Exemplo: Usando listas de policiais e prefixos de duas cores
Se você fornecer quantidades específicas de largura de banda para clientes internos ou externos, você pode usar o policiamento para garantir que os clientes não consumam mais largura de banda do que deveriam receber. Por exemplo, você pode conectar muitos clientes a uma interface de 10 Gbps e quer garantir que nenhum deles congestione a interface usando mais largura de banda do que eles foram alocados.
Você pode realizar isso criando um policiador de duas cores semelhante ao seguinte para cada cliente:
firewall {
policer Limit-Customer-1 {
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 150m;
}
then discard;
}
No entanto, criar um policiador para cada cliente não é claramente uma solução escalável. Como alternativa, você pode criar listas de prefixo que agrupam classes de clientes e, em seguida, criar policiais para cada lista de prefixo. Por exemplo, você pode criar listas de prefixo, como , e (no nível da hierarquia) e criar os seguintes policiais correspondentes:Class-A-Customer-PrefixesClass-B-Customer-PrefixesClass-C-Customer-Prefixes[edit policy-options]
firewall {
policer Class-A {
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 150m;
}
then discard;
}
policer Class-B {
if-exceeding {
bandwidth-limit 75m;
burst-size-limit 100m;
}
then discard;
}
policer Class-C {
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 75m;
}
then discard;
}
}
Você deve criar termos de filtro que especifiquem as listas de prefixo em suas declarações e os policiais correspondentes em suas declarações semelhantes às seguintes:fromthen
firewall
family inet {
filter Class-A-Customers {
term term-1 {
from {
destination-prefix-list {
Class-A-Customer-Prefixes;
}
}
then policer Class-A;
}
}
filter Class-B-Customers {
term term-1 {
from {
destination-prefix-list {
Class-B-Customer-Prefixes;
}
}
then policer Class-B;
}
}
filter Class-C-Customers {
term term-1 {
from {
destination-prefix-list {
Class-C-Customer-Prefixes;
}
}
then policer Class-C;
}
}
}
Aqui estão as etapas para criar essa configuração de firewall:
Crie o primeiro policial:
[edit firewall] user@switch# set policer Class-A if-exceeding bandwidth-limit 100m burst-size-limit 150m user@switch# set policer Class-A then discard
Crie o segundo policial:
[edit firewall] user@switch# set policer Class-B if-exceeding bandwidth-limit 75m burst-size-limit 100m user@switch# set policer Class-B then discard
Crie o terceiro policial:
[edit firewall] user@switch# set policer Class-C if-exceeding bandwidth-limit 50m burst-size-limit 75m user@switch# set policer Class-C then discard
Crie um filtro para clientes da classe A:
[edit firewall] user@switch# edit family inet filter Class-A-Customers
Configure o filtro para enviar pacotes que correspondam à lista de prefixo ao policial:Class-A-Customer-PrefixesClass-A
[edit firewall family inet filter Class-A-Customers] user@switch# set term term-1 from source-prefix-list Class-A-Customers user@switch# set term term-1 then policer Class-A
Crie um filtro para clientes da classe B:
[edit firewall] user@switch# edit family inet filter Class-B-Customers
Configure o filtro para enviar pacotes que correspondam à lista de prefixo ao policial:Class-B-Customer-PrefixesClass-B
[edit firewall family inet filter Class-B-Customers] user@switch# set term term-1 from source-prefix-list Class-B-Customers user@switch# set term term-1 then policer Class-B
Crie um filtro para clientes da classe C:
[edit firewall] user@switch# edit family inet filter Class-C-Customers
Configure o filtro para enviar pacotes que correspondam à lista de prefixo ao policial:Class-C-Customer-PrefixesClass-C
[edit firewall family inet filter Class-C-Customers] user@switch# set term term-1 from source-prefix-list Class-C-Customers user@switch# set term term-1 then policer Class-C
Aplique os filtros que você criou nas interfaces apropriadas na direção de saída.
Observe que a declaração de negação implícita neste filtro bloqueará o tráfego de qualquer fonte que não corresponda a uma das listas de prefixo. Se você quiser que o filtro permita esse tráfego, você deve incluir um termo explícito para esta finalidade.