Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Policers double couleur à double vitesse de base

Présentation des policeurs à deux couleurs à vitesse unique

Le contrôle à débit unique à deux couleurs applique un débit configuré de flux de trafic pour un niveau de service particulier en appliquant des actions implicites ou configurées au trafic non conforme aux limites. Lorsque vous appliquez un policer à débit unique à deux couleurs au trafic d’entrée ou de sortie à une interface, le policer mètres le flux de trafic à la limite de débit définie par les composants suivants:

  • Limite de bande passante: le nombre moyen de bits par seconde autorisés pour les paquets reçus ou transmis à l’interface. Vous pouvez spécifier la limite de bande passante en tant que nombre absolu de bits par seconde ou en pourcentage, de 1 à 100. Si une valeur en pourcentage est spécifiée, la limite de bande passante effective est calculée en pourcentage du débit moyen d’interface physique ou du débit de mise en forme configuré par l’interface logique.

  • Limite de paquets par seconde (pps) (MX Series avec MPC uniquement): le nombre moyen de paquets par seconde autorisés pour les paquets reçus ou transmis à l’interface. Vous spécifiez la limite pps comme nombre absolu de paquets par seconde.

  • Limite de taille d’rafale: la taille maximale autorisée pour les rafales de données.

  • Limitation des rafales de paquets–

Pour un flux de trafic conforme aux limites configurées (catégorisés comme trafic écologique), les paquets sont implicitement marqués d’un niveau de priorité de perte de paquets (PLP) de et sont autorisés à passer par l’interface sans low restriction.

Pour un flux de trafic qui dépasse les limites configurées (catégorisés comme trafic rouge), les paquets sont gérés conformément aux actions de contrôle du trafic configurées pour le dispositif de contrôle. Il peut s’agir de rejeter le paquet, ou encore de marquer à nouveau le paquet avec une classe de transmission spécifiée, un PLP spécifié ou les deux, puis de transmettre le paquet.

Pour limiter le trafic de couche 3, vous pouvez appliquer un policer en deux couleurs des façons suivantes:

  • Directement sur une interface logique, au niveau du protocole spécifique.

  • Comme action d’un filtre de pare-feu sans état standard appliqué à une interface logique, à un niveau de protocole spécifique.

Pour limiter le trafic de couche 2, vous pouvez uniquement appliquer un policer en deux couleurs en tant que policer d’interface logique. Vous ne pouvez pas appliquer un policeur deux couleurs au trafic de couche 2 via un filtre de pare-feu.

Exemple: Limitation du trafic entrant à la bordure de votre réseau en configurant un policer à deux couleurs à entrée unique

Cet exemple vous montre comment configurer un policeur double couleur à fréquence unique pour filtrer le trafic entrant. Le policer applique la stratégie de classe de service (CoS) pour le trafic en contrat et hors contrat. Vous pouvez appliquer un policeur double couleur à une seule vitesse aux paquets entrants, aux paquets sortants, ou les deux. Cet exemple applique le policer en tant que policer d’entrée (entrée). L’objectif de ce sujet est de vous présenter le contrôle en utilisant un exemple de contrôle du trafic en action.

Les agents de police utilisent un concept appelé un seau de jeton pour allouer des ressources système en fonction des paramètres définis pour le dispositif de contrôle. Une explication détaillée du concept de seau de jeton et de ses algorithmes sous-jacents dépasse la portée de ce document. Pour plus d’informations sur le contrôle du trafic et CoS en général, reportez-vous aux réseaux QOS-Enabled Networks—Tools and Foundations de Miguel Barreiros et Peter Lundqvist. Ce livre est disponible chez de nombreux revendeurs en ligne et chez www.juniper.net/books.

Conditions préalables

Pour vérifier cette procédure, cet exemple utilise un générateur de trafic. Le générateur de trafic peut être basé sur le matériel ou s’exécutant sur un serveur ou une machine hôte.

La fonctionnalité de cette procédure est largement prise en charge sur les équipements qui s’exécutent Junos OS. L’exemple présenté ici a été testé et vérifié sur MX Series exécutant Junos OS version 10.4.

Présentation

Le contrôle à débit unique à double couleur applique un débit configuré de flux de trafic pour un niveau de service particulier en appliquant des actions implicites ou configurées au trafic non conforme aux limites. Lorsque vous appliquez un policer à débit unique à deux couleurs au trafic d’entrée ou de sortie à une interface, le policer mètres le flux de trafic à la limite de débit définie par les composants suivants:

  • Limite de bande passante: le nombre moyen de bits par seconde autorisés pour les paquets reçus ou transmis à l’interface. Vous pouvez spécifier la limite de bande passante en tant que nombre absolu de bits par seconde ou en pourcentage, de 1 à 100. Si une valeur en pourcentage est spécifiée, la limite de bande passante effective est calculée en pourcentage du débit moyen d’interface physique ou du débit de mise en forme configuré par l’interface logique.

  • Limite de taille d’rafale: la taille maximale autorisée pour les rafales de données. La taille des rafales se mesure en octets. Nous vous recommandons deux formules pour le calcul de la taille de la rafale:

    Taille d’rafale = bande passante x temps disponible pour la rafale de trafic / 8

    Ou

    Taille de rafale = mtu d’interface x 10

    Pour plus d’informations sur la configuration de la taille de la rafale, consultez la définition de la taille de rafale appropriée pour les policers de trafic.

    Remarque :

    L’espace tampon d’une interface est limité. En général, la profondeur tampon totale d’une interface est d’environ 125 ms.

Pour un flux de trafic conforme aux limites configurées (catégorisés comme trafic écologique), les paquets sont implicitement marqués d’un niveau de priorité de perte de paquets (PLP) de faible et sont autorisés à passer par l’interface sans restriction.

Pour un flux de trafic qui dépasse les limites configurées (catégorisés comme trafic rouge), les paquets sont gérés conformément aux actions de contrôle du trafic configurées pour le dispositif de contrôle. Cet exemple écarte les paquets qui ont explosé la limite de 15 Kbits/s.

Pour limiter le trafic de couche 3, vous pouvez appliquer un policer en deux couleurs des façons suivantes:

  • Directement sur une interface logique, au niveau du protocole spécifique.

  • Comme action d’un filtre de pare-feu sans état standard appliqué à une interface logique, à un niveau de protocole spécifique. C’est la technique utilisée dans cet exemple.

Pour limiter le trafic de couche 2, vous pouvez uniquement appliquer un policer en deux couleurs en tant que policer d’interface logique. Vous ne pouvez pas appliquer un policeur deux couleurs au trafic de couche 2 via un filtre de pare-feu.

ATTENTION :

Vous pouvez choisir la limite de bande passante ou le pourcentage de bande passante dans le système de policer, car ces limites sont mutuellement exclusives. Vous ne pouvez pas configurer un policer pour utiliser une bande passante pour l’agrégation, le tunnel et les interfaces logicielles.

Dans cet exemple, l’hôte est un générateur de trafic qui simule un serveur Web. Les équipements R1 et R2 sont la propriété d’un fournisseur de services. Les utilisateurs de l’équipement Host2 accèdent au serveur Web. L’équipement Host1 envoie le trafic avec un port HTTP TCP source de 80 aux utilisateurs. Un dispositif de policer à une vitesse unique et deux couleurs est configuré et appliqué à l’interface de l’équipement R1 qui se connecte à l’équipement Hôte1. Le dispositif de contrôle applique la disponibilité contractuelle de la bande passante entre le propriétaire du serveur Web et le fournisseur de services propriétaire de l’équipement R1 pour le trafic Web qui passe par le lien qui relie l’équipement Host1 au périphérique R1.

Conformément à la disponibilité contractuelle de la bande passante entre le propriétaire du serveur Web et le fournisseur de services propriétaire des équipements R1 et R2, le dispositif de contrôle limitera le trafic de port HTTP 80 provenant de l’équipement Host1 à 700 Mbits/s (70 %) de la bande passante disponible, avec un débit de 10 x la taille MTU de l’interface Gigabit Ethernet entre l’équipement hôte Host1 et l’équipement R1.

Remarque :

Dans un scénario réel, vous êtes probablement également en mesure de limiter le trafic sur de nombreux autres ports, tels que FTP, SFTP, SSH, TELNET, SMTP, IMAP et POP3, car ils sont souvent inclus comme services supplémentaires avec des services d’hébergement Web.

Remarque :

Vous devez laisser une bande passante supplémentaire disponible qui n’est pas limitée par le débit pour les protocoles de contrôle du réseau, tels que les protocoles de routage, les DNS et tout autre protocole nécessaire pour assurer le fonctionnement de la connectivité réseau. C’est pourquoi le filtre de pare-feu a une condition d’acceptation finale.

Topologie

Cet exemple utilise la topologie dans Figure 1 .

Figure 1 : Scénario de policer deux couleurs à vitesse uniqueScénario de policer deux couleurs à vitesse unique

Figure 2 montre le comportement du contrôle.

Figure 2 : Limitation du trafic dans un scénario de policer à deux couleurs à vitesse uniqueLimitation du trafic dans un scénario de policer à deux couleurs à vitesse unique

Configuration

Procédure

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, puis copiez/collez les commandes dans le CLI au niveau de la [edit] hiérarchie.

Équipement R1

Équipement R2

Procédure étape par étape

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la CLI, consultez le manuel Using the CLI Editor in Configuration Mode dans le Junos OS CLI User Guide.

Pour configurer l’équipement R1:

  1. Configurez les interfaces de l’équipement.

  2. Appliquez le filtre de pare-feu pour utiliser l’interface ge-2/0/5 en tant que filtre d’entrée.

  3. Configurez le policer pour limiter le débit à une bande passante de 700 Mbits/s et une taille d’accès de 1 5000 KB/s pour le trafic HTTP (port TCP 80).

  4. Configurez le policer pour éliminer les paquets dans le flux de trafic rouge.

  5. Configurez les deux conditions du pare-feu pour accepter tout le trafic TCP vers le port HTTP (port 80).

  6. Configurez l’action du pare-feu pour limiter le trafic HTTP TCP à l’aide du policer.

  7. À la fin du filtre de pare-feu, configurez une action par défaut qui accepte tout autre trafic.

    Sinon, tout le trafic qui arrive sur l’interface et qui n’est pas explicitement accepté par le pare-feu est éliminé.

  8. Configurez OSPF.

Procédure étape par étape

Pour configurer l’équipement R2:

  1. Configurez les interfaces de l’équipement.

  2. Configurez OSPF.

Résultats

Depuis le mode de configuration, confirmez votre configuration en entrant les show interfacesshow firewall commandes et les . show protocols ospf Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement R1, saisissez le mode commit de configuration.

Si vous avez terminé la configuration de l’équipement R2, saisissez commit le mode de configuration.

Vérification

Vérifier que la configuration fonctionne correctement.

Compensation des compteurs

But

Confirmez l’autorisation des compteurs de pare-feu.

Action

Sur l’équipement R1, exécutez la clear firewall all commande de réinitialisation des compteurs de pare-feu sur 0.

Envoi du trafic TCP dans le réseau et surveillance des rejets

But

Assurez-vous que le trafic d’intérêt envoyé est limité au coût de l’interface d’entrée (ge-2/0/5).

Action
  1. Utilisez un générateur de trafic pour envoyer 10 paquets TCP avec un port source de 80.

    L’indicateur -s définit le port source. L’indicateur -k fait que le port source reste stable à 80 au lieu d’être incrémenté. L’indicateur -c définit le nombre de paquets sur 10. L’indicateur -d définit la taille du paquet.

    L’adresse IP de destination 172.16.80.1 appartient à l’équipement hôte 2, connecté à l’équipement R2. L’utilisateur de l’hôte d’équipement 2 a demandé à ce qu’une page Web soit demandée à l’hôte de l’équipement 1 (le serveur Web émulé par le générateur de trafic de l’hôte de l’équipement 1). Les paquets à taux limité sont envoyés depuis l’hôte de l’équipement 1 en réponse à la demande de l’hôte d’équipement 2.

    Remarque :

    Dans cet exemple, les numéros de policer sont réduits à une limite de bande passante de 8 Kb/s et à une limite de taille de 1 500 KB/s pour s’assurer que certains paquets sont abandonnés lors de ce test.

  2. Sur l’appareil R1, vérifiez les compteurs de pare-feu à l’aide de la show firewall commande.

Sens

Aux étapes 1 et 2, le résultat des deux équipements indique que 4 paquets ont été éliminés, ce qui signifie qu’il y avait au moins 8 Kb/s de trafic vert (port HTTP 80 in-contract) et que l’option de rafale de 1 500 KB/s pour le port HTTP « red-of-contract » 80 a été dépassée.

Exemple: Configuration des policeurs d’interface et de pare-feu au niveau de la même interface

Cet exemple montre comment configurer trois policers double couleur à vitesse unique et appliquer les policers au trafic d’entrée IPv4 sur la même interface logique VLAN (Single-Tag Virtual LAN).

Conditions préalables

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cet exemple.

Présentation

Dans cet exemple, vous configurez trois policeurs à deux couleurs à simple vitesse et appliquez les policers au trafic d’entrée IPv4 à la même interface logique VLAN à balise unique. Deux policers sont appliqués à l’interface via un filtre de pare-feu et un policer est appliqué directement à l’interface.

Vous configurez un policer nommé pour limiter le trafic à 1 Mb/s avec une taille d’octets p-all-1m-5k-discard de 5 000 octets. Vous appliquez ce contrôle directement au trafic d’entrée IPv4 à l’interface logique. Lorsque vous appliquez un policer directement au trafic spécifique au protocole sur une interface logique, le policer est dit appliqué en tant que policer d’interface.

Vous configurez les deux autres policers pour permettre des rafales de 500 Ko, et appliquez ces contrôles au trafic d’entrée IPv4 à l’interface logique à l’aide d’un filtre de pare-feu sans état IPv4. Lorsque vous appliquez un policer au trafic spécifique au protocole au niveau d’une interface logique via une action de filtre de pare-feu, le policer est alors appliqué comme policeur filtre de pare-feu.

  • Vous configurez le policer nommé pour limiter le trafic à 500 Kbits/s avec une taille d’octets de 500 K en écartant les paquets non conformes à ces p-icmp-500k-500k-discard limites. Vous configurez l’un des termes du filtre de pare-feu pour appliquer ce policer aux paquets ICMP (Internet Control Message Protocol).

  • Vous configurez le policer nommé pour limiter le débit du trafic à une bande passante de 10 % et une taille 500 Ko en écartant les paquets non conformes à ces p-ftp-10p-500k-discard limites. Vous configurez un autre terme filtre de pare-feu pour appliquer ce policer aux paquets FTP (File Transfer Protocol).

Un policer que vous configurez avec une limite de bande passante exprimée en pourcentage (plutôt qu’en tant que valeur absolue de la bande passante) est appelé un policer de bande passante. Seules les policers à débit unique deux couleurs peuvent être configurés avec une spécification de bande passante en pourcentage. Par défaut, un mécanisme de contrôle de la bande passante limite le trafic au pourcentage spécifié de l’interface physique sous-jacente de l’interface logique cible.

Topologie

Vous configurez l’interface logique cible sous la forme d’une interface logique VLAN à balise unique sur une interface Fast Ethernet qui fonctionne à 100 Mbits/s. Cela signifie que le policer que vous configurez avec la limite de bande passante de 10 % (le policer que vous appliquez aux paquets FTP) limite le trafic FTP sur cette interface à 10 Mbits/s.

Remarque :

Dans cet exemple, vous ne configurez pas le policer de bande passante comme un policer à bande passante logique. Le pourcentage est donc basé sur le taux de média physique plutôt que sur le taux de mise en forme configuré de l’interface logique.

Le filtre de pare-feu que vous configurez pour faire référence à deux des policeurs doit être configuré en tant que filtre spécifique à l’interface. Le policer utilisé pour limiter le débit des paquets FTP spécifie la limite de bande passante en tant que valeur en pourcentage, le filtre de pare-feu qui fait référence à ce policer doit être configuré comme filtre spécifique à l’interface. Ainsi, si ce filtre de pare-feu deait s’appliquer à plusieurs interfaces au lieu de l’interface Fast Ethernet de cet exemple, des policers et compteurs uniques seraient créés pour chaque interface à laquelle le filtre est appliqué.

Configuration

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la CLI, consultez Nous, éditeurs CLI dans le mode configuration .

Pour configurer cet exemple, exécutez les tâches suivantes:

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les interruptions de ligne, puis collez les commandes dans le CLI au niveau de la [edit] hiérarchie.

Configuration de l’interface logique VLAN à balise unique

Procédure étape par étape

Pour configurer l’interface logique VLAN à balise unique:

  1. Activer la configuration de l’interface Fast Ethernet.

  2. Permet un cadre VLAN à balise unique.

  3. Lier les ID VLAN aux interfaces logiques.

  4. Configurez IPv4 sur les interfaces logiques VLAN à balise unique.

Résultats

Confirmez la configuration du VLAN en entrant la commande show interfaces mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration des trois policeurs

Procédure étape par étape

Pour configurer les trois policers:

  1. Activez la configuration d’un système de policer en deux couleurs qui rejette les paquets non conformes à une bande passante de 1 Mbit/s et d’une taille 5 000 octets.

    Remarque :

    Vous appliquez ce système de contrôle directement à l’ensemble du trafic en entrée IPv4 à l’interface logique VLAN à balise unique, de sorte que les paquets ne seront pas filtrés avant d’être soumis à une limitation de la vitesse.

  2. Configurez le premier policer.

  3. Activez la configuration d’un système de policer en deux couleurs qui rejette les paquets non conformes à une bande passante spécifiée comme étant « 10 % » et d’une taille de 500 000 octets.

    Vous appliquez ce contrôle au trafic FTP uniquement à l’interface logique VLAN à balise unique.

    Vous appliquez ce policer comme action à l’action d’un terme de filtre de pare-feu IPv4 qui correspond aux paquets FTP de TCP.

  4. Configurez les limites et les actions de contrôle.

    Dans la mesure où la limite de bande passante est spécifiée en pourcentage, le filtre de pare-feu qui fait référence à ce policer doit être configuré en tant que filtre spécifique à l’interface.

    Remarque :

    Si vous souhaitez que ce policer limite le taux de mise en forme à 10 % du taux de mise en forme de l’interface logique (au lieu de 10 % du taux de média de l’interface physique), vous devrez inclure l’instruction au niveau de la logical-bandwidth-policer[edit firewall policer p-all-1m-5k-discard] hiérarchie. Ce type de policer s’appelle un policer à bande passante logique.

  5. Activez la configuration du policeur de filtre de pare-feu IPv4 pour les paquets ICMP.

  6. Configurez les limites et les actions de contrôle.

Résultats

Confirmez la configuration des policers en entrant la commande show firewall de mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration du filtre de pare-feu IPv4

Procédure étape par étape

Pour configurer le filtre de pare-feu IPv4:

  1. Activer la configuration du filtre de pare-feu IPv4.

  2. Configurez le filtre de pare-feu comme étant spécifique à l’interface.

    Le filtre de pare-feu doit être spécifique à l’interface, car l’un des policers mentionnés est configuré avec une limite de bande passante exprimée en pourcentage.

  3. Activez la configuration d’un terme filtre pour limiter le taux de paquets FTP.

    Les messages FTP sont envoyés sur le port TCP 20 ( ) et reçus ftp sur le port TCP 21 ftp-data ().

  4. Configurez le terme filtre pour correspondre aux paquets FTP.

  5. Activez la configuration d’un terme filtre pour limiter le taux de paquets ICMP.

  6. Configurer le terme de filtre pour les paquets ICMP

  7. Configurez un terme filtre pour accepter tous les autres paquets sans avoir à contrôler les contrôles.

Résultats

Confirmez la configuration du filtre de pare-feu en entrant la show firewall commande du mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Application du policeur d’interface et des policers de filtres de pare-feu à l’interface logique

Procédure étape par étape

Pour appliquer les trois policers au VLAN:

  1. Activer la configuration d’IPv4 sur l’interface logique.

  2. Appliquez des policers de filtre de pare-feu à l’interface.

  3. Appliquez le policer de l’interface à l’interface.

    Les paquets d’entrée sont évalués au niveau du policer de l’interface avant de les évaluer par rapport aux fe-0/1/1.0 policers de filtres de pare-feu. Pour plus d’informations, consultez Ordre des opérations de filtrage des pare-feu et des policers le site .

Résultats

Confirmez la configuration de l’interface en entrant la commande show interfaces mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Vérification

Vérifier que la configuration fonctionne correctement.

Affichage des policeurs appliqués directement à l’interface logique

But

Vérifiez que le policer d’interface est évalué lors de la réception des paquets sur l’interface logique.

Action

Utiliser la show interfaces policers commande mode opérationnel pour l’interface fe-0/1/1.1 logique. La section de sortie de commande de la colonne et de la colonne indique que le policer est évalué lorsque des ProtoInput Policerp-all-1m-5k-discard paquets sont reçus sur l’interface logique.

Dans cet exemple, le policer d’interface est appliqué au trafic d’interface logique dans la direction d’entrée uniquement.

Affichage des statistiques du policeur directement sur l’interface logique

But

Vérifier le nombre de paquets évalués par le policer d’interface.

Action

Utilisez la show policer commande Du mode opérationnel et, éventuellement, spécifiez le nom du policer. La sortie de commande affiche le nombre de paquets évalués par chaque policer configuré (ou par le policer spécifié), dans chaque direction.

Affichage des policers et filtres de pare-feu appliqués à une interface

But

Vérifiez que le filtre de pare-feu est appliqué au trafic d’entrée filter-ipv4-with-limits IPv4 à l’interface logique fe-0/1/1.1 .

Action

Utilisez la show interfaces statistics commande du mode opérationnel pour l’interface logique et utilisez fe-0/1/1.1detail l’option. Dans la section de la section de sortie de commande, les lignes et les noms des filtres et du policer sont appliqués à l’interface logique Protocol inetInput Filters dans la direction Policer d’entrée.

Dans cet exemple, les deux policers de filtre de pare-feu sont appliqués au trafic d’interface logique dans la direction d’entrée uniquement.

Affichage des statistiques pour les policers de filtres de pare-feu

But

Vérifier le nombre de paquets évalués par les policers de filtre de pare-feu.

Action

Utilisez la show firewall commande du mode opérationnel pour le filtre que vous avez appliqué à l’interface logique.

La sortie de commande affiche les noms des policeurs (et), associés aux noms des termes du filtre (et, respectivement) sous lesquels l’action du p-ftp-10p-500k-discardp-icmp-500k-500k-discardt-ftpt-icmp policer est spécifiée. Les lignes de sortie spécifiques au policer affichent le nombre de paquets qui correspondaient au terme du filtre. Il s’agit uniquement du nombre de paquets hors spécification (hors spécifications), et tous les paquets ne sont pas l’un des critères du policer.