<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"><head><title>Les filtres de réglementation (Policing filters)</title><link href="style.css" rel="stylesheet" type="text/css" /><meta content="DocBook XSL Stylesheets V1.73.2" name="generator" /><link rel="start" href="index.html" title="HOWTO du routage avancé et du contrôle de trafic sous Linux" /><link rel="up" href="ch12.html" title="Chapitre 12. Filtres avancés pour la (re-)classification des paquets" /><link rel="prev" href="ch12s02.html" title="Le classificateur route" /><link rel="next" href="ch12s04.html" title="Filtres hachés pour un filtrage massif très rapide" /></head><body><div class="navheader"><table summary="Navigation header" width="100%"><tr><th align="center" colspan="3">Les filtres de réglementation (<em class="wordasword">Policing filters</em>)</th></tr><tr><td align="left" width="20%"><a accesskey="p" href="ch12s02.html">Précédent</a> </td><th align="center" width="60%">Chapitre 12. Filtres avancés pour la (re-)classification des paquets</th><td align="right" width="20%"> <a accesskey="n" href="ch12s04.html">Suivant</a></td></tr></table><hr /></div><div class="sect1" lang="fr"><div class="titlepage"><div><div><h2 class="title"><a id="lartc.adv-filter.policing" />Les filtres de réglementation (<em class="wordasword">Policing filters</em>)</h2></div></div></div><p>Pour réaliser des configurations encore plus compliquées, vous pouvez avoir des filtres qui analysent le trafic à hauteur d'une certaine bande passante. Vous pouvez configurer un filtre pour qu'il cesse complètement l'analyse de tout le trafic au-dessus d'un certain débit ou pour qu'il n'analyse pas la bande passante dépassant un certain débit. </p><p>Ainsi, si vous décidez de réglementer à 4mbit/s, mais qu'un trafic de 5mbit/s est présent, vous pouvez cesser d'analyser l'ensemble des 5mbit/s ou seulement cesser d'analyser le 1 mbit/s supplémentaire et envoyer 4 mbit/s à la classe correspondante. </p><p>Si la bande passante dépasse le débit configuré, vous pouvez rejeter un paquet, le reclassifier ou voir si un autre filtre y correspond. </p><div class="sect2" lang="fr"><div class="titlepage"><div><div><h3 class="title"><a id="N11658" />Techniques de réglementation</h3></div></div></div><p>Il y a essentiellement deux façons de réglementer. Si vous avez compilé le noyau avec <code class="option">Estimators</code>, celui-ci peut mesurer plus ou moins pour chaque filtre le trafic qui est passé. Ces estimations ne sont pas coûteuses en temps CPU, étant donné qu'il ne compte que 25 fois par seconde le nombre de données qui sont passées, et qu'il calcule le débit à partir de là. </p><p>L'autre manière utilise encore le <em class="wordasword">Token Bucket Filter</em> qui réside à l'intérieur du filtre cette fois. Le <acronym class="acronym">TBF</acronym> analyse seulement le trafic <span class="emphasis"><em>A HAUTEUR</em></span> de la bande passante que vous avez configurée. Si cette bande passante est dépassée, seul l'excès est traité par l'action de dépassement de limite configurée. </p><div class="sect3" lang="fr"><div class="titlepage"><div><div><h4 class="title"><a id="N1166B" />Avec l'estimateur du noyau</h4></div></div></div><p>Ceci est très simple et il n'y a qu'un seul paramètre : <code class="option">avrate</code>. Soit le flux demeure sous <code class="option">avrate</code> et le filtre classifie le trafic vers la classe appropriée, soit votre débit le dépasse et l'action indiquée par défaut, la « <span class="quote">reclassification</span> », est réalisée dans ce cas. </p><p>Le noyau utilise l'algorithme <acronym class="acronym">EWMA</acronym> pour votre bande passante, ce qui la rend moins sensible aux courtes rafales de données. </p></div><div class="sect3" lang="fr"><div class="titlepage"><div><div><h4 class="title"><a id="N1167E" />Avec le <em class="wordasword">Token Bucket Filter</em></h4></div></div></div><p>Utilisez les paramètres suivants : </p><div class="itemizedlist"><ul><li><p><code class="option">buffer</code>/<code class="option">maxburst</code> </p></li><li><p><code class="option">mtu</code>/<code class="option">minburst</code> </p></li><li><p><code class="option">mpu</code> </p></li><li><p><code class="option">rate</code> </p></li></ul></div><p>Ceux-ci se comportent la plupart du temps de manière identique à ceux décrits dans la section <em class="citetitle"><a class="xref" href="ch09s02.html#TBF" title="Filtre à seau de jetons (Token Bucket Filter)">Filtre à seau de jetons</a></em>. Notez cependant que si vous configurez le <code class="option">mtu</code> du filtre de réglementation <acronym class="acronym">TBF</acronym> trop bas, aucun paquet ne passera et le gestionnaire de mise en file d'attente de sortie <acronym class="acronym">TBF</acronym> ne fera que les ralentir. </p><p>Une autre différence est que la réglementation ne peut que laisser passer ou jeter un paquet. Il ne peut pas le retenir dans le but de le retarder. </p></div></div><div class="sect2" lang="fr"><div class="titlepage"><div><div><h3 class="title"><a id="N116B1" />Actions de dépassement de limite (<em class="wordasword">Overlimit actions</em>)</h3></div></div></div><p>Si votre filtre décide qu'un dépassement de limite est atteint, il peut mettre en oeuvre des « <span class="quote">actions</span> ». Actuellement, trois actions sont disponibles : </p><div class="variablelist"><dl><dt><span class="term"><code class="option">continue</code></span></dt><dd><p>Provoque l'arrêt de l'analyse du filtre, bien que d'autres filtres aient la possibilité de le faire. </p></dd><dt><span class="term"><code class="option">drop</code></span></dt><dd><p>Ceci est une option très féroce qui supprime simplement le trafic excédant un certain débit. Elle est souvent employée dans le <em class="wordasword">Ingress policer</em> et a des utilisations limitées. Par exemple, si vous avez un serveur de noms qui s'écroule s'il traite plus de 5mbit/s de paquets, alors, vous pourrez dans ce cas utiliser un filtre d'entrée pour être sûr qu'il ne traitera jamais plus de 5mbit/s. </p></dd><dt><span class="term"><code class="option">Pass/OK</code></span></dt><dd><p>Transmettre le trafic. Peut être utilisé pour mettre hors service un filtre compliqué, tout en le laissant en place. </p></dd><dt><span class="term"><code class="option">reclassify</code></span></dt><dd><p>Permet le plus souvent une reclassification vers <em class="wordasword">Best Effort</em>. Ceci est l'action par défaut. </p></dd></dl></div></div><div class="sect2" lang="fr"><div class="titlepage"><div><div><h3 class="title"><a id="N116DF" />Exemples</h3></div></div></div><p>Le seul vrai exemple connu est mentionné dans la section <em class="citetitle"><a class="xref" href="ch15s02.html" title="Protéger votre machine des inondations SYN">Protéger votre machine des inondations SYN</a></em>. </p><p>FIXME: Si vous avez déjà utilisé ceci, partagez s'il vous plaît votre expérience avec nous. </p></div></div><div class="navfooter"><hr /><table summary="Navigation footer" width="100%"><tr><td align="left" width="40%"><a accesskey="p" href="ch12s02.html">Précédent</a> </td><td align="center" width="20%"><a accesskey="u" href="ch12.html">Niveau supérieur</a></td><td align="right" width="40%"> <a accesskey="n" href="ch12s04.html">Suivant</a></td></tr><tr><td valign="top" align="left" width="40%">Le classificateur <code class="option">route</code> </td><td align="center" width="20%"><a accesskey="h" href="index.html">Sommaire</a></td><td valign="top" align="right" width="40%"> Filtres hachés pour un filtrage massif très rapide</td></tr></table></div></body></html>