Mécanismes de contrôle bicolores et tricolores au niveau de la couche 2
Vue d’ensemble du contrôle bicolore au niveau de la couche 2
- Instructions pour la configuration du contrôle bicolore du trafic de couche 2
- Hiérarchie d’instructions pour la configuration d’un mécanisme de contrôle bicolore pour le trafic de couche 2
- Hiérarchie d’instructions pour l’application d’un mécanisme de contrôle bicolore au trafic de couche 2
Instructions pour la configuration du contrôle bicolore du trafic de couche 2
Les directives suivantes s’appliquent au contrôle bicolore du trafic de couche 2 :
Vous pouvez appliquer un mécanisme de contrôle bicolore au trafic de couche 2 entrant ou sortant au niveau d’une interface logique hébergée sur une interface Ethernet Gigabit () ou une interface Ethernet 10 Gigabit (
ge-xe-) uniquement.Une interface logique unique prend en charge le contrôle de la couche 2 dans les deux sens.
Vous pouvez appliquer un mécanisme de contrôle bicolore au trafic de couche 2 en tant que mécanisme de contrôle de l’interface logique uniquement. Vous ne pouvez pas appliquer un mécanisme de contrôle bicolore au trafic de couche 2 en tant qu’action de filtre de pare-feu sans état.
Vous pouvez appliquer un mécanisme de contrôle bicolore au trafic de couche 2 en le référençant dans la configuration de l’interface au niveau de l’unité logique et non au niveau du protocole.
Pour plus d’informations sur la configuration du contrôle tricolore du trafic de couche 2, reportez-vous à la section Vue d’ensemble du contrôle tricolore au niveau de la couche 2.
Hiérarchie d’instructions pour la configuration d’un mécanisme de contrôle bicolore pour le trafic de couche 2
Pour activer un mécanisme de contrôle bicolore à débit unique afin de limiter le débit du trafic de couche 2, incluez l’instruction logical-interface-policer dans la policer configuration.
firewall {
policer policer-name {
logical-interface-policer;
if-exceeding {
(bandwidth-limit bps | bandwidth-percent percentage);
burst-size-limit bytes;
}
then {
discard;
forwarding-class class-name;
loss-priority (high | low | medium-high | medium-low);
}
}
}
Vous pouvez inclure la configuration aux niveaux hiérarchiques suivants :
[edit][edit logical-systems logical-system-name]
Hiérarchie d’instructions pour l’application d’un mécanisme de contrôle bicolore au trafic de couche 2
Pour appliquer un mécanisme de contrôle d’interface logique au trafic de couche 2, incluez l’instruction ou l’instruction layer2-policer input-policer policer-namelayer2-policer output-policer policer-name dans une interface logique prise en charge. Utilisez les input-policer instructions ou output-policer pour appliquer un mécanisme de contrôle bicolore au niveau du calque 2.
interfaces {
(ge-fpc/pic/port | xe-fpc/pic/port) {
unit unit-number {
layer2-policer {
input-policer policer-name;
output-policer policer-name;
}
}
}
}
Vous pouvez inclure la configuration aux niveaux hiérarchiques suivants :
[edit][edit logical-systems logical-system-name]
Voir également
Vue d’ensemble du contrôle tricolore au niveau de la couche 2
- Instructions pour la configuration du contrôle tricolore du trafic de couche 2
- Hiérarchie d’instructions pour la configuration d’un mécanisme de contrôle tricolore pour le trafic de couche 2
- Hiérarchie d’instructions pour l’application d’un mécanisme de contrôle à trois couleurs au trafic de couche 2
Instructions pour la configuration du contrôle tricolore du trafic de couche 2
Les directives suivantes s’appliquent au contrôle tricolore du trafic de couche 2 :
Vous pouvez appliquer un mécanisme de contrôle à trois couleurs au trafic de couche 2 au niveau d’une interface logique hébergée sur une interface Ethernet Gigabit () ou une interface Ethernet 10 Gigabit (
ge-xe-) uniquement.Une interface logique unique prend en charge le contrôle de la couche 2 dans les deux sens.
Vous pouvez appliquer un mécanisme de contrôle à trois couleurs au trafic de couche 2 en tant que mécanisme de contrôle de l’interface logique uniquement. Vous ne pouvez pas appliquer un mécanisme de contrôle bicolore au trafic de couche 2 en tant qu’action de filtre de pare-feu sans état.
Vous pouvez appliquer un mécanisme de contrôle tricolore au trafic de couche 2 en le référençant dans la configuration de l’interface au niveau de l’unité logique et non au niveau du protocole.
Vous pouvez appliquer un mécanisme de contrôle tricolore sensible aux couleurs au trafic de couche 2 dans la direction de sortie uniquement, mais vous pouvez appliquer un mécanisme de contrôle tricolore daltonien au trafic de couche 2 dans les deux sens.
Pour plus d’informations sur la configuration du contrôle bicolore du trafic de couche 2, reportez-vous à la section Vue d’ensemble du contrôle bicolore au niveau de la couche 2.
Hiérarchie d’instructions pour la configuration d’un mécanisme de contrôle tricolore pour le trafic de couche 2
Pour activer un mécanisme de contrôle tricolore à débit unique ou à deux débits afin de limiter le débit du trafic de couche 2, incluez l’instruction logical-interface-policer dans la three-color-policer configuration.
firewall {
three-color-policer policer-name {
action {
loss-priority high then discard;
}
logical-interface-policer;
single-rate {
(color-aware | color-blind);
committed-burst-size bytes;
committed-information-rate bps;
excess-burst-size bytes;
}
two-rate {
(color-aware | color-blind);
committed-burst-size bytes;
committed-information-rate bps;
peak-burst-size bytes;
peak-information-rate bps;
}
}
}
Vous pouvez inclure la configuration aux niveaux hiérarchiques suivants :
[edit][edit logical-systems logical-system-name]
Hiérarchie d’instructions pour l’application d’un mécanisme de contrôle à trois couleurs au trafic de couche 2
Pour appliquer un mécanisme de contrôle d’interface logique au trafic de couche 2, incluez l’instruction d’une interface logique prise en charge au niveau de l’unité layer2-policer logique. Utilisez l’instruction ou output-three-color policer-name l’instruction input-three-color policer-name pour spécifier la direction du trafic à contrôler.
interfaces {
(ge-fpc/pic/port | xe-fpc/pic/port) {
unit unit-number {
layer2-policer {
input-three-color policer-name;
output-three-color policer-name;
}
}
}
}
Vous pouvez inclure la configuration aux niveaux hiérarchiques suivants :
[edit][edit logical-systems logical-system-name]
Voir également
Exemple : Configuration d’un mécanisme de contrôle d’interface logique tricolore (agrégation)
Cet exemple montre comment configurer un mécanisme de contrôle daltonien à deux débits et à trois couleurs en tant que mécanisme de contrôle d’interface logique (agrégat) et appliquer le mécanisme de contrôle directement au trafic d’entrée de couche 2 au niveau d’une interface logique prise en charge.
Conditions préalables
Avant de commencer, vérifiez que l’interface logique à laquelle vous appliquez le mécanisme de contrôle d’interface logique à trois couleurs est hébergée sur une interface Ethernet Gigabit () ou une interface Ethernet 10 Gigabit (ge-xe-) sur un routeur MX Series.
Présentation
Un mécanisme de contrôle à deux débits et trois couleurs mesure un flux de trafic par rapport à une limite de bande passante et à une limite de taille en rafale pour un trafic garanti, ainsi qu’à un second ensemble de limites de bande passante et de taille en rafale pour le trafic de pointe. Le trafic qui respecte les limites de trafic garanti est classé en vert, et le trafic non conforme appartient à l’une des deux catégories suivantes :
Le trafic non conforme qui ne dépasse pas les limites de bande passante et de taille de rafale pour les pics de trafic est classé en jaune.
Le trafic non conforme qui dépasse les limites de bande passante et de taille de rafale pour les pics de trafic est classé en rouge.
Un mécanisme de contrôle d’interface logique définit des règles de limitation du débit de trafic que vous pouvez appliquer à plusieurs familles de protocoles sur la même interface logique sans créer plusieurs instances du mécanisme de contrôle.
Vous appliquez un mécanisme de contrôle d’interface logique directement à une interface logique au niveau de l’unité logique, et non en le référençant dans un filtre de pare-feu sans état, puis en appliquant le filtre à l’interface logique au niveau de la famille de protocoles.
Topologie
Dans cet exemple, vous configurez le mécanisme de contrôle tricolore à deux débits en tant que mécanisme de contrôle trTCM2-cb d’interface logique daltonien et vous l’appliquez au trafic entrant de couche 2 sur l’interface ge-1/3/1.0logique.
Lorsque vous utilisez un mécanisme de contrôle à trois couleurs pour limiter le débit du trafic de couche 2, vous pouvez appliquer le contrôle sensible aux couleurs uniquement au trafic sortant.
Le mécanisme de contrôle définit des limites de débit de trafic garanties, de sorte que le trafic qui respecte la limite de bande passante de 40 Mbits/s avec une allocation de 100 Ko pour le trafic en rafale (selon la formule jeton-compartiment) soit classé en vert. Comme pour tout trafic contrôlé, les paquets d’un flux vert sont implicitement définis sur une low priorité de perte, puis transmis.
Le trafic non conforme qui se situe dans les limites de trafic de pointe d’une limite de bande passante de 60 Mbit/s et d’une allocation de 200 Ko pour le trafic en rafale (selon la formule du compartiment de jetons) est classé en jaune. Les paquets d’un flux de trafic jaune sont implicitement définis sur une medium-high priorité de perte, puis transmis.
Le trafic non conforme qui dépasse les limites de trafic de pointe est classé en rouge. Les paquets d’un flux de trafic rouge sont implicitement définis sur une high priorité de perte. Dans cet exemple, l’action de contrôle facultative pour le trafic rouge (loss-priority high then discard) est configurée, de sorte que les paquets d’un flux de trafic rouge sont ignorés au lieu d’être transmis.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configuration des interfaces logiques
- Configuration du mécanisme de contrôle à deux taux et trois couleurs en tant que mécanisme de contrôle d’interface logique
- Application du mécanisme de contrôle tricolore à l’entrée de couche 2 au niveau de l’interface logique
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set interfaces ge-1/3/1 vlan-tagging set interfaces ge-1/3/1 unit 0 vlan-id 100 set interfaces ge-1/3/1 unit 0 family inet address 10.10.10.1/30 set interfaces ge-1/3/1 unit 1 vlan-id 101 set interfaces ge-1/3/1 unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44 set firewall three-color-policer trTCM2-cb logical-interface-policer set firewall three-color-policer trTCM2-cb two-rate color-blind set firewall three-color-policer trTCM2-cb two-rate committed-information-rate 40m set firewall three-color-policer trTCM2-cb two-rate committed-burst-size 100k set firewall three-color-policer trTCM2-cb two-rate peak-information-rate 60m set firewall three-color-policer trTCM2-cb two-rate peak-burst-size 200k set firewall three-color-policer trTCM2-cb action loss-priority high then discard set interfaces ge-1/3/1 unit 0 layer2-policer input-three-color trTCM2-cb
Configuration des interfaces logiques
Procédure étape par étape
Pour configurer les interfaces logiques, procédez comme suit :
Activez la configuration de l’interface.
[edit] user@host# edit interfaces ge-1/3/1
Configurez le balisage unique.
[edit interfaces ge-1/3/1] user@host# set vlan-tagging
Configurez l’interface
ge-1/3/1.0logique .[edit interfaces ge-1/3/1] user@host# set unit 0 vlan-id 100 user@host# set unit 0 family inet address 10.10.10.1/30
Configurez l’interface
ge-1/3/1.0logique .[edit interfaces ge-1/3/1] user@host# set unit 1 vlan-id 101 user@host# set unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44
Résultats
Confirmez la configuration des interfaces logiques en entrant la show interfaces commande mode de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
Configuration du mécanisme de contrôle à deux taux et trois couleurs en tant que mécanisme de contrôle d’interface logique
Procédure étape par étape
Pour configurer le mécanisme de contrôle à deux taux et trois couleurs en tant que mécanisme de contrôle d’interface logique :
Activez la configuration d’un mécanisme de contrôle tricolore.
[edit] user@host# edit firewall three-color-policer trTCM2-cb
Spécifiez que le mécanisme de contrôle est un mécanisme de contrôle d’interface logique (agrégé).
[edit firewall three-color-policer trTCM2-cb] user@host# set logical-interface-policer
Un mécanisme de contrôle d’interface logique limite le trafic en fonction d’un pourcentage du débit de support de l’interface physique sous-jacente à l’interface logique à laquelle le mécanisme de contrôle est appliqué, et le mécanisme de contrôle est appliqué directement à l’interface plutôt que référencé par un filtre de pare-feu.
Spécifiez que le mécanisme de contrôle est à deux vitesses et daltonien.
[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate color-blind
Un mécanisme de contrôle tricolore sensible aux couleurs prend en compte toutes les marques de coloration qui ont pu être définies pour un paquet par un autre mécanisme de contrôle du trafic configuré au niveau d’un nud réseau précédent, et toutes les marques de couleur préexistantes sont utilisées pour déterminer l’action de contrôle appropriée pour le paquet.
Étant donné que vous appliquez ce mécanisme de contrôle à trois couleurs appliqué à l’entrée au niveau de la couche 2, vous devez configurer le mécanisme de contrôle pour qu’il soit daltonien.
Spécifiez les limites de trafic du mécanisme de contrôle utilisées pour classer un flux de trafic vert.
[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate committed-information-rate 40m user@host# set two-rate committed-burst-size 100k
Spécifiez les limites de trafic supplémentaires utilisées pour classer un flux de trafic jaune ou rouge.
[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate peak-information-rate 60m user@host# set two-rate peak-burst-size 200k
(Facultatif) Spécifiez l’action de contrôle configurée pour les paquets dans un flux de trafic rouge.
[edit firewall three-color-policer trTCM2-cb] user@host# set action loss-priority high then discard
En mode sensible aux couleurs, l’action configurée du mécanisme de contrôle tricolore peut augmenter le niveau de priorité de perte de paquets (PLP) d’un paquet, mais jamais le diminuer. Par exemple, si un mécanisme de contrôle tricolore sensible aux couleurs mesure un paquet avec un marquage PLP moyen, il peut augmenter le niveau PLP à élevé, mais ne peut pas le réduire à un niveau bas.
Résultats
Confirmez la configuration du mécanisme de contrôle tricolore en entrant la commande du show firewall mode de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show firewall
three-color-policer trTCM2-cb {
logical-interface-policer;
action {
loss-priority high then discard;
}
two-rate {
color-blind;
committed-information-rate 40m;
committed-burst-size 100k;
peak-information-rate 60m;
peak-burst-size 200k;
}
}
Application du mécanisme de contrôle tricolore à l’entrée de couche 2 au niveau de l’interface logique
Procédure étape par étape
Pour appliquer le mécanisme de contrôle à trois couleurs à l’entrée de couche 2 au niveau de l’interface logique :
Activez l’application des mécanismes de contrôle de l’interface logique de couche 2.
[edit] user@host# edit interfaces ge-1/3/1 unit 0
Appliquez le mécanisme de contrôle de l’interface logique à trois couleurs à une entrée d’interface logique.
[edit interfaces ge-1/3/1 unit 0] user@host# set layer2-policerinput-three-color trTCM2-cb
Résultats
Confirmez la configuration des interfaces logiques en entrant la show interfaces commande mode de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
layer2-policer {
input-three-color trTCM2-cb;
}
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Affichage des statistiques de trafic et des mécanismes de contrôle pour l’interface logique
- Affichage des statistiques pour le mécanisme de contrôle
Affichage des statistiques de trafic et des mécanismes de contrôle pour l’interface logique
But
Vérifiez que le flux de trafic passe par l’interface logique et que le mécanisme de contrôle est évalué lorsque des paquets sont reçus sur l’interface logique.
Action
Utilisez la commande mode opérationnel pour l’interface logique et incluez l’option show interfacesdetail ouextensive.ge-1/3/1.0 La section de sortie de commande répertorie le nombre d’octets et de paquets reçus et transmis sur l’interface logique, et la section contient un Policer champ qui répertorie Traffic statistics le mécanisme de contrôle en tant que mécanisme de contrôle trTCM2-cb d’entrée Protocol inet ou de sortie, comme suit :
Input: trTCM2-cb-ge-1/3/1.0-log_int-i
Output: trTCM2-cb-ge-1/3/1.0-log_int-o
Le log_int-i suffixe indique un mécanisme de contrôle d’interface logique appliqué au trafic d’entrée, tandis que le log_int-o suffixe indique un mécanisme de contrôle d’interface logique appliqué au trafic de sortie. Dans cet exemple, le mécanisme de contrôle de l’interface logique s’applique uniquement dans le sens d’entrée.
Affichage des statistiques pour le mécanisme de contrôle
But
Vérifiez le nombre de paquets évalués par le mécanisme de contrôle.
Action
Utilisez la commande mode show policer opérationnel et spécifiez éventuellement le nom du mécanisme de contrôle. La sortie de la commande affiche le nombre de paquets évalués par chaque mécanisme de contrôle configuré (ou le mécanisme de contrôle spécifié), dans chaque direction. Pour le mécanisme de contrôle, trTCM2-cbles noms des mécanismes de contrôle d’entrée et de sortie s’affichent comme suit :
trTCM2-cb-ge-1/3/1.0-log_int-i
trTCM2-cb-e-1/3/1.0-log_int-o
Le log_int-i suffixe indique un mécanisme de contrôle d’interface logique appliqué au trafic d’entrée, tandis que le log_int-o suffixe indique un mécanisme de contrôle d’interface logique appliqué au trafic de sortie. Dans cet exemple, le mécanisme de contrôle de l’interface logique s’applique uniquement au trafic d’entrée.