Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Contrôle de l’accès au réseau à l’aide du contrôle du trafic

Gestion de la congestion des flux de trafic IP

Le contrôle du trafic, également appelé limitation de la vitesse,est un composant essentiel de la sécurité d’accès au réseau, conçu pour déjouer les déni de service (DoS). Le contrôle du trafic vous permet de contrôler le taux maximal de trafic IP envoyé ou reçu sur une interface et de partitionner le trafic réseau en plusieurs niveaux de priorité, également appelés classesde service. Un policer définit un ensemble de limites de trafic et définit les conséquences pour le trafic qui ne sont pas conformes aux limites configurées. Les paquets d’un flux de trafic non conforme aux limites du trafic sont soit éliminés, soit marqués par un niveau PLP (Packet Loss Priority) ou une classe de paquets différente.

À l’exception des policeurs configurés pour limiter le trafic agrégé (toutes les familles de protocoles et les interfaces logiques configurées sur une interface physique), vous pouvez appliquer un policer à tous les paquets IP dans un flux de trafic de couche 2 ou 3 au niveau d’une interfacelogique.

À l’exception des policeurs configurés pour limiter le débit en fonction de la vitesse des interfaces physiques multimédias, vous pouvez appliquer un policer à des paquets IP spécifiques dans un flux de trafic de couche 3 au niveau d’une interface logique à l’aide d’un filtre de pare-feu sans état.

Vous pouvez appliquer un policer au trafic d’interface entrant ou sortant. Les policers appliqués au trafic entrant permettent de conserver les ressources en abandonant le trafic qui n’a pas besoin d’être acheminé par un réseau. En abandonant le trafic entrant, vous pouvez également déjouer déni de service attaques DoS. Les policers appliqués au trafic sortant contrôlent la bande passante utilisée.

Remarque :

Les contrôleurs de trafic sont insélérés en fonction du PIC. Le contrôle du trafic ne fonctionne pas lorsque le trafic d’une fonction de décision locale (L-PDF) est distribué sur plusieurs PIC multiservices dans un groupe AMS.

Limites de trafic

les agents de contrôle Junos OS utilisent un algorithme de seau de jeton pour appliquer une limite au débit moyen d’émission ou de réception d’un trafic sur une interface, tout en permettant de faire passer des rafales de trafic à une valeur maximale en fonction de la limite de bande passante configurée et de la taille d’rafale configurée. L’algorithme de seau de jeton offre plus de flexibilité qu’un algorithme « leaky bucket » dans le sens où vous pouvez permettre une salve de trafic donnée avant de commencer à rejeter des paquets ou d’appliquer une pénalité telle que la priorité de mise en file d’accès en sortie de paquets ou la priorité de perte de paquets.

Dans le modèle seau de jeton, le seau représente la fonction de limitation de la vitesse du policer. Des jetons sont ajoutés au seau à une vitesse fixe, mais une fois la profondeur spécifiée du seau atteint, les jetons alloués après coup ne peuvent pas être stockés et utilisés. Chaque jeton représente un « crédit » pour un certain nombre de bits, et les jetons dans le seau sont « encas » pour la capacité à transmettre ou à recevoir du trafic sur l’interface. Lorsque des jetons suffisants sont présents dans le seau, le flux de trafic reste illimité. Dans le cas contraire, les paquets peuvent être abandonnés ou ré-marqués avec une classe de forwarding inférieure, un niveau PLP (Packet Loss Priority) plus élevé, ou les deux.

  • La vitesse à laquelle des jetons sont ajoutés au seau représente le taux moyen d’émission ou de réception le plus élevé en bits par seconde autorisés pour un niveau de service donné. Vous spécifiez ce débit de trafic moyen le plus élevé comme limite de bande passante du policer. Si le débit d’arrivée du trafic (ou bits fixes par seconde) est si élevé qu’à un certain stade, des jetons insuffisants sont présents dans le seau, alors le flux de trafic ne se conforme plus à la limite du trafic. Pendant les périodes de trafic relativement faible (le trafic qui arrive à l’interface ou l’a été à des vitesses moyennes inférieures au taux d’arrivée par jeton), les jetons non usés se retrouvent dans le seau.

  • La profondeur du seau d’octets permet de contrôler la quantité de rafales de retour en arrière autorisées. Vous spécifiez ce facteur comme étant la limite de la taille d’rafale du policer. Cette seconde limite affecte le taux moyen d’émission ou de réception en limitant le nombre d’octets autorisés dans un rafale de transmission pour un intervalle donné. Les rafales dépassant la limite de taille de la rafale actuelle sont abandonnées jusqu’à ce que des jetons suffisants soient disponibles pour permettre à la rafale de continuer.

    Figure 1 : Trafic réseau et taux de rafalesTrafic réseau et taux de rafales

    Comme le montre la figure ci-dessus, un code-barre UPC est un très bon image de ce que le trafic ressemble à une ligne. une interface transmet (202.000 rafales à pleine vitesse) ou non. Les lignes noires représentent des périodes de transmission de données et l’espace blanc représente des périodes de silence lorsque le seau de jeton peut s’inserler.

Selon le type de policer utilisé, les paquets d’un flux de trafic à contrôle qui dépasse les limites définies peuvent être définis implicitement sur un niveau de PLP supérieur, attribué à une classe de passation configurée ou définie à un niveau de PLP configuré (ou les deux) ou simplement écartés. Si les paquets sont congestionés en aval, les paquets avec un niveau de PLP sont moins susceptibles d’être éliminés que ceux avec un niveau PLP ou lowmedium-low un niveau medium-highhigh PLP.

Marquage des couleurs du trafic

En fonction de l’ensemble particulier de limites de trafic configurées, un policer identifie un flux de trafic comme appartenant à l’une des deux ou trois catégories similaires aux couleurs d’un feu utilisé pour contrôler le trafic automobile.

  • Débit unique à deux couleurs: un policeur de marquage à deux couleurs (ou « policer » lorsqu’il est utilisé sans qualification) mètres le flux de trafic et classe les paquets en deux catégories de priorité de perte de paquets (PLP) en fonction d’une bande passante configurée et de la limite de taille de rafale. Vous pouvez marquer des paquets qui dépassent la bande passante et les limites de taille d’un paquet, ou tout simplement les éliminer.

    Un outil de contrôle est particulièrement utile pour mesurer le trafic au niveau du port (interface physique).

  • Fréquence unique trois couleurs: ce type de policer est défini dans le RFC 2697, marqueur 3 couleurs à taux unique, dans le cadre d’un système de classification PHB (Assured Forwarding)par comportement du saut (PHB) pour un environnement De services différenciés (DiffServ). Ce type de policer mètres le trafic en fonction du taux d’informations engagés (CIR) configuré, de la taille d’rafale engagée (AUD) et de la taille de rafale en suramorce (EBS). Le trafic est marqué comme appartenant à l’une des trois catégories (verte, jaune ou rouge) en fonction de la whether les paquets arrivant se trouver en-dessous du LIGNER (vert), de dépasser la FIN (jaune) mais pas la EBS ou de dépasser l’EBS (rouge).

    Un policer trois couleurs à un seul rythme est particulièrement utile lorsqu’un service est structuré en fonction de la longueur des paquets et non du taux d’arrivée le plus élevé.

  • Policer à deux vitesses trois couleurs: ce type de policer est défini dans le RFC 2698, marqueur 2 vitesses à trois couleurs, dans le cadre d’un système de classification PHB (Assured Forwarding) par comportement du saut (PHB) pour un environnement De services différenciés (DiffServ). Ce type de policer mesure le trafic en fonction du CIR configuré et du taux d’informations de pointe (PBS) ainsi que de leurs pics d’trafic associés, la CARTE AUX ÉTATS-UNIS et les pics d’adage (PBS). Le trafic est marqué comme appartenant à l’une des trois catégories (vert, jaune ou rouge) selon si les paquets qui arrivent se trouve en dessous du CIR (vert), dépassent le CIR (jaune) mais pas le NOMBRE DSE ou dépassent le NOMBRE DE PAQUETs (rouge).

    Un policer à deux vitesses trois couleurs est particulièrement utile lorsqu’un service est structuré en fonction du taux d’arrivée et pas nécessairement de la longueur des paquets.

Les actions des agents de police sont implicites ou explicites et varient selon le type de policer. Le terme Signifie implicitement que Junos attribue la priorité des pertes automatiquement. Tableau 1 décrit les actions du policer.

Tableau 1 : Policer Actions

Policer (Policer)

Marquage

Action implicite

Actions configurables

Deux couleurs à vitesse unique

Vert (conforme)

Priorité des pertes de données

Aucune

Rouge (nonformant)

Aucune

Attribuer des priorités de perte faibles ou élevées, attribuer une classe de forwarding ou écarter

Sur certaines plates-formes, vous pouvez attribuer des priorités de perte de taille moyenne à élevée

Trois couleurs à vitesse unique

Vert (conforme)

Priorité des pertes de données

Aucune

Jaune (au-dessus du CIR et DE LASA)

Priorité des pertes moyennes et élevées

Aucune

Rouge (au-dessus du EBS)

Priorité élevée des pertes

Jeter

Deux vitesses trois couleurs

Vert (conforme)

Priorité des pertes de données

Aucune

Jaune (au-dessus du CIR et DE LASA)

Priorité des pertes moyennes et élevées

Aucune

Rouge (au-dessus du PBS et du PBS et du PBS)

Priorité élevée des pertes

Jeter

Classes de forwarding et niveaux PLP

L’attribution de classe de forwarding et le niveau de PLP d’un paquet sont utilisés par les fonctionnalités Junos OS classe de service (CoS). Les Junos OS CoS de sécurité incluent un ensemble de mécanismes que vous pouvez utiliser pour fournir des services différenciés lorsque la meilleure effort de distribution du trafic est insuffisante. Pour les interfaces de routeur (et de commutateur) qui transportent du trafic IPv4, IPv6 et MPLS, vous pouvez configurer les fonctionnalités CoS pour prendre en compte un flux de trafic unique entrant à la périphérie de votre réseau et fournir différents niveaux de service sur l’ensemble du réseau: transfert interne et planification (mise en file d’file d’entrée) pour la sortie, en fonction des attributions de classe de transfert et des niveaux de PLP des paquets individuels.

Remarque :

Les attributions de classe de service ou de priorité de perte réalisées par un policer ou un filtre de pare-feu sans état remplacent toutes les attributions de ce type exécutées lors de l’entrée par la classification de priorité IP par défaut CoS à toutes les interfaces logiques ou par tout classificateur de comportement configuré (BA) explicitement maté sur une interface logique.

En fonction des configurations de CoS, les paquets d’une classe de transfert donnée sont transmis par une file d’attente de sortie spécifique, et chaque file d’attente de sortie est associée à un niveau de service de transmission défini dans un scheduleur.

Selon les autres configurations CoS, lorsque les paquets d’une file d’attente de sortie sont congestionés, les paquets avec des valeurs de priorité de perte supérieures sont plus susceptibles d’être abandonnés par l’algorithme RED (Random Early Detection). Les valeurs de priorité de perte de paquets affectent la planification d’un paquet sans affecter le rapport de commande relatif du paquet au sein du flux de trafic.

Application de contrôle du trafic

Une fois que vous avez défini et nommé un policer, il est stocké en tant que modèle. Vous pouvez ensuite utiliser le même nom de policer pour fournir la même configuration de policer chaque fois que vous souhaitez l’utiliser. Ainsi, il n’est plus nécessaire de définir plusieurs fois les mêmes valeurs de policer.

Vous pouvez appliquer un policer à un flux de trafic de deux manières:

  • Vous pouvez configurer un filtre de pare-feu sans état standard qui spécifie l’action qui ne se termine pas ou policer policer-namethree-color-policer (single-rate | two-rate) policer-name l’action qui ne se termine pas. Lorsque vous appliquez le filtre standard à l’entrée ou à la sortie à une interface logique, un policer est appliqué à tous les paquets de la famille de protocoles spécifiques aux filtres qui correspondent aux conditions spécifiées dans la configuration de filtre.

    Avec cette méthode d’application d’un policer, vous pouvez définir des classes de trafic spécifiques sur une interface et appliquer la limitation du taux de trafic à chaque classe.

  • Vous pouvez appliquer un policer directement à une interface afin que la limitation du trafic s’applique à l’ensemble du trafic de cette interface, indépendamment de la famille de protocoles ou des conditions de correspondance.

Vous pouvez configurer les policers dans la file d’attente, l’interface logique ou le niveau MAC de couche 2. Un seul policer est appliqué à un paquet à la file d’attente de sortie, et la recherche de policers se produit dans cet ordre:

  • Niveau de file d’attente

  • Niveau d’interface logique

  • Niveau MAC (Layer 2)