<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head><title>Les filtres de réglementation (Policing filters)</title><link href="style.css" rel="stylesheet" type="text/css" /><meta content="DocBook XSL Stylesheets V1.73.2" name="generator" /><link rel="start" href="index.html" title="HOWTO du routage avancé et du contrôle de trafic sous Linux" /><link rel="up" href="ch12.html" title="Chapitre 12. Filtres avancés pour la (re-)classification des paquets" /><link rel="prev" href="ch12s02.html" title="Le classificateur route" /><link rel="next" href="ch12s04.html" title="Filtres hachés pour un filtrage massif très rapide" /></head><body><div class="navheader"><table summary="Navigation header" width="100%"><tr><th align="center" colspan="3">Les filtres de réglementation 
  (<em class="wordasword">Policing filters</em>)</th></tr><tr><td align="left" width="20%"><a accesskey="p" href="ch12s02.html">Précédent</a> </td><th align="center" width="60%">Chapitre 12. Filtres avancés pour la (re-)classification des paquets</th><td align="right" width="20%"> <a accesskey="n" href="ch12s04.html">Suivant</a></td></tr></table><hr /></div><div class="sect1" lang="fr"><div class="titlepage"><div><div><h2 class="title"><a id="lartc.adv-filter.policing" />Les filtres de réglementation 
  (<em class="wordasword">Policing filters</em>)</h2></div></div></div><p>Pour réaliser des configurations encore plus compliquées, vous pouvez
avoir des filtres qui analysent le trafic à hauteur d'une certaine bande
passante.
Vous pouvez configurer un filtre pour qu'il cesse complètement l'analyse de
tout le trafic au-dessus d'un certain débit ou pour qu'il n'analyse pas la 
bande passante dépassant un certain débit.
</p><p>Ainsi, si vous décidez de réglementer à 4mbit/s, mais qu'un trafic de
5mbit/s est présent, vous pouvez cesser d'analyser l'ensemble des 5mbit/s
ou seulement cesser d'analyser le 1 mbit/s supplémentaire et envoyer 4
mbit/s à la classe correspondante.
</p><p>Si la bande passante dépasse le débit configuré, vous pouvez rejeter un
paquet, le reclassifier ou voir si un autre filtre y correspond.
</p><div class="sect2" lang="fr"><div class="titlepage"><div><div><h3 class="title"><a id="N11658" />Techniques de réglementation</h3></div></div></div><p>Il y a essentiellement deux façons de réglementer.
Si vous avez compilé le noyau avec <code class="option">Estimators</code>, celui-ci peut
mesurer plus ou moins pour chaque filtre le trafic qui est passé.
Ces estimations ne sont pas coûteuses en temps CPU, étant donné qu'il ne compte
que 25 fois par seconde le nombre de données qui sont passées, et qu'il calcule
le débit à partir de là.
</p><p>L'autre manière utilise encore le <em class="wordasword">Token Bucket 
Filter</em> qui réside à l'intérieur du filtre cette fois.
Le <acronym class="acronym">TBF</acronym> analyse seulement le trafic 
<span class="emphasis"><em>A HAUTEUR</em></span> de la bande passante que vous avez configurée.
Si cette bande passante est dépassée, seul l'excès est traité par l'action de
dépassement de limite configurée.
</p><div class="sect3" lang="fr"><div class="titlepage"><div><div><h4 class="title"><a id="N1166B" />Avec l'estimateur du noyau</h4></div></div></div><p>Ceci est très simple et il n'y a qu'un seul paramètre : 
<code class="option">avrate</code>.
Soit le flux demeure sous <code class="option">avrate</code> et le filtre classifie le
trafic vers la classe appropriée, soit votre débit le dépasse et l'action 
indiquée par défaut, la « <span class="quote">reclassification</span> », est réalisée dans ce
cas.
</p><p>Le noyau utilise l'algorithme <acronym class="acronym">EWMA</acronym> pour votre bande
passante, ce qui la rend moins sensible aux courtes rafales de données.
</p></div><div class="sect3" lang="fr"><div class="titlepage"><div><div><h4 class="title"><a id="N1167E" />Avec le <em class="wordasword">Token Bucket Filter</em></h4></div></div></div><p>Utilisez les paramètres suivants :
</p><div class="itemizedlist"><ul><li><p><code class="option">buffer</code>/<code class="option">maxburst</code>
  </p></li><li><p><code class="option">mtu</code>/<code class="option">minburst</code>
  </p></li><li><p><code class="option">mpu</code>
  </p></li><li><p><code class="option">rate</code>
  </p></li></ul></div><p>Ceux-ci se comportent la plupart du temps de manière identique à ceux
décrits dans la section <em class="citetitle"><a class="xref" href="ch09s02.html#TBF" title="Filtre à seau de jetons (Token Bucket Filter)">Filtre à seau de jetons</a></em>.
Notez cependant que si vous configurez le <code class="option">mtu</code> du filtre de 
réglementation <acronym class="acronym">TBF</acronym> trop bas, aucun paquet ne passera
et le gestionnaire de mise en file d'attente de sortie <acronym class="acronym">TBF</acronym>
ne fera que les ralentir.
</p><p>Une autre différence est que la réglementation ne peut que laisser 
passer ou jeter un paquet.
Il ne peut pas le retenir dans le but de le retarder.
</p></div></div><div class="sect2" lang="fr"><div class="titlepage"><div><div><h3 class="title"><a id="N116B1" />Actions de dépassement de limite 
  (<em class="wordasword">Overlimit actions</em>)</h3></div></div></div><p>Si votre filtre décide qu'un dépassement de limite est atteint, il peut
mettre en oeuvre des « <span class="quote">actions</span> ».
Actuellement, trois actions sont disponibles :
</p><div class="variablelist"><dl><dt><span class="term"><code class="option">continue</code></span></dt><dd><p>Provoque l'arrêt de l'analyse du filtre, bien que d'autres filtres
    aient la possibilité de le faire.
    </p></dd><dt><span class="term"><code class="option">drop</code></span></dt><dd><p>Ceci est une option très féroce qui supprime simplement le trafic 
    excédant un certain débit.
    Elle est souvent employée dans le <em class="wordasword">Ingress policer</em>
    et a des utilisations limitées.
    Par exemple, si vous avez un serveur de noms qui s'écroule s'il traite plus 
    de 5mbit/s de paquets, alors, vous pourrez dans ce cas utiliser un filtre 
    d'entrée pour être sûr qu'il ne traitera jamais plus de 5mbit/s.
    </p></dd><dt><span class="term"><code class="option">Pass/OK</code></span></dt><dd><p>Transmettre le trafic.
    Peut être utilisé pour mettre hors service un filtre compliqué, tout
    en le laissant en place.
    </p></dd><dt><span class="term"><code class="option">reclassify</code></span></dt><dd><p>Permet le plus souvent une reclassification vers 
    <em class="wordasword">Best Effort</em>.
    Ceci est l'action par défaut.
    </p></dd></dl></div></div><div class="sect2" lang="fr"><div class="titlepage"><div><div><h3 class="title"><a id="N116DF" />Exemples</h3></div></div></div><p>Le seul vrai exemple connu est mentionné dans la section 
<em class="citetitle"><a class="xref" href="ch15s02.html" title="Protéger votre machine des inondations SYN">Protéger votre machine des inondations SYN</a></em>.
</p><p>FIXME: Si vous avez déjà utilisé ceci, partagez s'il vous plaît votre
expérience avec nous.
</p></div></div><div class="navfooter"><hr /><table summary="Navigation footer" width="100%"><tr><td align="left" width="40%"><a accesskey="p" href="ch12s02.html">Précédent</a> </td><td align="center" width="20%"><a accesskey="u" href="ch12.html">Niveau supérieur</a></td><td align="right" width="40%"> <a accesskey="n" href="ch12s04.html">Suivant</a></td></tr><tr><td valign="top" align="left" width="40%">Le classificateur <code class="option">route</code> </td><td align="center" width="20%"><a accesskey="h" href="index.html">Sommaire</a></td><td valign="top" align="right" width="40%"> Filtres hachés pour un filtrage massif très rapide</td></tr></table></div></body></html>