Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Actions effectuées pour les mécanismes de contrôle hiérarchiques sur les routeurs ACX Series

Le mécanisme de contrôle parent hiérarchique a un impact sur la priorité de perte de paquets (PLP) du mécanisme de contrôle enfant. Les actions basées sur PLP définies dans l’instruction then de le sont exécutées sur la base du PLP dérivé du traitement combiné des mécanismes de contrôle enfant et parent. L’instruction then définie dans le mécanisme de contrôle parent n’est pas efficace. Cette section contient les rubriques suivantes qui décrivent les méthodes d’instanciation des mécanismes de contrôle agrégés ou hiérarchiques et des mécanismes de contrôle enfants ou normaux.

REMARQUE :

Le mécanisme de contrôle hiérarchique ne s’applique pas aux routeurs ACX5048 et ACX5096.

Méthodes d’instanciation pour les mécanismes de contrôle enfants et d’agrégation

Sous Junos OS, une configuration de mécanisme de contrôle spécifique ou un modèle de mécanisme de contrôle permet de créer plusieurs instances du mécanisme de contrôle dans le matériel à l’aide des attributs de modèle tels que les valeurs CIR, PIR, CBS et PBS spécifiées dans le modèle. Il n’est pas nécessaire de créer plusieurs configurations de mécanismes de contrôle avec les mêmes attributs pour une gestion efficace à l’aide de mécanismes de contrôle agrégés.

Méthodes d’instanciation pour les mécanismes de contrôle enfants ou normaux

Dans le cas d’un mécanisme de contrôle normal ou d’un mécanisme de contrôle enfant, si vous spécifiez un attribut spécifique au filtre pour un mécanisme de contrôle en saisissant l’instruction filter-specific au niveau de la hiérarchie ou [edit logical-systems logical-system-name firewall policer policer-name] lorsque vous spécifiez une clause « spécifique au filtre », une seule instance du mécanisme de contrôle est utilisée par tous les termes (dans le [edit firewall policer policer-name] même filtre de pare-feu) qui font référence au mécanisme de contrôle. Par exemple, si un filtre F1 contient les termes T1 et T2, ils font référence au même mécanisme de contrôle, par exemple P1. Si vous configurez le mécanisme de contrôle P1 en tant que type spécifique au filtre, la même instance du mécanisme de contrôle sur le périphérique est désignée par les termes T1 et T2. Dans ce cas, F1 est attaché à une interface logique nommée IFL1, qui est configurée sur l’interface physique nommée IFD1.

Par défaut, un mécanisme de contrôle fonctionne en mode spécifique à un terme, de sorte que, pour un filtre de pare-feu donné, Junos OS crée une instance de mécanisme de contrôle distincte pour chaque terme de filtre qui fait référence au mécanisme de contrôle. Cette opération est le mode d’instanciation par défaut si vous ne configurez pas l’instruction filter-specific . Prenons l’exemple d’un filtre F1 qui comporte deux termes, T1 et T2. Ces deux termes se réfèrent au même contrôleur, à savoir P1. Avec un mode spécifique au terme du mécanisme de contrôle, deux instances du mécanisme de contrôle sont créées sur l’appareil, une pour les termes T1 et une pour T2.

Méthodes d’instanciation pour les mécanismes de contrôle d’agrégation

Les modes de fonctionnement suivants sont possibles pour les mécanismes de contrôle d’agrégation.

  • Global (Global) : partage le même mécanisme de contrôle parent sur toutes les instances de mécanisme de contrôle enfant du système.

  • Physical interface-specific-specific (Spécifique à l’interface physique) : partage le même mécanisme de contrôle parent sur toutes les instances de mécanisme de contrôle enfant d’une interface physique donnée. Ce mode n’est pas pris en charge sur les routeurs ACX.

  • Filter-specific (Spécifique au filtre) : partage le même mécanisme de contrôle parent sur toutes les instances de mécanisme de contrôle enfant du même filtre. Ce mode n’est pas pris en charge sur les routeurs ACX.

  • Interface-specific (Spécifique à l’interface) : partage le même mécanisme de contrôle parent sur toutes les instances de mécanisme de contrôle enfant de la même interface logique. Ce mode n’est pas pris en charge sur les routeurs ACX.

Vous pouvez inclure l’instruction au niveau de la [edit firewall policer policer-template-name] hiérarchie pour définir un mécanisme de contrôle d’agrégation aggregate global à partager ou à appliquer à toutes les instances de mécanisme de contrôle enfant du routeur. Vous pouvez inclure l’instruction parent d’agrégation au niveau de la hiérarchie [modifier le mécanisme de contrôle du pare-feu, le mécanisme de contrôle du modèle-nom] pour définir un mécanisme de contrôle d’agrégation en tant que mécanisme de contrôle parent. La déclaration suivante ne s’applique pas aux mécanismes de contrôle d’agrégation : set firewall policer policer-template-name filter-specific.

Prenons l’exemple d’un déploiement dans lequel un mécanisme de contrôle d’agrégation nommé P3 est configuré. P1 et P2 sont des agents de surveillance des enfants. T1, T2, T3 et T4 sont des termes. F1 et F2 sont des filtres. Les interfaces logiques, IFL1 et IFL2, sont créées sur les interfaces physiques sous-jacentes, IFD1 et IFD2 dans cette configuration. Les familles d’adresses d’interface sont créées en conséquence sur les interfaces en tant qu’IFF1 et IFF2.

Si vous configurez un filtre spécifique à l’interface, un mécanisme de contrôle enfant spécifique à un terme et le mécanisme de contrôle d’agrégation en tant que mécanisme de contrôle global, une seule instance de P3 est créée et associée aux mécanismes de contrôle enfants, P1 et P2. Deux instances de P1 et P2 sont créées, l’une pour T1 dans F1 et l’autre pour T2 dans F1. Les deux instances de P1 et P2 sont associées à IFL1 et IFL2, qui à leur tour sont liées à IFD1 et IFD2.

Si vous configurez un mécanisme de contrôle enfant spécifique à l’interface, spécifique à un terme ou spécifique à un filtre, et que le mécanisme de contrôle agrégé est un mécanisme de contrôle spécifique à l’interface physique, deux instances de P3 sont créées. Une instance de P3 contient deux instances de contrôleur enfant de P1. P1 contient le filtre F1 et le terme T1 à appliquer à IFL1 et IFL2. L’autre instance de P3 contient deux instances de contrôleur enfant de P1. P1 contient F1 et T1 à appliquer à deux autres interfaces logiques, IFL3 et IFL4.

Si vous configurez un filtre spécifique à l’interface, un mécanisme de contrôle enfant spécifique à un terme et un mécanisme de contrôle d’agrégation spécifique à l’interface, deux instances de P3 sont créées. Chaque instance P3 contient deux instances P1. Une instance P1 contient F1 et T1 pour IFF1 à appliquer à IFL1. L’autre instance P1 contient F2 pour IFF2 à appliquer à IFL1. L’autre instance P3 contient deux instances P1. Ici, un P1 contient F1 et T1 pour IFF3 et l’autre P1 contient F2 et T1 pour IFF4 à appliquer sur IFL2.

Si vous configurez un filtre spécifique à l’interface, un mécanisme de contrôle enfant spécifique à un terme et un mécanisme de contrôle d’agrégation spécifique au filtre, deux instances P3 sont créées. Chaque P3 contient deux instances P1. Un P1 contient P1, T1, F1 IFF1, appliqué à IFL1. L’autre P1 contient P1, T2, F1, IFF1, appliqué à IFL1. Le troisième P1 contient P1, T3, F2, IFF2, appliqués à IFL1. Le dernier P1 contient P1, T4, F2, IFF2, appliqués à IFL1.

Rubriques connexes