Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Présentation des policiers

Un commutateur contrôle le trafic en limitant le débit de transmission d’entrée ou de sortie d’une classe de trafic selon des critères définis par l’utilisateur. Le contrôle (ou limitation de débit) du trafic vous permet de contrôler le débit maximal de trafic envoyé ou reçu sur une interface et de fournir plusieurs niveaux de priorité ou classes de service.

Le contrôle est également un composant important des filtres de pare-feu. Vous pouvez obtenir un contrôle en incluant des polices dans les configurations de filtre de pare-feu .

Présentation du policer

Vous utilisez des polices pour appliquer des limites au flux de trafic et définir les conséquences pour les paquets qui dépassent ces limites , en appliquant généralement une priorité de perte plus élevée, de sorte que si les paquets rencontrent une congestion en aval, ils peuvent être jetés en premier. Les polices ne s’appliquent qu’aux paquets unicast.

Les services de contrôle fournissent deux fonctions : mesure et marquage. Un contrôle mesure (mesure) chaque paquet par rapport aux débits de trafic et aux tailles d’rafale que vous configurez. Il transmet ensuite le paquet et le résultat de mesure au marqueur, qui attribue une priorité de perte de paquet qui correspond au résultat de mesure. Figure 1 illustre ce processus.

REMARQUE :

Un dispositif de contrôle limite le trafic au débit de transmission configuré par PFE. Dans les commutateurs QFX10016, QFX10002, QFX10002-60C et QFX10008, lorsque les offres d’interface Ethernet agrégées (AE) couvrent plusieurs PFE, le taux de transmission global du policer pour l’abonné peut dépasser le débit de transmission configuré du policer (en fonction du nombre de PFE impliqués).

Par exemple :

  • Policer avec limite de bande passante de 100 Mbit/s configurée sur une interface AE qui a des liaisons membres xe-1/0/0 (fpc1-pfe0) et xe-1/0/30 (fpc1-pfe1) . Ici, les deux liens membres appartiennent à FPC1, mais sont sur des PFE différents. Lorsque le contrôle est appliqué à l’interface AE, il en résulte une bande passante totale de 200 Mbit/s, car le policer est configuré pour deux PFE.

  • Policer avec limite de bande passante de 100 Mbit/s configuré sur une interface AE avec des liaisons membres xe-1/0/0 (fpc1-pfe0), et-2/0/1 (fpc2-pfe1) et xe-2/0/18:0 (fpc2-pfe2) . Ici, un lien membre appartient à FPC1 et PFE0 sur ce FPC. Le reste deux liens membres appartiennent à FPC2, mais différents PFE. Lorsque le policer est appliqué à l’interface AE, il en résulte une bande passante totale de 300 Mbit/s, car le policer est configuré pour trois PFE.

  • Policer avec limite de bande passante de 100 Mbit/s configurée sur une interface AE qui a des liaisons membres xe-1/0/0 et xe-1/0/1 sur un seul PFE (fpc1-pfe0) . Ici, les liens de membre appartiennent à FPC1 et au même PFE. Lorsque le policer est appliqué à l’interface AE, il en résulte une bande passante totale de 100 Mbit/s lorsque le policer est configuré sur une base par PFE.
Figure 1 : Flux de contrôle de marquage tricolore opération Flux de contrôle de marquage tricolore opération

Une fois que vous avez nommé et configuré un policer, vous pouvez l’utiliser en le spécifiant comme une action dans un ou plusieurs filtres de pare-feu.

Policer Types

Un commutateur prend en charge trois types de contrôles :

  • Marqueur bicolore à débit unique : un policer bicolore (ou « policer » lorsqu’il est utilisé sans qualification) mesure le flux de trafic et classe les paquets en deux catégories de priorité de perte de paquets (PLP) en fonction d’une bande passante configurée et d’une limite de taille de rafale. Vous pouvez marquer les paquets qui dépassent la bande passante et la limite de taille de rafale avec un PLP spécifié ou simplement les ignorer.

    Vous pouvez spécifier ce type de police dans un pare-feu entrant ou sortant.

    REMARQUE :

    Un dispositif de contrôle bicolore est particulièrement utile pour mesurer le trafic au niveau du port (interface physique).

  • Marqueur trois couleurs à débit unique : ce type de police est défini dans la norme RFC 2697, Un marqueur à débit unique trois couleurs, dans le cadre d’un système de classification de transfert garanti (AF) par comportement (PHB) pour un environnement de services différenciés (DiffServ). Ce type de dispositif de contrôle mesure le trafic en fonction d’un débit unique : le taux d’informations validées (CIR) configuré, la taille d’rafale engagée (CBS) et la taille de sursaut (EBS). Le CIR spécifie la vitesse moyenne à laquelle les bits sont admis sur le commutateur. Le CBS spécifie la taille de rafale habituelle en octets et l’EBS la taille de rafale maximale en octets. L’EBS doit être supérieur ou égal à l’EC, et ni l’un ni l’autre ne peut être égal à 0.

    Vous pouvez spécifier ce type de police dans un pare-feu entrant ou sortant.

    REMARQUE :

    Un marqueur tricolore à débit unique (TCM) est particulièrement utile lorsqu’un service est structuré en fonction de la longueur des paquets et non du taux d’arrivée maximal.

  • Marqueur trois couleurs à deux débits : ce type de police est défini dans la RFC 2698, A Two Rate Three Color Marker, dans le cadre d’un système de classification du comportement de transfert par saut pour un environnement de services différenciés. Ce type de dispositif de contrôle mesure le trafic en fonction de deux taux : le CIR et le débit d’information de pointe (PIR) ainsi que la taille des rafales associées, le CBS et la taille de pic de rafale (PBS). Le PIR spécifie le débit maximal auquel les bits sont admis sur le réseau et doit être supérieur ou égal au CIR.

    Vous pouvez spécifier ce type de police dans un pare-feu entrant ou sortant.

    REMARQUE :

    Un système de contrôle tricolore à deux débits est plus utile lorsqu’un service est structuré en fonction des taux d’arrivée et pas nécessairement de la longueur des paquets.

Voir Tableau 1 pour plus d’informations sur la façon dont les résultats des compteurs sont appliqués à chacun de ces types de police.

Mesures de contrôle

Les actions de contrôle sont implicites ou explicites et varient selon le type de police. Cela signifie implicitement que Junos OS attribue automatiquement la priorité aux pertes. Tableau 1 décrit les actions de contrôle.

Tableau 1 : Mesures de contrôle

Policer

Marquage

Action implicite

Configurable Action

Bicolore à débit unique

Vert (conforme)

Attribuez une faible priorité aux pertes

Aucune

Rouge (non-conformité)

Aucune

Jeter

Trois couleurs à débit unique

Vert (conforme)

Attribuez une faible priorité aux pertes

Aucune

Jaune (au-dessus du CIR et du CBS)

Attribuez la priorité aux pertes moyennes et élevées

Aucune

Rouge (au-dessus de l’EBS)

Attribuer une priorité élevée aux pertes

Jeter

Deux débits trois couleurs

Vert (conforme)

Attribuez une faible priorité aux pertes

Aucune

Jaune (au-dessus du CIR et du CBS)

Attribuez la priorité aux pertes moyennes et élevées

Aucune

Rouge (au-dessus du PIR et du PBS)

Attribuer une priorité élevée aux pertes

Jeter
REMARQUE :

Si vous spécifiez un policer dans un filtre de pare-feu sortant, la seule action prise en charge est discard.

Policer Couleurs

Les polices à débit unique et à deux débits trois couleurs peuvent fonctionner selon deux modes :

  • Daltonien : en mode daltonien, le contrôle tricolore suppose que tous les paquets examinés n’ont pas été précédemment marqués ou mesurés. En d’autres termes, le policer en trois couleurs est « aveugle » à toute coloration antérieure d’un paquet aurait pu avoir.

  • Compatible avec les couleurs : en mode conscient des couleurs, le dispositif de contrôle à trois couleurs suppose que tous les paquets examinés ont été précédemment marqués ou mesurés. En d’autres termes, le policer en trois couleurs est « conscient » de la coloration précédente d’un paquet aurait pu avoir. En mode conscient des couleurs, le contrôle à trois couleurs peut augmenter le PLP d’un paquet mais ne peut pas le diminuer. Par exemple, si un policer à trois couleurs mesure un paquet avec un marquage PLP moyen, il peut augmenter le niveau de PLP à un niveau élevé, mais ne peut pas réduire le niveau de PLP à un niveau bas.

Polices spécifiques aux filtres

Vous pouvez configurer les polices pour qu’elles soient spécifiques aux filtres, ce qui signifie que Junos OS ne crée qu’une seule instance de police, quel que soit le nombre de fois que le policer est référencé. Lorsque vous le faites sur certains commutateurs QFX, la limitation de débit est appliquée dans l’agrégation. Si vous configurez un policer pour éliminer le trafic qui dépasse 1 Gbit/s et référencer ce contrôle dans trois termes différents, la bande passante totale autorisée par le filtre est de 1 Gbit/s. Toutefois, le comportement d’un policer spécifique à un filtre est affecté par la façon dont les termes du filtre de pare-feu qui font référence au policer sont stockés dans la TCAM. Si vous créez un policer spécifique à un filtre et que vous le référencez dans plusieurs termes de filtre de pare-feu, le policer autorise plus de trafic que prévu si les termes sont stockés dans différentes tranches TCAM. Par exemple, si vous configurez un policer pour éliminer le trafic qui dépasse 1 Gbit/s et référencez ce dernier en trois termes différents stockés dans trois tranches de mémoire distinctes, la bande passante totale autorisée par le filtre est de 3 Gbit/s, et non 1 Gbit/s. (Ce comportement ne se produit pas dans les commutateurs QFX10000.)

Pour éviter que ce comportement inattendu ne se produise, utilisez les informations sur les tranches TCAM présentées dans Planification du nombre de filtres de pare-feu à créer pour organiser votre fichier de configuration de sorte que tous les termes de filtre de pare-feu qui font référence à un policer spécifique au filtre donné soient stockés dans la même tranche TCAM.

Convention d’appellation suggérée pour les policiers

Nous vous recommandons d’utiliser la convention policertypeTCM#-color type d’attribution de noms lors de la configuration des polices trois couleurs et policer# des polices bicolores. TCM signifie marqueur trois couleurs. Parce que les polices peuvent être nombreuses et doivent être appliquées correctement pour fonctionner, une simple convention de nommage facilite l’application des polices correctement. Par exemple, le premier policer à débit unique et à trois couleurs configuré serait nommé srTCM1-ca. Le deuxième, à deux débits, à aveugle couleur, configuré en trois couleurs serait nommé trTCM2-cb. Les éléments de cette convention de nommage sont expliqués ci-dessous :

  • sr (débit unique)

  • tr (deux taux)

  • TCM (marquage tricolore)

  • 1 ou 2 (nombre de marqueurs)

  • ca (conscient des couleurs)

  • cb (daltonien)

Compteurs de policer

Sur certains commutateurs QFX, chaque police que vous configurez inclut un compteur implicite qui compte le nombre de paquets qui dépassent les limites de débit spécifiées pour le policer. Si vous utilisez le même policer en plusieurs termes , soit dans le même filtre, soit dans différents filtres, le compteur implicite compte tous les paquets qui sont définis dans tous ces termes et fournit le montant total. (Cela ne s’applique pas aux commutateurs QFX10000.) Pour obtenir des nombres de paquets distincts pour chaque terme sur un commutateur concerné, utilisez ces options :

  • Configurez un policer unique pour chaque terme.

  • Configurez un seul policer, mais utilisez un compteur explicite unique pour chaque terme.

Algorithmes de contrôle

Le contrôle utilise l’algorithme token-bucket, qui applique une limite à la bande passante moyenne tout en permettant des rafales jusqu’à une valeur maximale spécifiée. Il offre plus de flexibilité que l’algorithme de seau qui fuit pour permettre une certaine quantité de trafic avant qu’il ne commence à rejeter des paquets.

REMARQUE :

Dans un environnement de trafic peu dense, le QFX5200 peut ne pas répliquer tous les paquets multicast sur deux interfaces en aval ou plus. Cela ne se produit qu’à un débit de ligne: si le trafic est cohérent, le problème ne se produit pas. En outre, le problème ne se produit que lorsque la taille des paquets augmente au-delà de 6 000 dans un flux de trafic d’un gigabit.

Combien de policiers sont pris en charge ?

Les commutateurs QFX10000 prennent en charge des polices 8K (tous les types de policeurs). Les commutateurs QFX5100 et QFX5200 prennent en charge 1 535 polices entrantes et 1 024 polices sortantes (en supposant un policer par terme de filtre de pare-feu). Les commutateurs QFX5110 prennent en charge 6144 polices entrantes et 1024 polices sortantes (en supposant un policer par terme de filtre de pare-feu).

Les commutateurs autonomes QFX3500 et QFX3600 et les équipements de nœud QFabric prennent en charge les nombres de polices suivants (en supposant un policer par terme de filtre de pare-feu) :

  • Polices bicolores utilisées dans les filtres de pare-feu entrants : 767

  • Polices tricolores utilisées dans les filtres de pare-feu entrants : 767

  • Polices bicolores utilisées dans les filtres de pare-feu sortants : 1022

  • Polices tricolores utilisées dans les filtres de pare-feu sortants : 512

Les mécanismes de contrôle peuvent limiter les filtres de pare-feu sortants

Sur certains commutateurs, le nombre de polices de sortie que vous configurez peut affecter le nombre total de filtres de pare-feu de sortie autorisés. Chaque police dispose de deux compteurs implicites qui prennent deux entrées dans un TCAM de 1024 entrées. Ces derniers sont utilisés pour les compteurs, y compris les compteurs configurés comme modificateurs d’action en termes de filtre de pare-feu. (Les policers consomment deux entrées, car une est utilisée pour les paquets verts et une pour les paquets non verts, quel que soit le type de police.) Si le TCAM devient plein, vous ne pouvez plus valider les filtres de pare-feu sortants qui ont des termes avec des compteurs. Par exemple, si vous configurez et validez les polices de sortie 512 (deux couleurs, trois couleurs ou une combinaison des deux types de policer), toutes les entrées de mémoire pour les compteurs s’utilisent. Si plus tard dans votre fichier de configuration vous insérez des filtres de pare-feu sortant supplémentaires avec des termes qui incluent également des compteurs, aucun des termes de ces filtres n’est engagé car il n’y a pas d’espace mémoire disponible pour les compteurs.

Voici d’autres exemples :

  • Supposons que vous configurez des filtres de sortie qui comprennent un total de 512 policers et aucun compteur. Plus tard dans votre fichier de configuration, vous incluez un autre filtre de sortie avec 10 termes, dont 1 a un modificateur de contre-action. Aucun des termes de ce filtre n’est engagé parce qu’il n’y a pas assez d’espace TCAM pour le compteur.

  • Supposons que vous configurez des filtres sortants qui comprennent un total de 500 polices, de sorte que 1 000 entrées TCAM sont occupées. Plus tard dans votre fichier de configuration, vous incluez les deux filtres de sortie suivants :

    • Filtrez A avec 20 termes et 20 compteurs. Tous les termes de ce filtre sont engagés car il y a suffisamment d’espace TCAM pour tous les compteurs.

    • Le filtre B vient après le filtre A et comporte cinq termes et cinq compteurs. Aucun des termes de ce filtre n’est engagé parce qu’il n’y a pas assez d’espace mémoire pour tous les compteurs. (Cinq entrées TCAM sont requises, mais seulement quatre sont disponibles.)

Vous pouvez prévenir ce problème en vous assurant que les termes de filtre de pare-feu sortant et les contre-actions sont placés plus tôt dans votre fichier de configuration que les termes qui incluent des mécanismes de contrôle. Dans ce cas, Junos OS valide des polices même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites. Prenons l’exemple suivant :

  • Vous avez 1024 termes de filtrage de pare-feu sortant avec contre-actions.

  • Plus tard dans votre fichier de configuration, vous avez un filtre de sortie avec 10 termes. Aucun des termes n’a de compteurs, mais on a un modificateur d’action de police.

Vous pouvez valider le filtre avec 10 termes même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites du policer. Le policier est commis sans les compteurs.

Rubriques connexes