Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Multifield Classifier Exemple : Configuration de la classification multi-champs

Présentation de la classification multi-champs

Classes de transfert et niveaux PLP

Vous pouvez configurer les fonctionnalités de classe de service (CoS) junos OS pour classifier le trafic entrant en associant chaque paquet à une classe de transfert, un niveau de priorité de perte de paquets (PLP), ou les deux :

  • En fonction de la classe de transfert associée, chaque paquet est assigné à une file d’attente de sortie, et le routeur dessert les files d’attente de sortie en fonction de la planification associée que vous configurez.

  • En fonction du PLP associé, chaque paquet a une probabilité plus ou moins élevée d’être abandonné en cas de congestion. Le processus RED (Random Early Detection) coS utilise la configuration de probabilité de chute, le pourcentage de plénitude de la file d’attente de sortie et le PLP du paquet pour abandonner le paquet selon les besoins afin de contrôler la congestion à l’étape de sortie.

Classification multi-champs et classification BA

Junos OS prend en charge deux types généraux de classification des paquets : agrégation de comportements (BA) et classification multi-champs :

  • La classification BA, ou classification du trafic de valeur CoS, fait référence à une méthode de classification des paquets qui utilise une configuration CoS pour définir la classe de transfert ou PLP d’un paquet en fonction de la valeur CoS dans l’en-tête de paquet IP. La valeur CoS examinée à des fins de classification BA peut être la valeur du point de code de services différencié (DSCP), la valeur IPv6 DSCP, la valeur de priorité IP, les bits EXP MPLS et la valeur IEEE 802.1p. Le classificateur par défaut est basé sur la valeur de priorité IP.

  • La classification multi-champs fait référence à une méthode de classification des paquets qui utilise une configuration standard de filtre de pare-feu sans état pour définir la classe de transfert ou PLP pour chaque paquet entrant ou sortant de l’interface en fonction de plusieurs champs dans l’en-tête de paquet IP, y compris la valeur DSCP (pour IPv4 uniquement), la valeur de priorité IP, les bits EXP MPLS, et ieee 802.1p bits. La classification multi-champs correspond généralement aux champs d’adresse IP, au champ de type de protocole IP ou au numéro de port dans le champ udp ou tcp pseudoheader. La classification multi-champs est utilisée à la place de la classification BA lorsque vous devez classer les paquets en fonction des informations contenues dans les informations de paquets autres que les valeurs CoS uniquement.

    Avec la classification multi-champs, un terme de filtre de pare-feu peut spécifier les actions de classification de paquets pour les paquets correspondants, mais l’utilisation d’actions forwarding-class class-name ou loss-priority (high | medium-high | medium-low | low) de non-définition dans la clause du then terme.

REMARQUE :

La classification BA d’un paquet peut être remplacée par les actions forwarding-class de filtrage de pare-feu sans état et loss-priority.

REMARQUE :

Classification erronée du trafic via le classificateur multifield sur QFX5k :

  • Si le trafic BUM est contraint de prendre une file d’attente unicast via le classificateur MF, les paquets seront classés dans MCQ9. Junos versions 21.4R3 , 22.1R3 et à partir de la version 22.2 de Junos, ces paquets seront classés dans MCQ8.

  • Si le trafic unicast est contraint de prendre une file d’attente multicast via le classificateur MF, les paquets seront classés dans MCQ9 et à partir de la version 19.1R3, ils seront classés dans la file d’attente best-effort.

Classification multi-champs utilisée conjointement avec les policiers

Pour configurer la classification multi-champs en conjonction avec la limitation de débit, un terme de filtre de pare-feu peut spécifier les actions de classification des paquets correspondants à l’aide d’une policer action non déterminative qui fait référence à un policer bicolore à débit unique.

Lorsque la classification multi-champs est configurée pour effectuer une classification via un policer, les paquets correspondants au filtre dans le flux de trafic sont limités aux limites de trafic spécifiées par le policeur. Les paquets dans un flux conforme de paquets assortis de filtres sont implicitement définis sur un low PLP. Les paquets dans un flux de trafic non-conformant peuvent être jetés, ou les paquets peuvent être définis sur une classe de transfert spécifiée, sur un niveau PLP spécifié, ou les deux, en fonction du type de policer et de la façon dont le policer est configuré pour gérer le trafic non-conforming.

REMARQUE :

Avant d’appliquer un filtre de pare-feu qui effectue une classification multi-champs et un policer à la même interface logique et pour la même direction du trafic, assurez-vous de tenir compte de l’ordre des opérations de police et de filtre de pare-feu.

Prenons le cas de figure suivant :

  • Vous configurez un filtre de pare-feu qui effectue une classification multi-champs (agit sur les paquets correspondants en définissant la classe de transfert, le PLP ou les deux) en fonction de la classe de transfert ou PLP existante du paquet. Vous appliquez le filtre de pare-feu à l’entrée d’une interface logique.

  • Vous configurez également un policer bicolore à débit unique qui agit sur un flux de trafic rouge en marquant de nouveau (en définissant la classe de transfert, le PLP ou les deux) plutôt que de rejeter ces paquets. Vous appliquez le policer en tant que police d’interface à l’entrée de la même interface logique à laquelle vous appliquez le filtre de pare-feu.

En raison de l’ordre des opérations de contrôle et de pare-feu, le policer d’entrée est exécuté avant le filtre de pare-feu d’entrée. Cela signifie que la classification multi-champs spécifiée par le filtre de pare-feu est effectuée sur des paquets d’entrée qui ont déjà été marqués une fois par des actions de contrôle. Par conséquent, tout paquet d’entrée qui correspond aux conditions spécifiées dans un terme de filtre de pare-feu est alors soumis à un deuxième marquage en fonction des forwarding-class actions ou loss-priority de non-indication également spécifiées dans ce terme.

Exigences et restrictions de classification multi-champs

Plates-formes prises en charge :

L’action loss-priority de filtrage du pare-feu est prise en charge uniquement sur les plates-formes de routage suivantes :

  • commutateurs EX Series

  • M7i et routeurs M10i avec le CFEB-E amélioré (CFEB-E)

  • M120 et routeurs M320

  • Routeurs MX Series

  • Routeurs T Series avec concentrateurs PIC flexibles (FPC) II améliorés

  • Routeurs PTX Series

Exigence de marquage tricolore CoS

L’action loss-priority de filtrage du pare-feu a des exigences spécifiques à la plate-forme de la fonctionnalité de marquage tricolore CoS, telle que définie dans la RFC 2698 :

  • Sur un routeur M320, vous ne pouvez valider une configuration qui inclut l’action du loss-priority filtre de pare-feu que si vous activez la fonctionnalité de marquage tricolore CoS.

  • Sur toutes les plates-formes de routage qui prennent en charge l’action loss-priority du filtre de pare-feu, vous ne pouvez pas définir l’action du loss-priority filtre de pare-feu sur medium-low ou medium-high à moins d’activer la fonctionnalité de marquage tricolore CoS. .

Pour activer la fonctionnalité de marquage tricolore CoS, incluez l’énoncé tri-color au niveau de la [edit class-of-service] hiérarchie.

Restrictions

Vous ne pouvez pas configurer les loss-priority actions et three-color-policer ne pas les définir pour le même terme de filtre de pare-feu. Ces deux actions non déterminants s’excluent mutuellement.

REMARQUE :

Sur un routeur PTX Series, vous devez configurer l’action policer dans une règle distincte et ne pas la combiner avec la règle configurant le forwarding-class, et loss-priority les actions. Voir Différences de pare-feu et de contrôle entre les routeurs de transport de paquets PTX Series et les routeurs matriciels T Series.

Limites de classification multi-champs sur les routeurs M Series

Problème: Correspondance filtre de sortie sur la classification des filtres d’entrée

Sur les routeurs M Series (sauf M120 routeurs), vous ne pouvez pas classer les paquets avec une correspondance de filtre de sortie en fonction de la classification entrante définie avec un filtre d’entrée appliqué à la même interface logique IPv4.

Par exemple, dans la configuration suivante, le filtre appelé ingress attribue tous les paquets IPv4 entrants à la expedited-forwarding classe. Le filtre appelé egress compte tous les paquets assignés à la expedited-forwarding classe du ingress filtre. Cette configuration ne fonctionne pas sur la plupart des routeurs M Series. Il fonctionne sur toutes les autres plates-formes de routage, y compris les routeurs M120, les routeurs MX Series et les routeurs T Series.

Contournement: Configurer toutes les actions dans le filtre entrant

Pour contourner le problème, vous pouvez configurer toutes les actions dans le filtre entrant.

Exemple : Configuration de la classification multi-champs

Cet exemple montre comment configurer la classification multi-champs du trafic IPv4 à l’aide d’actions de filtrage de pare-feu et de deux polices de filtre de pare-feu.

Conditions préalables

Avant de commencer, assurez-vous que votre environnement prend en charge les fonctionnalités indiquées dans cet exemple :

  1. L’action loss-priority du filtre de pare-feu doit être prise en charge sur le routeur et configurable sur les quatre valeurs.

    1. Pour définir une loss-priority action de filtre de pare-feu, configurez cet exemple sur l’interface ge-1/2/0.0 logique sur l’une des plates-formes de routage suivantes :

      • Routeur MX Series

      • routeur M120 ou M320

      • M7i ou routeur M10i avec le CFEB amélioré (CFEB-E)

      • Routeur T Series avec concentrateur PIC flexible (FPC) II amélioré

    2. Pour pouvoir définir une loss-priority action de filtre de pare-feu sur medium-low ou medium-high, assurez-vous que la fonctionnalité de marquage tricolore CoS est activée. Pour activer la fonctionnalité de marquage tricolore CoS, incluez l’énoncé tri-color au niveau de la [edit class-of-service] hiérarchie.

  2. Les expedited-forwarding classes et assured-forwarding de transfert doivent être planifiées sur l’interface ge-1/2/0physique sous-jacente .

    1. Assurez-vous que les classes de transfert suivantes sont affectées aux files d’attente de sortie :

      • expedited-forwarding

      • assured-forwarding

      Les attributions de classes de transfert sont configurées au niveau de la [edit class-of-service forwarding-classes queue queue-number] hiérarchie.

      REMARQUE :

      Vous ne pouvez pas valider une configuration qui attribue la même classe de transfert à deux files d’attente différentes.

    2. Assurez-vous que les files d’attente de sortie auxquelles les classes de transfert sont attribuées sont associées aux planificateurs. Un planificateur définit la quantité de bande passante de l’interface attribuée à la file d’attente, la taille de la mémoire tampon allouée pour le stockage des paquets, la priorité de la file d’attente et les profils d’abandon aléatoires RED (détection précoce) associés à la file d’attente.

      • Vous configurez les planificateurs de files d’attente de sortie au niveau de la [edit class-of-service schedulers] hiérarchie.

      • Vous associez les planificateurs de file d’attente de sortie aux classes de transfert au moyen d’un plan de planificateur que vous configurez au niveau de la [edit class-of-service scheduler-maps map-name] hiérarchie.

    3. Assurez-vous que la planification des files d’attente de sortie est appliquée à l’interface ge-1/2/0physique .

      Vous appliquez un plan de planificateur à une interface physique au niveau de la [edit class-of-service interfaces ge-1/2/0 scheduler-map map-name] hiérarchie.

Présentation

Dans cet exemple, vous appliquez une classification multi-champs au trafic IPv4 d’entrée au niveau d’une interface logique en utilisant des actions de filtrage de pare-feu sans état et deux polices de filtre de pare-feu référencées à partir du filtre de pare-feu. En fonction du champ d’adresse source, les paquets sont soit définis sur la low priorité de perte, soit être supervisés. Aucun des agents de contrôle ne rejette le trafic non-conformité. Les paquets dans des flux non-conformants sont marqués pour une classe de transfert spécifique (expedited-forwarding ou assured-forwarding), défini sur une priorité de perte spécifique, puis transmis.

REMARQUE :

Les polices bicolores à débit unique transmettent toujours des paquets dans un flux de trafic conforme après avoir implicitement placé une low priorité de perte.

topologie

Dans cet exemple, vous appliquez une classification multi-champs au trafic IPv4 sur l’interface ge-1/2/0.0logique . Les règles de classification sont spécifiées dans le filtre mfc-filter de pare-feu sans état IPv4 et dans deux polices bi-couleurs à débit unique, ef-policer et af-policer.

Le filtre mfc-filter de pare-feu sans état IPv4 standard définit trois termes de filtre :

  • isp1-customers— Le premier terme de filtre fait correspondre les paquets à l’adresse source 10.1.1.0/24 ou 10.1.2.0/24. Les paquets correspondants sont assignés à la expedited-forwarding classe de transfert et définissent la priorité de low perte.

  • isp2-customers— Le deuxième terme de filtre fait correspondre les paquets à l’adresse source 10.1.3.0/24 ou 10.1.4.0/24. Les paquets appariés sont transmis à ef-policer, un dispositif de contrôle qui limite le trafic à une bande passante limitée à 300 Kb/s avec une limite de taille de rafale de 50 Ko. Ce dispositif de contrôle spécifie que les paquets d’un flux non-conformité sont marqués pour la classe de expedited-forwarding transfert et définis sur la high priorité de perte.

  • other-customers— Le troisième et dernier terme de filtre transmet tous les autres paquets à af-policer, un dispositif de contrôle qui limite le trafic à une bande passante de 300 Kb/s et à une limite de taille de rafale de 50 Ko (les mêmes limites de trafic définies par ef-policer). Ce dispositif de contrôle spécifie que les paquets d’un flux non-conformité sont marqués pour la classe de assured-forwarding transfert et définis sur la medium-high priorité de perte.

Configuration

Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation sur la CLI, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.

Pour configurer cet exemple, effectuez les tâches suivantes :

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez les commandes dans la CLI au niveau de la [edit] hiérarchie.

Configuration des polices pour limiter le débit du trafic de transfert accéléré et de transfert assuré

Procédure étape par étape

Pour configurer des contrôles afin de limiter la vitesse du trafic de transfert accéléré et de transfert garanti :

  1. Définissez des limites de trafic pour le trafic de transfert accéléré.

  2. Configurez un dispositif de contrôle pour assurer le trafic de transfert.

Résultats

Confirmez la configuration du policer en entrant la commande du show firewall mode de configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration d’un filtre de classification multi-champs qui applique également le contrôle

Procédure étape par étape

Pour configurer un filtre de classification multi-champs qui applique également le contrôle :

  1. Activez la configuration d’un terme de filtre de pare-feu pour le trafic IPv4.

  2. Configurez le premier terme pour qu’il corresponde aux adresses source, puis classez les paquets correspondants.

  3. Configurez le deuxième terme pour qu’il corresponde à différentes adresses source, puis contrôlez les paquets correspondants.

  4. Configurez le troisième terme pour assurer la surveillance de tous les autres paquets en fonction d’un ensemble différent de limites et d’actions de trafic.

Résultats

Confirmez la configuration du filtre en entrant la commande du show firewall mode de configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Application du filtrage et du contrôle de classification multi-champs à l’interface logique

Procédure étape par étape

Pour appliquer le filtrage et le contrôle de classification multi-champs à l’interface logique :

  1. Activez la configuration d’IPv4 sur l’interface logique.

  2. Configurez une adresse IP pour l’interface logique.

  3. Appliquez le filtre de pare-feu à l’entrée de l’interface logique.

    REMARQUE :

    Étant donné que le policer est exécuté avant le filtre, si un policer d’entrée est également configuré sur l’interface logique, il ne peut pas utiliser la classe de transfert et le PLP d’un classificateur multi-champs associé à l’interface.

Résultats

Confirmez la configuration de l’interface en entrant la commande du show interfaces mode de configuration. Si la commande sortie n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Affichage du nombre de paquets traités par le policer au niveau de l’interface logique

But

Vérifiez le flux de trafic via l’interface logique et que le policer est évalué lorsque les paquets sont reçus sur l’interface logique.

Action

Utilisez la show firewall commande du mode opérationnel pour le filtre que vous avez appliqué à l’interface logique.

La sortie de commande répertorie les contrôles appliqués par le filtre rate-limit-inde pare-feu, ainsi que le nombre de paquets correspondant au terme du filtre.

REMARQUE :

Le nombre de paquets inclut le nombre de paquets non spécifiés (hors spécification), et pas tous les paquets qui sont supervisés par le gendarme.

Le nom du policer s’affiche concatété avec le nom du terme de filtre de pare-feu dans lequel le policer est référencé en tant qu’action.

Exemple : Configuration et application d’un filtre de pare-feu pour un classificateur multi-champs

Cet exemple montre comment configurer un filtre de pare-feu pour classer le trafic à l’aide d’un classificateur multi-champs. Le classificateur détecte les paquets d’intérêt pour la classe de service (CoS) dès qu’ils arrivent sur une interface. Les classificateurs multi-champs sont utilisés lorsqu’un simple classificateur d’agrégation de comportement (BA) est insuffisant pour classer un paquet, lorsque les routeurs d’appairage n’ont pas de bits CoS marqués ou que le marquage du routeur d’appairage n’est pas fiable.

Conditions préalables

Pour vérifier cette procédure, cet exemple utilise un générateur de trafic. Le générateur de trafic peut être basé sur du matériel ou un logiciel s’exécutant sur un serveur ou une machine hôte.

La fonctionnalité de cette procédure est largement prise en charge sur les équipements qui exécutent Junos OS. L’exemple illustré ici a été testé et vérifié sur les routeurs MX Series exécutant Junos OS Version 10.4.

Présentation

Un classificateur est une opération logicielle qui inspecte un paquet à mesure qu’il pénètre dans le routeur ou le commutateur. Le contenu de l’en-tête de paquet est examiné, et cet examen détermine comment le paquet est traité lorsque le réseau est trop occupé pour gérer tous les paquets et que vous souhaitez que vos équipements abandonnent les paquets de manière intelligente, au lieu de les abandonner sans discrimination. Un moyen courant de détecter les paquets d’intérêt est par numéro de port source. Les numéros de port TCP 80 et 12345 sont utilisés dans cet exemple, mais de nombreux autres critères de correspondance pour la détection des paquets sont disponibles pour les classificateurs multi-champs, à l’aide de conditions de correspondance de filtre de pare-feu. La configuration de cet exemple spécifie que les paquets TCP avec le port source 80 sont classés dans la classe de transfert de données BE et dans la file d’attente numéro 0. Les paquets TCP avec le port source 12345 sont classés dans la classe de transfert de données Premium et dans la file d’attente numéro 1.

Les classificateurs multi-champs sont généralement utilisés en périphérie du réseau lorsque les paquets pénètrent dans un système autonome (AS).

Dans cet exemple, vous configurez le filtre mf-classificateur de pare-feu et spécifiez des classes de transfert personnalisées sur l’équipement R1. Lorsque vous spécifiez les classes de transfert personnalisées, vous associez également chaque classe à une file d’attente.

L’opération de classificateur est indiquée dans la section Figure 1.

Figure 1 : Classificateur multifield basé sur les ports source TCPClassificateur multifield basé sur les ports source TCP

Vous appliquez le filtre de pare-feu du classificateur multi-champs en tant que filtre d’entrée sur chaque interface orientée client ou hôte qui a besoin du filtre. L’interface entrante est ge-1/0/1 sur l’équipement R1. La classification et l’attribution des files d’attente sont vérifiées sur l’interface sortante. L’interface sortante est l’interface ge-1/0/9 de l’équipement R1.

topologie

Figure 2 affiche l’exemple de réseau.

Figure 2 : Scénario multi-classificateur Scénario multi-classificateur

Configuration rapide cli affiche la configuration de tous les équipements Juniper Networks dans Figure 2.

Procédure étape par étape décrit les étapes sur l’équipement R1.

Les classificateurs sont décrits plus en détail dans la vidéo Juniper Networks Learning Byte suivante.

Configuration

Procédure

Configuration rapide cli

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis saisissez commit à partir du mode de configuration.

Équipement R1

Équipement R2

Procédure étape par étape

L’exemple suivant exige que vous parcouriez différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface cli, consultez Utilisation de l’éditeur CLI en mode de configuration dans le Guide de l’utilisateur de l’interface cli Junos OS.

Pour configurer l’équipement R1 :

  1. Configurez les interfaces de l’équipement.

  2. Configurez les classes de transfert personnalisées et les numéros de file d’attente associés.

  3. Configurez le terme de filtre de pare-feu qui place le trafic TCP avec un port source 80 (trafic HTTP) dans la classe de transfert de données BE, associée à la file d’attente 0.

  4. Configurez le terme de filtre de pare-feu qui place le trafic TCP avec un port source 12345 dans la classe de transfert de données Premium, associée à la file d’attente 1.

  5. À la fin du filtre de pare-feu, configurez un terme par défaut qui accepte tout le autre trafic.

    Sinon, tout le trafic qui arrive sur l’interface et qui n’est pas explicitement accepté par le filtre de pare-feu est rejeté.

  6. Appliquez le filtre de pare-feu à l’interface ge-1/0/1 en tant que filtre d’entrée.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant les show interfacescommandes , show class-of-service. show firewall Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification des paramètres CoS

But

Vérifiez que les classes de transfert sont correctement configurées.

Action

À partir de l’équipement R1, exécutez la show class-of-service forwardng-classes commande.

Sens

La sortie affiche les paramètres de classificateur personnalisés configurés.

Envoi du trafic TCP sur le réseau et surveillance de l’emplacement de la file d’attente

But

Assurez-vous que le trafic d’intérêt est envoyé hors de la file d’attente attendue.

Action
  1. Effacez les statistiques d’interface sur l’interface sortante de l’équipement R1.

  2. Utilisez un générateur de trafic pour envoyer 50 paquets de port TCP 80 à l’équipement R2 ou à un autre équipement en aval.

  3. Sur l’équipement R1, vérifiez les compteurs de file d’attente.

    Notez que vous vérifiez les compteurs de files d’attente sur l’interface de sortie en aval, et non sur l’interface entrante.

  4. Utilisez un générateur de trafic pour envoyer 50 paquets de port TCP 12345 à l’équipement R2 ou à un autre équipement en aval.

  5. Sur l’équipement R1, vérifiez les compteurs de file d’attente.

Sens

La sortie montre que les paquets sont correctement classés. Lorsque le port 80 est utilisé dans les paquets TCP, la file d’attente 0 est incrémentée. Lorsque le port 12345 est utilisé, la file d’attente 1 est incrémentée.