Configuration de mécanismes de contrôle bicolores et tricolores pour contrôler les taux de trafic
Vous pouvez limiter le débit du trafic en configurant un mécanisme de contrôle et en le spécifiant comme modificateur d’action pour un terme dans un filtre de pare-feu. Par défaut, si vous spécifiez le même mécanisme de contrôle en plusieurs termes, Junos OS crée une instance de mécanisme de contrôle distincte pour chaque terme et applique la limitation de débit séparément pour chaque instance. Par exemple, si vous configurez un mécanisme de contrôle pour qu’il ignore le trafic qui dépasse 1 Gbit/s et que vous faites référence à ce mécanisme de contrôle en trois termes différents, chaque instance de mécanisme de contrôle applique une limite de 1 Gbit/s. Dans ce cas, la bande passante totale autorisée par le filtre est de 3 Gbit/s.
Vous pouvez également configurer un mécanisme de contrôle pour qu’il soit spécifique à un filtre, ce qui signifie que Junos OS ne crée qu’une seule instance de mécanisme de contrôle, quel que soit le nombre de fois que le mécanisme de contrôle est référencé. Dans ce cas, la limitation de débit est appliquée de manière agrégée. Par conséquent, si vous configurez un mécanisme de contrôle pour qu’il ignore le trafic qui dépasse 1 Gbit/s et que vous le référencez en trois termes différents, la bande passante totale autorisée par le filtre est de 1 Gbit/s.
Vous pouvez inclure des actions de contrôle bicolores sur les filtres de pare-feu d’entrée uniquement. Vous pouvez inclure des actions de contrôle à trois couleurs sur les filtres d’entrée et de sortie.
Configuration des mécanismes de contrôle bicolores
Pour configurer un mécanisme de contrôle bicolore :
Configuration des mécanismes de contrôle tricolores
Pour configurer un mécanisme de contrôle à trois couleurs :
Spécification des mécanismes de contrôle dans la configuration d’un filtre de pare-feu
Pour utiliser un mécanisme de contrôle bicolore, configurez un terme de filtre qui inclut l’action policer:
[edit firewall family family-name] user@switch# set filter filter-name term name then name
Par exemple, les commandes suivantes appliquent un mécanisme de contrôle bicolore à tous les paquets envoyés à partir de 192.0.2.0/24.
[edit firewall family family-name] user@switch# set filter limit—hosts term term1 from source-address 192.0.2.0/24 user@switch# set filter limit—hosts term term1 then policer policer1
Pour utiliser un mécanisme de contrôle tricolore, configurez un terme de filtre qui inclut l’action three-color-policer:
[edit firewall family name] user@switch# set filter name term name from match-condition user@switch# set filter name term name then three-color-policer (single-rate | two-rate) name
Par exemple, les commandes suivantes appliquent un mécanisme de contrôle tricolore à débit unique à tous les paquets reçus ou envoyés par l’interface ge-0/0/6 (selon qu’il s’agit d’un filtre entrant ou sortant).
[edit firewall family name] user@switch# set filter srTCM term term-one from interface ge-0/0/6 user@switch# set filter srTCM term term-one then three-color-policer single-rate srTCM1-ca
Vous devez spécifier si le mécanisme de contrôle à trois couleurs est à un seul taux ou à deux débits, et cela doit correspondre au mécanisme de contrôle lui-même. Dans le cas contraire, la liste de configuration inclut un message d’erreur indiquant que le mécanisme de contrôle à trois couleurs que vous avez référencé dans le filtre n’existe pas.
Application d’un filtre de pare-feu incluant un mécanisme de contrôle
Un filtre de pare-feu qui inclut un ou plusieurs modificateurs d’action de contrôle doit être appliqué à un port, un VLAN ou une interface de couche 3 comme n’importe quel autre filtre. Pour plus d’informations sur l’application de filtres de pare-feu, reportez-vous à la section Configuration des filtres de pare-feu.
Vous pouvez inclure des actions de contrôle bicolores sur les filtres de pare-feu d’entrée uniquement. Vous pouvez inclure des actions de contrôle à trois couleurs sur les filtres d’entrée et de sortie.