Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Vue d’ensemble des mécanismes de contrôle

Un commutateur régule le trafic en limitant le débit de transmission d’entrée ou de sortie d’une classe de trafic en fonction de critères définis par l’utilisateur. Le contrôle (ou limitation du débit) du trafic vous permet de contrôler le débit maximal de trafic envoyé ou reçu sur une interface et de fournir plusieurs niveaux de priorité ou classes de service.

Le maintien de l’ordre est également un élément important des filtres de pare-feu. Vous pouvez assurer le contrôle en incluant des mécanismes de contrôle dans les configurations de filtres de pare-feu .

Vue d’ensemble de Policer

Vous utilisez des mécanismes de contrôle pour appliquer des limites au flux de trafic et définir des conséquences pour les paquets qui dépassent ces limites (généralement en appliquant une priorité de perte plus élevée), de sorte que si les paquets rencontrent un encombrement en aval, ils peuvent être ignorés en premier. Les mécanismes de contrôle s’appliquent uniquement aux paquets unicast.

Les mécanismes de contrôle ont deux fonctions : le comptage et le marquage. Un mécanisme de contrôle mesure (mesure) chaque paquet par rapport aux débits de trafic et aux tailles de rafale que vous configurez. Il transmet ensuite le paquet et le résultat de la mesure au marqueur, qui attribue une priorité de perte de paquets qui correspond au résultat de la mesure. Figure 1 illustre ce processus.

REMARQUE :

Un mécanisme de contrôle restreint le trafic au débit de transmission configuré par PFE. Dans les commutateurs QFX10016, QFX10002, QFX10002-60C et QFX10008, lorsque des faisceaux d’interfaces Ethernet (AE) agrégés s’étendent sur plusieurs PFE, le débit de transmission global du mécanisme de contrôle pour l’abonné peut dépasser le débit de transmission configuré du mécanisme de contrôle (en fonction du nombre de PFE concernés).

À titre d’exemple :

  • Mécanisme de contrôle avec limite de bande passante de 100 Mbit/s configuré sur une interface AE qui a des liaisons membres xe-1/0/0 (fpc1-pfe0) et xe-1/0/30 (fpc1-pfe1) . Ici, les deux liaisons membres appartiennent au FPC1, mais se trouvent sur des PFE différents. Lorsque le mécanisme de contrôle est appliqué à l’interface AE, il obtient une bande passante totale de 200 Mbits/s, car le mécanisme de contrôle est configuré pour deux PFE.

  • Mécanisme de contrôle avec limite de bande passante de 100 Mbit/s configuré sur une interface AE qui a des liaisons membres xe-1/0/0 (fpc1-pfe0), et-2/0/1 (fpc2-pfe1) et xe-2/0/18 :0 (fpc2-pfe2) . Ici, un lien de membre appartient au FPC1 et au PFE0 sur ce FPC. Les deux autres liaisons membres appartiennent à FPC2, mais des PFE différents. Lorsque le mécanisme de contrôle est appliqué à l’interface AE, cela se traduit par une bande passante totale de 300 Mbits/s, car le mécanisme de contrôle est configuré pour trois PFE.

  • Mécanisme de contrôle avec limite de bande passante de 100 Mbit/s configuré sur une interface AE ayant des liaisons membres xe-1/0/0 et xe-1/0/1 sur un seul PFE (fpc1-pfe0) . Ici, les liens de barre appartiennent au FPC1 et au même PFE. Lorsque le mécanisme de contrôle est appliqué à l’interface AE, il en résulte une bande passante totale de 100 Mbit/s, car le mécanisme de contrôle est configuré par PFE.

Figure 1 : Déroulement de l’opération du mécanisme de contrôle de marquage tricoloreDéroulement de l’opération du mécanisme de contrôle de marquage tricolore

Une fois que vous avez nommé et configuré un mécanisme de contrôle, vous pouvez l’utiliser en le spécifiant en tant qu’action dans un ou plusieurs filtres de pare-feu.

Types de mécanismes de contrôle

Un commutateur prend en charge trois types de mécanismes de contrôle :

  • Marqueur bicolore à débit unique : un mécanisme de contrôle bicolore (ou « mécanisme de contrôle » lorsqu’il est utilisé sans qualification) mesure le flux de trafic et classe les paquets en deux catégories de priorité de perte de paquets (PLP) en fonction d’une limite de bande passante et de taille de rafale configurée. Vous pouvez marquer les paquets qui dépassent la limite de bande passante et de taille de rafale avec un PLP spécifié ou simplement les ignorer.

    Vous pouvez spécifier ce type de mécanisme de contrôle dans un pare-feu d’entrée ou de sortie.

    REMARQUE :

    Un mécanisme de contrôle bicolore est particulièrement utile pour mesurer le trafic au niveau du port (interface physique).

  • Marqueur tricolore à débit unique : ce type de mécanisme de contrôle est défini dans la RFC 2697, Marqueur à trois couleurs à débit unique, dans le cadre d’un système de classification du comportement par saut (PHB) à transfert assuré (AF) pour un environnement de services différenciés (DiffServ). Ce type de mécanisme de contrôle mesure le trafic en fonction d’un seul débit : le débit d’informations validées (CIR) configuré, ainsi que la taille de rafale validée (CBS) et la taille de rafale excédentaire (EBS). Le CIR spécifie la vitesse moyenne à laquelle les bits sont admis dans le commutateur. Le CBS spécifie la taille de rafale habituelle en octets et l’EBS spécifie la taille de rafale maximale en octets. L’EBS doit être supérieur ou égal au CBS, et ni l’un ni l’autre ne peut être égal à 0.

    Vous pouvez spécifier ce type de mécanisme de contrôle dans un pare-feu d’entrée ou de sortie.

    REMARQUE :

    Un marqueur tricolore à débit unique (TCM) est particulièrement utile lorsqu’un service est structuré en fonction de la longueur des paquets et non du taux d’arrivée des pics.

  • Marqueur à deux taux et trois couleurs : ce type de mécanisme de contrôle est défini dans la RFC 2698, A Two Rate Three Color Marker, dans le cadre d’un système de classification du comportement par saut de transfert assuré pour un environnement de services différenciés. Ce type de mécanisme de contrôle mesure le trafic en fonction de deux débits : le CIR et le débit d’information de crête (PIR), ainsi que la taille de rafale qui leur est associée, le CBS et la taille de rafale de crête (PBS). Le PIR spécifie la vitesse maximale à laquelle les bits sont admis dans le réseau et doit être supérieur ou égal au CIR.

    Vous pouvez spécifier ce type de mécanisme de contrôle dans un pare-feu d’entrée ou de sortie.

    REMARQUE :

    Un mécanisme de contrôle à deux taux et trois couleurs est particulièrement utile lorsqu’un service est structuré en fonction des taux d’arrivée et pas nécessairement de la longueur des paquets.

Pour Tableau 1 plus d’informations sur la façon dont les résultats de mesure sont appliqués pour chacun de ces types de mécanismes de contrôle.

Actions du contrôleur

Les actions du mécanisme de contrôle sont implicites ou explicites et varient selon le type de mécanisme de contrôle. Implicite signifie que Junos OS attribue automatiquement la priorité de perte. Tableau 1 décrit les actions du contrôleur.

Tableau 1 : Actions du contrôleur

Contrôleur

Marquage

Action implicite

Configurable Action

Débit unique bicolore

Vert (conforme)

Attribuez une priorité aux faibles pertes

Aucune

Rouge (non conforme)

Aucune

Jeter

Débit unique tricolore

Vert (conforme)

Attribuez une priorité aux faibles pertes

Aucune

Jaune (au-dessus du CIR et du CBS)

Attribuer une priorité aux pertes moyennes-élevées

Aucune

Rouge (au-dessus de l’EBS)

Attribuer une priorité élevée aux pertes

Jeter

Bi-tarif tricolore

Vert (conforme)

Attribuez une priorité aux faibles pertes

Aucune

Jaune (au-dessus du CIR et du CBS)

Attribuer une priorité aux pertes moyennes-élevées

Aucune

Rouge (au-dessus du PIR et du PBS)

Attribuer une priorité élevée aux pertes

Jeter

REMARQUE :

Si vous spécifiez un mécanisme de contrôle dans un filtre de pare-feu sortant, la seule action prise en charge est discard.

Couleurs du mécanisme de contrôle

Les mécanismes de contrôle tricolores à débit unique et à deux taux peuvent fonctionner selon deux modes :

  • Daltonien : en mode daltonien, le mécanisme de contrôle tricolore suppose que tous les paquets examinés n’ont pas été préalablement marqués ou mesurés. En d’autres termes, le mécanisme de contrôle tricolore est « aveugle » à toute coloration antérieure qu’un paquet aurait pu avoir.

  • Reconnaissance des couleurs : en mode sensible aux couleurs, le mécanisme de contrôle à trois couleurs suppose que tous les paquets examinés ont été préalablement marqués ou mesurés. En d’autres termes, le mécanisme de contrôle tricolore est « conscient » de la coloration précédente qu’un paquet a pu avoir. En mode sensible aux couleurs, le mécanisme de contrôle tricolore peut augmenter le PLP d’un paquet, mais ne peut pas le diminuer. Par exemple, si un mécanisme de contrôle tricolore sensible aux couleurs mesure un paquet avec un marquage PLP moyen, il peut augmenter le niveau PLP à élevé, mais ne peut pas le réduire à un niveau bas.

Mécanismes de contrôle spécifiques aux filtres

Vous pouvez configurer les mécanismes de contrôle pour qu’ils soient spécifiques à un filtre, ce qui signifie que Junos OS ne crée qu’une seule instance de mécanisme de contrôle, quel que soit le nombre de fois que le mécanisme de contrôle est référencé. Lorsque vous effectuez cette opération sur certains commutateurs QFX, la limitation de débit est appliquée de manière agrégée. Ainsi, si vous configurez un mécanisme de contrôle pour qu’il ignore le trafic supérieur à 1 Gbit/s et que vous le référencez en trois termes différents, la bande passante totale autorisée par le filtre est de 1 Gbit/s. Toutefois, le comportement d’un mécanisme de contrôle spécifique à un filtre est affecté par la façon dont les termes de filtre de pare-feu qui font référence au mécanisme de contrôle sont stockés dans TCAM. Si vous créez un mécanisme de contrôle spécifique à un filtre et que vous le référencez dans plusieurs termes de filtre de pare-feu, le mécanisme de contrôle autorise plus de trafic que prévu si les termes sont stockés dans des tranches TCAM différentes. Par exemple, si vous configurez un mécanisme de contrôle pour qu’il ignore le trafic qui dépasse 1 Gbit/s et que vous lui faites référence en trois termes différents stockés dans trois tranches de mémoire distinctes, la bande passante totale autorisée par le filtre est de 3 Gbits/s et non de 1 Gbit/s. (Ce comportement ne se produit pas dans QFX10000 commutateurs.)

Pour éviter que ce comportement inattendu ne se produise, utilisez les informations sur les tranches TCAM présentées dans Planification du nombre de filtres de pare-feu à créer pour organiser votre fichier de configuration de sorte que tous les termes de filtre de pare-feu qui font référence à un mécanisme de contrôle spécifique à un filtre donné soient stockés dans la même tranche TCAM.

Convention de nommage suggérée pour les mécanismes de contrôle

Nous vous recommandons d’utiliser la convention policertypeTCM#-color type de nommage lors de la configuration des mécanismes de contrôle à trois couleurs et policer# lors de la configuration des mécanismes de contrôle à deux couleurs. TCM est l’abréviation de marqueur tricolore. Étant donné que les mécanismes de contrôle peuvent être nombreux et doivent être appliqués correctement pour fonctionner, une convention de nommage simple facilite leur application correcte. Par exemple, le premier mécanisme de contrôle tricolore à débit unique et sensible aux couleurs configuré serait nommé srTCM1-ca. La deuxième configuration à deux taux, daltonienne à trois couleurs serait nommée trTCM2-cb. Les éléments de cette convention de nommage sont expliqués ci-dessous :

  • SR (taux unique)

  • TR (deux taux)

  • MTC (marquage tricolore)

  • 1 ou 2 (nombre de marqueurs)

  • CA (sensible aux couleurs)

  • CB (daltonien)

Compteurs de contrôleurs

Sur certains commutateurs QFX, chaque mécanisme de contrôle que vous configurez inclut un compteur implicite qui compte le nombre de paquets qui dépassent les limites de débit spécifiées pour le mécanisme de contrôle. Si vous utilisez le même mécanisme de contrôle en plusieurs termes, soit au sein du même filtre, soit dans des filtres différents, le compteur implicite compte tous les paquets qui sont contrôlés dans tous ces termes et fournit la quantité totale. (Cela ne s’applique pas aux commutateurs QFX10000.) Si vous souhaitez obtenir un nombre de paquets distinct pour chaque terme sur un commutateur affecté, utilisez les options suivantes :

  • Configurez un mécanisme de contrôle unique pour chaque terme.

  • Configurez un seul mécanisme de contrôle, mais utilisez un compteur explicite unique dans chaque terme.

Algorithmes de mécanismes de contrôle

Le contrôle utilise l’algorithme token-bucket, qui applique une limite à la bande passante moyenne tout en autorisant les rafales jusqu’à une valeur maximale spécifiée. Il offre plus de flexibilité que l’algorithme du compartiment qui fuit en autorisant une certaine quantité de trafic en rafale avant qu’il ne commence à rejeter des paquets.

REMARQUE :

Dans un environnement de trafic en rafales légères, QFX5200 peut ne pas répliquer tous les paquets multicast vers deux interfaces en aval ou plus. Cela se produit uniquement lors d’une rafale de débit de ligne : si le trafic est cohérent, le problème ne se produit pas. En outre, le problème ne se produit que lorsque la taille du paquet dépasse 6 Ko dans un flux de trafic d’un gigabit.

Combien de policiers sont pris en charge ?

QFX10000 commutateurs prennent en charge les mécanismes de contrôle 8K (tous types de mécanismes de contrôle). Les commutateurs QFX5100 et QFX5200 prennent en charge 1 535 mécanismes de contrôle d’entrée et 1024 mécanismes de contrôle de sortie (en supposant un mécanisme de contrôle par terme de filtre de pare-feu). QFX5110 commutateurs prennent en charge 6144 mécanismes de contrôle d’entrée et 1024 mécanismes de contrôle de sortie (en supposant un mécanisme de contrôle par terme de filtre de pare-feu).

Les commutateurs autonomes QFX3500 et QFX3600 et les périphériques de nœud QFabric prennent en charge le nombre de mécanismes de contrôle suivants (en supposant un mécanisme de contrôle par terme de filtre de pare-feu) :

  • Mécanismes de contrôle bicolores utilisés dans les filtres de pare-feu d’entrée : 767

  • Mécanismes de contrôle tricolores utilisés dans les filtres de pare-feu d’entrée : 767

  • Mécanismes de contrôle bicolores utilisés dans les filtres de pare-feu de sortie : 1022

  • Mécanismes de contrôle tricolores utilisés dans les filtres de pare-feu de sortie : 512

Les mécanismes de contrôle peuvent limiter les filtres de pare-feu de sortie

Sur certains commutateurs, le nombre de mécanismes de contrôle de sortie que vous configurez peut affecter le nombre total de filtres de pare-feu de sortie autorisés. Chaque agent de contrôle dispose de deux marqueurs implicites qui occupent deux entrées dans un TCAM à 1024 entrées. Ceux-ci sont utilisés pour les compteurs, y compris les compteurs qui sont configurés en tant que modificateurs d’action dans les termes de filtre de pare-feu. (Les mécanismes de contrôle utilisent deux entrées, car l’une est utilisée pour les paquets verts et l’autre pour les paquets non verts, quel que soit le type de mécanisme de contrôle.) Si le TCAM est saturé, vous ne pouvez plus valider les filtres de pare-feu de sortie qui ont des conditions avec des compteurs. Par exemple, si vous configurez et validez 512 mécanismes de contrôle de sortie (bicolores, tricolores ou une combinaison des deux types de mécanismes de contrôle), toutes les entrées de mémoire des compteurs sont utilisées. Si, plus loin dans votre fichier de configuration, vous insérez des filtres de pare-feu de sortie supplémentaires avec des termes qui incluent également des compteurs, aucun des termes de ces filtres n’est validé, car il n’y a pas d’espace mémoire disponible pour les compteurs.

Voici d’autres exemples :

  • Supposons que vous configuriez des filtres de sortie qui incluent un total de 512 mécanismes de contrôle et aucun compteur. Plus loin dans votre fichier de configuration, vous incluez un autre filtre de sortie avec 10 termes, dont 1 a un modificateur de contre-action. Aucun des termes de ce filtre n’est validé, car il n’y a pas assez d’espace TCAM pour le compteur.

  • Supposons que vous configuriez des filtres de sortie qui incluent un total de 500 mécanismes de contrôle, de sorte que 1000 entrées TCAM sont occupées. Plus loin dans votre fichier de configuration, vous incluez les deux filtres de sortie suivants :

    • Filtre A avec 20 termes et 20 compteurs. Tous les termes de ce filtre sont validés, car il y a suffisamment d’espace TCAM pour tous les compteurs.

    • Le filtre B vient après le filtre A et possède cinq termes et cinq compteurs. Aucun des termes de ce filtre n’est validé car il n’y a pas assez d’espace mémoire pour tous les compteurs. (Cinq entrées TCAM sont requises, mais seulement quatre sont disponibles.)

Vous pouvez éviter ce problème en veillant à ce que les termes de filtre de pare-feu de sortie avec contre-actions soient placés plus tôt dans votre fichier de configuration que les termes qui incluent des mécanismes de contrôle. Dans ce cas, Junos OS valide les mécanismes de contrôle même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites. Par exemple, supposons ce qui suit :

  • Vous disposez de 1024 termes de filtre de pare-feu de sortie avec des contre-actions.

  • Plus loin dans votre fichier de configuration, vous avez un filtre de sortie avec 10 termes. Aucun des termes n’a de compteur, mais l’un d’entre eux a un modificateur d’action de contrôleur.

Vous pouvez valider le filtre avec 10 termes même s’il n’y a pas assez d’espace TCAM pour les compteurs implicites du contrôleur. Le policier s’engage sans les compteurs.