Mécanismes de contrôle de base à deux taux et à trois couleurs
Vue d’ensemble du mécanisme de contrôle à deux taux et trois couleurs
Un mécanisme de contrôle à deux débits et trois couleurs définit deux limites de bande passante (une pour le trafic garanti et une pour le trafic de pointe) et deux tailles de rafale (une pour chacune des limites de bande passante). Un mécanisme de contrôle à deux taux et trois couleurs est particulièrement utile lorsqu’un service est structuré en fonction des taux d’arrivée et pas nécessairement de la longueur des paquets.
La police à deux taux et trois couleurs mesure un flux de trafic en fonction des critères de trafic configurés suivants :
Débit d’information garanti (CIR) : limite de bande passante pour le trafic garanti.
Committed burst size (CBS) : taille de paquet maximale autorisée pour les rafales de données qui dépassent le CIR.
Peak information rate (PIR) : limite de bande passante pour les pics de trafic.
Peak burst size (PBS) : taille maximale des paquets autorisée pour les rafales de données qui dépassent le PIR.
Le marquage tricolore à deux débits (TCM à deux débits) classe le trafic comme appartenant à l’une des trois catégories de couleurs suivantes et effectue des actions de contrôle d’encombrement sur les paquets en fonction du marquage par couleur :
Vert : trafic conforme à la limite de bande passante et à la taille de rafale pour le trafic garanti (CIR et CBS). Pour un flux de trafic vert, le TCM à deux débits marque les paquets avec une priorité de perte implicite de
low
et transmet les paquets.Jaune : trafic qui dépasse la limite de bande passante ou la taille de rafale pour le trafic garanti (CIR ou CBS), mais pas la limite de bande passante et la taille de rafale pour le trafic de pointe (PIR et PBS). Dans le cas d’un flux de trafic jaune, le TCM à deux débits marque les paquets avec une priorité de perte implicite de
medium-high
et transmet les paquets.Rouge : trafic qui dépasse la limite de bande passante et la taille de rafale pour les pics de trafic (PIR et PBS). Dans le cas d’un flux de trafic rouge, le TCM à deux débits marque les paquets dont la priorité de perte implicite est et
high
, éventuellement, les rejette.
Si un encombrement se produit en aval, les paquets ayant une priorité de perte plus élevée sont plus susceptibles d’être ignorés.
Pour les mécanismes de contrôle tricolore à débit unique et à deux débits, la seule action configurable consiste à ignorer les paquets dans un flux de trafic rouge.
Pour un mécanisme de contrôle de marquage tricolore référencé par un terme de filtre de pare-feu , l’action discard
de contrôle est prise en charge sur les plates-formes de routage suivantes :
Commutateurs EX Series
Routeurs M7i et M10i avec la technologie CFEB améliorée (CFEB-E)
Routeurs M120 et M320 avec FPC Enhanced III
Routeurs MX Series avec MPC Trio
Pour appliquer un mécanisme de contrôle de marquage tricolore sur ces plates-formes de routage, il n’est pas nécessaire d’inclure l’instruction logical-interface-policer
.
Voir également
Exemple : Configuration d’un mécanisme de contrôle tricolore à deux taux
Cet exemple montre comment configurer un mécanisme de contrôle à deux taux et trois couleurs.
Conditions préalables
La prise en charge des mécanismes de contrôle à deux vitesses et trois couleurs varie en fonction de l’appareil. Elle comprend les pare-feu SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 et SRX5800 qui exécutent une version compatible de Junos OS.
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Un mécanisme de contrôle à deux débits et trois couleurs mesure un flux de trafic par rapport à une limite de bande passante et à une limite de taille de rafale pour un trafic garanti, ainsi qu’à une limite de bande passante et à une limite de taille de rafale pour les pics de trafic. Le trafic qui respecte les limites de trafic garanti est classé en vert, et le trafic non conforme appartient à l’une des deux catégories suivantes :
Le trafic non conforme qui ne dépasse pas les limites de trafic de pointe est classé en jaune.
Le trafic non conforme qui dépasse les limites de trafic de pointe est classé en rouge.
Chaque catégorie est associée à une action. Pour le trafic vert, les paquets sont implicitement définis avec une valeur de priorité de perte de low
puis transmis. Pour le trafic jaune, les paquets sont implicitement définis avec une valeur de priorité de perte de medium-high
puis transmis. Pour le trafic rouge, les paquets sont implicitement définis avec une valeur de priorité de perte de high
puis transmis. Si la configuration du mécanisme de contrôle inclut l’instruction facultative action
(action loss-priority high then discard
), les paquets d’un flux rouge sont ignorés à la place.
Vous pouvez appliquer un mécanisme de contrôle tricolore au trafic de couche 3 en tant que mécanisme de contrôle des filtres de pare-feu uniquement. Vous référencez le mécanisme de contrôle à partir d’un terme de filtre de pare-feu sans état, puis vous appliquez le filtre à l’entrée ou à la sortie d’une interface logique au niveau du protocole.
Topologie
Dans cet exemple, vous appliquez un mécanisme de contrôle à deux débits et trois couleurs sensible aux couleurs au trafic IPv4 d’entrée au niveau de l’interface fe-0/1/1.0
logique . Le terme de filtre de pare-feu IPv4 qui fait référence au mécanisme de contrôle n’applique aucun filtrage de paquets. Le filtre est utilisé uniquement pour appliquer le mécanisme de contrôle tricolore à l’interface.
Vous configurez le mécanisme de contrôle pour qu’il limite le débit du trafic à une limite de bande passante de 40 Mbits/s et à une limite de taille de rafale de 100 Ko pour le trafic vert, et vous configurez le mécanisme de contrôle pour qu’il autorise également une limite de bande passante maximale de 60 Mbits/s et une limite de taille de pointe de 200 Ko pour le trafic jaune. Seul le trafic non conforme qui dépasse les limites de trafic de pointe est classé en rouge. Dans cet exemple, vous allez configurer l’action loss-priority high then discard
de contrôle tricolore , qui remplace le marquage implicite du trafic rouge par une high
priorité de perte.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, consultez Utilisation de l’éditeur CLI en mode Configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configuration d’un mécanisme de contrôle tricolore à deux taux
- Configuration d’un filtre de pare-feu sans état IPv4 qui fait référence au mécanisme de contrôle
- Application du filtre à une interface logique au niveau de la famille de protocoles
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez puis collez les commandes dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie, puis passez commit
en mode de configuration.
set firewall three-color-policer trTCM1-ca two-rate color-aware set firewall three-color-policer trTCM1-ca two-rate committed-information-rate 40m set firewall three-color-policer trTCM1-ca two-rate committed-burst-size 100k set firewall three-color-policer trTCM1-ca two-rate peak-information-rate 60m set firewall three-color-policer trTCM1-ca two-rate peak-burst-size 200k set firewall three-color-policer trTCM1-ca action loss-priority high then discard set firewall family inet filter filter-trtcm1ca-all term 1 then three-color-policer two-rate trTCM1-ca set interfaces ge-2/0/5 unit 0 family inet address 10.10.10.1/30 set interfaces ge-2/0/5 unit 0 family inet filter input filter-trtcm1ca-all set class-of-service interfaces ge-2/0/5 forwarding-class af
Configuration d’un mécanisme de contrôle tricolore à deux taux
Procédure étape par étape
Pour configurer un mécanisme de contrôle à deux taux et trois couleurs :
Activez la configuration d’un mécanisme de contrôle tricolore.
[edit] user@host# set firewall three-color-policer trTCM1-ca
Configurez le mode colorimétrique du mécanisme de contrôle à deux vitesses et à trois couleurs.
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate color-aware
Configurez les limites de trafic garanties à deux débits.
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate committed-information-rate 40m user@host# set two-rate committed-burst-size 100k
Le trafic qui ne dépasse pas ces deux limites est catégorisé comme vert. Les paquets d’un flux vert sont implicitement définis sur la priorité de
low
perte, puis transmis.Configurez les limites de trafic de pointe à deux débits.
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate peak-information-rate 60m user@host# set two-rate peak-burst-size 200k
Le trafic non conforme qui ne dépasse pas ces deux limites est classé en jaune. Les paquets d’un flux jaune sont implicitement définis sur la priorité de
medium-high
perte, puis transmis. Le trafic non conforme qui dépasse ces deux limites est classé en rouge. Les paquets d’un flux rouge sont implicitement définis sur la priorité dehigh
perte.(Facultatif) Configurez l’action du mécanisme de contrôle pour le trafic rouge.
[edit firewall three-color-policer trTCM1-ca] user@host# set action loss-priority high then discard
Pour les mécanismes de contrôle tricolores, la seule action configurable consiste à ignorer les paquets rouges. Les paquets rouges sont des paquets auxquels on a attribué une priorité de perte élevée parce qu’ils ont dépassé le débit d’information maximal (PIR) et la taille de pointe en rafale (PBS).
Résultats
Confirmez la configuration du mécanisme de contrôle en entrant la show firewall
commande de mode de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit] user@host# show firewall three-color-policer trTCM1-ca { action { loss-priority high then discard; } two-rate { color-aware; committed-information-rate 40m; committed-burst-size 100k; peak-information-rate 60m; peak-burst-size 200k; } }
Configuration d’un filtre de pare-feu sans état IPv4 qui fait référence au mécanisme de contrôle
Procédure étape par étape
Pour configurer un filtre de pare-feu sans état IPv4 qui fait référence au mécanisme de contrôle :
Activez la configuration d’un filtre de pare-feu sans état standard IPv4.
[edit] user@host# set firewall family inet filter filter-trtcm1ca-all
Spécifiez le terme de filtre qui fait référence au mécanisme de contrôle.
[edit firewall family inet filter filter-trtcm1ca-all] user@host# set term 1 then three-color-policer two-rate trTCM1-ca
Notez que le terme ne spécifie aucune condition de correspondance. Le filtre de pare-feu transmet tous les paquets au mécanisme de contrôle.
Résultats
Confirmez la configuration du filtre de pare-feu en entrant la show firewall
commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit] user@host# show firewall family inet { filter filter-trtcm1ca-all { term 1 { then { three-color-policer { two-rate trTCM1-ca; } } } } } three-color-policer trTCM1-ca { action { loss-priority high then discard; } two-rate { color-aware; committed-information-rate 40m; committed-burst-size 100k; peak-information-rate 60m; peak-burst-size 200k; } }
Application du filtre à une interface logique au niveau de la famille de protocoles
Procédure étape par étape
Pour appliquer le filtre à l’interface logique au niveau de la famille de protocoles :
Activez la configuration d’un filtre de pare-feu IPv4.
[edit] user@host# edit interfaces ge-2/0/5 unit 0 family inet
Appliquez le mécanisme de contrôle à l’interface logique au niveau de la famille de protocoles.
[edit interfaces ge-2/0/5 unit 0 family inet] user@host# set address 10.10.10.1/30 user@host# set filter input filter-trtcm1ca-all
(Routeurs MX Series et commutateurs EX Series uniquement) (Facultatif) Pour les mécanismes de contrôle d’entrée, vous pouvez configurer un classificateur fixe. Un classificateur fixe reclasse tous les paquets entrants, quelle que soit la classification préexistante.
REMARQUE :La prise en charge de la plate-forme dépend de la version de Junos OS dans votre implémentation.
[edit] user@host# set class-of-service interfaces ge-2/0/5 forwarding-class af
Le nom du classificateur peut être un classificateur configuré ou l’un des classificateurs par défaut.
Résultats
Confirmez la configuration de l’interface en entrant la commande configuration show interfaces
mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit] user@host# show interfaces ge-2/0/5 { unit 0 { family inet { address 10.10.10.1/30; filter { input filter-trtcm1ca-all; } } } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Affichage des filtres de pare-feu appliqués à l’interface logique
But
Vérifiez que le filtre de pare-feu est appliqué au trafic d’entrée IPv4 au niveau de l’interface logique.
Action
Utilisez la show interfaces
commande mode opérationnel pour l’interface ge-2/0/5.0
logique et spécifiez detail
le mode. La Protocol inet section de la sortie de la commande affiche les informations IPv4 de l’interface logique. Dans cette section, le champ affiche le Input Filters nom des filtres de pare-feu IPv4 associés à l’interface logique.
user@host> show interfaces ge-2/0/5.0 detail Logical interface ge-2/0/5.0 (Index 105) (SNMP ifIndex 556) (Generation 170) Flags: Device-Down SNMP-Traps 0x4004000 Encapsulation: ENET2 Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 0 bps Output bytes : 0 0 bps Input packets: 0 0 pps Output packets: 0 0 pps Protocol inet, MTU: 1500, Generation: 242, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter-trtcm1ca-all Addresses, Flags: Dest-route-down Is-Preferred Is-Primary Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255, Generation: 171 Protocol multiservice, MTU: Unlimited, Generation: 243, Route table: 0 Policer: Input: __default_arp_policer__