de la coloration précédente qu’un paquet a pu avoir. En mode sensible aux couleurs, le mécanisme de contrôle tricolore peut augmenter le PLP d’un paquet, mais ne peut jamais le diminuer. Par exemple, si un mécanisme de contrôle tricolore sensible aux couleurs mesure un paquet avec un marquage PLP faible, il peut augmenter le niveau PLP à élevé. Mais il ne peut pas réduire un niveau élevé de PLP à un niveau bas.

Conventions de nommage pour les mécanismes de contrôle

Nous vous recommandons d’utiliser la convention rate-TCMnumber-colortype de nommage lors de la configuration des mécanismes de contrôle tricolores. TCM est l’abréviation de marquage tricolore. Étant donné que les mécanismes de contrôle peuvent être nombreux et doivent être appliqués correctement pour fonctionner, le respect d’une convention de nommage simple facilite l’application correcte des mécanismes de contrôle.

Par exemple, si vous configurez un mécanisme de contrôle tricolore à débit unique, sensible aux couleurs, nommez-le srTCM1-ca. Si vous configurez un mécanisme de contrôle daltonien à deux vitesses, à trois couleurs, nommez-le trTCM2-cb.