Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation des mécanismes de contrôle

Un commutateur contrôle le trafic en limitant le débit de transmission d’entrée ou de sortie d’une classe de trafic selon des critères définis par l’utilisateur. Le contrôle (ou limitation de débit) du trafic vous permet de contrôler le débit maximal de trafic envoyé ou reçu sur une interface et de fournir plusieurs niveaux de priorité ou classes de service.

Le contrôle est également un composant important des filtres de pare-feu. Vous pouvez appliquer une stratégie de contrôle en incluant des mécanismes de contrôle dans les configurations de filtres de pare-feu .

Présentation du mécanismes de contrôle

Vous utilisez des mécanismes de contrôle pour limiter le flux de trafic et définir des conséquences pour les paquets qui dépassent ces limites, en appliquant généralement une priorité de perte plus élevée, de sorte que si les paquets rencontrent une congestion en aval, ils peuvent être jetés en premier. Les mécanismes de contrôle s’appliquent uniquement aux paquets unicast.

Les mécanismes de contrôle fournissent deux fonctions : mesure et marquage. Un compteur de contrôle (mesure) chaque paquet par rapport aux débits de trafic et aux pics de taille que vous configurez. Il passe ensuite le paquet et le résultat de mesure au marqueur, qui attribue une priorité de perte de paquets correspondant au résultat de mesure. Figure 1 illustre ce processus.

Figure 1 : Flux de marquage tricolore opération de policerFlux de marquage tricolore opération de policer

Une fois que vous avez nommé et configuré un mécanismes de contrôle, vous pouvez l’utiliser en la spécifiant comme action dans un ou plusieurs filtres de pare-feu.

Types de mécanismes de contrôle

Un commutateur prend en charge trois types de mécanismes de contrôle :

  • Marqueur double couleur à débit unique : un mécanismes de contrôle (ou « mécanismes de contrôle » bicolores lorsqu’ils sont utilisés sans qualification) mesure le flux de trafic et classe les paquets en deux catégories de priorité de perte de paquets (PLP) en fonction d’une bande passante configurée et d’une limite de taille d’rafale. Vous pouvez marquer les paquets qui dépassent la bande passante et la limite de taille d’rafale avec un PLP spécifié ou simplement les jeter.

    Vous pouvez spécifier ce type de mécanismes de contrôle dans un pare-feu entrant ou sortant.

    Remarque :

    Un mécanismes de contrôle à deux couleurs est plus utile pour mesurer le trafic au niveau du port (interface physique).

  • Marqueur trois couleurs à débit unique : ce type de mécanismes de contrôle est défini dans le document RFC 2697, A Single Rate Three Color Marker, dans le cadre d’un système de classification PHB (Assured Forwarding) par comportement par saut pour un environnement DiffServ (Differentiated Services). Ce type de contrôle mesure le trafic sur la base d’un seul débit : le débit d’informations engagé (CIR) configuré, ainsi que la taille de l’rafale (CBS) et la taille d’éclatement en excès (EBS). Le CIR spécifie le débit moyen auquel les bits sont admis sur le commutateur. Le système CBS spécifie la taille d’rafale habituelle en octets et le système EBS spécifie la taille maximale d’éclatement en octets. Le EBS doit être supérieur ou égal au CBS et ne peut pas être 0.

    Vous pouvez spécifier ce type de mécanismes de contrôle dans un pare-feu entrant ou sortant.

    Remarque :

    Un marqueur à trois couleurs (TCM) à débit unique est plus utile lorsqu’un service est structuré en fonction de la longueur des paquets et non du taux d’arrivée le plus élevé.

  • Marqueur trois couleurs à deux débits : ce type de mécanismes de contrôle est défini dans le document RFC 2698, A Two Rate Three Color Marker, dans le cadre d’un système de classification du comportement par saut pour un environnement de services différenciés. Ce type de trafic de mécanismes de contrôle est basé sur deux débits : le CIR et le pic d’information (PIR) ainsi que leurs tailles d’salves associées, les CBS et la taille de pic (PBS). Le PIR spécifie la vitesse maximale à laquelle les bits sont admis sur le réseau et doit être supérieur ou égal au CIR.

    Vous pouvez spécifier ce type de mécanismes de contrôle dans un pare-feu entrant ou sortant.

    Remarque :

    Un dispositif de contrôle en trois couleurs à deux débits est très utile lorsqu’un service est structuré en fonction des débits d’arrivée et pas nécessairement de la longueur des paquets.

Pour Tableau 1 plus d’informations sur la façon dont les résultats de mesure sont appliqués à chacun de ces types de mécanismes de contrôle, consultez le rapport.

Actions du mécanismes de contrôle

Les actions du mécanismes de contrôle sont implicites ou explicites et varient selon le type de mécanismes de contrôle. Cela signifie implicitement que Junos OS attribue automatiquement la priorité de perte. Tableau 1 décrit les actions du mécanismes de contrôle.

Tableau 1 : Actions du mécanismes de contrôle

Mécanismes de contrôle

Marquage

Action implicite

Configurable Action

Deux couleurs à débit unique

Vert (conforme)

Attribuer une priorité de faible perte

Aucune

Rouge (nonconformant)

Aucune

Jeter

Débit unique en trois couleurs

Vert (conforme)

Attribuer une priorité de faible perte

Aucune

Jaune (au-dessus du CIR et du CBS)

Attribuer une priorité de perte moyenne à élevée

Aucune

Rouge (au-dessus du EBS)

Attribuer une priorité élevée aux pertes

Jeter

Débit double, trois couleurs

Vert (conforme)

Attribuer une priorité de faible perte

Aucune

Jaune (au-dessus du CIR et du CBS)

Attribuer une priorité de perte moyenne à élevée

Aucune

Rouge (au-dessus du PIR et du PBS)

Attribuer une priorité élevée aux pertes

Jeter

Remarque :

Si vous spécifiez un mécanismes de contrôle dans un filtre de pare-feu sortant, la seule action prise en charge est discard.

Couleurs du mécanismes de contrôle

Les mécanismes de contrôle à débit unique et à deux débits à trois couleurs peuvent fonctionner en deux modes :

  • Incolore : en mode incolore, le mécanismes de contrôle à trois couleurs suppose que tous les paquets examinés n’ont pas été précédemment marqués ou mesurés. En d’autres termes, le mécanismes de contrôle à trois couleurs est « aveugle » à toute coloration antérieure d’un paquet.

  • Fonction de reconnaissance de couleur : en mode orienté couleur, le mécanismes de contrôle à trois couleurs suppose que tous les paquets examinés ont été précédemment marqués ou mesurés. En d’autres termes, le mécanismes de contrôle en trois couleurs est « conscient » de la coloration précédente d’un paquet. En mode orienté couleur, le mécanismes de contrôle à trois couleurs peut augmenter le PLP d’un paquet, mais ne peut pas le diminuer. Par exemple, si un mécanismes de contrôle tricolore mesure un paquet avec un marquage PLP moyen, il peut élever le niveau de PLP à un niveau élevé, mais ne peut pas réduire le niveau de PLP à bas.

Mécanismes de contrôle spécifiques aux filtres

Vous pouvez configurer des mécanismes de contrôle pour qu’ils soient spécifiques aux filtres, ce qui signifie que Junos OS ne crée qu’une seule instance de mécanismes de contrôle, quel que soit le nombre de fois auquel le mécanismes de contrôle est référencé. Lorsque vous le faites sur certains commutateurs QFX, la limitation de débit est appliquée au niveau agrégé. Ainsi, si vous configurez un mécanismes de contrôle pour écarter le trafic qui dépasse 1 Gbit/s et que le mécanismes de contrôle est utilisé en trois termes différents, la bande passante totale autorisée par le filtre est de 1 Gbit/s. Toutefois, le comportement d’un dispositif de contrôle spécifique à un filtre est affecté par la manière dont les termes de filtre de pare-feu qui font référence au mécanismes de contrôle sont stockés dans TCAM. Si vous créez un mécanismes de contrôle spécifiques à chaque filtre et que vous le faites référence à plusieurs termes de filtre de pare-feu, le mécanismes de contrôle autorise davantage de trafic que prévu si les termes sont stockés dans différentes tranches TCAM. Par exemple, si vous configurez un mécanismes de contrôle pour écarter le trafic qui dépasse 1 Gbit/s et que vous faites référence à ce mécanismes de contrôle dans trois termes différents qui sont stockés dans trois tranches de mémoire distinctes, la bande passante totale autorisée par le filtre est de 3 Gbits/s, et non de 1 Gbit/s. (Ce comportement ne se produit pas dans les commutateurs QFX10000.)

Pour éviter ce comportement inattendu, utilisez les informations sur les tranches TCAM présentées dans Planification du nombre de filtres de pare-feu à créer pour organiser votre fichier de configuration afin que tous les termes de filtre de pare-feu faisant référence à un mécanismes de contrôle donnés soient stockés dans la même tranche TCAM.

Convention d’attribution de noms suggérée pour les mécanismes de contrôle

Nous vous recommandons d’utiliser la convention policertypeTCM#-color type d’attribution de noms lors de la configuration de mécanismes de contrôle à trois couleurs et policer# lors de la configuration de mécanismes de contrôle à deux couleurs. TCM désigne un marqueur à trois couleurs. Parce que les mécanismes de contrôle peuvent être nombreux et doivent être appliqués correctement au travail, une simple convention d’attribution de noms facilite l’application des mécanismes de contrôle correctement. Par exemple, le premier dispositif de contrôle tricolore à débit unique configuré est nommé srTCM1-ca. Le deuxième modèle à deux débits, avec trois couleurs en aveugle, est nommé trTCM2-cb. Les éléments de cette convention d’attribution de noms sont expliqués ci-dessous :

  • sr (débit unique)

  • tr (deux débits)

  • TCM (marquage tricolore)

  • 1 ou 2 (nombre de marqueurs)

  • ca (sensible aux couleurs)

  • cb (daltonien)

Compteurs de mécanismes de contrôle

Sur certains commutateurs QFX, chaque mécanismes de contrôle que vous configurez inclut un compteur implicite qui compte le nombre de paquets qui dépassent les limites de débit spécifiées pour le mécanismes de contrôle. Si vous utilisez le même mécanismes de contrôle en plusieurs termes, soit dans le même filtre, soit dans différents filtres, le compteur implicite compte tous les paquets qui sont policeés dans tous ces termes et fournit le montant total. (Cela ne s’applique pas aux commutateurs QFX10000.) Si vous souhaitez obtenir un nombre de paquets distinct pour chaque terme sur un commutateur affecté, utilisez ces options :

  • Configurez un mécanismes de contrôle uniques pour chaque terme.

  • Configurez un seul mécanismes de contrôle, mais utilisez un compteur explicite unique dans chaque terme.

Algorithmes de mécanismes de contrôle

Le contrôle utilise l’algorithme de seaux de jetons, qui applique une limite de bande passante moyenne tout en permettant d’atteindre une valeur maximale spécifiée. Il offre plus de flexibilité que l’algorithme de seau qui fuit en permettant une certaine quantité de trafic bursty avant qu’il ne commence à jeter les paquets.

Remarque :

Dans un environnement de trafic dense, le QFX5200 peut ne pas répliquer tous les paquets multicast sur au moins deux interfaces en aval. Cela ne se produit qu’en cas d’pic de débit: si le trafic est cohérent, le problème ne se produit pas. En outre, le problème ne se produit que lorsque la taille des paquets augmente au-delà de 6 000 dans un flux de trafic d’un gigabit.

Combien de mécanismes de contrôle sont pris en charge ?

Les commutateurs QFX10000 prennent en charge les mécanismes de contrôle 8K (tous les types de mécanismes de contrôle). Les commutateurs QFX5100 et QFX5200 prennent en charge 1 535 mécanismes de contrôle d’entrée et 1 024 mécanismes de contrôle de sortie (en supposant un mécanismes de contrôle par terme de filtre de pare-feu). Les commutateurs QFX5110 prennent en charge 6 144 mécanismes de contrôle d’entrée et 1 024 mécanismes de contrôle de sortie (en supposant un mécanismes de contrôle par terme de filtre de pare-feu).

Les commutateurs autonomes QFX3500 et QFX3600 et les équipements QFabric Node prennent en charge les nombres de mécanismes de contrôle suivants (en supposant un mécanismes de contrôle par terme de filtre de pare-feu) :

  • Mécanismes de contrôle à deux couleurs utilisés dans les filtres de pare-feu entrants : 767

  • Mécanismes de contrôle à trois couleurs utilisés dans les filtres de pare-feu entrants : 767

  • Mécanismes de contrôle à deux couleurs utilisés dans les filtres de pare-feu sortants : 1022

  • Mécanismes de contrôle à trois couleurs utilisés dans les filtres de pare-feu sortants : 512

Les mécanismes de contrôle peuvent limiter les filtres de pare-feu sortants

Sur certains commutateurs, le nombre de mécanismes de contrôle de sortie que vous configurez peut affecter le nombre total de filtres de pare-feu de sortie autorisés. Chaque mécanismes de contrôle comporte deux compteurs implicites qui tiennent deux entrées dans une TCAM à 1 024 entrées. Ces derniers sont utilisés pour les compteurs, y compris les compteurs configurés en tant que modificateurs d’action dans les termes de filtre de pare-feu. (Les mécanismes de contrôle consomment deux entrées, car une est utilisée pour les paquets verts et une pour les paquets nongreen, quel que soit le type de mécanismes de contrôle.) Si la TCAM devient complète, vous ne pouvez plus valider les filtres de pare-feu sortants ayant des conditions avec compteurs. Par exemple, si vous configurez et validez 512 policers de sortie (deux couleurs, trois couleurs ou une combinaison des deux types de mécanismes de contrôle), toutes les entrées de mémoire pour les compteurs sont utilisées. Si, plus tard dans votre fichier de configuration, vous insérez des filtres de pare-feu sortants supplémentaires avec des termes qui incluent également des compteurs, aucun des termes de ces filtres n’est validée car il n’y a pas d’espace mémoire disponible pour les compteurs.

Voici d’autres exemples :

  • Supposons que vous configurez des filtres de sortie comprenant un total de 512 mécanismes de contrôle et aucun compteur. Plus tard dans votre fichier de configuration, vous incluez un autre filtre de sortie avec 10 termes, dont 1 avec un modificateur de contre-action. Aucun des termes de ce filtre n’est engagé car il n’y a pas assez d’espace TCAM pour le compteur.

  • Supposons que vous configurez des filtres de sortie comprenant un total de 500 mécanismes de contrôle, de sorte que 1 000 entrées TCAM sont occupées. Plus tard dans votre fichier de configuration, vous incluez les deux filtres de sortie suivants :

    • Filtre A avec 20 termes et 20 compteurs. Tous les termes de ce filtre sont validées car il y a assez d’espace TCAM pour tous les compteurs.

    • Le filtre B vient après le filtre A et comporte cinq termes et cinq compteurs. Aucun des termes de ce filtre n’est engagé car il n’y a pas assez d’espace mémoire pour tous les compteurs. (Cinq entrées TCAM sont requises, mais seules quatre sont disponibles.)

Vous pouvez empêcher ce problème en veillant à ce que les termes de filtre de pare-feu sortant avec contre-actions soient placés plus tôt dans votre fichier de configuration que les termes qui incluent des mécanismes de contrôle. Dans ce cas, Junos OS valide les policers même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites. Prenons l’exemple suivant :

  • Vous disposez de 1 024 termes de filtre de pare-feu sortant avec contre-actions.

  • Plus tard dans votre fichier de configuration, vous disposez d’un filtre de sortie avec 10 termes. Aucun des termes n’a de compteurs, mais l’un a un modificateur d’action de mécanismes de contrôle.

Vous pouvez valider le filtre avec 10 termes, même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites du mécanismes de contrôle. Le policier est commis sans les compteurs.