Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Mécanismes de contrôle tricolores de base à taux unique

Vue d’ensemble du mécanisme de contrôle tricolore à débit unique

Un mécanisme de contrôle tricolore à débit unique définit une limite de bande passante et une taille de rafale maximale pour le trafic garanti, ainsi qu’une seconde taille de rafale pour les pics de trafic. Un mécanisme de contrôle tricolore à débit unique est particulièrement utile lorsqu’un service est structuré en fonction de la longueur des paquets et non du taux d’arrivée des pics.

La fonction de police tricolore à débit unique mesure un flux de trafic en fonction des critères de trafic configurés suivants :

  • Débit d’information garanti (CIR) : limite de bande passante pour le trafic garanti.

  • Committed burst size (CBS) : taille de paquet maximale autorisée pour les rafales de données qui dépassent le CIR.

  • Excess burst size (EBS) : taille maximale des paquets autorisée pour les pics de trafic.

Le marquage tricolore à débit unique (TCM à débit unique) classe le trafic comme appartenant à l’une des trois catégories de couleurs suivantes et effectue des actions de contrôle d’encombrement sur les paquets en fonction du marquage par couleur :

  • Vert : trafic conforme à la limite de bande passante ou à la taille de rafale pour le trafic garanti (CIR ou CBS). Dans le cas d’un flux de trafic vert, le débit unique marque les paquets d’une priorité de perte implicite de low et transmet les paquets.

  • Jaune : trafic qui dépasse à la fois la limite de bande passante et la taille de rafale pour le trafic garanti (CIR et CBS), mais pas la taille de rafale pour le trafic de pointe (EBS). Dans le cas d’un flux de trafic jaune, single-rate marque les paquets avec une priorité de perte implicite de medium-high et transmet les paquets.

  • Rouge : le trafic qui dépasse la taille de rafale pour le trafic de pointe (EBS ) marque les paquets avec une priorité de perte implicite de high et, éventuellement, rejette les paquets.

Si un encombrement se produit en aval, les paquets ayant une priorité de perte plus élevée sont plus susceptibles d’être ignorés.

REMARQUE :

Pour les mécanismes de contrôle tricolore à débit unique et à deux débits, la seule action configurable consiste à ignorer les paquets dans un flux de trafic rouge.

L’action discard d’un mécanisme de contrôle de marquage tricolore pour un filtre de pare-feu est prise en charge sur les routeurs M120, les routeurs M320 avec FPC Enhanced-III, les routeurs M7i et M10i avec CFEB-E amélioré et les routeurs MX Series avec MPC, il n’est donc pas nécessaire d’inclure l’instruction logical-interface-policer correspondante.

Exemple : Configuration d’un mécanisme de contrôle tricolore à taux unique

Cet exemple montre comment configurer un mécanisme de contrôle tricolore à taux unique.

Conditions préalables

Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.

Présentation

Un mécanisme de contrôle tricolore à débit unique mesure un flux de trafic par rapport à une limite de bande passante et à une limite de taille de rafale pour le trafic garanti, ainsi qu’à une seconde limite de taille de rafale pour l’excès de trafic. Le trafic qui respecte les limites de trafic garanti est classé en vert, et le trafic non conforme appartient à l’une des deux catégories suivantes :

  • Le trafic non conforme qui ne dépasse pas la taille de rafale pour le trafic excédentaire est classé en jaune.

  • Le trafic non conforme qui dépasse la taille de rafale pour un trafic excédentaire est classé en rouge.

Chaque catégorie est associée à une action. Pour le trafic vert, les paquets sont implicitement définis avec une valeur de priorité de perte de low puis transmis. Pour le trafic jaune, les paquets sont implicitement définis avec une valeur de priorité de perte de medium-high puis transmis. Pour le trafic rouge, les paquets sont implicitement définis avec une valeur de priorité de perte de high puis transmis. Si la configuration du mécanisme de contrôle inclut l’instruction facultative action (action loss-priority high then discard), les paquets d’un flux rouge sont ignorés à la place.

Vous pouvez appliquer un mécanisme de contrôle tricolore au trafic de couche 3 en tant que mécanisme de contrôle des filtres de pare-feu uniquement. Vous référencez le mécanisme de contrôle à partir d’un terme de filtre de pare-feu sans état, puis vous appliquez le filtre à l’entrée ou à la sortie d’une interface logique au niveau du protocole.

Topologie

Dans cet exemple, vous appliquez un mécanisme de contrôle tricolore à débit unique sensible aux couleurs au trafic IPv4 d’entrée au niveau de l’interface ge-2/0/5.0logique . Le terme de filtre de pare-feu IPv4 qui fait référence au mécanisme de contrôle n’applique aucun filtrage de paquets. Le filtre est utilisé uniquement pour appliquer le mécanisme de contrôle tricolore à l’interface.

Vous configurez le mécanisme de contrôle pour limiter le trafic à une limite de bande passante de 40 Mbits/s et à une limite de taille de rafale de 100 Ko pour le trafic vert, mais également pour le trafic jaune. Seul le trafic non conforme qui dépasse la limite de taille de rafale maximale est classé en rouge. Dans cet exemple, vous allez configurer l’action loss-priority high then discardde contrôle tricolore , qui remplace le marquage implicite du trafic rouge par une high priorité de perte.

Configuration

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.

Pour configurer cet exemple, effectuez les tâches suivantes :

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.

Configuration d’un mécanisme de contrôle tricolore à taux unique

Procédure étape par étape

Pour configurer un mécanisme de contrôle tricolore à taux unique :

  1. Activez la configuration d’un mécanisme de contrôle tricolore.

  2. Configurez le mode colorimétrique du mécanisme de contrôle tricolore à débit unique.

  3. Configurez les limites de trafic garanties à débit unique.

  4. Configurez la limite de taille de rafale à débit unique utilisée pour classer le trafic non conforme.

  5. (Facultatif) Configurez l’action pour le trafic non conforme.

    Pour les mécanismes de contrôle tricolores, la seule action configurable consiste à ignorer les paquets dans un flux de trafic rouge. Dans cet exemple, les paquets d’un flux de trafic rouge ont été implicitement marqués d’un high niveau de priorité de perte de paquets (PLP), car le flux de trafic a dépassé la limite de débit définie par la limite de débit unique (spécifiée par l’instruction) et la limite de taille de rafale supérieure (spécifiée par l’instruction committed-information-rate 40mexcess-burst-size 200k ). Étant donné que l’instruction facultative action est incluse, cet exemple prend l’action la plus sévère de rejeter les paquets dans un flux de trafic rouge.

Résultats

Confirmez la configuration du mécanisme de contrôle hiérarchique en entrant la show firewall commande de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration d’un filtre de pare-feu sans état IPv4 qui fait référence au mécanisme de contrôle

Procédure étape par étape

Pour configurer un filtre de pare-feu sans état standard qui fait référence au mécanisme de contrôle :

  1. Activez la configuration d’un filtre de pare-feu sans état standard IPv4.

  2. Spécifiez le terme de filtre qui fait référence au mécanisme de contrôle.

    Notez que le terme ne spécifie aucune condition de correspondance. Le filtre de pare-feu transmet tous les paquets au mécanisme de contrôle.

Résultats

Confirmez la configuration du filtre de pare-feu en entrant la show firewall commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Application du filtre à l’interface logique

Procédure étape par étape

Pour appliquer le filtre à l’interface logique :

  1. (routeurs MX Series uniquement) (Facultatif) Reclassez tous les paquets entrants sur l’interface ge-2/0/5.0 logique en transfert assuré, quelle que soit la classification préexistante.

    Le nom du classificateur peut être un classificateur configuré ou l’un des classificateurs par défaut.

  2. Activez la configuration de l’interface logique.

  3. Configurez une adresse IP.

  4. Référencez le filtre en tant que filtre d’entrée.

Résultats

Confirmez la configuration de l’interface en entrant les commandes et show class-of-serviceshow interfaces en mode de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Affichage des filtres de pare-feu appliqués à l’interface logique

But

Vérifiez que le filtre de pare-feu est appliqué au trafic d’entrée IPv4 au niveau de l’interface logique.

Action

Utilisez la show interfaces commande mode opérationnel pour l’interface ge-2/0/5.0logique et spécifiez detail le mode. La Protocol inet section de la sortie de la commande affiche les informations IPv4 de l’interface logique. Dans cette section, le Input Filters champ affiche le nom du filtre de pare-feu appliqué au trafic d’entrée IPv4 au niveau de l’interface logique.