Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Classification multi-champs

Présentation de la classification multi-champs

Classes de transfert et niveaux de PLP

Vous pouvez configurer les fonctionnalités de classe de service (CoS) de Junos OS pour classer le trafic entrant en associant chaque paquet à une classe de transfert, à un niveau de priorité de perte de paquets (PLP) ou les deux :

  • En fonction de la classe de transfert associée, chaque paquet est affecté à une file d’attente de sortie, et le routeur dessert les files d’attente de sortie en fonction de la planification associée que vous configurez.

  • Selon le PLP associé, chaque paquet présente une probabilité plus faible ou plus élevée d’être abandonné en cas de congestion. Le processus RED (Random Early Detection) coS utilise la configuration de probabilité d’abandon, le pourcentage d’exhaustivité de la file d’attente de sortie et le PLP de paquets pour déposer les paquets selon les besoins afin de contrôler la congestion à l’étape de sortie.

Classification multi-champs et classification BA

Junos OS prend en charge deux types généraux de classification des paquets : classification de l’agrégation de comportements (BA) et classification multi-champs :

  • Classification BA, ou classification du trafic de valeur CoS, désigne une méthode de classification des paquets qui utilise une configuration CoS pour définir la classe de transfert ou le PLP d’un paquet en fonction de la valeur CoS de l’en-tête de paquet IP. La valeur CoS examinée à des fins de classification BA peut être la valeur DSCP (Differentiated Services Code Point), la valeur DSCP IPv6, la valeur de préséance IP, les bits EXP MPLS et la valeur IEEE 802.1p. Le classificateur par défaut est basé sur la valeur de préséance IP.

  • La classification multifield désigne une méthode de classification des paquets qui utilise une configuration de filtre de pare-feu sans état standard pour définir la classe de transfert ou le PLP pour chaque paquet entrant ou sortant de l’interface en fonction de plusieurs champs de l’en-tête de paquet IP, dont la valeur DSCP (pour IPv4 uniquement), la valeur de préséance IP, les bits EXP MPLS, et IEEE 802.1p bits. La classification multifield correspond généralement aux champs d’adresse IP, au champ type de protocole IP ou au numéro de port du champ UDP ou PSEUDOheader TCP. La classification multifield est utilisée au lieu de la classification BA lorsque vous devez classer les paquets en fonction des informations contenues dans les informations des paquets autres que les valeurs CoS uniquement.

    Avec la classification multifield, un terme de filtre de pare-feu peut spécifier les actions de classification des paquets pour les paquets correspondants via l’utilisation forwarding-class class-nameloss-priority (high | medium-high | medium-low | low) ou non d’actions définies dans la clause du then terme.

Remarque :

La classification BA d’un paquet peut être supplantée par les actions forwarding-class de filtre de pare-feu sans état et loss-priority.

Classification multifield utilisée conjointement avec les mécanismes de contrôle

Pour configurer la classification multifield en conjonction avec la limitation du débit, un terme de filtre de pare-feu peut spécifier les actions de classification des paquets pour les paquets correspondants grâce à une policer action non déterminante faisant référence à un mécanismes de contrôle unique à deux couleurs.

Lorsque la classification multifield est configurée pour effectuer la classification par le biais d’un mécanismes de contrôle, les paquets correspondant aux filtres du flux de trafic sont limités au débit aux limites de trafic définies par le mécanismes de contrôle. Les paquets d’un flux conforme de paquets assortis de filtres sont implicitement définis sur un low PLP. Les paquets d’un flux de trafic nonconformant peuvent être jetés, ou les paquets peuvent être définis sur une classe de transfert spécifiée, sur un niveau PLP spécifié, ou les deux, selon le type de mécanismes de contrôle et la façon dont le mécanismes de contrôle est configuré pour gérer le trafic nonconformant.

Remarque :

Avant d’appliquer un filtre de pare-feu qui effectue une classification multichamps et un mécanismes de contrôle sur la même interface logique et pour le même sens de trafic, assurez-vous de prendre en compte l’ordre des opérations des mécanismes de contrôle et des filtres de pare-feu.

Prenons le scénario suivant :

  • Vous configurez un filtre de pare-feu qui effectue une classification multifield (agit sur les paquets correspondant en définissant la classe de transfert, le PLP ou les deux) en fonction de la classe de transfert ou du PLP existante du paquet. Vous appliquez le filtre de pare-feu à l’entrée d’une interface logique.

  • Vous configurez également un mécanismes de contrôle bicolore à débit unique qui agit sur un flux de trafic rouge en marquant à nouveau (en définissant la classe de transfert, le PLP ou les deux) plutôt que de jeter ces paquets. Vous appliquez le mécanismes de contrôle en tant que mécanismes de contrôle d’interface à l’entrée de la même interface logique à laquelle vous appliquez le filtre de pare-feu.

En raison de l’ordre des opérations du pare-feu et du mécanismes de contrôle, le mécanismes de contrôle d’entrée est exécuté avant le filtre de pare-feu d’entrée. Cela signifie que la classification multifield spécifiée par le filtre de pare-feu est exécutée sur les paquets d’entrée qui ont déjà été re-marqués une fois par des actions de contrôle. Par conséquent, tout paquet d’entrée correspondant aux conditions définies dans un terme de filtre de pare-feu est alors soumis à un deuxième marquage en fonction forwarding-class des actions non loss-priority définies, également spécifiées dans ce terme.

Exigences et restrictions relatives à la classification multi-champs

Plates-formes prises en charge :

L’action loss-priority du filtre de pare-feu est prise en charge uniquement sur les plates-formes de routage suivantes :

  • Commutateurs EX Series

  • Routeurs M7i et M10i avec CFEB amélioré (CFEB-E)

  • Routeurs M120 et M320

  • Routeurs MX Series

  • Routeurs T Series avec concentrateurs PIC flexibles II améliorés (FPC)

  • Routeurs PTX Series

Exigence de marquage CoS tricolore

L’action loss-priority du filtre de pare-feu comporte des exigences spécifiques à la plate-forme qui dépendent de la fonctionnalité de marquage tricolore CoS, telle que définie dans la directive RFC 2698 :

  • Sur un routeur M320, vous ne pouvez pas valider une configuration qui inclut l’action du loss-priority filtre de pare-feu à moins d’activer la fonction de marquage coS tricolore.

  • Sur toutes les plates-formes de routage qui prennent en charge l’action loss-priority du filtre de pare-feu, vous ne pouvez pas définir l’action medium-low du loss-priority filtre de pare-feu ou medium-high à moins d’activer la fonctionnalité de marquage tricolore CoS. .

Pour activer la fonctionnalité de marquage tricolore CoS, incluez l’instruction tri-color au niveau de la [edit class-of-service] hiérarchie.

Restrictions

Vous ne pouvez pas configurer et loss-prioritythree-color-policer nonterminating actions pour le même terme de filtre de pare-feu. Ces deux actions non déterminantes sont mutuellement exclusives.

Remarque :

Sur un routeur PTX Series, vous devez configurer l’action policer dans une règle distincte et ne pas la combiner avec la règle configuration des actions et loss-priority des forwarding-classactions. Voir Différences entre les routeurs de transport de paquets PTX Series et les routeurs matrix T Series.

Limites de classification multi-champs sur les routeurs M Series

Problème: Filtrage de sortie pour la classification des filtres d’entrée

Sur les routeurs de la gamme M Series (à l’exception des routeurs M120), vous ne pouvez pas classer les paquets avec un filtre de sortie correspondant en fonction de la classification d’entrée définie avec un filtre d’entrée appliqué à la même interface logique IPv4.

Par exemple, dans la configuration suivante, le filtre appelé ingress assigne tous les paquets IPv4 entrants à la expedited-forwarding classe. Le filtre appelé egress compte tous les paquets affectés à la expedited-forwarding classe du ingress filtre. Cette configuration ne fonctionne pas sur la plupart des routeurs M Series. Il fonctionne sur toutes les autres plates-formes de routage, y compris les routeurs M120, les routeurs MX Series et les routeurs T Series.

Contournement: Configurer toutes les actions dans le filtre d’entrant

Pour contourner le problème, vous pouvez configurer toutes les actions du filtre d’entrant.

Exemple : Configuration de la classification multi-champs

Cet exemple montre comment configurer la classification multifield du trafic IPv4 à l’aide d’actions de filtre de pare-feu et de deux mécanismes de contrôle des filtres de pare-feu.

Conditions préalables

Avant de commencer, assurez-vous que votre environnement prend en charge les fonctionnalités présentées dans cet exemple :

  1. L’action loss-priority du filtre de pare-feu doit être prise en charge sur le routeur et configurable pour les quatre valeurs.

    1. Pour pouvoir définir une loss-priority action de filtre de pare-feu, configurez cet exemple sur l’interface ge-1/2/0.0 logique sur l’une des plates-formes de routage suivantes :

      • Routeur MX Series

      • Routeur M120 ou M320

      • Routeur M7i ou M10i avec CFEB amélioré (CFEB-E)

      • Routeur T Series avec concentrateur PIC flexible ENHANCED II (FPC)

    2. Pour pouvoir définir une loss-priority action medium-low de filtre de pare-feu sur ou medium-high, assurez-vous que la fonction de marquage tricolore CoS est activée. Pour activer la fonctionnalité de marquage tricolore CoS, incluez l’instruction tri-color au niveau de la [edit class-of-service] hiérarchie.

  2. Les expedited-forwarding cours et assured-forwarding les cours de transfert doivent être programmés sur l’interface ge-1/2/0physique sous-jacente .

    1. Assurez-vous que les classes de transfert suivantes sont attribuées aux files d’attente de sortie :

      • expedited-forwarding

      • assured-forwarding

      Les affectations de classe de transfert sont configurées au niveau de la [edit class-of-service forwarding-classes queue queue-number] hiérarchie.

      Remarque :

      Vous ne pouvez pas valider une configuration qui assigne la même classe de transfert à deux files d’attente différentes.

    2. Assurez-vous que les files d’attente de sortie auxquelles les classes de transfert sont attribuées sont associées aux planificateurs. Un planificateur définit la quantité de bande passante d’interface attribuée à la file d’attente, la taille de la mémoire tampon allouée pour le stockage des paquets, la priorité de la file d’attente et les profils d’abandon RED (Random Early Detection) associés à la file d’attente.

      • Vous configurez les planificateurs de file d’attente de sortie au niveau de la [edit class-of-service schedulers] hiérarchie.

      • Vous associez des planificateurs de file d’attente de sortie à des classes de transfert au moyen d’une carte de planificateur que vous configurez au niveau de la [edit class-of-service scheduler-maps map-name] hiérarchie.

    3. Assurez-vous que la planification de la file d’attente de sortie est appliquée à l’interface ge-1/2/0physique .

      Vous appliquez une carte de planificateur à une interface physique au niveau de la [edit class-of-service interfaces ge-1/2/0 scheduler-map map-name] hiérarchie.

Présentation

Dans cet exemple, vous appliquez une classification multifield au trafic IPv4 d’entrée sur une interface logique à l’aide d’actions de filtre de pare-feu sans état et de deux mécanismes de contrôle des filtres de pare-feu qui sont référencés dans le filtre de pare-feu. En fonction du champ d’adresse source, les paquets sont soit définis sur la low priorité de perte, soit placés sous contrôle. Aucun des mécanismes de contrôle n’écarte le trafic nonconformant. Les paquets des flux nonconformants sont marqués pour une classe de transfert spécifique (expedited-forwarding ou assured-forwarding), définis sur une priorité de perte spécifique, puis transmis.

Remarque :

Les mécanismes de contrôle bicolores à débit unique transmettent toujours des paquets dans un flux de trafic conforme après avoir implicitement configuré une low priorité de perte.

Topologie

Dans cet exemple, vous appliquez une classification multifield au trafic IPv4 sur l’interface ge-1/2/0.0logique . Les règles de classification sont spécifiées dans le filtre mfc-filter de pare-feu sans état IPv4 et dans deux mécanismes de contrôle double couleur à débit unique, ef-policer et af-policer.

Le filtre mfc-filter de pare-feu sans état standard IPv4 définit trois termes de filtre :

  • isp1-customers— Le premier terme du filtre correspond aux paquets avec l’adresse source 10.1.1.0/24 ou 10.1.2.0/24. Les paquets correspondant sont affectés à la expedited-forwarding classe de transfert et définis sur la priorité de low perte.

  • isp2-customers— Le deuxième terme du filtre associe les paquets à l’adresse source 10.1.3.0/24 ou 10.1.4.0/24. Les paquets assortis sont transmis à ef-policerun mécanismes de contrôle qui limite le trafic à une limite de bande passante de 300 Kb/s avec une limite de 50 Ko en rafales. Ce mécanismes de contrôle spécifie que les paquets d’un flux nonconformant sont marqués pour la expedited-forwarding classe de transfert et définis sur la high priorité de perte.

  • other-customers— Le troisième et dernier terme de filtre transmet tous les autres paquets à af-policer, un mécanismes de contrôle qui limite le trafic à une limite de bande passante de 300 Kb/s et une limite de 50 Ko par salves (limites de trafic identiques à celles définies par ef-policer). Ce mécanismes de contrôle spécifie que les paquets d’un flux nonconformant sont marqués pour la assured-forwarding classe de transfert et définis sur la medium-high priorité de perte.

Configuration

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous Utiliser l’éditeur CLI en mode configurationà .

Pour configurer cet exemple, effectuez les tâches suivantes :

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.

Configuration des mécanismes de contrôle pour limiter les débits du trafic de transfert accéléré et de transfert garanti

Procédure étape par étape

Pour configurer des mécanismes de contrôle afin de limiter le débit du trafic de transfert accéléré et de transfert garanti :

  1. Définissez des limites de trafic pour le trafic à transfert accéléré.

  2. Configurez un dispositif de contrôle pour le trafic à transfert garanti.

Résultats

Confirmez la configuration du mécanismes de contrôle en entrant la show firewall commande configuration mode. Si la sortie de commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration d’un filtre de classification multichamps qui applique également une fonction de contrôle

Procédure étape par étape

Pour configurer un filtre de classification multichamps qui applique en outre un contrôle :

  1. Activez la configuration d’un terme de filtre de pare-feu pour le trafic IPv4.

  2. Configurez le premier terme pour qu’il corresponde aux adresses source, puis classez les paquets correspondant.

  3. Configurez le deuxième terme pour qu’il corresponde à différentes adresses source, puis contrôlez les paquets correspondant.

  4. Configurez le troisième terme pour policener tous les autres paquets vers un ensemble différent de limites de trafic et d’actions.

Résultats

Confirmez la configuration du filtre en entrant la show firewall commande configuration mode. Si la sortie de commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Application du filtrage et du contrôle de classification multifield à l’interface logique

Procédure étape par étape

Pour appliquer le filtrage et le contrôle de classification multifield à l’interface logique :

  1. Activez la configuration d’IPv4 sur l’interface logique.

  2. Configurez une adresse IP pour l’interface logique.

  3. Appliquez le filtre de pare-feu à l’entrée de l’interface logique.

    Remarque :

    Étant donné que le mécanismes de contrôle est exécuté avant le filtre, si un mécanismes de contrôle d’entrée est également configuré sur l’interface logique, il ne peut pas utiliser la classe de transfert et le protocole PLP d’un classificateur multifield associé à l’interface.

Résultats

Confirmez la configuration de l’interface en entrant la commande configuration show interfaces mode. Si la sortie de commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Affichage du nombre de paquets traités par le mécanismes de contrôle sur l’interface logique

But

Vérifiez le flux de trafic via l’interface logique et vérifiez que le mécanismes de contrôle est évalué lors de la réception de paquets sur l’interface logique.

Action

Utilisez la commande du show firewall mode opérationnel pour le filtre que vous avez appliqué à l’interface logique.

La sortie de commande répertorie les mécanismes de contrôle appliqués par le filtre rate-limit-inde pare-feu et le nombre de paquets correspondant au terme du filtre.

Remarque :

Le nombre de paquets inclut le nombre de paquets hors spécification (hors spécification), et non pas tous les paquets que contrôle le mécanismes de contrôle.

Le nom du mécanismes de contrôle s’affiche avec le nom du terme du filtre de pare-feu dans lequel le mécanismes de contrôle est référencé comme action.

Exemple : Configuration et application d’un filtre de pare-feu pour un classificateur multifield

Cet exemple montre comment configurer un filtre de pare-feu pour classifier le trafic à l’aide d’un classificateur multichamps. Le classificateur détecte les paquets d’intérêt à la classe de service (CoS) dès leur arrivée sur une interface. Les classificateurs multifield sont utilisés lorsqu’un classificateur d’agrégation comportemental (BA) simple n’est pas suffisant pour classifier un paquet, lorsque les routeurs d’appairage ne sont pas marqués par des bits CoS ou que le marquage du routeur d’appairage n’est pas fiable.

Conditions préalables

Pour vérifier cette procédure, cet exemple utilise un générateur de trafic. Le générateur de trafic peut être basé sur du matériel ou un logiciel s’exécutant sur un serveur ou une machine hôte.

Les fonctionnalités de cette procédure sont largement prises en charge sur les équipements exécutant Junos OS. L’exemple ci-dessous a été testé et vérifié sur les routeurs MX Series exécutant Junos OS Version 10.4.

Présentation

Un classificateur est une opération logicielle qui inspecte un paquet dès qu’il pénètre le routeur ou le commutateur. Le contenu de l’en-tête des paquets est examiné, et cet examen détermine la façon dont le paquet est traité lorsque le réseau devient trop occupé pour gérer tous les paquets et que vous voulez que vos équipements déposent les paquets de manière intelligente, au lieu de les rejeter sans discernement. Un moyen courant de détecter les paquets d’intérêt est par le numéro de port source. Les numéros de port TCP 80 et 12345 sont utilisés dans cet exemple, mais de nombreux autres critères de correspondance pour la détection des paquets sont disponibles pour les classificateurs multifield, à l’aide des conditions de correspondance des filtres de pare-feu. La configuration de cet exemple spécifie que les paquets TCP avec le port source 80 sont classés dans la classe de transfert de données BE et le numéro de file d’attente 0. Les paquets TCP avec port source 12345 sont classés dans la classe de transfert de données Premium et dans le numéro de file d’attente 1.

Les classificateurs multifield sont généralement utilisés à la périphérie du réseau lorsque les paquets pénètrent dans un système autonome (AS).

Dans cet exemple, vous configurez le classificateur mf du filtre de pare-feu et spécifiez quelques classes de transfert personnalisées sur l’équipement R1. En spécifiant les classes de transfert personnalisées, vous associez également chaque classe à une file d’attente.

Le fonctionnement du classificateur est visible dans Figure 1.

Figure 1 : Classificateur multifield basé sur les ports source TCPClassificateur multifield basé sur les ports source TCP

Vous appliquez le filtre de pare-feu du classificateur multichamps comme filtre d’entrée sur chaque interface client ou hôte qui a besoin de ce filtre. L’interface entrante est ge-1/0/1 sur l’unité R1. La classification et l’attribution de la file d’attente sont vérifiées sur l’interface sortante. L’interface sortante est l’interface ge-1/0/9 du périphérique R1.

Topologie

Figure 2 affiche l’exemple de réseau.

Figure 2 : Scénario de classificateur multichampsScénario de classificateur multichamps

Configuration rapide CLI affiche la configuration de tous les équipements Juniper Networks dans Figure 2.

La section #d26e82__d26e177 décrit les étapes relatives à l’équipement R1.

Les classificateurs sont décrits plus en détail dans la vidéo « Learning Byte » de Juniper Networks suivante.

Configuration

Procédure

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit dans le mode de configuration.

Équipement R1

Équipement R2

Procédure étape par étape

L’exemple suivant nécessite de naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à Using the CLI Editor in Configuration Mode dans le Junos OS CLI User Guide.

Pour configurer l’équipement R1 :

  1. Configurez les interfaces de l’équipement.

  2. Configurez les classes de transfert personnalisées et les numéros de file d’attente associés.

  3. Configurez le terme du filtre de pare-feu qui place le trafic TCP avec un port source de 80 (trafic HTTP) dans la classe de transfert de données BE, associée à la file d’attente 0.

  4. Configurez le terme du filtre de pare-feu qui place le trafic TCP avec un port source de 12345 dans la classe de transfert de données Premium, associée à la file d’attente 1.

  5. À la fin de votre filtre de pare-feu, configurez un terme par défaut qui accepte tout le trafic.

    Sinon, tout le trafic qui arrive sur l’interface et qui n’est pas explicitement accepté par le filtre de pare-feu est jeté.

  6. Appliquez le filtre de pare-feu à l’interface ge-1/0/1 en tant que filtre d’entrée.

Résultats

Depuis le mode configuration, confirmez votre configuration en entrant les show interfacescommandes , show class-of-serviceshow firewall . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez terminé la configuration de l’unité, entrez commit dans le mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification des paramètres CoS

But

Vérifiez que les classes de transfert sont configurées correctement.

Action

À partir du périphérique R1, exécutez la show class-of-service forwardng-classes commande.

Sens

La sortie affiche les paramètres de classificateur personnalisés configurés.

Envoi du trafic TCP sur le réseau et surveillance du placement de la file d’attente

But

Assurez-vous que le trafic d’intérêt est envoyé dans la file d’attente attendue.

Action
  1. Effacer les statistiques de l’interface sur l’interface sortante de l’équipement R1.

  2. Utilisez un générateur de trafic pour envoyer 50 ports TCP 80 paquets à l’équipement R2 ou à un autre équipement en aval.

  3. Sur l’unité R1, vérifiez les compteurs de file d’attente.

    Notez que vous vérifiez les compteurs de file d’attente sur l’interface de sortie en aval, et non sur l’interface entrante.

  4. Utilisez un générateur de trafic pour envoyer 50 ports TCP 12345 paquets à l’équipement R2 ou à un autre équipement en aval.

  5. Sur l’unité R1, vérifiez les compteurs de file d’attente.

Sens

La sortie indique que les paquets sont correctement classifiés. Lorsque le port 80 est utilisé dans les paquets TCP, la file d’attente 0 est incrémentée. Lorsque le port 12345 est utilisé, la file d’attente 1 est incrémentée.