Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation du contrôle de l’accès réseau à l’aide de la police du trafic

Gestion de l’encombrement des flux de trafic IP

La régulation du trafic, également appelée limitation de débit, est un composant essentiel de la sécurité de l’accès réseau, conçu pour contrecarrer les attaques par déni de service (DoS). Le contrôle du trafic vous permet de contrôler le débit maximal de trafic IP envoyé ou reçu sur une interface, ainsi que de partitionner le trafic réseau en plusieurs niveaux de priorité, également appelés classes de service. Un mécanisme de contrôle définit un ensemble de limites de débit de trafic et définit les conséquences pour le trafic qui n’est pas conforme aux limites configurées. Les paquets d’un flux de trafic qui ne respectent pas les limites de trafic sont soit ignorés, soit marqués d’une classe de transfert ou d’un niveau de priorité de perte de paquets (PLP) différent.

À l’exception des mécanismes de contrôle configurés pour limiter le débit du trafic agrégé (toutes les familles de protocoles et interfaces logiques configurées sur une interface physique), vous pouvez appliquer un mécanisme de contrôle à tous les paquets IP d’un flux de trafic de couche 2 ou 3 au niveau d’une interface logique.

À l’exception des mécanismes de contrôle configurés pour limiter le débit en fonction du débit des supports de l’interface physique, vous pouvez appliquer un mécanisme de contrôle à des paquets IP spécifiques dans un flux de trafic de couche 3 au niveau d’une interface logique à l’aide d’un filtre de pare-feu sans état.

Vous pouvez appliquer un mécanisme de contrôle au trafic entrant ou sortant de l’interface. Les mécanismes de contrôle appliqués au trafic entrant permettent d’économiser les ressources en supprimant le trafic qui n’a pas besoin d’être acheminé via un réseau. L’abandon du trafic entrant permet également de déjouer les attaques par déni de service (DoS). Les mécanismes de contrôle appliqués au trafic sortant contrôlent la bande passante utilisée.

REMARQUE :

Les mécanismes de contrôle du trafic sont instanciés par PIC. Le contrôle du trafic ne fonctionne pas lorsque le trafic d’un abonné à la fonction de décision de stratégie locale (L-PDF) est réparti sur plusieurs PIC multiservices dans un groupe AMS.

Limites de trafic

Les mécanismes de contrôle de Junos OS utilisent un algorithme de compartiment de jetons pour appliquer une limite à un débit moyen de trafic d’émission ou de réception au niveau d’une interface tout en autorisant des rafales de trafic jusqu’à une valeur maximale basée sur la limite de bande passante configurée et la taille de rafale configurée. L’algorithme de compartiment à jetons offre plus de flexibilité qu’un algorithme de compartiment à fuites , dans la mesure où vous pouvez autoriser une rafale de trafic spécifiée avant de commencer à rejeter des paquets ou appliquer une pénalité telle que la priorité de file d’attente de sortie de paquets ou la priorité d’abandon de paquets.

Dans le modèle de compartiment de jetons, le compartiment représente la fonction de limitation de débit du mécanisme de contrôle. Les jetons sont ajoutés au compartiment à un taux fixe, mais une fois que la profondeur spécifiée du compartiment est atteinte, les jetons alloués après ne peuvent pas être stockés et utilisés. Chaque jeton représente un « crédit » pour un certain nombre de bits, et les jetons du compartiment sont « encaissés » pour la capacité de transmettre ou de recevoir du trafic à l’interface. Lorsque suffisamment de jetons sont présents dans le compartiment, un flux de trafic se poursuit sans restriction. Dans le cas contraire, les paquets risquent d’être abandonnés ou marqués d’une classe de transfert inférieure, d’un niveau de priorité de perte de paquets (PLP) plus élevé, ou des deux.

  • La vitesse à laquelle les jetons sont ajoutés au compartiment représente le débit moyen d’émission ou de réception le plus élevé en bits par seconde autorisé pour un niveau de service donné. Vous spécifiez ce débit de trafic moyen le plus élevé comme limite de bande passante du mécanisme de contrôle. Si le taux d’arrivée du trafic (ou bits fixes par seconde) est si élevé qu’à un moment donné, il n’y a plus suffisamment de jetons dans le compartiment, le flux de trafic n’est plus conforme à la limite de trafic. Pendant les périodes de trafic relativement faible (trafic qui arrive ou part de l’interface à des taux moyens inférieurs au taux d’arrivée des jetons), les jetons inutilisés s’accumulent dans le compartiment.

  • La profondeur du compartiment en octets contrôle la quantité de rafales consécutives autorisées. Vous spécifiez ce facteur comme limite de taille de rafale du mécanisme de contrôle. Cette deuxième limite affecte le débit moyen d’émission ou de réception en limitant le nombre d’octets autorisés dans une rafale de transmission pour un intervalle de temps donné. Les rafales dépassant la limite actuelle de taille de rafale sont abandonnées jusqu’à ce qu’il y ait suffisamment de jetons disponibles pour permettre à la rafale de se poursuivre.

    Figure 1 : Trafic réseau et débits en rafaleTrafic réseau et débits en rafale

    Comme le montre la figure ci-dessus, un code à barres UPC est un bon fac-similé de ce à quoi ressemble le trafic sur la ligne ; soit une interface transmet (rafale à pleine vitesse), soit elle ne l’est pas. Les lignes noires représentent les périodes de transmission des données et l’espace blanc représente les périodes de silence pendant lesquelles le compartiment de jetons peut se réapprovisionner.

Selon le type de mécanisme de contrôle utilisé, les paquets d’un flux de trafic contrôlé qui dépasse les limites définies peuvent être implicitement définis à un niveau PLP supérieur, affectés à une classe de transfert configurée ou à un niveau PLP configuré (ou les deux), ou simplement ignorés. Si les paquets rencontrent un encombrement en aval, les paquets avec un niveau PLP sont moins susceptibles d’être ignorés que ceux avec un lowmedium-lowniveau , medium-highou high PLP.

Marquage par les couleurs de la circulation

En fonction de l’ensemble particulier de limites de trafic configurées, un mécanisme de contrôle identifie un flux de trafic comme appartenant à l’une des deux ou trois catégories similaires aux couleurs d’un feu de signalisation utilisé pour contrôler le trafic automobile.

  • Débit unique bicolore : un mécanisme de contrôle de marquage bicolore (ou « mécanisme de contrôle » lorsqu’il est utilisé sans qualification) mesure le flux de trafic et classe les paquets en deux catégories de priorité de perte de paquets (PLP) en fonction d’une limite de bande passante et de taille de rafale configurée. Vous pouvez marquer les paquets qui dépassent la limite de bande passante et de taille de rafale d’une manière ou d’une autre, ou simplement les ignorer.

    Un mécanisme de contrôle est particulièrement utile pour mesurer le trafic au niveau du port (interface physique).

  • Single-rate three-color (Trois couleurs à débit unique) : ce type de mécanisme de contrôle est défini dans la RFC 2697, A Single Rate Three Color Marker, dans le cadre d’un système de classification PHB (Transfert par saut) assuré pour un environnement de services différenciés (DiffServ). Ce type de mécanisme de contrôle mesure le trafic en fonction du débit d’informations validées (CIR) configuré, de la taille des rafales validées (CBS) et de la taille des rafales excédentaires (EBS). Le trafic est marqué comme appartenant à l’une des trois catégories suivantes (vert, jaune ou rouge) selon que les paquets arrivant sont inférieurs au CBS (vert), supérieurs au CBS (jaune) mais pas à l’EBS, ou supérieurs à l’EBS (rouge).

    Un mécanisme de contrôle tricolore à débit unique est particulièrement utile lorsqu’un service est structuré en fonction de la longueur des paquets et non du taux d’arrivée des pics.

  • Two-rate three-color : ce type de mécanisme de contrôle est défini dans la RFC 2698, A Two Rate Three Color Marker, dans le cadre d’un système de classification PHB (Assured forwarding) per hop behavior (PHB) pour un environnement de services différenciés (DiffServ). Ce type de mécanisme de contrôle mesure le trafic en fonction du CIR et du débit d’information de crête (PIR) configurés, ainsi que de leurs tailles de rafale associées, le CBS et la taille de pointe de rafale (PBS). Le trafic est marqué comme appartenant à l’une des trois catégories suivantes (vert, jaune ou rouge) selon que les paquets arrivant sont inférieurs au CIR (vert), qu’ils dépassent le CIR (jaune) mais pas le PIR, ou qu’ils dépassent le PIR (rouge).

    Un mécanisme de contrôle à deux taux et trois couleurs est particulièrement utile lorsqu’un service est structuré en fonction des taux d’arrivée et pas nécessairement de la longueur des paquets.

Les actions du mécanisme de contrôle sont implicites ou explicites et varient selon le type de mécanisme de contrôle. Le terme Implicite signifie que Junos attribue automatiquement la priorité de perte. Tableau 1 décrit les actions du contrôleur.

Tableau 1 : Actions du contrôleur

Contrôleur

Marquage

Action implicite

Configurable Action

Débit unique bicolore

Vert (conforme)

Attribuez une priorité aux faibles pertes

Aucune

Rouge (non conforme)

Aucune

Attribuez une priorité de perte faible ou élevée, attribuez une classe de transfert ou ignorezSur certaines plates-formes, vous pouvez attribuer une priorité de perte moyenne-faible ou moyenne-élevée

Débit unique tricolore

Vert (conforme)

Attribuez une priorité aux faibles pertes

Aucune

Jaune (au-dessus du CIR et du CBS)

Attribuer une priorité aux pertes moyennes-élevées

Aucune

Rouge (au-dessus de l’EBS)

Attribuer une priorité élevée aux pertes

Jeter

Bi-tarif tricolore

Vert (conforme)

Attribuez une priorité aux faibles pertes

Aucune

Jaune (au-dessus du CIR et du CBS)

Attribuer une priorité aux pertes moyennes-élevées

Aucune

Rouge (au-dessus du PIR et du PBS)

Attribuer une priorité élevée aux pertes

Jeter

Classes de transfert et niveaux PLP

L’affectation de classe de transfert et le niveau PLP d’un paquet sont utilisés par les fonctionnalités de classe de service (CoS) de Junos OS. Les fonctionnalités CoS de Junos OS comprennent un ensemble de mécanismes que vous pouvez utiliser pour fournir des services différenciés lorsque la distribution du trafic best effort est insuffisante. Pour les interfaces de routeur (et de commutateur) qui acheminent le trafic IPv4, IPv6 et MPLS, vous pouvez configurer les fonctionnalités CoS pour qu’elles prennent en charge un flux unique de trafic entrant à la périphérie de votre réseau et fournissent différents niveaux de service sur le réseau (transfert interne et planification (mise en file d’attente) pour la sortie, en fonction des attributions des classes de transfert et des niveaux PLP des paquets individuels.

REMARQUE :

Les affectations de classe de transfert ou de priorité de perte effectuées par un agent de contrôle ou un filtre de pare-feu sans état remplacent toutes les affectations effectuées à l’entrée par la classification de priorité IP par défaut CoS sur toutes les interfaces logiques ou par tout classificateur d’agrégation de comportement (BA) configuré qui est explicitement mappé à une interface logique.

Selon les configurations CoS, les paquets d’une classe de transfert donnée sont transmis via une file d’attente de sortie spécifique, et chaque file d’attente de sortie est associée à un niveau de service de transmission défini dans un planificateur.

D’après d’autres configurations CoS, lorsque des paquets dans une file d’attente de sortie rencontrent un encombrement, les paquets avec des valeurs de priorité de perte plus élevées sont plus susceptibles d’être abandonnés par l’algorithme de détection précoce aléatoire (RED). Les valeurs de priorité de perte de paquets affectent la planification d’un paquet sans affecter l’ordre relatif des paquets dans le flux de trafic.

Application de mécanismes de contrôle au trafic

Une fois que vous avez défini et nommé un mécanisme de contrôle, il est stocké en tant que modèle. Vous pouvez ensuite utiliser le même nom de mécanisme de contrôle pour fournir la même configuration de mécanisme de contrôle chaque fois que vous souhaitez l’utiliser. Il n’est donc plus nécessaire de définir plusieurs fois les mêmes valeurs de mécanismes de contrôle.

Vous pouvez appliquer un mécanisme de contrôle à un flux de trafic de l’une des deux manières suivantes :

  • Vous pouvez configurer un filtre de pare-feu sans état standard qui spécifie l’action non terminante ou l’action policer policer-namethree-color-policer (single-rate | two-rate) policer-name non terminaison. Lorsque vous appliquez le filtre standard à l’entrée ou à la sortie d’une interface logique, le mécanisme de contrôle est appliqué à tous les paquets de la famille de protocoles spécifique au filtre qui correspondent aux conditions spécifiées dans la configuration du filtre.

    Avec cette méthode d’application d’un mécanisme de contrôle, vous pouvez définir des classes de trafic spécifiques sur une interface et appliquer une limitation de débit de trafic à chaque classe.

  • Vous pouvez appliquer un mécanisme de contrôle directement à une interface afin que la limitation du débit de trafic s’applique à tout le trafic de cette interface, indépendamment de la famille de protocoles ou des conditions de correspondance.

Vous pouvez configurer les mécanismes de contrôle au niveau de la file d’attente, de l’interface logique ou de la couche 2 (MAC). Un seul mécanisme de contrôle est appliqué à un paquet dans la file d’attente de sortie, et la recherche des mécanismes de contrôle s’effectue dans l’ordre suivant :

  • Niveau de la file d’attente

  • Niveau de l’interface logique

  • Niveau de couche 2 (MAC)