Appliquer des polices
Présentation de l’application des polices
Les policers vous permettent d’effectuer une surveillance simple du trafic sur des interfaces spécifiques ou des réseaux privés privés virtuels (VPN) de couche 2 sans configurer de filtre de pare-feu. Pour appliquer des contrôles, incluez la policer déclaration :
policer { arp policer-template-name; input policer-template-name; output policer-template-name; }
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit interfaces interface-name unit logical-unit-number family family][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
Dans l’instructionfamily, la famille de protocoles peut être ccc, inet, inet6, mpls, ou tccvpls.
Dans l’instruction arp , indiquez le nom d’un modèle de policer à évaluer lorsque des paquets ARP (Address Resolution Protocol) sont reçus sur l’interface. Par défaut, un policer ARP est installé et partagé entre toutes les interfaces Ethernet sur lesquelles vous avez configuré l’instruction family inet . Si vous souhaitez un contrôle plus strict ou plus indulgent des paquets ARP, vous pouvez configurer un policer spécifique à l’interface et l’appliquer à l’interface. Vous configurez un policer ARP comme vous le feriez pour n’importe quel autre policer, au niveau de la [edit firewall policer] hiérarchie. Si vous appliquez ce policer à une interface, le policer de paquets ARP par défaut est remplacé. Si vous supprimez ce dispositif de contrôle, le contrôle par défaut prend effet à nouveau.
Vous pouvez configurer un policer différent sur chaque famille de protocoles sur une interface, avec un policer d’entrée et un policer de sortie pour chaque famille. Lorsque vous appliquez des polices, vous pouvez configurer la famille
ccc,inet,inet6,mpls,tccouvplsseulement, et un seul policeR ARP pour le protocole familialinetuniquement. Chaque fois qu’un policer est référencé, une copie distincte du policer est installée sur les composants de transfert de paquets pour cette interface.Si vous appliquez des polices et des filtres de pare-feu à une interface, les polices d’entrée sont évaluées avant les filtres de pare-feu d’entrée, et les polices de sortie sont évaluées après les filtres de pare-feu de sortie. Dans l’instruction
input, indiquez le nom d’un modèle de policer à évaluer lorsque des paquets sont reçus sur l’interface. Dans l’instructionoutput, indiquez le nom d’un modèle de policer à évaluer lors de la transmission de paquets sur l’interface.Pour les abonnés qui se terminent sur des routeurs MX Series via une interface Ethernet agrégée (AE) qui s’étend sur plusieurs SPC, il est possible qu’un taux d’abonné global dépasse le taux configuré, car la limite configurée dans le policer est appliquée séparément à chaque interface de l’offre AE. Ainsi, si vous avez l’intention d’avoir un policer sur une interface AE à trois membres,
bandwidth-limit600mvous devrez configurer lebandwidth-limitdans le policer pour tenir compte des 200m trois interfaces de l’AE (soit 200 Mbit/s par interface, pour un total de 600 Mbit/s).Si vous appliquez le policer à l’interface
lo0, il est appliqué aux paquets reçus ou transmis par le moteur de routage.Sur les plates-formes T Series, M120 et M320, si les interfaces sont sur le même FPC, les filtres ou les mesures de contrôle n’agissent pas sur la somme du trafic entrant et sortant des interfaces.
Application de polices d’agrégation
Application de polices d’agrégation
Par défaut, si vous appliquez un policer à plusieurs familles de protocoles sur la même interface logique, il restreint le trafic pour chaque famille de protocoles individuellement. Par exemple, un policer avec une limite de bande passante de 50 Mbit/s appliquée au trafic IPv4 et IPv6 permettrait à l’interface d’accepter 50 Mbit/s de trafic IPv4 et 50 Mbit/s de trafic IPv6. Si vous appliquez un policer d’agrégation, il ne permet à l’interface de recevoir que 50 Mbit/s de trafic IPv4 et IPv6 combinés.
Pour configurer un policer d’agrégation, incluez l’instruction logical-interface-policer au niveau de la [edit firewall policer policer-template-name] hiérarchie :
[edit firewall policer policer-template-name] logical-interface-policer;
Pour que le policer soit traité comme un agrégat, vous devez l’appliquer à plusieurs familles de protocoles sur une interface logique unique en incluant l’énoncé policer :
policer { arp policer-template-name; input policer-template-name; output policer-template-name; }
Vous pouvez inclure ces instructions aux niveaux hiérarchiques suivants :
[edit interfaces interface-name unit logical-unit-number family family][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
Dans l’instructionfamily, la famille de protocoles peut être ccc, inet, inet6, mpls, ou tccvpls.
Les familles de protocoles sur lesquelles vous n’appliquez pas le policier ne sont pas touchées par le policier. Par exemple, si vous configurez une interface logique unique pour accepter le trafic MPLS, IPv4 et IPv6 et que vous appliquez le policer policer1 logique aux seules familles de protocoles IPv4 et IPv6, le trafic MPLS n’est pas soumis aux contraintes de policer1.
Si vous appliquez policer1 à une interface logique différente, il existe deux instances de police. Cela signifie que Junos OS contrôle le trafic sur des interfaces logiques distinctes séparément, et non sous forme d’agrégation, même si le même police d’interface logique est appliqué à plusieurs interfaces logiques sur le même port d’interface physique.
Exemple : Application de polices d’agrégation
Configurez deux polices d’interface logique : aggregate_police1 et aggregate_police2. Appliquez aggregate_police1 au trafic IPv4 et IPv6 reçu sur l’interface fe-0/0/0.0 logique. Appliquez au aggregate_police2 trafic CCC et MPLS reçu sur l’interface logique fe-0/0/0.0. Cette configuration fait que le logiciel ne crée qu’une seule instance de aggregate_police1 et une instance de aggregate_police2.
Appliquez au aggregate_police1 trafic IPv4 et IPv6 reçu sur une autre interface fe-0/0/0.1logique . Cette configuration amène le logiciel à créer une nouvelle instance de aggregate_police1, une instance qui s’applique à l’unité 0 et une autre qui s’applique à l’unité 1.
[edit firewall]
policer aggregate_police1 {
logical-interface-policer;
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 500k;
}
then {
discard;
}
}
policer aggregate_police2 {
logical-interface-policer;
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 200k;
}
then {
discard;
}
}
[edit interfaces fe-0/0/0]
unit 0 {
family inet {
policer {
input aggregate_police1;
}
}
family inet6 {
policer {
input aggregate_police1;
}
}
family ccc {
policer {
input aggregate_police2;
}
}
family mpls {
policer {
input aggregate_police2;
}
}
}
unit 1 {
family inet {
policer {
input aggregate_police1;
}
}
family inet6 {
policer {
input aggregate_police1;
}
}
}
Application de polices hiérarchiques sur des PIC de file d’attente intelligents améliorés
Application de polices hiérarchiques sur des PIC de file d’attente intelligents améliorés
Les routeurs de périphérie M40e, M120 et M320 et les routeurs centraux T Series avec piC IQE (Enhanced Intelligent Fileuing) prennent en charge les polices hiérarchiques dans le sens d’entrée et vous permettent d’appliquer un contrôle hiérarchique pour les niveaux de trafic premium et agrégé (premium plus normal) à une interface. Les polices hiérarchiques fournissent des fonctionnalités croisées entre l’interface physique configurée et le moteur de transfert de paquets.
Avant de commencer, certaines restrictions générales s’appliquent aux contrôles hiérarchiques :
Un seul type de police peut être configuré pour une interface logique ou physique. Par exemple, un contrôle hiérarchique et un policer régulier dans la même direction pour la même interface logique ne sont pas autorisés.
Le chaînage des polices, c’est-à-dire l’application de polices à un port et aux interfaces logiques de ce port, n’est pas autorisé.
Il y a une limite de 64 policiers par interface en cas d’absence de classification BA, fournissant un seul policier par DLCI.
Un seul type de police peut être appliqué sur une interface physique ou logique.
Le policier doit être indépendant de la classification BA. Sans classification BA, tout le trafic d’une interface sera traité comme EF ou non, en fonction de la configuration. Avec la classification BA, une interface peut prendre en charge jusqu’à 64 policers. Ici encore, l’interface peut être une interface physique ou logique (par exemple, DLCI).
Avec la classification BA, le trafic divers (le trafic ne correspondant à aucun des bits DSCP/EXP de classification BA) sera supervisé comme trafic non-EF. Aucun dispositif de contrôle distinct ne sera installé pour ce trafic.
Présentation du contrôle hiérarchique
Le contrôle hiérarchique utilise deux compartiments de jetons, l’un pour le trafic agrégé (non-EF) et l’autre pour le trafic premium (EF). Le trafic ef et le trafic non-EF sont déterminés par la configuration de la classe de service. Logiquement, le maintien de l’ordre hiérarchique est réalisé en chaînant deux contrôles.
Dans l’exemple de Figure 1, le trafic EF est supervisé par Premium Policer et le trafic non EF est supervisé par Aggregate Policer. Cela signifie que pour le trafic EF, l’action hors spécification sera celle configurée pour Premium Policer, mais le trafic EF in-spec consommera toujours les jetons du policer agrégé.
Mais le trafic EF ne sera jamais soumis à l’action hors spécification du policer d’agrégation. De plus, si l’action hors spécification du Premium Policer n’est pas définie sur Rejet, ces paquets hors spécification ne consommeront pas les jetons du Policer d’agrégation. Aggregate Policer ne contrôle que le trafic non-EF. Comme vous pouvez le voir, le seau de jeton Aggregate Policer peut devenir négatif, si tous les jetons sont consommés par le trafic non-EF et que vous obtenez alors des rafales de trafic EF. Mais ce sera très peu de temps, et sur une période de temps, il sera moyen. Par exemple :
Premium Policer : Bande passante 2 Mbit/s, action OOS : Jeter
Policer d’agrégation : Bande passante 10 Mbit/s, ooS Action : Jeter
Dans le cas ci-dessus, le trafic EF est garanti 2 Mbit/s et le trafic non EF passera de 8 Mbit/s à 10 Mbit/s, en fonction du débit d’entrée du trafic EF.
Caractéristiques du contrôle hiérarchique
Les fonctionnalités hiérarchiques du compartiment à jetons comprennent :
Le trafic entrant est d’abord classé dans le trafic EF et non-EF avant d’appliquer un policer :
La classification est effectuée par la recherche Q-tree
Le numéro de canal sélectionne un policer de seau de jetons partagé :
Le double policeur de seau à jetons est divisé en deux polices de seaux uniques :
Policer1 : trafic EF
Policer2 : trafic non-EF
Le seau de jetons partagé est utilisé pour la police du trafic comme suit :
Le policer1 est défini sur le débit EF (par exemple, 2 Mbit/s)
Le policer2 est défini pour agréger le débit de contrôle de l’interface (par exemple, 10 Mbit/s).
Le trafic EF est appliqué au Policer1.
Si le trafic est in-spec, il est autorisé à passer et se décrémenter à la fois de Policer1 et De Policer2.
Si le trafic est hors spécification, il peut être rejeté ou marqué avec une nouvelle fc ou une priorité de perte. Policer2 ne fera rien avec le trafic EF hors spécification.
Le trafic non-EF n’est appliqué qu’au Policer2.
Si le trafic est in-spec, il est autorisé à passer et décrémenté Policer2.
Si le trafic est hors spécification, il est rejeté ou marqué avec un nouveau FC ou défini avec une nouvelle priorité de baisse.
Débit : limitez la vitesse du port au débit souhaité au niveau de la couche 2
Débit limitez le trafic EF
Débit limité pour le trafic non-EF
Contrôle des gouttes comptées par couleur
Voir également
Configuration des polices hiérarchiques
Pour configurer un policer hiérarchique, appliquez l’instruction policing-priority à la classe de transfert appropriée et configurez un policer hiérarchique pour le niveau agrégé et premium. Pour plus d’informations sur la classe de service, consultez le Guide de l’utilisateur de la classe de service Junos OS pour les équipements de routage.
Les polices hiérarchiques ne peuvent être configurées que sur les interfaces physiques SONET hébergées sur un PIC IQE. Seuls les niveaux agrégés et premium sont pris en charge.
Configuration CoS des classes de transfert pour les polices hiérarchiques
[edit class-of-service forwarding-classes] class fc1 queue-num 0 priority high policing-priority premium; class fc2 queue-num 1 priority low policing-priority normal; class fc3 queue-num 2 priority low policing-priority normal; class fc4 queue-num 3 priority low policing-priority normal;
Pour obtenir des informations détaillées sur la configuration et les déclarations de classe de service, consultez le Guide de l’utilisateur de la classe de service Junos OS pour les équipements de routage.
Configuration du pare-feu pour les polices hiérarchiques
[edit firewall hierarchical-policer foo]
aggregate {
if-exceeding {
bandwidth-limit 70m;
burst-size-limit 1500;
}
then {
discard;
}
premium {
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 1500;
}
then {
discard;
}
}
Vous pouvez appliquer le contrôle hiérarchique comme suit :
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-hierarchical-policer foo;
Vous avez également la possibilité d’appliquer le contrôle au niveau des ports physiques comme suit :
[edit interfaces so-0/1/0 layer2-policer] input-hierarchical-policer foo;
Configuration d’un policer bicolore à débit unique
Vous pouvez configurer un policer bicolore à débit unique comme suit :
[edit firewall policer foo]
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 1500;
}
then {
discard;
}
Vous pouvez appliquer le policer comme suit :
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-policer foo;
Vous avez également la possibilité d’appliquer le contrôle au niveau des ports physiques comme suit :
[edit interfaces so-0/1/0 layer2-policer] input-policer foo;
Configuration d’un policer de aveugle couleur à débit unique
Cette section décrit les anticolores à débit unique et les polices conscientes des couleurs.
Vous pouvez configurer un policer de aveugle couleur à débit unique comme suit :
[edit firewall three-color-policer foo]
single-rate {
color-blind;
committed-information-rate 50m;
committed-burst-size 1500;
excess-burst-size 1500;
}
Vous pouvez appliquer le policer de aveugle de couleur à débit unique comme suit :
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
Vous pouvez configurer un policer de couleur à débit unique comme suit :
[edit firewall three-color-policer bar]
single-rate {
color-aware;
committed-information-rate 50m;
committed-burst-size 1500;
excess-burst-size 1500;
}
Vous pouvez appliquer le policer à débit unique capable de prendre en charge les couleurs comme suit :
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
Vous avez également la possibilité d’appliquer le contrôle au niveau des ports physiques comme suit :
[edit interfaces so-0/1/0 layer2-policer] input-three-color bar;
Configuration d’un policeur de marqueur tricolore à deux débits
Le contrôle d’entrée est mis en œuvre à l’aide d’un marqueur tricolore à deux débits (trTCM). Cela est fait avec un seau à double jeton (DTB) qui maintient deux débits, engagé et un pic. Le contrôle statique de sortie utilise également un seau de jetons.
Les compartiments de jetons exécutent les fonctions de contrôle d’entrée suivantes :
(1 K) trTCM - Seau double jeton (marquage rouge, jaune et vert)
Le contrôle est basé sur la taille des paquets de couche 2 :
Après +/- octet, ajustement offset
Le marquage est orienté couleur et daltonien :
La prise en charge des couleurs doit être définie par la recherche q-tree basée sur :
Tos
EXP
Actions de marquage programmables :
Couleur (rouge, jaune, vert)
Chute en fonction de la couleur et du profil de congestion
Le policer est sélectionné en fonction du numéro de canal d’arrivée :
LUT numéro de canal produit un index de police et un index de file d’attente
Plusieurs canaux peuvent partager le même policer (LUT produit le même index de police)
Prise en charge des contrôles entrants et trTCM aux niveaux suivants :
File d’attente
Interface logique (ifl/DLCI)
Interface physique (ifd)
Port physique (contrôleur ifd)
Toutes les combinaisons d’interface logique, d’interface physique et de port
Pourcentage de prise en charge de la vitesse de l’interface et des bits par seconde
Des limites de débit peuvent être appliquées aux files d’attente sélectionnées lors de la sortie et aux files d’attente prédéfinies à la sortie. Le seau de jetons fonctionne en mode « color aware » et « color blind » (spécifié par la RFC 2698).
Configuration d’un trTCM en aveugle couleur
[edit firewall three-color-policer foo]
two-rate {
color-blind;
committed-information-rate 50m;
committed-burst-size 1500;
peak-information-rate 100m;
peak-burst-size 3k;
}
Vous pouvez appliquer le policer tricolore à deux débits comme suit :
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
Vous avez également la possibilité d’appliquer le contrôle au niveau des ports physiques comme suit :
[edit interfaces so-0/1/0 layer2-policer] input-three-color foo;
Configuration d’un trTCM capable de prendre en compte les couleurs
[edit firewall three-color-policer bar]
two-rate {
color-aware;
committed-information-rate 50m;
committed-burst-size 1500;
peak-information-rate 100m;
peak-burst-size 3k;
}
Vous pouvez appliquer le policer tricolore à deux débits comme suit :
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color bar;
Vous avez également la possibilité d’appliquer le contrôle au niveau des ports physiques comme suit :
[edit interfaces so-0/1/0 layer2-policer] input-three-color bar;