Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Mécanismes de contrôle bicolores à taux unique de base

Vue d’ensemble du mécanisme de contrôle bicolore à taux unique

Le contrôle bicolore à débit unique applique un débit configuré de flux de trafic pour un niveau de service particulier en appliquant des actions implicites ou configurées au trafic qui ne respecte pas les limites. Lorsque vous appliquez un mécanisme de contrôle bicolore à débit unique au trafic d’entrée ou de sortie au niveau d’une interface, le mécanisme de contrôle mesure le flux de trafic en fonction de la limite de débit définie par les composants suivants :

  • Limite de bande passante : nombre moyen de bits par seconde autorisé pour les paquets reçus ou transmis à l’interface. Vous pouvez spécifier la limite de bande passante sous la forme d’un nombre absolu de bits par seconde ou d’un pourcentage compris entre 1 et 100. Si une valeur de pourcentage est spécifiée, la limite de bande passante effective est calculée sous la forme d’un pourcentage du débit de support de l’interface physique ou du débit de mise en forme configurée de l’interface logique .

  • Limite de paquets par seconde (pps) (MX Series avec MPC uniquement) : nombre moyen de paquets par seconde autorisé pour les paquets reçus ou transmis à l’interface. Vous spécifiez la limite pps sous la forme d’un nombre absolu de paquets par seconde.

  • Limite de taille en rafale : taille maximale autorisée pour les rafales de données.

  • Limite de rafale de paquets–

Pour un flux de trafic conforme aux limites configurées (catégorisé comme trafic vert), les paquets sont implicitement marqués d’un niveau de priorité de perte de paquets (PLP) de low et sont autorisés à traverser l’interface sans restriction.

Pour un flux de trafic qui dépasse les limites configurées (catégorisé comme trafic rouge), les paquets sont traités en fonction des actions de contrôle du trafic configurées pour le mécanisme de contrôle. Il peut s’agir d’abandonner le paquet, ou de marquer à nouveau le paquet avec une classe de transfert spécifiée, un PLP spécifié, ou les deux, puis de transmettre le paquet.

Pour limiter le débit du trafic de couche 3, vous pouvez appliquer un mécanisme de contrôle à deux couleurs de l’une des manières suivantes :

  • Directement vers une interface logique, au niveau d’un protocole spécifique.

  • Il s’agit de l’action d’un filtre de pare-feu sans état standard appliqué à une interface logique, à un niveau de protocole spécifique.

Pour limiter le débit du trafic de couche 2, vous pouvez appliquer un mécanisme de contrôle bicolore en tant que mécanisme de contrôle d’interface logique uniquement. Vous ne pouvez pas appliquer un mécanisme de contrôle bicolore au trafic de couche 2 à travers un filtre de pare-feu.

REMARQUE :

Sur les plates-formes MX, la priorité de perte de paquets (PLP) n’est pas implicitement trop faible (vert) lorsque le flux de trafic confirme la limite configurée du mécanisme de contrôle. Au lieu de cela, il prend les valeurs PLP configurées par l’utilisateur comme haut, moyen-élevé, moyen-bas. Utilisez dp-rewrite under edit firewall policer <policer-name> pour activer ce comportement sur les plates-formes MX. Si le bouton n’est pas activé, les paquets peuvent porter leur couleur d’origine et leur priorité de perte.

Exemple : Limitation du trafic entrant à la périphérie de votre réseau en configurant un mécanisme de contrôle bicolore à débit unique d’entrée

Cet exemple vous montre comment configurer un mécanisme de contrôle bicolore à débit unique d’entrée pour filtrer le trafic entrant. Le responsable de la surveillance applique la stratégie de classe de service (CoS) pour le trafic sous contrat et hors contrat. Vous pouvez appliquer un mécanisme de contrôle bicolore à débit unique aux paquets entrants, sortants ou aux deux. Cet exemple applique le mécanisme de contrôle en tant que mécanisme de contrôle d’entrée (d’entrée). L’objectif de cette rubrique est de vous fournir une introduction au maintien de l’ordre à l’aide d’un exemple qui montre le maintien de l’ordre de la circulation en action.

Les mécanismes de contrôle utilisent un concept connu sous le nom de compartiment de jetons pour allouer des ressources système en fonction des paramètres définis pour le mécanisme de contrôle. Une explication détaillée du concept de compartiment de jetons et de ses algorithmes sous-jacents dépasse le cadre de ce document. Pour plus d’informations sur le contrôle de la circulation, et sur le CoS en général, reportez-vous à QOS-Enabled Networks—Tools and Foundations par Miguel Barreiros et Peter Lundqvist. Ce livre est disponible chez de nombreux libraires en ligne et chez www.juniper.net/books.

Conditions préalables

Pour vérifier cette procédure, cet exemple utilise un générateur de trafic. Le générateur de trafic peut être matériel ou logiciel exécuté sur un serveur ou une machine hôte.

La fonctionnalité de cette procédure est largement prise en charge sur les périphériques qui exécutent Junos OS. L’exemple présenté ici a été testé et vérifié sur des routeurs MX Series exécutant Junos OS version 10.4.

Présentation

Le contrôle bicolore à débit unique applique un débit configuré de flux de trafic pour un niveau de service particulier en appliquant des actions implicites ou configurées au trafic qui ne respecte pas les limites. Lorsque vous appliquez un mécanisme de contrôle bicolore à débit unique au trafic d’entrée ou de sortie au niveau d’une interface, le mécanisme de contrôle mesure le flux de trafic en fonction de la limite de débit définie par les composants suivants :

  • Limite de bande passante : nombre moyen de bits par seconde autorisé pour les paquets reçus ou transmis à l’interface. Vous pouvez spécifier la limite de bande passante sous la forme d’un nombre absolu de bits par seconde ou d’un pourcentage compris entre 1 et 100. Si une valeur de pourcentage est spécifiée, la limite de bande passante effective est calculée sous la forme d’un pourcentage du débit de support de l’interface physique ou du débit de mise en forme configurée de l’interface logique.

  • Limite de taille en rafale : taille maximale autorisée pour les rafales de données. La taille des rafales est mesurée en octets. Nous recommandons deux formules pour calculer la taille de la rafale :

    Taille de la rafale = bande passante x temps autorisé pour le trafic en rafale / 8

    Ou

    Taille de rafale = mtu d’interface x 10

    Pour plus d’informations sur la configuration de la taille de rafale, reportez-vous à la section Détermination de la taille de rafale appropriée pour les mécanismes de contrôle du trafic.

    REMARQUE :

    Il y a un espace tampon fini pour une interface. En général, la profondeur totale de la mémoire tampon estimée pour une interface est d’environ 125 ms.

Pour un flux de trafic conforme aux limites configurées (catégorisé comme trafic vert), les paquets sont implicitement marqués d’un niveau de priorité de perte de paquets (PLP) faible et sont autorisés à traverser l’interface sans restriction.

Pour un flux de trafic qui dépasse les limites configurées (catégorisé comme trafic rouge), les paquets sont traités en fonction des actions de contrôle du trafic configurées pour le mécanisme de contrôle. Cet exemple ignore les paquets qui dépassent la limite de 15 Kbits/s.

Pour limiter le débit du trafic de couche 3, vous pouvez appliquer un mécanisme de contrôle à deux couleurs de l’une des manières suivantes :

  • Directement vers une interface logique, au niveau d’un protocole spécifique.

  • Il s’agit de l’action d’un filtre de pare-feu sans état standard appliqué à une interface logique, à un niveau de protocole spécifique. C’est la technique utilisée dans cet exemple.

Pour limiter le débit du trafic de couche 2, vous pouvez appliquer un mécanisme de contrôle bicolore en tant que mécanisme de contrôle d’interface logique uniquement. Vous ne pouvez pas appliquer un mécanisme de contrôle bicolore au trafic de couche 2 à travers un filtre de pare-feu.

ATTENTION :

Vous pouvez choisir la limite de bande passante ou le pourcentage de bande passante dans le mécanisme de contrôle, car ils s’excluent mutuellement. Vous ne pouvez pas configurer un mécanisme de contrôle pour qu’il utilise le pourcentage de bande passante pour les interfaces d’agrégation, de tunnel et logicielles.

Dans cet exemple, l’hôte est un générateur de trafic émulant un serveur web. Les appareils R1 et R2 appartiennent à un fournisseur de services. Les utilisateurs accèdent au serveur Web sur l’hôte de l’appareil2. L’hôte de périphérique1 enverra du trafic avec un port HTTP TCP source de 80 aux utilisateurs. Un mécanisme de contrôle bicolore à débit unique est configuré et appliqué à l’interface de l’appareil R1 qui se connecte à l’hôte d’appareil1. Le mécanisme de contrôle applique la disponibilité contractuelle de la bande passante établie entre le propriétaire du serveur Web et le fournisseur de services propriétaire de l’appareil R1 pour le trafic Web qui circule sur la liaison qui relie l’hôte de l’appareil 1 à l’appareil R1.

Conformément à la disponibilité contractuelle de la bande passante établie entre le propriétaire du serveur Web et le fournisseur de services propriétaire des périphériques R1 et R2, le contrôleur limitera le trafic du port HTTP 80 provenant de l’hôte de périphérique1 à l’utilisation de 700 Mbit/s (70 %) de la bande passante disponible avec un débit de rafale autorisé de 10 fois la taille MTU de l’interface Ethernet gigabit entre l’hôte hôte Hôte 1 et l’équipement R1.

REMARQUE :

Dans un scénario réel, vous appliqueriez probablement une limite de débit pour une variété d’autres ports tels que FTP, SFTP, SSH, TELNET, SMTP, IMAP et POP3, car ils sont souvent inclus en tant que services supplémentaires avec les services d’hébergement Web.

REMARQUE :

Vous devez laisser une bande passante supplémentaire disponible qui n’est pas limitée en débit pour les protocoles de contrôle réseau tels que les protocoles de routage, le DNS et tout autre protocole requis pour maintenir la connectivité réseau opérationnelle. C’est pourquoi le filtre de pare-feu comporte une condition d’acceptation finale.

Topologie

Cet exemple utilise la topologie de Figure 1.

Figure 1 : Scénario de mécanisme de contrôle bicolore à taux uniqueScénario de mécanisme de contrôle bicolore à taux unique

Figure 2 montre le comportement de maintien de l’ordre.

Figure 2 : Limitation du trafic dans un scénario de mécanisme de contrôle bicolore à débit uniqueLimitation du trafic dans un scénario de mécanisme de contrôle bicolore à débit unique

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.

Appareil R1

Appareil R2

Procédure étape par étape

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.

Pour configurer l’appareil R1 :

  1. Configurez les interfaces de l’appareil.

  2. Appliquez le filtre de pare-feu à l’interface ge-2/0/5 en tant que filtre d’entrée.

  3. Configurez le mécanisme de contrôle pour limiter le débit à une bande passante de 700 Mbits/s et à une taille de rafale de 15 000 Ko pour le trafic HTTP (port TCP 80).

  4. Configurez le mécanisme de contrôle pour qu’il rejette les paquets dans le flux de trafic rouge.

  5. Configurez les deux conditions du pare-feu pour qu’il accepte tout le trafic TCP vers le port HTTP (port 80).

  6. Configurez l’action de pare-feu pour limiter le débit du trafic TCP HTTP à l’aide du mécanisme de contrôle.

  7. À la fin du filtre de pare-feu, configurez une action par défaut qui accepte tout le reste du trafic.

    Dans le cas contraire, tout le trafic qui arrive sur l’interface et qui n’est pas explicitement accepté par le pare-feu est ignoré.

  8. Configurez OSPF.

Procédure étape par étape

Pour configurer l’appareil R2 :

  1. Configurez les interfaces de l’appareil.

  2. Configurez OSPF.

Résultats

À partir du mode de configuration, confirmez votre configuration en saisissant les show interfaces commandes , show firewallet show protocols ospf . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé de configurer l’appareil R1, passez commit en mode de configuration.

Si vous avez terminé de configurer le périphérique R2, passez en commit mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vidage des compteurs

But

Vérifiez que les compteurs de pare-feu sont effacés.

Action

Sur l’appareil R1, exécutez la clear firewall all commande pour réinitialiser les compteurs du pare-feu à 0.

Envoi de trafic TCP dans le réseau et surveillance des rejets

But

Assurez-vous que le trafic d’intérêt envoyé est limité en débit sur l’interface d’entrée (ge-2/0/5).

Action
  1. Utilisez un générateur de trafic pour envoyer 10 paquets TCP avec un port source de 80.

    L’option -s définit le port source. L’option -k permet au port source de rester stable à 80 au lieu de s’incrémenter. L’option -c définit le nombre de paquets sur 10. L’option -d définit la taille du paquet.

    L’adresse IP de destination 172.16.80.1 appartient à l’hôte de périphérique 2 qui est connecté à l’appareil R2. L’utilisateur de l’hôte de périphérique 2 a demandé une page Web à l’hôte de périphérique 1 (le serveur Web émulé par le générateur de trafic sur l’hôte de périphérique 1). Les paquets dont le débit est limité sont envoyés par l’hôte de périphérique 1 en réponse à la demande de l’hôte de périphérique 2.

    REMARQUE :

    Dans cet exemple, les numéros de contrôle sont réduits à une limite de bande passante de 8 Kbits/s et à une limite de taille de rafale de 1500 Kbits/s pour garantir que certains paquets sont abandonnés pendant ce test.

  2. Sur l’appareil R1, vérifiez les compteurs du pare-feu à l’aide de la show firewall commande.

Sens

Dans les étapes 1 et 2, la sortie des deux périphériques montre que 4 paquets ont été rejetés Cela signifie qu’il y avait au moins 8 Kbits/s de trafic vert (port HTTP 80 sous contrat) et que l’option de rafale de 1500 Ko pour le trafic HTTP rouge hors contrat port 80 a été dépassée.

Exemple : Configuration des mécanismes de contrôle des filtres d’interface et de pare-feu sur la même interface

Cet exemple montre comment configurer trois mécanismes de contrôle bicolores à débit unique et appliquer les mécanismes de contrôle au trafic d’entrée IPv4 au niveau de la même interface logique VLAN (Virtual LAN à balise unique).

Conditions préalables

Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.

Présentation

Dans cet exemple, vous configurez trois mécanismes de contrôle bicolores à débit unique et les appliquez au trafic d’entrée IPv4 au niveau de la même interface logique VLAN à balise unique. Deux mécanismes de contrôle sont appliqués à l’interface par le biais d’un filtre de pare-feu, et un mécanisme de contrôle est appliqué directement à l’interface.

Vous configurez un mécanisme de contrôle, nommé p-all-1m-5k-discard, pour limiter le débit du trafic à 1 Mbit/s avec une taille de rafale de 5 000 octets. Vous appliquez ce mécanisme de contrôle directement au trafic d’entrée IPv4 au niveau de l’interface logique. Lorsque vous appliquez un mécanisme de contrôle directement au trafic spécifique d’un protocole au niveau d’une interface logique, le mécanisme de contrôle est dit appliqué en tant que mécanisme de contrôle d’interface .

Vous configurez les deux autres mécanismes de contrôle pour qu’ils autorisent des tailles de rafale de 500 Ko, puis vous les appliquez au trafic d’entrée IPv4 au niveau de l’interface logique à l’aide d’un filtre de pare-feu sans état standard IPv4. Lorsque vous appliquez un mécanisme de contrôle au trafic spécifique à un protocole au niveau d’une interface logique par le biais d’une action de filtre de pare-feu, le mécanisme de contrôle est dit appliqué en tant que mécanisme de contrôle de filtre de pare-feu.

  • Vous configurez le mécanisme de contrôle nommé p-icmp-500k-500k-discard pour limiter le trafic à 500 Kbits/s avec une taille de rafale de 500 K octets en ignorant les paquets qui ne respectent pas ces limites. Vous configurez l’un des termes de filtre de pare-feu pour appliquer ce mécanisme de contrôle aux paquets ICMP (Internet Control Message Protocol).

  • Vous configurez le mécanisme de contrôle nommé p-ftp-10p-500k-discard pour limiter le trafic à une bande passante de 10 % avec une taille de rafale de 500 Ko en supprimant les paquets qui ne respectent pas ces limites. Vous configurez un autre terme de filtre de pare-feu pour appliquer ce mécanisme de contrôle aux paquets FTP (File Transfer Protocol).

Un mécanisme de contrôle que vous configurez avec une limite de bande passante exprimée en pourcentage (plutôt qu’en valeur absolue de bande passante) est appelé mécanisme de contrôle de la bande passante . Seuls les mécanismes de contrôle bicolores à débit unique peuvent être configurés avec une spécification de pourcentage de bande passante. Par défaut, un mécanisme de contrôle de la bande passante limite le trafic au pourcentage spécifié du débit de ligne de l’interface physique sous-jacente à l’interface logique cible.

Topologie

Vous configurez l’interface logique cible en tant qu’interface logique VLAN à balise unique sur une interface Fast Ethernet fonctionnant à 100 Mbit/s. Cela signifie que le mécanisme de contrôle que vous configurez avec la limite de bande passante de 10 % (le mécanisme de contrôle que vous appliquez aux paquets FTP) limite le trafic FTP sur cette interface à 10 Mbit/s.

REMARQUE :

Dans cet exemple, vous ne configurez pas le mécanisme de contrôle de la bande passante en tant que mécanisme de contrôle de la bande passante logique. Par conséquent, le pourcentage est basé sur le débit du support physique plutôt que sur le taux de mise en forme configuré de l’interface logique.

Le filtre de pare-feu que vous configurez pour référencer deux des mécanismes de contrôle doit être configuré en tant que filtre spécifique à l’interface. Étant donné que le mécanisme de contrôle utilisé pour limiter le débit des paquets FTP spécifie la limite de bande passante sous forme de valeur en pourcentage, le filtre de pare-feu qui fait référence à ce mécanisme de contrôle doit être configuré en tant que filtre spécifique à l’interface. Par conséquent, si ce filtre de pare-feu devait être appliqué à plusieurs interfaces au lieu de la seule interface Fast Ethernet de cet exemple, des mécanismes de contrôle et des compteurs uniques seraient créés pour chaque interface à laquelle le filtre est appliqué.

Configuration

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.

Pour configurer cet exemple, effectuez les tâches suivantes :

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.

Configuration de l’interface logique VLAN à balise unique

Procédure étape par étape

Pour configurer l’interface logique VLAN à balise unique :

  1. Activez la configuration de l’interface Fast Ethernet.

  2. Activez le tramage VLAN à balise unique.

  3. Liez les ID VLAN aux interfaces logiques.

  4. Configurez IPv4 sur les interfaces logiques VLAN à balise unique.

Résultats

Confirmez la configuration du VLAN en entrant la commande configuration show interfaces mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration des trois mécanismes de contrôle

Procédure étape par étape

Pour configurer les trois mécanismes de contrôle :

  1. Activez la configuration d’un mécanisme de contrôle bicolore qui rejette les paquets qui ne sont pas conformes à une bande passante de 1 Mbits/s et à une taille de rafale de 5 000 octets.

    REMARQUE :

    Vous appliquez ce mécanisme de contrôle directement à tout le trafic d’entrée IPv4 au niveau de l’interface logique VLAN à balise unique. Ainsi, les paquets ne seront pas filtrés avant d’être soumis à une limitation de débit.

  2. Configurez le premier mécanisme de contrôle.

  3. Activez la configuration d’un mécanisme de contrôle bicolore qui rejette les paquets qui ne sont pas conformes à une bande passante spécifiée comme « 10 % » et à une taille de rafale de 500 000 octets.

    Vous appliquez ce mécanisme de contrôle uniquement au trafic FTP au niveau de l’interface logique VLAN à balise unique.

    Vous appliquez ce mécanisme de contrôle en tant qu’action d’un terme de filtre de pare-feu IPv4 qui correspond aux paquets FTP de TCP.

  4. Configurez les limites et les actions de contrôle.

    Étant donné que la limite de bande passante est spécifiée sous forme de pourcentage, le filtre de pare-feu qui fait référence à ce mécanisme de contrôle doit être configuré en tant que filtre spécifique à l’interface.

    REMARQUE :

    Si vous souhaitez que ce mécanisme de contrôle limite le débit à 10 % du débit de mise en forme configuré de l’interface logique (plutôt qu’à 10 % du débit de support de l’interface physique), vous devez inclure l’instruction logical-bandwidth-policer au niveau de la [edit firewall policer p-all-1m-5k-discard] hiérarchie. Ce type de mécanisme de contrôle est appelé mécanisme de contrôle de la bande passante logique.

  5. Activez la configuration du mécanisme de contrôle de filtre du pare-feu IPv4 pour les paquets ICMP.

  6. Configurez les limites et les actions de contrôle.

Résultats

Confirmez la configuration des mécanismes de contrôle en entrant la show firewall commande de mode de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration du filtre de pare-feu IPv4

Procédure étape par étape

Pour configurer le filtre de pare-feu IPv4 :

  1. Activez la configuration du filtre de pare-feu IPv4.

  2. Configurez le filtre de pare-feu en tant que filtre spécifique à l’interface.

    Le filtre de pare-feu doit être spécifique à l’interface, car l’un des mécanismes de contrôle référencés est configuré avec une limite de bande passante exprimée en pourcentage.

  3. Activez la configuration d’un terme de filtre pour limiter le débit des paquets FTP.

    Les messages FTP sont envoyés via le port TCP 20 () et reçus via le port TCP 21 (ftpftp-data).

  4. Configurez le terme de filtre pour qu’il corresponde aux paquets FTP.

  5. Activez la configuration d’un terme de filtre pour limiter le débit des paquets ICMP.

  6. Configurer le terme de filtre pour les paquets ICMP

  7. Configurez un terme de filtre pour accepter tous les autres paquets sans surveillance.

Résultats

Confirmez la configuration du filtre de pare-feu en entrant la show firewall commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Application des mécanismes de contrôle des mécanismes de contrôle d’interface et de filtre de pare-feu à l’interface logique

Procédure étape par étape

Pour appliquer les trois mécanismes de contrôle au VLAN :

  1. Activez la configuration d’IPv4 sur l’interface logique.

  2. Appliquez les mécanismes de contrôle des filtres de pare-feu à l’interface.

  3. Appliquez le mécanisme de contrôle d’interface à l’interface.

    Les paquets d’entrée à fe-0/1/1.0 sont évalués par rapport au mécanisme de contrôle d’interface avant d’être évalués par rapport aux mécanismes de contrôle des filtres du pare-feu. Pour plus d’informations, reportez-vous à la section Ordre des opérations de contrôle et de filtrage du pare-feu.

Résultats

Confirmez la configuration de l’interface en entrant la commande configuration show interfaces mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Affichage des mécanismes de contrôle appliqués directement à l’interface logique

But

Vérifiez que le mécanisme de contrôle d’interface est évalué lorsque des paquets sont reçus sur l’interface logique.

Action

Utilisez la commande mode opérationnel pour l’interface show interfaces policersfe-0/1/1.1logique . La section de sortie de commande de la colonne et Input Policer de la Proto colonne indique que le mécanisme de contrôle p-all-1m-5k-discard est évalué lorsque des paquets sont reçus sur l’interface logique.

Dans cet exemple, le mécanisme de contrôle d’interface s’applique uniquement au trafic de l’interface logique dans la direction d’entrée.

Affichage des statistiques du mécanisme de contrôle appliqué directement à l’interface logique

But

Vérifiez le nombre de paquets évalués par le mécanisme de contrôle d’interface.

Action

Utilisez la commande mode show policer opérationnel et spécifiez éventuellement le nom du mécanisme de contrôle. La sortie de la commande affiche le nombre de paquets évalués par chaque mécanisme de contrôle configuré (ou le mécanisme de contrôle spécifié), dans chaque direction.

Affichage des mécanismes de contrôle et des filtres de pare-feu appliqués à une interface

But

Vérifiez que le filtre filter-ipv4-with-limits de pare-feu est appliqué au trafic d’entrée IPv4 au niveau de l’interface fe-0/1/1.1logique .

Action

Utilisez la commande mode opérationnel pour l’interface show interfaces statisticsfe-0/1/1.1logique et incluez l’option detail . Dans la section de la section de sortie de la Protocol inet commande, les lignes et affichent les Input Filters noms du filtre et Policer du mécanisme de contrôle appliqués à l’interface logique dans le sens de la saisie.

Dans cet exemple, les deux mécanismes de contrôle de filtre de pare-feu sont appliqués au trafic de l’interface logique dans la direction d’entrée uniquement.

Affichage des statistiques pour les mécanismes de contrôle des filtres de pare-feu

But

Vérifiez le nombre de paquets évalués par les mécanismes de contrôle des filtres du pare-feu.

Action

Utilisez la show firewall commande mode opérationnel pour le filtre que vous avez appliqué à l’interface logique.

La sortie de la commande affiche les noms des mécanismes de contrôle ( et ), combinés avec les noms des termes de filtre (p-ftp-10p-500k-discardt-ftp et p-icmp-500k-500k-discardt-icmp, respectivement) sous lesquels l’action du mécanisme de contrôle est spécifiée. Les lignes de sortie spécifiques au mécanisme de contrôle affichent le nombre de paquets correspondant au terme de filtrage. Il s’agit uniquement du nombre de paquets hors spécifications (hors spécifications), et non de tous les paquets contrôlés par le mécanisme de contrôle.