Mécanismes de contrôle hiérarchiques
Vue d’ensemble du mécanisme de contrôle hiérarchique
Vous pouvez utiliser un mécanisme de contrôle hiérarchique pour limiter le débit du trafic entrant de couche 2 au niveau d’une interface physique ou logique et appliquer différentes mesures de contrôle selon que les paquets sont classés pour le transfert accéléré (EF) ou pour une priorité inférieure.
Le contrôle hiérarchique est pris en charge sur les routeurs de périphérie M40 E, M120 et M320 avec des concentrateurs PIC flexibles (FPC) entrants comme SFPC et des FPC sortants comme FFPC, et sur les routeurs centraux MX Series, ACX7100-L, T320, T640 et T1600avec des PIC IQE (Enhanced Intelligent Queuing).
Vous pouvez appliquer un contrôle hiérarchique à une interface logique.
Une configuration de mécanisme de contrôle hiérarchique définit deux mécanismes de contrôle, l’un pour le trafic EF uniquement et l’autre pour le trafic non-EF, qui fonctionnent de manière hiérarchique :
-
Mécanisme de contrôle Premium : vous configurez le mécanisme de contrôle Premium avec des limites de trafic pour le trafic EF de haute priorité uniquement : une bande passante garantie et une limite de taille de rafale correspondante. Le trafic EF est classé comme non conforme lorsque son taux d’arrivée moyen dépasse la bande passante garantie et que la taille moyenne des paquets dépasse la limite de taille de rafale premium. Dans le cas d’un mécanisme de contrôle Premium, la seule action configurable pour le trafic non conforme consiste à ignorer les paquets.
-
Mécanisme de contrôle d’agrégation : vous configurez le mécanisme de contrôle d’agrégation avec une bande passante agrégée (pour prendre en charge à la fois le trafic EF à priorité élevée jusqu’à la bande passante garantie et le trafic non-EF à priorité normale) et une limite de taille de rafale pour le trafic non-EF uniquement. Le trafic non-EF est classé comme non conforme lorsque son taux d’arrivée moyen dépasse la quantité de bande passante agrégée non consommée actuellement par le trafic EF et que sa taille moyenne de paquet dépasse la limite de taille de rafale définie dans le mécanisme de contrôle d’agrégation. Pour un mécanisme de contrôle d’agrégation, les actions configurables pour le trafic non conforme consistent à rejeter les paquets, à affecter une classe de transfert ou à attribuer un niveau de priorité de perte de paquets (PLP).
Vous devez configurer la limite de bande passante du mécanisme de contrôle Premium au niveau ou en dessous de la limite de bande passante du mécanisme de contrôle d’agrégation. Si les deux limites de bande passante sont égales, le trafic non-EF traverse l’interface sans aucune restriction, alors qu’aucun trafic EF n’arrive à l’interface.
Le trafic EF se voit garantir la bande passante spécifiée comme limite de bande passante premium, tandis que le trafic non-EF est limité à la quantité de bande passante agrégée qui n’est pas actuellement consommée par le trafic EF. Le trafic non-EF est limité à la totalité de la bande passante agrégée uniquement tant qu’il n’y a pas de trafic EF.
Par exemple, supposons que vous configuriez un mécanisme de contrôle hiérarchique avec les composants suivants :
-
Mécanisme de contrôle Premium avec une limite de bande passante définie sur 2 Mbit/s, une limite de taille de rafale définie sur 3 000 octets et une action non conforme définie sur la suppression des paquets.
-
Mécanisme de contrôle d’agrégation avec une limite de bande passante définie sur 10 Mbit/s, une limite de taille de rafale définie sur 3000 octets et une action non conforme définie sur la suppression des paquets.
Le trafic EF est garanti une bande passante de 2 Mbit/s. Les rafales de trafic EF, c’est-à-dire le trafic EF qui arrive à l’interface à des débits supérieurs à 2 Mbit/s, peuvent également passer par l’interface, à condition que suffisamment de jetons soient disponibles dans le compartiment de 3 000 octets. Lorsqu’aucun jeton n’est disponible pour une rafale de trafic non-EF, les paquets sont limités en débit à l’aide d’actions de contrôle pour le mécanisme de contrôle Premium.
Le trafic non-EF est mesuré à une limite de bande passante comprise entre 8 Mbit/s et 10 Mbit/s, en fonction du taux d’arrivée moyen du trafic EF. Les rafales de trafic non-EF, c’est-à-dire le trafic non-EF qui arrive à l’interface à des débits supérieurs à la limite actuelle pour le trafic non-EF, passent également par l’interface, à condition que suffisamment de jetons soient disponibles dans le compartiment de 3 000 octets. Lorsque le trafic non-EF dépasse la bande passante actuellement autorisée ou lorsqu’aucun jeton n’est disponible pour une rafale de trafic non-EF, les paquets sont limités en débit à l’aide d’actions de contrôle pour le mécanisme de contrôle d’agrégation.
Mécanismes de contrôle du pare-feu des services abonnés (appareils ACX7100-48L)
-
À partir de Junos Evolved version 23.4R1, vous pouvez configurer le mécanisme de contrôle hiérarchique sur les modèles d’accès DHCP et PPPoE au niveau des interfaces abonné, qui est activé lors de la connexion abonné ou CoA. Cette fonctionnalité prend en charge le contrôle du trafic à code couleur en fonction de la classification par couleur d’un paquet. La couleur des paquets est classée selon des critères de correspondance des paquets spécifiés pour deux classes de trafic définies par l’utilisateur. Reportez-vous à la section pour obtenir des exemples de configuration connexes et les limitations de la Exemple : Configuration d’un mécanisme de contrôle hiérarchique pour le pare-feu des services abonnés (appareils ACX7100-48L) fonctionnalité.
Voir également
Exemple : Configuration d’un mécanisme de contrôle hiérarchique
Cet exemple montre comment configurer un mécanisme de contrôle hiérarchique et l’appliquer au trafic entrant de couche 2 au niveau d’une interface logique sur une plate-forme prise en charge.
Conditions préalables
Avant de commencer, assurez-vous que votre environnement répond aux exigences suivantes :
L’interface sur laquelle vous appliquez le mécanisme de contrôle hiérarchique est une interface SONET hébergée sur l’une des plates-formes de routage suivantes :
Routeur de périphérie M40e, M120 ou M320 avec des FPC entrants comme SFPC et des FPC sortants comme FFPC.
MX Series, T320, T640 ou T1600 routeur central avec des PIC IQE (Enhanced Intelligent Queuing).
Aucun autre mécanisme de contrôle n’est appliqué à l’entrée de l’interface sur laquelle vous appliquez le mécanisme de contrôle hiérarchique.
Vous savez que, si vous appliquez le mécanisme de contrôle hiérarchique à une interface logique sur laquelle un filtre d’entrée est également appliqué, le mécanisme de contrôle est exécuté en premier.
Présentation
Dans cet exemple, vous allez configurer un mécanisme de contrôle hiérarchique et l’appliquer au trafic de couche 2 entrant au niveau d’une interface logique.
Topologie
Vous appliquez le mécanisme de contrôle à l’interface so-1/0/0.0logique SONET , que vous configurez pour le trafic IPv4 et VPLS. Lorsque vous appliquez le mécanisme de contrôle hiérarchique à cette interface logique, le trafic IPv4 et VPLS est hiérarchiquement limité en débit.
Vous pouvez également configurer l’interface so-1/0/0.1 logique pour le trafic MPLS. Si vous choisissez d’appliquer le mécanisme de contrôle hiérarchique à l’interface so-1/0/0physique , le contrôle hiérarchique s’applique au trafic IPv4 et VPLS au niveau et au trafic MPLS au so-1/0/0.1niveau so-1/0/0.0 .
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Définition des interfaces
- Définition des classes de transfert
- Configuration du mécanisme de contrôle hiérarchique
- Application du mécanisme de contrôle hiérarchique au trafic entrant de couche 2 au niveau d’une interface physique ou logique
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
set interfaces so-1/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces so-1/0/0 unit 0 family vpls set interfaces so-1/0/0 unit 1 family mpls set class-of-service forwarding-classes class fc0 queue-num 0 priority high policing-priority premium set class-of-service forwarding-classes class fc1 queue-num 1 priority low policing-priority normal set class-of-service forwarding-classes class fc2 queue-num 2 priority low policing-priority normal set class-of-service forwarding-classes class fc3 queue-num 3 priority low policing-priority normal set firewall hierarchical-policer policer1 aggregate if-exceeding bandwidth-limit 300m burst-size-limit 30k set firewall hierarchical-policer policer1 aggregate then forwarding-class fc1 set firewall hierarchical-policer policer1 premium if-exceeding bandwidth-limit 100m burst-size-limit 50k set firewall hierarchical-policer policer1 premium then discard set interfaces so-1/0/0 unit 0 layer2-policer input-hierarchical-policer policer1
Définition des interfaces
Procédure étape par étape
Pour définir les interfaces, procédez comme suit :
Activez la configuration de l’interface physique.
[edit] user@host# edit interfaces so-1/0/0
Configurez l’unité logique 0.
[edit interfaces so-1/0/0] user@host# set unit 0 family inet address 192.168.1.1/24 user@host# set unit 0 family vpls
Si vous appliquez un mécanisme de contrôle de couche 2 à cette interface logique, vous devez configurer au moins une famille de protocoles.
Configurer l’unité logique 1.
[edit interfaces so-1/0/0] user@host# set unit 1 family mpls
Résultats
Confirmez la configuration des interfaces en saisissant la commande de show interfaces configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show interfaces
so-1/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
family vpls;
}
unit 1 {
family mpls;
}
}
Définition des classes de transfert
Procédure étape par étape
Pour définir les classes de transfert référencées en tant qu’actions de mécanisme de contrôle d’agrégation :
Activez la configuration des classes de transfert.
[edit] user@host# edit class-of-service forwarding-classes
Définissez les classes de transfert.
[edit class-of-service forwarding-classes] user@host# set class fc0 queue-num 0 priority high policing-priority premium user@host# set class fc1 queue-num 1 priority low policing-priority normal user@host# set class fc2 queue-num 2 priority low policing-priority normal user@host# set class fc3 queue-num 3 priority low policing-priority normal
Résultats
Confirmez la configuration des classes de transfert référencées en tant qu’actions de contrôle d’agrégation en entrant la show class-of-service commande de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show class-of-service
forwarding-classes {
class fc0 queue-num 0 priority high policing-priority premium;
class fc1 queue-num 1 priority low policing-priority normal;
class fc2 queue-num 2 priority low policing-priority normal;
class fc3 queue-num 3 priority low policing-priority normal;
}
Configuration du mécanisme de contrôle hiérarchique
Procédure étape par étape
Pour configurer un mécanisme de contrôle hiérarchique, procédez comme suit :
Activez la configuration du mécanisme de contrôle hiérarchique.
[edit] user@host# edit firewall hierarchical-policer policer1
Configurez le mécanisme de contrôle d’agrégation.
[edit firewall hierarchical-policer policer1] user@host# set aggregate if-exceeding bandwidth-limit 300m burst-size-limit 30k user@host# set aggregate then forwarding-class fc1
Pour le mécanisme de contrôle d’agrégation, les actions configurables pour un paquet dans un flux non conforme consistent à ignorer le paquet, à modifier la priorité de perte ou à modifier la classe de transfert.
Configurez le mécanisme de contrôle Premium.
[edit firewall hierarchical-policer policer1] user@host# set premium if-exceeding bandwidth-limit 100m burst-size-limit 50k user@host# set premium then discard
La limite de bande passante du mécanisme de contrôle Premium ne doit pas être supérieure à celle du mécanisme de contrôle agrégé.
Pour le mécanisme de contrôle Premium, la seule action configurable pour un paquet dans un flux de trafic non conforme consiste à ignorer le paquet.
Résultats
Confirmez la configuration du mécanisme de contrôle hiérarchique en entrant la show firewall commande de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show firewall
hierarchical-policer policer1 {
aggregate {
if-exceeding {
bandwidth-limit 300m;
burst-size-limit 30k;
}
then {
forwarding-class fc1;
}
}
premium {
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 50k;
}
then {
discard;
}
}
}
Application du mécanisme de contrôle hiérarchique au trafic entrant de couche 2 au niveau d’une interface physique ou logique
Procédure étape par étape
Pour limiter hiérarchiquement le trafic entrant de couche 2 pour le trafic IPv4 et VPLS uniquement sur l’interface logique , référencez le mécanisme de contrôle à partir de la configuration de l’interface so-1/0/0.0logique :
Activez la configuration de l’interface logique.
[edit] user@host# edit interfaces so-1/0/0 unit 0
Lorsque vous appliquez un mécanisme de contrôle au trafic de couche 2 au niveau d’une interface logique, vous devez définir au moins une famille de protocoles pour l’interface logique.
Appliquez le mécanisme de contrôle à l’interface logique.
[edit] user@host# set layer2-policer input-hierarchical-policer policer1
Pour limiter hiérarchiquement le trafic entrant de couche 2 pour toutes les familles de protocoles et pour toutes les interfaces logiques configurées sur l’interface physique , vous pouvez également référencer le mécanisme de contrôle à partir de la configuration de l’interface
so-1/0/0physique.
Résultats
Confirmez la configuration du mécanisme de contrôle hiérarchique en entrant la show interfaces commande de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show interfaces
so-1/0/0 {
unit 0 {
layer2-policer {
input-hierarchical-policer policer1;
}
family inet {
address 192.168.1.1/24;
}
family vpls;
}
unit 1 {
family mpls;
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Affichage des statistiques de trafic et des mécanismes de contrôle pour l’interface logique
- Affichage des statistiques pour le mécanisme de contrôle
Affichage des statistiques de trafic et des mécanismes de contrôle pour l’interface logique
But
Vérifiez que le flux de trafic passe par l’interface logique et que le mécanisme de contrôle est évalué lorsque des paquets sont reçus sur l’interface logique.
Action
Utilisez la commande mode opérationnel pour l’interface logique et incluez l’option show interfacesdetail ouextensive.so-1/0/0.0 La section de sortie de commande répertorie le nombre d’octets et de paquets reçus et transmis sur l’interface logique, et la section contient un Policer champ qui répertorie Traffic statistics le mécanisme de contrôle en tant que mécanisme de contrôle policer1 d’entrée Protocol inet ou de sortie, comme suit :
Input: policer1-so-1/0/0.0-inet-i
Output: policer1-so-1/0/0.0-inet-o
Dans cet exemple, le mécanisme de contrôle s’applique au trafic de l’interface logique dans la direction d’entrée uniquement.
Affichage des statistiques pour le mécanisme de contrôle
But
Vérifiez le nombre de paquets évalués par le mécanisme de contrôle.
Action
Utilisez la commande mode show policer opérationnel et spécifiez éventuellement le nom du mécanisme de contrôle. La sortie de la commande affiche le nombre de paquets évalués par chaque mécanisme de contrôle configuré (ou le mécanisme de contrôle spécifié), dans chaque direction. Pour le mécanisme de contrôle, policer1les noms des mécanismes de contrôle d’entrée et de sortie s’affichent comme suit :
policer1-so-1/0/0.0-inet-i
policer1-so-1/0/0.0-inet-o
Le -inet-i suffixe indique un mécanisme de contrôle appliqué au trafic d’entrée IPv4, tandis que le -inet-o suffixe indique un mécanisme de contrôle appliqué au trafic de sortie IPv4. Dans cet exemple, le mécanisme de contrôle s’applique uniquement au trafic d’entrée.
Exemple : Configuration d’un mécanisme de contrôle hiérarchique pour le pare-feu des services abonnés (appareils ACX7100-48L)
Cet exemple montre comment configurer un mécanisme de contrôle hiérarchique et l’appliquer au trafic entrant au niveau d’une interface d’abonné sur une plate-forme prise en charge (ACX7100-48L).
Présentation
À partir de Junos Evolved version 23.4R1, vous pouvez configurer des mécanismes de contrôle hiérarchiques et les appliquer au trafic entrant au niveau d’une interface d’abonné. Cette fonctionnalité est prise en charge sur les appareils ACX7100-48L.
-
Le mécanisme de contrôle hiérarchique des services abonnés présente les limitations suivantes :
-
Vous ne pouvez configurer que quatre niveaux de mécanismes de contrôle hiérarchique, chaque niveau ayant une configuration agrégée et premium.
-
Les mécanismes de contrôle d’interface logique et d’agrégation ne sont pas pris en charge pour les services d’abonné.
- La priorité de contrôle définie dans la classe de transfert n’est pas prise en charge. Par exemple :
class-of-service { forwarding-classes { class BestEffort queue-num 0 priority low policing-priority normal; } } next termn’est autorisé que pour les mécanismes de contrôle hiérarchiques et non pour les filtres.- L’attachement de mécanismes de contrôle directement à une interface ou à une famille n’est pas pris en charge. Les mécanismes de contrôle sont pris en charge uniquement par l’action de filtre du pare-feu.
- L’action du mécanisme de contrôle n’est pas prise en charge dans les entrées et les sorties. L’action
forwarding-classest prise en charge dans les entrées.loss-priority highSeulediscardl’action est prise en charge dans la sortie. - Il est impossible d’avoir
loss-priorityune seule stratégie etpolicerdes actions configurées. Une seule des deux actions est prise en charge à un moment donné. filter-specificn’est pas prise en charge dans la configuration du mécanisme de contrôle.- Les mécanismes de contrôle hiérarchiques et tricolores ne sont pas pris en charge dans le sens de sortie.
-
La fonctionnalité de chaînage des termes de filtre n’est pas disponible.
-
Les mécanismes de contrôle tricolores et hiérarchiques ne sont pas pris en charge dans le sens de la sortie.
-
Scénarios de configuration
La section suivante présente les différentes configurations des différentes options de mécanisme de contrôle hiérarchique :
- Configuration du mécanisme de contrôle de marquage bicolore à taux unique Configuration du mécanisme de contrôle de marquage tricolore à taux unique
- Mécanismes de contrôle de marquage tricolore à deux taux
- Mécanismes de contrôle hiérarchique pour DHCP et PPPoE
Configuration du mécanisme de contrôle de marquage bicolore à taux unique
Vous pouvez configurer le mécanisme de contrôle de marquage bicolore à débit unique sur les modèles d’accès DHCP et PPPoE. La configuration est activée lors de la connexion abonné ou CoA. Affichez la configuration en entrant la show dynamic-profiles pppoe-client-policer-1-profile commande. Voici un exemple de configuration :
[edit]
root@bng-controller# show dynamic-profiles pppoe-client-policer-1-profile
variables {
downstream-inet uid;
upstream-inet uid;
HPolicer-in uid;
HPolicer-out uid;
}
interfaces {
pp0 {
unit "$junos-interface-unit" {
actual-transit-statistics;
no-traps;
ppp-options {
chap;
pap;
}
pppoe-options {
underlying-interface "$junos-underlying-interface";
server;
}
keepalives interval 30;
family inet {
filter {
input "$upstream-inet";
output "$downstream-inet";
}
unnumbered-address lo0.0;
}
family inet6 {
unnumbered-address lo0.0;
}
}
}
}
firewall
{
family inet
{
filter "$downstream-inet"
{
interface-specific;
term t1 {
from {
source-port 80;
}
then {
policer "$HPolicer-in";
accept;
}
}
}
filter "$upstream-inet" {
interface-specific;
term t1 {
from {
source-port 80;
}
then {
policer "$HPolicer-out";
accept;
}
}
}
}
policer "$HPolicer-in" {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 5k;
}
then discard;
}
policer "$HPolicer-out" {
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 10k;
}
then discard;
}
}
Vous pouvez configurer le mécanisme de contrôle de marquage tricolore à débit unique sur les modèles d’accès DHCP et PPPoE. Il est activé lors de la connexion abonné ou CoA. Affichez la configuration en entrant la show dynamic-profiles pppoe-client-policer-1-profile commande. Voici un exemple de configuration :
[edit]
user@bng-controller# show dynamic-profiles pppoe-client-policer-2-profile | no-more
variables
{
downstream-inet uid;
upstream-inet uid;
HPolicer-in uid;
HPolicer-out uid;
}
interfaces
{
pp0
{
unit "$junos-interface-unit" {
actual-transit-statistics;
no-traps;
ppp-options
{
chap;
pap;
}
pppoe-options
{
underlying-interface "$junos-underlying-interface";
server;
}
keepalives interval 30;
family inet {
filter {
input "$upstream-inet";
output "$downstream-inet";
}
unnumbered-address lo0.0;
}
family inet6 {
unnumbered-address lo0.0;
}
}
}
}
firewall {
family inet {
filter "$downstream-inet" {
interface-specific;
term t1 {
from {
source-port 80;
}
then {
policer "$HPolicer-out";
accept;
}
}
}
filter "$upstream-inet" {
interface-specific;
term t1 {
from {
source-port 80;
}
then {
three-color-policer {
single-rate "$HPolicer-in";
}
count three-color-policer-count;
accept;
}
}
}
}
policer "$HPolicer-out" {
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 10k;
}
then discard;
}
three-color-policer "$HPolicer-in" {
action {
loss-priority high then discard;
}
single-rate {
color-blind;
committed-information-rate 5m;
committed-burst-size 5k;
excess-burst-size 15k;
}
}
}
Mécanismes de contrôle de marquage tricolore à deux taux
Vous pouvez configurer un mécanisme de contrôle de marquage tricolore à deux taux sur les modèles d’accès DHCP et PPPoE. Il est activé lors de la connexion abonné ou CoA.
Dans cette section, vous pouvez voir un exemple de configuration de profil dynamique sur le point de contrôleur. Le contenu d’un profil dynamique est propagé lors de la connexion de l’abonné pour un profil client ou lors de l’activation d’un profil de service. Affichez la configuration en entrant la show dynamic-profiles pppoe-client-policer-1-profile commande. Voici un exemple de configuration :
[edit]
root@bng-controller# show dynamic-profiles pppoe-client-policer-3-profile | no-more
variables {
downstream-inet uid;
upstream-inet uid;
HPolicer-in uid;
HPolicer-out uid;
}
interfaces {
pp0 {
unit "$junos-interface-unit" {
actual-transit-statistics;
no-traps;
ppp-options {
chap;
pap;
}
pppoe-options {
underlying-interface "$junos-underlying-interface";
server;
}
keepalives interval 30;
family inet {
filter {
input "$upstream-inet";
output "$downstream-inet";
}
unnumbered-address lo0.0;
}
family inet6 {
unnumbered-address lo0.0;
}
}
}
}
firewall {
family inet {
filter "$downstream-inet" {
interface-specific;
term t1 {
from {
source-port 80;
}
then {
policer "$HPolicer-out";
accept;
}
}
}
filter "$upstream-inet" {
interface-specific;
term t1 {
from {
source-port 80;
}
then {
three-color-policer {
two-rate "$HPolicer-in";
}
count three-color-policer-count;
accept;
}
}
}
}
policer "$HPolicer-out" {
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 10k;
}
then discard;
}
three-color-policer "$HPolicer-in" {
action {
loss-priority high then discard;
}
two-rate {
color-blind;
committed-information-rate 5m;
committed-burst-size 5k;
peak-information-rate 10m;
peak-burst-size 10k;
}
}
}
Mécanismes de contrôle hiérarchique pour DHCP et PPPoE
Dans cette section, vous pouvez voir un exemple de configuration de profil dynamique au niveau du point de contrôleur sur les modèles d’accès DHCP et PPPoE. Le contenu d’un profil dynamique est propagé lors de la connexion de l’abonné pour un profil client ou lors de l’activation d’un profil de service. Affichez la configuration en entrant la show dynamic-profiles pppoe-client-policer-1-profile commande. Voici un exemple de configuration :
[edit]
user@host# show dynamic-profiles pppoe-client-policer-4-profile
variables {
downstream-inet uid;
upstream-inet uid;
HPolicer-in uid;
HPolicer-out uid;
P0-IN uid;
P1-IN uid;
P2-IN uid;
Session-IN uid;
}
interfaces {
pp0 {
unit "$junos-interface-unit" {
actual-transit-statistics;
no-traps;
ppp-options {
chap;
pap;
}
pppoe-options {
underlying-interface "$junos-underlying-interface";
server;
}
keepalives interval 30;
family inet {
filter {
input "$upstream-inet";
output "$downstream-inet";
}
unnumbered-address lo0.0;
}
family inet6 {
unnumbered-address lo0.0;
}
}
}
}
firewall {
family inet {
filter "$downstream-inet" {
interface-specific;
term t1 {
from {
source-port 80;
}
then {
policer "$HPolicer-out";
accept;
}
}
}
filter "$upstream-inet" {
interface-specific;
term P0-Aggregate {
from {
dscp 46;
}
then {
hierarchical-policer "$P0-IN";
next term;
}
}
term P1-Premium {
from {
dscp [ 46 22 ];
}
then {
force-premium;
next term;
}
}
term P1-Aggregate {
from {
dscp [ 46 22 ];
}
then {
hierarchical-policer "$P1-IN";
next term;
}
}
term P2-Premium {
from {
dscp [ 46 22 56 ];
}
then {
force-premium;
next term;
}
}
term P2-Aggregate {
from {
dscp [ 46 22 56 ];
}
then {
hierarchical-policer "$P2-IN";
next term;
}
}
term final-Premium {
from {
dscp [ 46 22 56 00 ];
}
then {
force-premium;
next term;
}
}
term final {
then {
hierarchical-policer "$Session-IN";
accept;
}
}
}
}
policer "$HPolicer-out" {
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 10k;
}
then discard;
}
hierarchical-policer "$HPolicer-in" {
aggregate {
if-exceeding {
bandwidth-limit 30m;
burst-size-limit 30k;
}
then {
loss-priority high;
}
}
premium {
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 10k;
}
then {
discard;
}
}
}
hierarchical-policer "$P0-IN" {
logical-interface-policer;
aggregate {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 5k;
}
then {
discard;
}
}
premium {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 5k;
}
then {
discard;
}
}
}
hierarchical-policer "$P1-IN" {
logical-interface-policer;
aggregate {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 5k;
}
then {
discard;
}
}
premium {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 5k;
}
then {
discard;
}
}
}
hierarchical-policer "$P2-IN" {
logical-interface-policer;
aggregate {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 5k;
}
then {
discard;
}
}
premium {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 5k;
}
then {
discard;
}
}
}
hierarchical-policer "$Session-IN" {
logical-interface-policer;
aggregate {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 5k;
}
then {
discard;
}
}
premium {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 5k;
}
then {
discard;
}
}
}
}
Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.