Polices de base trois couleurs à deux débits
Présentation du policer tricolore à deux débits
Un policer trois couleurs à deux débits définit deux limites de bande passante (une pour le trafic garanti et une pour le trafic de pointe) et deux tailles de rafale (une pour chaque limite de bande passante). Un système de contrôle tricolore à deux débits est plus utile lorsqu’un service est structuré en fonction des taux d’arrivée et pas nécessairement de la longueur des paquets.
Compteurs de contrôle à deux débits trois couleurs pour un flux de trafic basé sur les critères de trafic configurés suivants :
Taux d’information engagé (CIR) : limite de bande passante pour le trafic garanti.
Taille d’rafale engagée (CBS) : taille de paquet maximale autorisée pour les rafales de données dépassant le CIR.
Débit d’information maximal (PIR) : limite de bande passante pour le trafic de pointe.
Taille de rafale maximale (PBS) : taille de paquet maximale autorisée pour les rafales de données qui dépassent le PIR.
Le marquage tricolor à deux débits (TCM à deux débits) classe le trafic comme appartenant à l’une des trois catégories de couleurs et effectue des actions de contrôle de la congestion sur les paquets en fonction du marquage de couleur :
Vert : trafic conforme à la limite de bande passante et à la taille de rafale pour le trafic garanti (CIR et CBS). Pour un flux de trafic vert, le TCM à deux débits marque les paquets avec une priorité implicite de
lowperte et transmet les paquets.Jaune : trafic qui dépasse la limite de bande passante ou la taille de rafale pour le trafic garanti (CIR ou CBS), mais pas la limite de bande passante et la taille de rafale pour le trafic de pointe (PIR et PBS). Pour un flux de trafic jaune, le TCM à deux débits marque les paquets avec une priorité de
medium-highperte implicite et transmet les paquets.Rouge : trafic qui dépasse la limite de bande passante et la taille de rafale pour le trafic de pointe (PIR et PBS). Pour un flux de trafic rouge, le TCM à deux débits marque les paquets avec une priorité de
highperte implicite et, éventuellement, écarte les paquets.
Si une congestion se produit en aval, les paquets ayant une priorité de perte plus élevée sont plus susceptibles d’être rejetés.
Pour les polices couleur à débit unique et à deux débits, la seule action configurable consiste à rejeter des paquets dans un flux de trafic rouge.
Pour un policer de marquage tricolore référencé par un terme de filtre de pare-feu , l’action discard de contrôle est prise en charge sur les plates-formes de routage suivantes :
commutateurs EX Series
M7i et routeurs M10i avec le CFEB-E amélioré (CFEB-E)
routeurs M120 et M320 avec des SPC enhanced-III
Routeurs MX Series avec MPC Trio
Pour appliquer un police de marquage tricolore sur ces plates-formes de routage, il n’est pas nécessaire d’inclure la logical-interface-policer déclaration.
Voir également
Exemple : Configuration d’un policer trois couleurs à deux débits
Cet exemple montre comment configurer un policer trois couleurs à deux débits.
Conditions préalables
La prise en charge des polices trois couleurs à deux débits varie en fonction de l’équipement. Il comprend les équipements de pare-feu SRX1400, SRX3400, SRX5400, SRX5600 et SRX5800 exécutant une version compatible de Junos OS.
Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire avant de configurer cet exemple.
Présentation
Un policer trois couleurs à deux débits mesure un flux de trafic par rapport à une limite de bande passante et une limite de taille d’rafale pour le trafic garanti, plus une limite de bande passante et une limite de taille d’rafale pour le trafic de pointe. Le trafic conforme aux limites du trafic garanti est classé en vert, et le trafic non conforme relève de l’une des deux catégories suivantes :
Le trafic non-conformité qui ne dépasse pas les limites de trafic de pointe est classé en jaune.
Le trafic non-conformité qui dépasse les limites de trafic de pointe est classé en rouge.
Chaque catégorie est associée à une action. Pour le trafic vert, les paquets sont implicitement définis avec une valeur de priorité de perte, low puis transmis. Pour le trafic jaune, les paquets sont implicitement définis avec une valeur de priorité de perte, medium-high puis transmis. Pour le trafic rouge, les paquets sont implicitement définis avec une valeur de perte-priorité de high puis transmis. Si la configuration de police comprend l’instruction optionnelle action (action loss-priority high then discard), les paquets d’un flux rouge sont rejetés à la place.
Vous pouvez appliquer un policer tricolore au trafic de couche 3 en tant que filtre de pare-feu uniquement. Vous référencez le policer à partir d’un terme de filtre de pare-feu sans état, puis vous appliquez le filtre à l’entrée ou à la sortie d’une interface logique au niveau du protocole.
topologie
Dans cet exemple, vous appliquez un policer tricolore à deux débits au trafic IPv4 d’entrée au niveau de l’interface fe-0/1/1.0logique . Le terme de filtre de pare-feu IPv4 qui fait référence au policer n’applique aucun filtrage de paquets. Le filtre est utilisé uniquement pour appliquer le policer trois couleurs à l’interface.
Vous configurez le policer pour débiter le trafic à une bande passante de 40 Mbit/s et une limite de taille de rafale de 100 Ko pour le trafic vert, et vous configurez le policer pour permettre également une limite de bande passante maximale de 60 Mbit/s et une limite de pic de débit de 200 Ko pour le trafic jaune. Seul le trafic non-conformité qui dépasse les limites de trafic de pointe est classé en rouge. Dans cet exemple, vous configurez l’action loss-priority high then discardde police en trois couleurs , qui remplace le marquage implicite du trafic rouge par une high priorité de perte.
Configuration
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface cli, voir Utilisation de l’éditeur CLI en mode de configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide cli
- Configuration d’un policer trois couleurs à deux débits
- Configuration d’un filtre de pare-feu sans état IPv4 qui fait référence au policer
- Application du filtre à une interface logique au niveau de la famille de protocoles
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
set firewall three-color-policer trTCM1-ca two-rate color-aware set firewall three-color-policer trTCM1-ca two-rate committed-information-rate 40m set firewall three-color-policer trTCM1-ca two-rate committed-burst-size 100k set firewall three-color-policer trTCM1-ca two-rate peak-information-rate 60m set firewall three-color-policer trTCM1-ca two-rate peak-burst-size 200k set firewall three-color-policer trTCM1-ca action loss-priority high then discard set firewall family inet filter filter-trtcm1ca-all term 1 then three-color-policer two-rate trTCM1-ca set interfaces ge-2/0/5 unit 0 family inet address 10.10.10.1/30 set interfaces ge-2/0/5 unit 0 family inet filter input filter-trtcm1ca-all set class-of-service interfaces ge-2/0/5 forwarding-class af
Configuration d’un policer trois couleurs à deux débits
Procédure étape par étape
Pour configurer un police trois couleurs à deux débits :
Activez la configuration d’un contrôle tricolore.
[edit] user@host# set firewall three-color-policer trTCM1-ca
Configurez le mode couleur du policer trois couleurs à deux débits.
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate color-aware
Configurez les limites de trafic à deux débits garantis.
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate committed-information-rate 40m user@host# set two-rate committed-burst-size 100k
Le trafic qui ne dépasse pas ces deux limites est classé en vert. Les paquets dans un flux vert sont implicitement définis comme priorité de
lowperte, puis transmis.Configurez les limites de trafic de pointe à deux débits.
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate peak-information-rate 60m user@host# set two-rate peak-burst-size 200k
Le trafic non-conformant qui ne dépasse pas ces deux limites est classé en jaune. Les paquets dans un flux jaune sont implicitement définis comme priorité de
medium-highperte, puis transmis. Le trafic non-conformant qui dépasse ces deux limites est classé en rouge. Les paquets dans un flux rouge sont implicitement définis comme priorité dehighperte.(Facultatif) Configurez l’action de contrôle pour le trafic rouge.
[edit firewall three-color-policer trTCM1-ca] user@host# set action loss-priority high then discard
Pour les polices tricolores, la seule action configurable est de rejeter les paquets rouges. Les paquets rouges sont des paquets qui se sont vu attribuer une priorité de perte élevée parce qu’ils ont dépassé le débit d’information maximal (PIR) et la taille de pic de rafale (PBS).
Résultats
Confirmez la configuration du policer en entrant la commande du show firewall mode de configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show firewall
three-color-policer trTCM1-ca {
action {
loss-priority high then discard;
}
two-rate {
color-aware;
committed-information-rate 40m;
committed-burst-size 100k;
peak-information-rate 60m;
peak-burst-size 200k;
}
}
Configuration d’un filtre de pare-feu sans état IPv4 qui fait référence au policer
Procédure étape par étape
Pour configurer un filtre de pare-feu sans état IPv4 qui fait référence au policer :
Activez la configuration d’un filtre de pare-feu sans état IPv4 standard.
[edit] user@host# set firewall family inet filter filter-trtcm1ca-all
Spécifiez le terme de filtre qui fait référence au policer.
[edit firewall family inet filter filter-trtcm1ca-all] user@host# set term 1 then three-color-policer two-rate trTCM1-ca
Notez que le terme ne spécifie aucune condition de correspondance. Le filtre de pare-feu transmet tous les paquets au policer.
Résultats
Confirmez la configuration du filtre de pare-feu en entrant la commande du mode de show firewall configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show firewall
family inet {
filter filter-trtcm1ca-all {
term 1 {
then {
three-color-policer {
two-rate trTCM1-ca;
}
}
}
}
}
three-color-policer trTCM1-ca {
action {
loss-priority high then discard;
}
two-rate {
color-aware;
committed-information-rate 40m;
committed-burst-size 100k;
peak-information-rate 60m;
peak-burst-size 200k;
}
}
Application du filtre à une interface logique au niveau de la famille de protocoles
Procédure étape par étape
Pour appliquer le filtre à l’interface logique au niveau de la famille de protocoles :
Activez la configuration d’un filtre de pare-feu IPv4.
[edit] user@host# edit interfaces ge-2/0/5 unit 0 family inet
Appliquez le policer à l’interface logique au niveau de la famille de protocoles.
[edit interfaces ge-2/0/5 unit 0 family inet] user@host# set address 10.10.10.1/30 user@host# set filter input filter-trtcm1ca-all
(routeurs MX Series et commutateurs EX Series uniquement) (Facultatif) Pour les polices d’entrée, vous pouvez configurer un classificateur fixe. Un classificateur fixe reclassifie tous les paquets entrants, quelle que soit la classification préexistante.
REMARQUE :La prise en charge de la plate-forme dépend de la version junos OS de votre implémentation.
[edit] user@host# set class-of-service interfaces ge-2/0/5 forwarding-class af
Le nom du classificateur peut être un classificateur configuré ou l’un des classificateurs par défaut.
Résultats
Confirmez la configuration de l’interface en entrant la commande du show interfaces mode de configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit]
user@host# show interfaces
ge-2/0/5 {
unit 0 {
family inet {
address 10.10.10.1/30;
filter {
input filter-trtcm1ca-all;
}
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Affichage des filtres de pare-feu appliqués à l’interface logique
But
Vérifiez que le filtre de pare-feu est appliqué au trafic d’entrée IPv4 au niveau de l’interface logique.
Action
Utilisez la show interfaces commande du mode opérationnel pour l’interface ge-2/0/5.0logique et spécifiez le detail mode. La Protocol inet section de la sortie de commande affiche des informations IPv4 pour l’interface logique. Dans cette section, le Input Filters champ affiche le nom des filtres de pare-feu IPv4 associés à l’interface logique.
user@host> show interfaces ge-2/0/5.0 detail
Logical interface ge-2/0/5.0 (Index 105) (SNMP ifIndex 556) (Generation 170)
Flags: Device-Down SNMP-Traps 0x4004000 Encapsulation: ENET2
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Local statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Protocol inet, MTU: 1500, Generation: 242, Route table: 0
Flags: Sendbcast-pkt-to-re
Input Filters: filter-trtcm1ca-all
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255,
Generation: 171
Protocol multiservice, MTU: Unlimited, Generation: 243, Route table: 0
Policer: Input: __default_arp_policer__