Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Application des policers

Présentation de applying policers (Appliquer les policers)

Les policers (policers) vous permettent d’effectuer un contrôle simple du trafic sur des interfaces spécifiques ou des réseaux privés virtuels (VPN) de couche 2 sans configurer de filtre de pare-feu. Pour appliquer des mesures de contrôle, inclure la policer déclaration suivante:

Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants:

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

Dans family l’énoncé, la famille de protocoles peut ccc être , , ou inetinet6mplstccvpls .

Dans l’énoncé, énumérer le nom d’un modèle de policer à évaluer lors de la réception des arp paquets ARP (Address Resolution Protocol) sur l’interface. Par défaut, un policer ARP est installé et partagé entre toutes les interfaces Ethernet sur lesquelles vous avez configuré family inet l’instruction. Si vous souhaitez un contrôle plus strict ou plus strict des paquets ARP, vous pouvez configurer un dispositif de contrôle spécifique à l’interface et l’appliquer à l’interface. Vous configurez un policeur ARP comme vous le souhaitez pour tous les autres policers, au niveau [edit firewall policer] hiérarchique. Si vous appliquez ce policer à une interface, le policeur de paquets ARP par défaut est override. Si vous supprimez ce policer, le policer par défaut entre en vigueur à nouveau.

  • Vous pouvez configurer un policer différent sur chaque famille de protocoles sur une interface, avec un policer d’entrée et un policer de sortie pour chaque famille. Lorsque vous appliquez des policers, vous pouvez configurer la famille , , , ou uniquement, et un cccinetinet6mplstccvpls policer ARP pour le protocole de inet la famille uniquement. Chaque fois qu’un policer est référencé, une copie distincte du policer est installée sur les composants de passation de paquets pour cette interface.

  • Si vous appliquez des policers et des filtres de pare-feu à une interface, les policers d’entrée sont évalués avant d’entrer des filtres de pare-feu, et des policers de sortie sont évalués après filtres de pare-feu de sortie. Dans l’énoncé, énumérer le nom d’un modèle de policer à évaluer lors de la réception de input paquets sur l’interface. Dans l’énoncé, énumérer le nom d’un modèle de policer à évaluer lorsque des output paquets sont transmis sur l’interface.

  • Si les abonnés se terminant sur des routeurs MX Series par le moyen d’une interface AE (Aggregated Ethernet) qui couvre plusieurs FPC, il est possible pour un taux d’abonné global de dépasser le débit configuré, car la limite configurée dans le policer est appliquée séparément à chaque interface de l’offre AE. Par exemple, si vous avez l’intention de faire appliquer un système de contrôle sur une interface AE de trois membres sur une capacité de 600 m, vous devrez configurer le système de contrôle sur 200 m pour prendre en compte les trois bandwidth-limit interfaces bandwidth-limit d’AE (200 Mbits/s par interface, soit un total de 600 Mbits/s).

  • Si vous appliquez le policer à l’interface, il est appliqué aux paquets reçus ou transmis par lo0 le moteur de routage.

  • Sur les plates-formes T Series, M120 et M320, si les interfaces sont sur le même FPC, les filtres ou les policeurs n’agissent pas sur la somme du trafic entrant et sortant des interfaces.

Application de polices agrégées

Application de polices agrégées

Par défaut, si vous appliquez un policer à plusieurs familles de protocoles sur la même interface logique, le policer restreint le trafic de chaque famille de protocoles individuellement. Par exemple, un policer dont la bande passante est limitée à 50 Mbits/s pour les trafics IPv4 et IPv6 permettrait à l’interface d’accepter 50 Mbits/s de trafic IPv4 et 50 Mbit/s de trafic IPv6. Si vous appliquez un policer agrégé, le policer permet à l’interface de recevoir uniquement 50 Mbits/s de trafic IPv4 et IPv6 combinés.

Pour configurer un policer agrégé, inclure l’instruction au logical-interface-policer niveau [edit firewall policer policer-template-name] de la hiérarchie:

Pour que le policer soit traité comme un agrégation, vous devez l’appliquer à plusieurs familles de protocoles sur une interface logique unique en incluant policer l’énoncé:

Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants:

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

Dans family l’énoncé, la famille de protocoles peut ccc être , , ou inetinet6mplstccvpls .

Les familles de protocoles sur lesquelles vous ne faites pas appliquer le policer ne sont pas affectées par le policer. Par exemple, si vous configurez une seule interface logique pour accepter le trafic MPLS, IPv4 et IPv6 et que vous appliquez le policer d’interface logique aux seules familles de policer1 protocoles IPv4 et IPv6, le trafic MPLS n’est pas soumis aux contraintes de policer1 .

Si vous vous policer1 appliquez à une autre interface logique, il existe deux instances du policer. Cela signifie que l’Junos OS contrôle le trafic sur différentes interfaces logiques séparément, et non en tant qu’agrégation, même si le même policer d’interface logique est appliqué à plusieurs interfaces logiques sur le même port d’interface physique.

Exemple: Application de polices agrégées

Configurez deux policers d’interface logique: aggregate_police1 et aggregate_police2 . Appliquer aggregate_police1 au trafic IPv4 et IPv6 reçu sur l’interface logique fe-0/0/0.0 . Appliquez-vous à CCC et MPLS trafic reçu sur l’interface logique aggregate_police2 fe-0/0/0.0. Cette configuration entraîne le logiciel à ne créer qu’une aggregate_police1 instance et une seule instance de aggregate_police2 .

Appliquer aggregate_police1 au trafic IPv4 et IPv6 reçu sur une autre interface logique fe-0/0/0.1 . Cette configuration entraîne le logiciel à créer une nouvelle instance de , qui s’applique à l’unité 0 et une autre qui s’applique aggregate_police1 à l’unité 1.

Application de policeurs hiérarchiques sur les PIC intelligent de gestion des requêtes intelligentes

Application de policeurs hiérarchiques sur les PIC intelligent de gestion des requêtes intelligentes

Les routeurs de périphérie M40e, M120 et M320 et les routeurs principaux T Series avec CODE IQE (Enhanced Intelligent Fileuing) permettent de mettre en place des contrôles hiérarchiques dans la direction du trafic d’entrée et vous permettent d’appliquer un contrôle hiérarchique pour les niveaux de trafic premium et agrégé (premium plus normal) sur une interface. Les policeurs hiérarchiques offrent des fonctionnalités croisées entre l’interface physique configurée et la moteur de transfert de paquets.

Avant de commencer, il existe des restrictions générales qui s’appliquent aux policeurs hiérarchiques:

  • Un seul type de policer peut être configuré pour une interface logique ou physique. Par exemple, il n’est pas autorisé d’utiliser un système de contrôle hiérarchique et un agent de contrôle régulier dans la même direction pour la même interface logique.

  • Le chaînage des policeurs ,c’est-à-dire l’application de policers à la fois sur un port et sur les interfaces logiques de ce port, n’est pas autorisé.

  • Il existe une limite de 64 policers par interface en cas d’absence de classification BA, fournissant un seul policeur par DLCI.

  • Un seul type de policer peut être appliqué sur une interface physique ou logique.

  • Le policer doit être indépendant de la classification BA. Sans classification BA, tout le trafic d’une interface sera traité en tant que pare-feu ou non, en fonction de la configuration. Avec la classification BA, une interface peut prendre en charge jusqu’à 64 policers. L’interface ici peut être une interface physique ou une interface logique (par exemple, DLCI).

  • Avec la classification BA, le trafic divers (le trafic qui ne correspond à aucun des bits DSCP/EXP de classification BA) sera autogélisé en tant que trafic non-EF. Aucun policer distinct ne sera installé pour ce trafic.

Présentation du système de police hiérarchique

Le contrôle hiérarchique utilise deux seaux de jeton, un pour le trafic agrégé (non-EF) et un pour le trafic premium (EF). La configuration de classe de service détermine le trafic par niveau de service (FE) et non-FE. Le chaînage de deux policeurs permet de mettre en place un contrôle hiérarchique.

Figure 1 : Policer hiérarchiquePolicer hiérarchique

Dans cet exemple, le trafic DEA est policed par Premium Policer et le trafic non-EF est Figure 1 policed par Aggregate Policer. Autrement dit, pour le trafic EF, l’action hors spécifications sera configurée pour Premium Policer, mais le trafic EF in-spec utilisera toujours les jetons du Policer agrégé.

Toutefois, le trafic EF ne sera jamais soumis à l’action hors spécifications de l’Aggregate Policer. Par ailleurs, si l’action hors spécifications du Premium Policer n’est pas définie pour être écartée, ces paquets hors spécifications ne consommeront pas les jetons du Policer agrégé. Aggregate Policer contrôle uniquement le trafic non-EF. Comme vous pouvez le voir, le seau de jeton Aggregate Policer peut passer au négatif si tous les jetons sont consumés par le trafic non-EF, puis vous obtenez des rafales de trafic EF. Mais cela ne prendra que très peu de temps. Et sur un certain temps, cela se fera dans la moyenne. Quelques chiffres clés :

  • Policer Premium: Bande passante 2 Mbits/s, OOS Action: Jeter

  • Policer d’agrégation: Bande passante 10 Mbits/s, OOS Action: Jeter

Dans le cas ci-dessus, le trafic de niveau de service (EF) est garanti de 2 Mb/s et le trafic non-EF passe de 8 Mbps à 10 Mbps, en fonction du taux d’entrée du trafic FE.

Caractéristiques hiérarchiques du contrôle

Les fonctionnalités de jeton hiérarchique sont les suivantes:

  • Avant d’appliquer un policer, le trafic d’entrée est d’abord classifié dans le trafic ef et non-FE:

    • La classification est effectuée par recherche Q-Tree

  • Le numéro de canal sélectionne un seau de jeton partagé:

    • Un policer à deux jetons est divisé en deux policers à un seul seau:

      • Policer1 — Trafic EF

      • Policer2 — trafic non-EF

  • Un seau de jeton partagé est utilisé pour policer le trafic:

    • La policer1 est définie sur le taux de fessé (par exemple, 2 Mb/s)

    • La policer2 est définie pour agréger le taux de polices d’interface (10 Mbits/s par exemple).

    • Le trafic EF est appliqué à Policer1.

      • Si le trafic est en spécifications, il est autorisé à passer et à décrération à la fois depuis Policer1 et Policer2.

      • Si le trafic n’est plus spécifications, il peut être éliminé ou marqué d’une nouvelle priorité de perte ou FC. Policer2 ne fait rien avec le trafic EF hors spécifications.

    • Le trafic non-EF est appliqué uniquement à La policer2.

      • Si le trafic est en spécifications, il est autorisé à passer par et décrémenté Policer2.

      • Si le trafic hors spécifications est éliminé ou marqué par un nouveau FC ou définisse une nouvelle priorité de baisse.

  • Limitation de débit de la vitesse de port à la vitesse souhaitée au niveau de la couche 2

  • Limitation du trafic FE

  • Limitation du trafic non-EF

  • Nombre de baisses de contrôle par couleur

Configuration des policeurs hiérarchiques

Pour configurer un policer hiérarchique, appliquez l’instruction à la classe de passation appropriée et configurez un policeur hiérarchique pour l’agrégation et policing-priority le niveau premium. Pour plus d’informations sur classe de service, consultez Junos OS Classe de service (Class of Service User Guide) pour les équipements de routage.

Remarque :

Seules les interfaces physiques SONET hébergées sur un PIC IQE peuvent configurer des policeurs hiérarchiques. Seules les niveaux agrégés et premium sont pris en charge.

CoS configuration des classes de forwarding pour les policeurs hiérarchiques

Pour plus d’informations sur la configuration et les instructions des classes de service, consultez le guide Junos OS de l’utilisateur de classe de service pour les équipements de routage.

Configuration de pare-feu pour les policeurs hiérarchiques

Vous pouvez appliquer le policer hiérarchique comme suit:

Vous pouvez également appliquer le policer au niveau du port physique:

Configuration d’un policeur double couleur à double vitesse

Vous pouvez configurer un policer à deux couleurs à vitesse unique:

Vous pouvez appliquer le policer comme suit:

Vous pouvez également appliquer le policer au niveau du port physique:

Configuration d’un policer color-blind à vitesse unique

Cette section décrit les policers à un seul taux d’aveuglement et de couleur.

Vous pouvez configurer un policer à l’aveuglette couleur à un seul taux:

Vous pouvez appliquer le policer à l’aveuglette couleur à un seul taux:

Vous pouvez configurer un policer color-aware à vitesse unique:

Vous pouvez appliquer le policer color-aware à vitesse unique:

Vous pouvez également appliquer le policer au niveau du port physique:

Configuration d’un policeur marqueur tricolore à deux vitesses

Le contrôle du point d’entrée est implémenté à l’aide d’un marqueur tricolore à deux vitesses (trTCM). Vous le faites avec un seau à double jeton (DTB) qui conserve deux taux, l’engagement et un maximum. Le contrôle statique du sortie du paquet utilise également un seau de jeton.

Les seaux de jeton exécutent les fonctions de contrôle du contrôle du paquet de sortie suivantes:

  • (1 K) trTCM - Seau de jeton double (marquage rouge, jaune et vert)

  • Le contrôle est basé sur la taille des paquets de couche 2:

    • Ajustement des +/bytets

  • Le marquage est color-aware et color blind:

    • Le color aware doit être basé sur les couleurs définies par la recherche Q-Tree basée sur:

      • ToS

      • Exp

  • Actions de marquage programmables:

    • Couleur (rouge, jaune, vert)

    • Déposer en fonction de la couleur et du profil de congestion

  • Le policer est sélectionné en fonction du numéro de canal:

    • Le numéro de canal LUT produit un index de policer et un index de file d’attente

    • Plusieurs canaux peuvent partager le même policer (LUT produit le même index de policer)

  • Prise en charge du contrôle du dégressif et du trTCM aux niveaux suivants:

    • File d’attente

    • Interface logique (ifl/DLCI)

    • Interface physique (ifd)

    • Port physique (ifd de contrôleur)

    • Toutes les combinaisons d’interface logique, d’interface physique et de port

  • Pourcentage de prise en charge de la vitesse et des bits de l’interface par seconde

Des limites de vitesse peuvent être appliquées à certaines files d’attente à l’entrée et aux files d’attente prédéfinées à la sortie. Le seau de jeton fonctionne en modes color aware et color blind (spécifiés par RFC 2698).

Configuration d’une trTCM color-blind

Vous pouvez appliquer le policeur color-blind à deux couleurs:

Vous pouvez également appliquer le policer au niveau du port physique:

Configuration d’un trTCM color-aware

Vous pouvez appliquer le policer color-aware à deux couleurs:

Vous pouvez également appliquer le policer au niveau du port physique: