Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Configurando um policiador de três cores de duas categorias

Este exemplo mostra como configurar um policiador de três cores de duas categorias.

Requisitos

O suporte para policiais de três cores de duas categorias varia de acordo com o dispositivo. Ele inclui dispositivos de SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 e firewall SRX5800 executando uma versão compatível do Junos OS.

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

Um policial de duas categorias de três cores metros de um fluxo de tráfego contra um limite de largura de banda e limite de tamanho de explosão para tráfego garantido, além de um limite de largura de banda e limite de tamanho de explosão para o tráfego máximo. O tráfego que está em conformidade com os limites para tráfego garantido é categorizado como verde, e o tráfego não conforme se encaixa em uma das duas categorias:

  • O tráfego sem conformidade que não excede os limites de tráfego máximos é categorizado como amarelo.

  • O tráfego sem conformidade que excede os limites de tráfego máximos é categorizado como vermelho.

Cada categoria está associada a uma ação. Para tráfego verde, os pacotes são implicitamente definidos com um valor de prioridade de low perda e depois transmitidos. Para tráfego amarelo, os pacotes são implicitamente definidos com um valor de prioridade de medium-high perda e depois transmitidos. Para tráfego vermelho, os pacotes são implicitamente definidos com um valor de prioridade de high perda e depois transmitidos. Se a configuração do policiador incluir a declaração opcional action (action loss-priority high then discard), em seguida, os pacotes em um fluxo vermelho são descartados em vez disso.

Você pode aplicar um policiador de três cores ao tráfego de Camada 3 apenas como um policiador de filtro de firewall. Você faz referência ao policiador a partir de um termo de filtro de firewall sem estado e, em seguida, você aplica o filtro na entrada ou saída de uma interface lógica no nível de protocolo.

Topologia

Neste exemplo, você aplica um policial de três cores com reconhecimento de cores e duas categorias no tráfego IPv4 de entrada na interface fe-0/1/1.0lógica. O termo filtro de firewall IPv4 que faz referência ao policiador não aplica nenhuma filtragem de pacotes. O filtro é usado apenas para aplicar o policiador de três cores na interface.

Você configura o policial para limitar o tráfego a um limite de largura de banda de 40 Mbps e um limite de tamanho estourado de 100 KB para tráfego verde, e configura o policiador para também permitir um limite de largura de banda máximo de 60 Mbps e um limite de tamanho máximo de explosão de 200 KB para tráfego amarelo. Apenas o tráfego sem conformidade que excede os limites de tráfego máximos é categorizado como vermelho. Neste exemplo, você configura a ação loss-priority high then discarddo policiador de três cores, que substitui a marcação implícita do tráfego vermelho para uma prioridade de high perda.

Configuração

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração.

Para configurar este exemplo, execute as seguintes tarefas:

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e depois colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar no commit modo de configuração.

Configurando um policiador de três cores de duas categorias

Procedimento passo a passo

Para configurar um policiador de três cores de duas categorias:

  1. Habilite a configuração de um policiador de três cores.

  2. Configure o modo de cores do policiador de três cores de duas categorias.

  3. Configure os limites de tráfego garantidos de duas taxas.

    O tráfego que não excede esses dois limites é categorizado como verde. Os pacotes em um fluxo verde são implicitamente definidos para a prioridade de low perda e depois transmitidos.

  4. Configure os limites de tráfego máximo de duas taxas.

    O tráfego sem conformidade que não excede ambos os limites é categorizado como amarelo. Os pacotes em um fluxo amarelo são implícitos definidos para a prioridade de medium-high perda e depois transmitidos. O tráfego sem conformidade que excede ambos os limites é categorizado como vermelho. Os pacotes em um fluxo vermelho estão implícitos definidos para a prioridade de high perda.

  5. (Opcional) Configure a ação do policial para o tráfego vermelho.

    Para policiais de três cores, a única ação configurável é descartar pacotes vermelhos. Os pacotes vermelhos são pacotes que receberam alta prioridade de perda porque excederam a taxa de informação de pico (PIR) e o tamanho de explosão máxima (PBS).

Resultados

Confirme a configuração do policiador inserindo o comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.

Configuração de um filtro de firewall stateless IPv4 que faz referência ao policiador

Procedimento passo a passo

Para configurar um filtro de firewall stateless IPv4 que faz referência ao policiador:

  1. Habilite a configuração de um filtro de firewall sem estado padrão IPv4.

  2. Especifique o termo filtro que faz referência ao policiador.

    Observe que o termo não especifica nenhuma condição de correspondência. O filtro de firewall passa todos os pacotes para o policiador.

Resultados

Confirme a configuração do filtro de firewall entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.

Aplicar o filtro em uma interface lógica no nível da família de protocolo

Procedimento passo a passo

Aplicar o filtro na interface lógica no nível da família de protocolo:

  1. Habilite a configuração de um filtro de firewall IPv4.

  2. Aplique o policial na interface lógica no nível da família de protocolo.

  3. (Apenas roteadores da Série MX e switches da Série EX) (Opcional) Para os policiais de entrada, você pode configurar um classificador fixo. Um classificador fixo reclassifica todos os pacotes de entrada, independentemente de qualquer classificação preexistante.

    Nota:

    O suporte da plataforma depende da versão do Junos OS em sua implementação.

    O nome do classificador pode ser um classificador configurado ou um dos classificadores padrão.

Resultados

Confirme a configuração da interface entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Exibição dos filtros de firewall aplicados à interface lógica

Propósito

Verifique se o filtro de firewall é aplicado ao tráfego de entrada IPv4 na interface lógica.

Ação

Use o comando de show interfaces modo operacional para a interface ge-2/0/5.0lógica e especifique detail o modo. A Protocol inet seção da saída de comando exibe informações IPv4 para a interface lógica. Nessa seção, o Input Filters campo exibe o nome dos filtros de firewall IPv4 associados à interface lógica.