Comprendre les mécanismes de contrôle hiérarchique améliorés
Utilisez la configuration de mécanisme de contrôle hiérarchique amélioré pour limiter le débit du trafic en fonction des paquets classés en fonction de la priorité du trafic. Configurez le contrôle du trafic à quatre niveaux de hiérarchie en fonction de la priorité du trafic.
Cette fonctionnalité n’est disponible que sur les appareils ACX7100-32C, ACX7100-48L, ACX7509 et ACX7024.
Dans une configuration de mécanisme de contrôle hiérarchique améliorée, jusqu’à quatre mécanismes de contrôle sont définis. Chaque mécanisme de contrôle correspond à une priorité de trafic. Les quatre priorités de trafic, classées selon leur ordre de priorité, sont Élevée, Moyenne-Élevée, Moyenne-Basse et Faible. Les priorités de trafic sont hiérarchiques : Élevée est la priorité de trafic avec la priorité la plus élevée et Faible est la priorité de trafic avec la priorité la plus faible. Cela implique qu’un mécanisme de contrôle défini pour la priorité de trafic élevé a une priorité plus élevée que le reste des mécanismes de contrôle, ou qu’un mécanisme de contrôle défini pour la priorité de trafic faible a une priorité plus faible que le reste des mécanismes de contrôle.
Tous les mécanismes de contrôle (un ou jusqu’à quatre) dans une configuration de mécanisme de contrôle hiérarchique amélioré consomment de la bande passante à partir d’une bande passante maximale allouée – dans le Tableau 1, cette bande passante maximale allouée est de 65 Mbit/s. Chaque mécanisme de contrôle se voit attribuer un taux d’informations confirmées (CIR) et un débit maximal d’informations confirmées à partir de cette bande passante maximale allouée. À titre indicatif, les valeurs CIR et CIR max sont toujours les mêmes pour le policier ayant la priorité la plus élevée.
La bande passante résiduelle ou inutilisée est transférée aux mécanismes de contrôle de priorité inférieurs. Comme on peut le noter dans Tableau 1, medium-high policer hérite de la bande passante inutilisée de high policer. Le mécanisme de contrôle moyen-bas hérite des mécanismes de contrôle haut et moyen-élevé. Le mécanisme de contrôle inférieur hérite des trois autres mécanismes de contrôle de priorité supérieurs. Il est recommandé que le CIR MAX d’un niveau particulier soit égal au CIR du niveau actuel + CIR combiné des niveaux précédents/supérieurs.
|
Configurations du mécanisme de contrôle |
||
|---|---|---|
|
Niveau de contrôleur/priorité trafic |
CIR |
MAX CIR |
|
Haute |
5mbps |
5mbps |
|
moyen-élevé |
10 Mbit/s |
15mbps |
|
moyen-faible |
20mbps |
35mbps |
|
Faible |
30mbps |
65mbps |
Instructions pour la configuration du mécanisme de contrôle hiérarchique amélioré
-
Un mécanisme de contrôle hiérarchique amélioré est spécifique à chaque filtre. La sémantique du mécanisme de contrôle spécifique au filtre doit être utilisée pour le mécanisme de contrôle hiérarchique, car plusieurs termes pointent vers le même mécanisme de contrôle.
-
Le nom du compteur doit être le même pour tous les termes mappés à l’action enhanced-hierarchical-policer sous le même niveau hiérarchique.
-
Il est obligatoire de configurer tous les niveaux d’un mécanisme de contrôle hiérarchique amélioré avec leurs débits de bande passante et leurs configurations de taille de rafale respectifs. S’il n’est pas nécessaire de configurer les quatre niveaux, les niveaux indésirables doivent spécifier les débits CIR, MAX CIR et CBS les moins pris en charge. Il est recommandé de ne pas mapper les termes de filtre du pare-feu à ces niveaux indésirables.
-
Chaque niveau de contrôle hiérarchique amélioré doit être configuré avec l’action de rejeter les paquets excédant la bande passante configurée.
Exemple : Configuration d’un mécanisme de contrôle hiérarchique amélioré
Dans cet exemple :
-
Un mécanisme de contrôle hiérarchique amélioré est défini.
-
Un filtre de pare-feu est défini et un mécanisme de contrôle est appliqué dans le filtre de pare-feu. Le filtre de pare-feu est appliqué à une interface.
-
Les statistiques du mécanisme de contrôle s’affichent.
Exigences:
-
Junos OS version 23.3 R1 ou ultérieure.
-
Un appareil ACX7100-32C, ACX7100-48L, ACX7509 ou ACX7024.
Procédure étape par étape
-
Définissez le nom du mécanisme de contrôle.
[edit] user@host# set firewall enhanced-hierarchical-policer hpol
-
Définissez le débit d’informations garanti (CIR), le débit d’informations garanti maximal (MIR) et la taille de rafale engagée (CBS) pour les quatre priorités de trafic, à savoir élevé, moyen-élevé, moyen-faible et faible.
user@host# set firewall enhanced-hierarchical-policer hpol filter-specific user@host# set firewall enhanced-hierarchical-policer hpol high committed-information-rate 5m user@host# set firewall enhanced-hierarchical-policer hpol high max-committed-information-rate 5m user@host# set firewall enhanced-hierarchical-policer hpol high committed-burst-size 5k user@host# set firewall enhanced-hierarchical-policer hpol high then discard user@host# set firewall enhanced-hierarchical-policer hpol medium-high committed-information-rate 10m user@host# set firewall enhanced-hierarchical-policer hpol medium-high max-committed-information-rate 15m user@host# set firewall enhanced-hierarchical-policer hpol medium-high committed-burst-size 15k user@host# set firewall enhanced-hierarchical-policer hpol medium-high then discard user@host# set firewall enhanced-hierarchical-policer hpol medium-low committed-information-rate 20m user@host# set firewall enhanced-hierarchical-policer hpol medium-low max-committed-information-rate 35m user@host# set firewall enhanced-hierarchical-policer hpol medium-low committed-burst-size 35k user@host# set firewall enhanced-hierarchical-policer hpol medium-low then discard user@host# set firewall enhanced-hierarchical-policer hpol low committed-information-rate 30m user@host# set firewall enhanced-hierarchical-policer hpol low max-committed-information-rate 65m user@host# set firewall enhanced-hierarchical-policer hpol low committed-burst-size 65k user@host# set firewall enhanced-hierarchical-policer hpol low then discard
-
Définissez un filtre de pare-feu. Appliquez le mécanisme de contrôle hiérarchique amélioré en spécifiant la priorité du trafic dans l’action du terme de filtre du pare-feu.
user@host# set firewall family inet filter hpol-inet interface-specific user@host# set firewall family inet filter hpol-inet term platinum from dscp af11 user@host# set firewall family inet filter hpol-inet term platinum then enhanced-hierarchical-policer hpol traffic-priority high user@host# set firewall family inet filter hpol-inet term gold from dscp af12 user@host# set firewall family inet filter hpol-inet term gold then enhanced-hierarchical-policer hpol traffic-priority medium-high user@host# set firewall family inet filter hpol-inet term silver from dscp af13 user@host# set firewall family inet filter hpol-inet term silver then enhanced-hierarchical-policer hpol traffic-priority medium-low user@host# set firewall family inet filter hpol-inet term dflt then enhanced-hierarchical-policer hpol traffic-priority low
-
Appliquez le filtre de pare-feu à une interface.
user@host# set interfaces et-0/0/1 unit 0 family inet address 100.1.1.6/32 user@host# set interfaces et-0/0/1 unit 0 family inet filter input hpol-inet
-
Affichez des statistiques de contrôle hiérarchique améliorées. Les octets et les paquets supprimés/rouges sont affichés par niveau.
user@host# show firewall Filter: hpol-inet-et-0/0/1.0-i Enchanced Hierarchical Policers: Name Bytes Packets hpol High 0 0 Medium-High 0 0 Medium-Low 0 0 Low 0 0