Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple de classificateurmultichamp : Configuration de la classification multichamps

Vue d’ensemble de la classification multi-champs

Classes de transfert et niveaux PLP

Vous pouvez configurer les fonctionnalités de classe de service (CoS) de Junos OS pour classer le trafic entrant en associant chaque paquet à une classe de transfert, à un niveau de priorité de perte de paquets (PLP) ou aux deux :

  • En fonction de la classe de transfert associée, chaque paquet est affecté à une file d’attente de sortie, et le routeur gère les files d’attente de sortie en fonction de la planification associée que vous configurez.

  • Sur la base du PLP associé, chaque paquet a une probabilité plus ou moins grande d’être abandonné en cas d’encombrement. Le processus RED (Random Early Detection) CoS utilise la configuration de probabilité d’abandon, le pourcentage de plénitude de la file d’attente de sortie et le PLP des paquets pour supprimer les paquets selon les besoins afin de contrôler l’encombrement à l’étape de sortie.

Classification multi-champs et classification BA

Junos OS prend en charge deux types généraux de classification des paquets : classification des agrégats de comportement (BA) et classification multi-champs :

  • La classification BA, ou classification du trafic de valeur CoS, fait référence à une méthode de classification des paquets qui utilise une configuration CoS pour définir la classe de transfert ou PLP d’un paquet en fonction de la valeur CoS dans l’en-tête du paquet IP. La valeur CoS examinée à des fins de classification BA peut être la valeur DSCP (Differentiated Services Code Point), la valeur DSCP IPv6, la valeur IP de priorité, les bits MPLS EXP et la valeur IEEE 802.1p. Le classificateur par défaut est basé sur la valeur de priorité IP.

  • La classification multichamps fait référence à une méthode de classification des paquets qui utilise une configuration de filtre de pare-feu sans état standard pour définir la classe de transfert ou PLP pour chaque paquet entrant ou sortant de l’interface en fonction de plusieurs champs dans l’en-tête du paquet IP, y compris la valeur DSCP (pour IPv4 uniquement), la valeur de priorité IP, les bits EXP MPLS, et les bits IEEE 802.1p. La classification multi-champs correspond généralement aux champs d’adresse IP, au champ de type de protocole IP ou au numéro de port dans le champ pseudo-en-tête UDP ou TCP. La classification à champs multiples est utilisée à la place de la classification BA lorsque vous devez classer des paquets en fonction des informations contenues dans les paquets autres que les valeurs CoS uniquement.

    Avec la classification à champs multiples, un terme de filtre de pare-feu peut spécifier les actions de classification des paquets pour les paquets correspondants via l’utilisation des actions ou forwarding-class class-nameloss-priority (high | medium-high | medium-low | low) non terminantes dans la clause du then terme.

REMARQUE :

La classification BA d’un paquet peut être remplacée par les actions forwarding-class de filtre du pare-feu sans état et loss-priority.

REMARQUE :

Classification erronée du trafic via le classificateur multichamps sur QFX5k :

  • Si le trafic BUM est forcé de prendre la file d’attente unicast via le classificateur MF, les paquets seront classés dans MCQ9. Junos versions 21.4R3 , 22.1R3 et à partir de la version 22.2 de Junos, ces paquets seront classés dans MCQ8.

  • Si le trafic unicast est forcé de prendre la file d’attente multicast via le classificateur MF, les paquets seront classés dans MCQ9 et à partir de la version 19.1R3, ils seront classés dans la file d’attente best effort.

Classification multi-champs utilisée en conjonction avec les mécanismes de contrôle

Pour configurer la classification multichamps en conjonction avec la limitation de débit, un terme de filtre de pare-feu peut spécifier les actions de classification des paquets pour les paquets correspondants à l’aide d’une policer action non terminale qui fait référence à un mécanisme de contrôle bicolore à débit unique.

Lorsque la classification à champs multiples est configurée pour effectuer une classification par le biais d’un mécanisme de contrôle, les paquets filtrés dans le flux de trafic sont limités aux limites de trafic spécifiées par le mécanisme de contrôle. Les paquets d’un flux conforme de paquets filtrés sont implicitement définis sur un low PLP. Les paquets d’un flux de trafic non conforme peuvent être ignorés, ou les paquets peuvent être affectés à une classe de transfert spécifiée, à un niveau PLP spécifié, ou aux deux, selon le type de mécanisme de contrôle et la façon dont il est configuré pour gérer le trafic non conforme.

REMARQUE :

Avant d’appliquer un filtre de pare-feu qui effectue une classification à plusieurs champs ainsi qu’un mécanisme de contrôle à la même interface logique et pour la même direction de trafic, veillez à tenir compte de l’ordre des opérations du mécanisme de contrôle et du filtre de pare-feu.

À titre d’exemple, considérons le scénario suivant :

  • Vous configurez un filtre de pare-feu qui effectue une classification à champs multiples (agit sur les paquets correspondants en définissant la classe de transfert, le PLP ou les deux) en fonction de la classe de transfert ou PLP existante du paquet. Vous appliquez le filtre de pare-feu à l’entrée d’une interface logique.

  • Vous pouvez également configurer un mécanisme de contrôle bicolore à débit unique qui agit sur un flux de trafic rouge en remarquant (en définissant la classe de transfert, le PLP ou les deux) plutôt que d’ignorer ces paquets. Vous appliquez le mécanisme de contrôle en tant que mécanisme de contrôle d’interface à l’entrée de l’interface logique à laquelle vous appliquez le filtre de pare-feu.

En raison de l’ordre des opérations du mécanisme de contrôle et du pare-feu, le mécanisme de contrôle d’entrée est exécuté avant le filtre de pare-feu d’entrée. Cela signifie que la classification multi-champs spécifiée par le filtre de pare-feu est effectuée sur les paquets d’entrée qui ont déjà été marqués une fois par des actions de contrôle. Par conséquent, tout paquet d’entrée qui correspond aux conditions spécifiées dans un terme de filtre de pare-feu est ensuite soumis à un second marquage en fonction des forwarding-classloss-priority actions ou actions non terminantes également spécifiées dans ce terme.

Exigences et restrictions relatives à la classification multizone

Plates-formes prises en charge

L’action de filtre de pare-feu est uniquement prise en charge sur les loss-priority plates-formes de routage suivantes :

  • Commutateurs EX Series

  • Routeurs M7i et M10i avec la technologie CFEB améliorée (CFEB-E)

  • Routeurs M120 et M320

  • Routeurs MX Series

  • Routeurs T Series avec concentrateurs PIC flexibles (FPC) Enhanced II

  • Routeurs PTX Series

Exigence de marquage tricolore CoS

L’action loss-priority de filtre de pare-feu a des exigences spécifiques à la plate-forme qui dépendent de la fonctionnalité de marquage tricolore CoS, telle que définie dans la RFC 2698 :

  • Sur un routeur M320, vous ne pouvez pas valider une configuration qui inclut l’action de filtre du pare-feu, sauf si vous activez la fonctionnalité de loss-priority marquage tricolore CoS.

  • Sur toutes les plates-formes de routage qui prennent en charge l’action de filtre de pare-feu, vous ne pouvez pas définir l’action de filtre de pare-feu sur ou medium-high à moins d’activer loss-priority la fonctionnalité de loss-prioritymedium-low marquage tricolore CoS.

Pour activer la fonction de marquage tricolore CoS, incluez l’instruction tri-color au niveau de la [edit class-of-service] hiérarchie.

Restrictions

Vous ne pouvez pas configurer les actions et three-color-policer les loss-priority actions non terminantes pour le même terme de filtre de pare-feu. Ces deux actions sans interruption s’excluent mutuellement.

REMARQUE :

Sur un routeur PTX Series, vous devez configurer l’action policer dans une règle distincte et ne pas la combiner avec la règle configurant les forwarding-classactions et loss-priority . Reportez-vous à la section Différences de pare-feu et de contrôle entre les routeurs matriciels PTX Series Routeurs de transport de paquets et T Series.

Limites de la classification multichamp sur les routeurs M Series

Problème: Correspondance sortie-filtre sur la classification entrée-filtre

Sur les routeurs M Series (à l’exception des routeurs M120), vous ne pouvez pas classer les paquets avec une correspondance de filtre de sortie en fonction de la classification d’entrée définie avec un filtre d’entrée appliqué à la même interface logique IPv4.

Par exemple, dans la configuration suivante, le filtre appelé ingress affecte tous les paquets IPv4 entrants à la expedited-forwarding classe. Le filtre appelé egress compte tous les paquets qui ont été affectés à la expedited-forwarding classe dans le ingress filtre. Cette configuration ne fonctionne pas sur la plupart des routeurs M Series. Il fonctionne sur toutes les autres plates-formes de routage, y compris les routeurs M120, les routeurs MX Series et les routeurs T Series.

Contournement: Configurer toutes les actions dans le filtre d’entrée

Pour contourner ce problème, vous pouvez configurer toutes les actions dans le filtre d’entrée.

Exemple : Configuration de la classification multichamps

Cet exemple montre comment configurer la classification multichamps du trafic IPv4 à l’aide d’actions de filtre de pare-feu et de deux mécanismes de contrôle de filtre de pare-feu.

Conditions préalables

Avant de commencer, assurez-vous que votre environnement prend en charge les fonctionnalités présentées dans cet exemple :

  1. L’action loss-priority de filtre du pare-feu doit être prise en charge sur le routeur et configurable sur les quatre valeurs.

    1. Pour pouvoir définir une action de filtre de pare-feu, configurez cet exemple sur une interface ge-1/2/0.0 logique sur l’une loss-priority des plateformes de routage suivantes :

      • Routeur MX Series

      • Routeur M120 ou M320

      • Routeur M7i ou M10i avec CFEB amélioré (CFEB-E)

      • Routeur T Series avec concentrateur PIC flexible (FPC) Enhanced II

    2. Pour pouvoir définir une action de filtre de pare-feu sur ou medium-high, assurez-vous que la fonction de loss-prioritymedium-low marquage tricolore CoS est activée. Pour activer la fonction de marquage tricolore CoS, incluez l’instruction tri-color au niveau de la [edit class-of-service] hiérarchie.

  2. Les expedited-forwarding classes de transfert et assured-forwarding doivent être planifiées sur l’interface ge-1/2/0physique sous-jacente.

    1. Assurez-vous que les classes de transfert suivantes sont affectées aux files d’attente de sortie :

      • expedited-forwarding

      • assured-forwarding

      Les affectations de classe de transfert sont configurées au niveau de la [edit class-of-service forwarding-classes queue queue-number] hiérarchie.

      REMARQUE :

      Vous ne pouvez pas valider une configuration qui affecte la même classe de transfert à deux files d’attente différentes.

    2. Assurez-vous que les files d’attente de sortie auxquelles les classes de transfert sont affectées sont associées à des planificateurs. Un planificateur définit la quantité de bande passante d’interface affectée à la file d’attente, la taille de la mémoire tampon allouée au stockage des paquets, la priorité de la file d’attente et les profils d’abandon RED (Random Early Detection) associés à la file d’attente.

      • Vous configurez les planificateurs de file d’attente de sortie au niveau de la [edit class-of-service schedulers] hiérarchie.

      • Vous associez les planificateurs de file d’attente de sortie aux classes de transfert au moyen d’une carte de planificateur que vous configurez au niveau de la [edit class-of-service scheduler-maps map-name] hiérarchie.

    3. Assurez-vous que la planification de la file d’attente de sortie est appliquée à l’interface ge-1/2/0physique.

      Vous appliquez un mappage de planificateur à une interface physique au niveau de la [edit class-of-service interfaces ge-1/2/0 scheduler-map map-name] hiérarchie.

Présentation

Dans cet exemple, vous appliquez une classification multichamps au trafic IPv4 d’entrée au niveau d’une interface logique à l’aide d’actions de filtre de pare-feu sans état et de deux mécanismes de contrôle de filtre de pare-feu référencés à partir du filtre de pare-feu. En fonction du champ d’adresse source, les paquets sont soit définis sur la priorité de low perte, soit contrôlés. Ni l’un ni l’autre des agents de police ne rejette le trafic non conforme. Les paquets dans les flux non conformes sont marqués pour une classe de transfert spécifique (expedited-forwarding ou assured-forwarding), définie sur une priorité de perte spécifique, puis transmis.

REMARQUE :

Les mécanismes de contrôle bicolores à débit unique transmettent toujours les paquets dans un flux de trafic conforme après avoir implicitement défini une low priorité de perte.

Topologie

Dans cet exemple, vous appliquez la classification multichamps au trafic IPv4 sur l’interface ge-1/2/0.0logique . Les règles de classification sont spécifiées dans le filtre mfc-filter de pare-feu sans état IPv4 et dans deux mécanismes de contrôle bicolores à débit unique, ef-policer et af-policer.

Le filtre de pare-feu sans état standard IPv4 définit trois termes de filtre mfc-filter :

  • isp1-customers: le premier terme de filtre fait correspondre les paquets avec l’adresse source 10.1.1.0/24 ou 10.1.2.0/24. Les paquets correspondants sont affectés à la classe de transfert et définis sur la expedited-forwarding priorité de low perte.

  • isp2-customers: le deuxième terme de filtre fait correspondre les paquets avec l’adresse source 10.1.3.0/24 ou 10.1.4.0/24. Les paquets correspondants sont transmis à , un mécanisme de contrôle qui limite le débit du trafic à ef-policerune limite de bande passante de 300 Kbits/s avec une limite de taille de rafale de 50 Ko. Ce mécanisme de contrôle spécifie que les paquets d’un flux non conforme sont marqués pour la classe de transfert et définis sur la expedited-forwardinghigh priorité de perte.

  • other-customers: le troisième et dernier terme de filtre transmet tous les autres paquets à , un mécanisme de contrôle qui limite le débit du trafic à af-policerune limite de bande passante de 300 Kbits/s et à une limite de taille de rafale de 50 Ko (les mêmes limites de trafic que celles définies par ef-policer). Ce mécanisme de contrôle spécifie que les paquets d’un flux non conforme sont marqués pour la classe de transfert et définis sur la assured-forwardingmedium-high priorité de perte.

Configuration

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.

Pour configurer cet exemple, effectuez les tâches suivantes :

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.

Configuration de mécanismes de contrôle pour limiter le débit du trafic de transfert accéléré et de transfert assuré

Procédure étape par étape

Pour configurer les mécanismes de contrôle afin de limiter le débit du trafic de transfert accéléré et de transfert assuré :

  1. Définissez des limites de trafic pour le trafic de transfert accéléré.

  2. Configurez un mécanisme de contrôle pour assurer le transfert du trafic.

Résultats

Confirmez la configuration du mécanisme de contrôle en entrant la show firewall commande de mode de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration d’un filtre de classification multichamps qui applique également le contrôle

Procédure étape par étape

Pour configurer un filtre de classification à champs multiples qui applique en plus le contrôle :

  1. Activez la configuration d’un terme de filtre de pare-feu pour le trafic IPv4.

  2. Configurez le premier terme à faire correspondre sur les adresses source, puis classez les paquets correspondants.

  3. Configurez le second terme pour qu’il corresponde à différentes adresses source, puis contrôlez les paquets correspondants.

  4. Configurez le troisième terme pour contrôler tous les autres paquets en fonction d’un ensemble différent de limites de trafic et d’actions.

Résultats

Confirmez la configuration du filtre en entrant la commande de show firewall mode de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Application d’un filtrage et d’une surveillance de la classification multichamps à l’interface logique

Procédure étape par étape

Pour appliquer le filtrage et le contrôle de la classification multichamps à l’interface logique :

  1. Activez la configuration d’IPv4 sur l’interface logique.

  2. Configurez une adresse IP pour l’interface logique.

  3. Appliquez le filtre de pare-feu à l’entrée de l’interface logique.

    REMARQUE :

    Étant donné que le mécanisme de contrôle est exécuté avant le filtre, si un mécanisme de contrôle d’entrée est également configuré sur l’interface logique, il ne peut pas utiliser la classe de transfert et le PLP d’un classificateur à champs multiples associé à l’interface.

Résultats

Confirmez la configuration de l’interface en entrant la commande configuration show interfaces mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Affichage du nombre de paquets traités par le mécanisme de contrôle au niveau de l’interface logique

But

Vérifiez que le flux de trafic passe par l’interface logique et que le mécanisme de contrôle est évalué lorsque des paquets sont reçus sur l’interface logique.

Action

Utilisez la show firewall commande mode opérationnel pour le filtre que vous avez appliqué à l’interface logique.

La sortie de la commande répertorie les mécanismes de contrôle appliqués par le filtre rate-limit-inde pare-feu et le nombre de paquets correspondant au terme de filtrage.

REMARQUE :

Le nombre de paquets inclut le nombre de paquets hors spécification (hors spécification), et non tous les paquets contrôlés par le mécanisme de contrôle.

Le nom du mécanisme de contrôle s’affiche concaténé avec le nom du terme de filtre de pare-feu dans lequel le mécanisme de contrôle est référencé en tant qu’action.

Exemple : Configuration et application d’un filtre de pare-feu pour un classificateur à champs multiples

Cet exemple montre comment configurer un filtre de pare-feu pour classer le trafic à l’aide d’un classificateur à champs multiples. Le classifieur détecte les paquets présentant un intérêt pour la classe de service (CoS) lorsqu’ils arrivent sur une interface. Les classificateurs multichamps sont utilisés lorsqu’un classificateur d’agrégation de comportement simple (BA) est insuffisant pour classer un paquet, lorsque les bits CoS des routeurs d’appairage ne sont pas marqués ou lorsque le marquage du routeur d’appairage n’est pas fiable.

Conditions préalables

Pour vérifier cette procédure, cet exemple utilise un générateur de trafic. Le générateur de trafic peut être matériel ou logiciel exécuté sur un serveur ou une machine hôte.

La fonctionnalité de cette procédure est largement prise en charge sur les périphériques qui exécutent Junos OS. L’exemple présenté ici a été testé et vérifié sur des routeurs MX Series exécutant Junos OS version 10.4.

Présentation

Un classificateur est une opération logicielle qui inspecte un paquet lorsqu’il entre dans le routeur ou le commutateur. Le contenu de l’en-tête du paquet est examiné, et cet examen détermine la façon dont le paquet est traité lorsque le réseau devient trop occupé pour gérer tous les paquets et que vous souhaitez que vos périphériques abandonnent les paquets intelligemment, au lieu d’abandonner des paquets sans discernement. Une façon courante de détecter les paquets d’intérêt est le numéro de port source. Les numéros de port TCP 80 et 12345 sont utilisés dans cet exemple, mais de nombreux autres critères de correspondance pour la détection de paquets sont disponibles pour les classificateurs à champs multiples, en utilisant les conditions de correspondance du filtre de pare-feu. La configuration de cet exemple spécifie que les paquets TCP avec le port source 80 sont classés dans la classe de transfert de données BE et le numéro de file d’attente 0. Les paquets TCP avec le port source 12345 sont classés dans la classe de transfert de données Premium et le numéro de file d’attente 1.

Les classificateurs multichamps sont généralement utilisés à la périphérie du réseau lorsque les paquets entrent dans un système autonome (AS).

Dans cet exemple, vous configurez le filtre de pare-feu mf-classifier et spécifiez des classes de transfert personnalisées sur l’appareil R1. En spécifiant les classes de transfert personnalisées, vous associez également chaque classe à une file d’attente.

Le fonctionnement du classificateur est illustré à la .Figure 1

Figure 1 : Classificateur à champs multiples basé sur les ports source TCPClassificateur à champs multiples basé sur les ports source TCP

Vous appliquez le filtre de pare-feu du classifieur à champs multiples en tant que filtre d’entrée sur chaque interface orientée client ou hôte qui a besoin du filtre. L’interface entrante est ge-1/0/1 sur l’appareil R1. La classification et l’affectation des files d’attente sont vérifiées sur l’interface sortante. L’interface sortante est l’interface ge-1/0/9 de l’appareil R1.

Topologie

Figure 2 montre l’exemple de réseau.

Figure 2 : Scénario du classificateur à champs multiplesScénario du classificateur à champs multiples

Configuration rapide de l’interface de ligne de commande affiche la configuration de tous les équipements Juniper Networks dans Figure 2.

Procédure étape par étape décrit les étapes sur l’appareil R1.

Les classificateurs sont décrits plus en détail dans la vidéo Juniper Networks Learning Byte suivante.

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.

Appareil R1

Appareil R2

Procédure étape par étape

L’exemple suivant nécessite que vous naviguiez à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.

Pour configurer l’appareil R1 :

  1. Configurez les interfaces de l’appareil.

  2. Configurez les classes de transfert personnalisées et les numéros de file d’attente associés.

  3. Configurez le terme de filtre de pare-feu qui place le trafic TCP avec un port source de 80 (trafic HTTP) dans la classe de transfert de données BE, associée à la file d’attente 0.

  4. Configurez le terme de filtre de pare-feu qui place le trafic TCP avec un port source de 12345 dans la classe de transfert de données Premium, associée à la file d’attente 1.

  5. À la fin du filtre de votre pare-feu, configurez un terme par défaut qui accepte tout le reste du trafic.

    Dans le cas contraire, tout le trafic qui arrive sur l’interface et qui n’est pas explicitement accepté par le filtre de pare-feu est ignoré.

  6. Appliquez le filtre de pare-feu à l’interface ge-1/0/1 en tant que filtre d’entrée.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show interfacescommandes , show class-of-service. show firewall Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification des paramètres CoS

But

Vérifiez que les classes de transfert sont correctement configurées.

Action

À partir de l’appareil R1, exécutez la show class-of-service forwardng-classes commande.

Sens

La sortie affiche les paramètres du classificateur personnalisé configuré.

Envoi de trafic TCP dans le réseau et surveillance du placement des files d’attente

But

Assurez-vous que le trafic d’intérêt est envoyé dans la file d’attente attendue.

Action
  1. Effacez les statistiques de l’interface sur l’interface sortante de l’appareil R1.

  2. Utilisez un générateur de trafic pour envoyer 50 paquets TCP port 80 au périphérique R2 ou à un autre périphérique en aval.

  3. Sur l’appareil R1, vérifiez les compteurs de file d’attente.

    Notez que vous vérifiez les compteurs de file d’attente sur l’interface de sortie en aval, et non sur l’interface entrante.

  4. Utilisez un générateur de trafic pour envoyer 50 paquets TCP port 12345 au périphérique R2 ou à un autre périphérique en aval.

  5. Sur l’appareil R1, vérifiez les compteurs de file d’attente.

Sens

La sortie montre que les paquets sont correctement classés. Lorsque le port 80 est utilisé dans les paquets TCP, la file d’attente 0 est incrémentée. Lorsque le port 12345 est utilisé, la file d’attente 1 est incrémentée.