Policiais básicos de duas cores de taxa única
Visão geral do policiador de duas cores de taxa única
O policiamento de duas cores de taxa única impõe uma taxa configurada de fluxo de tráfego para um determinado nível de serviço aplicando ações implícitas ou configuradas ao tráfego que não estão em conformidade com os limites. Quando você aplica um policiador de duas cores de taxa única no tráfego de entrada ou saída em uma interface, o policial reduz o fluxo de tráfego até o limite de taxa definido pelos seguintes componentes:
-
Limite de largura de banda — o número médio de bits por segundo permitido para pacotes recebidos ou transmitidos na interface. Você pode especificar o limite de largura de banda como um número absoluto de bits por segundo ou como um valor percentual de 1 a 100. Se um valor percentual for especificado, o limite de largura de banda eficaz é calculado como uma porcentagem da taxa de mídia da interface física ou da taxa de modelagem configurada pela interface lógica .
-
Limite de pacotes por segundo (pps) (Série MX apenas com MPC)— O número médio de pacotes por segundo permitido para pacotes recebidos ou transmitidos na interface. Você especifica o limite de pps como um número absoluto de pacotes por segundo.
-
Limite de tamanho de explosão — o tamanho máximo permitido para rajadas de dados.
-
Limite de estouro de pacotes:
Para um fluxo de tráfego que esteja em conformidade com os limites configurados (categorizados como tráfego verde), os pacotes são marcados implicitamente com um nível de prioridade de perda de low pacote (PLP) e podem passar pela interface sem restrições.
Para um fluxo de tráfego que excede os limites configurados (categorizados como tráfego vermelho), os pacotes são tratados de acordo com as ações de policiamento de tráfego configuradas para o policiador. A ação pode ser descartar o pacote, ou a ação pode ser refazer a marcação do pacote com uma classe de encaminhamento especificada, um PLP especificado ou ambos, e depois transmitir o pacote.
Para limitar a taxa de tráfego de Camada 3, você pode aplicar um policial de duas cores das seguintes maneiras:
-
Diretamente a uma interface lógica, em um nível de protocolo específico.
-
Como a ação de um filtro de firewall sem estado padrão que é aplicado a uma interface lógica, em um nível de protocolo específico.
Para limitar a taxa de tráfego de Camada 2, você pode aplicar um policiador de duas cores apenas como um policiador de interface lógica . Você não pode aplicar um policiador de duas cores ao tráfego de Camada 2 por meio de um filtro de firewall.
Nas plataformas MX, a prioridade de perda de pacotes (PLP) não é implicitamente baixa (verde) quando o fluxo de tráfego confirma o limite do policiador configurado. Em vez disso, ele leva os valores de PLP configurados pelo usuário, como alto, médio-alto, médio-baixo. Use dp-rewrite para edit firewall policer <policer-name> habilitar esse comportamento em plataformas MX. Se o botão não estiver habilitado, os pacotes podem ter sua prioridade original de cor e perda.
Consulte também
Exemplo: Limitando o tráfego de entrada na borda de sua rede configurando um policial de duas cores de entrada
Este exemplo mostra como configurar um policial de duas cores de entrada única para filtrar o tráfego de entrada. O policial aplica a estratégia de classe de serviço (CoS) para tráfego em contrato e fora de contrato. Você pode aplicar um policial de duas cores de taxa única a pacotes de entrada, pacotes de saída ou ambos. Este exemplo aplica o policial como um policial de entrada (entrada). O objetivo deste tópico é fornecer a você uma introdução ao policiamento usando um exemplo que mostra o policiamento de trânsito em ação.
Os policiais usam um conceito conhecido como balde de ficha para alocar recursos do sistema com base nos parâmetros definidos para o policiador. Uma explicação completa do conceito de balde de símbolo e seus algoritmos subjacentes está além do escopo deste documento. Para obter mais informações sobre o policiamento de tráfego e a CoS em geral, consulte as redes habilitadas para QOS — Ferramentas e fundações de Miguel Barreiros e Peter Lundqvist. Este livro está disponível em muitos livreiros online e em www.juniper.net/books.
Requisitos
Para verificar esse procedimento, este exemplo usa um gerador de tráfego. O gerador de tráfego pode ser baseado em hardware ou pode ser um software em execução em um servidor ou máquina de host.
A funcionalidade neste procedimento é amplamente suportada em dispositivos que executam o Junos OS. O exemplo mostrado aqui foi testado e verificado em roteadores da Série MX que executam o Junos OS Release 10.4.
Visão geral
O policiamento de duas cores de taxa única aplica uma taxa configurada de fluxo de tráfego para um determinado nível de serviço aplicando ações implícitas ou configuradas ao tráfego que não estão em conformidade com os limites. Quando você aplica um policiador de duas cores de taxa única no tráfego de entrada ou saída em uma interface, o policial reduz o fluxo de tráfego até o limite de taxa definido pelos seguintes componentes:
Limite de largura de banda — o número médio de bits por segundo permitido para pacotes recebidos ou transmitidos na interface. Você pode especificar o limite de largura de banda como um número absoluto de bits por segundo ou como um valor percentual de 1 a 100. Se um valor percentual for especificado, o limite de largura de banda eficaz é calculado como uma porcentagem da taxa de mídia da interface física ou da taxa de modelagem configurada pela interface lógica.
Limite de tamanho de explosão — o tamanho máximo permitido para rajadas de dados. Tamanhos de explosão são medidos em bytes. Recomendamos duas fórmulas para o cálculo do tamanho da explosão:
Tamanho de explosão = largura de banda x tempo permitido para o tráfego de explosão / 8
Ou
Tamanho de explosão = interface mtu x 10
Para obter informações sobre a configuração do tamanho da explosão, veja Determinar o tamanho adequado da explosão para os policiais de tráfego.
Nota:Há um espaço buffer finito para uma interface. Em geral, a profundidade total estimada de buffer para uma interface é de cerca de 125 ms.
Para um fluxo de tráfego que esteja em conformidade com os limites configurados (categorizados como tráfego verde), os pacotes são marcados implicitamente com um nível de prioridade de perda de pacote (PLP) baixo e podem passar pela interface sem restrições.
Para um fluxo de tráfego que excede os limites configurados (categorizados como tráfego vermelho), os pacotes são tratados de acordo com as ações de policiamento de tráfego configuradas para o policiador. Este exemplo descarta pacotes que estouram acima do limite de 15 KBps.
Para limitar a taxa de tráfego de Camada 3, você pode aplicar um policial de duas cores das seguintes maneiras:
Diretamente a uma interface lógica, em um nível de protocolo específico.
Como a ação de um filtro de firewall sem estado padrão que é aplicado a uma interface lógica, em um nível de protocolo específico. Esta é a técnica usada neste exemplo.
Para limitar a taxa de tráfego de Camada 2, você pode aplicar um policiador de duas cores apenas como um policiador de interface lógica. Você não pode aplicar um policiador de duas cores ao tráfego de Camada 2 por meio de um filtro de firewall.
Você pode escolher o limite de largura de banda ou a largura de banda dentro do policial, pois eles são mutuamente exclusivos. Você não pode configurar um policial para usar a largura de banda para interfaces agregadas, de túnel e de software.
Neste exemplo, o host é um gerador de tráfego que emula um webserver. Os dispositivos R1 e R2 são propriedade de um provedor de serviços. O webserver é acessado por usuários no Device Host2. O Host1 do dispositivo enviará tráfego com uma porta HTTP TCP de origem de 80 para os usuários. Um policiador de duas cores de taxa única é configurado e aplicado à interface no dispositivo R1 que se conecta ao Dispositivo Host1. O policial aplica a disponibilidade de largura de banda contratual feita entre o proprietário do webserver e o provedor de serviços que possui o Dispositivo R1 para o tráfego web que flui pelo link que conecta o Dispositivo Host1 ao Dispositivo R1.
De acordo com a disponibilidade de largura de banda contratual feita entre o proprietário do webserver e o provedor de serviços que possui dispositivos R1 e R2, o policial limitará a porta HTTP 80 de tráfego originária do Dispositivo Host1 ao uso de 700 Mbps (70 por cento) da largura de banda disponível com uma taxa de explosão permitido de 10 x o tamanho MTU da interface Ethernet gigabit entre o host do dispositivo host1 e o dispositivo R1.
Em um cenário real, você provavelmente também limitaria o tráfego para uma variedade de outras portas, como FTP, SFTP, SSH, TELNET, SMTP, IMAP e POP3, porque muitas vezes são incluídas como serviços adicionais com serviços de hospedagem web.
Você precisa deixar alguma largura de banda adicional disponível que não seja limitada para protocolos de controle de rede, como protocolos de roteamento, DNS e quaisquer outros protocolos necessários para manter a conectividade da rede operacional. É por isso que o filtro de firewall tem uma condição de aceitação final.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
Dispositivo R1
set interfaces ge-2/0/5 description to-Host set interfaces ge-2/0/5 unit 0 family inet address 172.16.70.2/30 set interfaces ge-2/0/5 unit 0 family inet filter input mf-classifier set interfaces ge-2/0/8 description to-R2 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.1/30 set interfaces lo0 unit 0 description looback-interface set interfaces lo0 unit 0 family inet address 192.168.13.1/32 set firewall policer discard if-exceeding bandwidth-limit 700m set firewall policer discard if-exceeding burst-size-limit 15k set firewall policer discard then discard set firewall family inet filter mf-classifier term t1 from protocol tcp set firewall family inet filter mf-classifier term t1 from port 80 set firewall family inet filter mf-classifier term t1 then policer discard set firewall family inet filter mf-classifier term t2 then accept set protocols ospf area 0.0.0.0 interface ge-2/0/5.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Dispositivo R2
set interfaces ge-2/0/8 description to-R1 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.2/30 set interfaces ge-2/0/7 description to-Host set interfaces ge-2/0/7 unit 0 family inet address 172.16.80.2/30 set interfaces lo0 unit 0 description looback-interface set interfaces lo0 unit 0 family inet address 192.168.14.1/32 set protocols ospf area 0.0.0.0 interface ge-2/0/7.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar o dispositivo R1:
Configure as interfaces do dispositivo.
[edit interfaces] user@R1# set ge-2/0/5 description to-Host user@R1# set ge-2/0/5 unit 0 family inet address 172.16.70.2/30 user@R1# set ge-2/0/8 description to-R2 user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.1/30 user@R1# set lo0 unit 0 description looback-interface user@R1# set lo0 unit 0 family inet address 192.168.13.1/32
Aplique o filtro de firewall para interface ge-2/0/5 como um filtro de entrada.
[edit interfaces ge-2/0/5 unit 0 family inet] user@R1# set filter input mf-classifier
Configure o policial para limitar a taxa a uma largura de banda de 700 Mbps e uma explosão de tamanho de 15000 KBps para tráfego HTTP (porta TCP 80).
[edit firewall policer discard] user@R1# set if-exceeding bandwidth-limit 700m user@R1# set if-exceeding burst-size-limit 15k
Configure o policial para descartar pacotes no fluxo de tráfego vermelho.
[edit firewall policer discard] user@R1# set then discard
Configure as duas condições do firewall para aceitar todo o tráfego TCP para portar HTTP (porta 80).
[edit firewall family inet filter mf-classifier] user@R1# set term t1 from protocol tcp user@R1# set term t1 from port 80
Configure a ação do firewall para limitar a taxa de tráfego DE TCP usando o policiador.
[edit firewall family inet filter mf-classifier] user@R1# set term t1 then policer discard
Ao final do filtro de firewall, configure uma ação padrão que aceite todo o tráfego.
Caso contrário, todo o tráfego que chega na interface e não é explicitamente aceito pelo firewall é descartado.
[edit firewall family inet filter mf-classifier] user@R1# set term t2 then accept
Configure OSPF.
[edit protocols ospf] user@R1# set area 0.0.0.0 interface ge-2/0/5.0 passive user@R1# set area 0.0.0.0 interface lo0.0 passive user@R1# set area 0.0.0.0 interface ge-2/0/8.0
Procedimento passo a passo
Para configurar o dispositivo R2:
Configure as interfaces do dispositivo.
[edit interfaces] user@R1# set ge-2/0/8 description to-R1 user@R1# set ge-2/0/7 description to-Host user@R1# set lo0 unit 0 description looback-interface user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.2/30 user@R1# set ge-2/0/7 unit 0 family inet address 172.16.80.2/30 user@R1# set lo0 unit 0 family inet address 192.168.14.1/32
Configure OSPF.
[edit protocols ospf] user@R1# set area 0.0.0.0 interface ge-2/0/7.0 passive user@R1# set area 0.0.0.0 interface lo0.0 passive user@R1# set area 0.0.0.0 interface ge-2/0/8.0
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show interfaces , show firewalle show protocols ospf comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@R1# show interfaces
ge-2/0/5 {
description to-Host;
unit 0 {
family inet {
filter {
input mf-classifier;
}
address 172.16.70.2/30;
}
}
}
ge-2/0/8 {
description to-R2;
unit 0 {
family inet {
address 10.50.0.1/30;
}
}
}
lo0 {
unit 0 {
description looback-interface;
family inet {
address 192.168.13.1/32;
}
}
}
user@R1# show firewall
family inet {
filter mf-classifier {
term t1 {
from {
protocol tcp;
port 80;
}
then policer discard;
}
term t2 {
then accept;
}
}
}
policer discard {
if-exceeding {
bandwidth-limit 700m;
burst-size-limit 15k;
}
then discard;
}
user@R1# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/5.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-2/0/8.0;
}
Se você terminar de configurar o Dispositivo R1, entre no commit modo de configuração.
user@R2# show interfaces
ge-2/0/7 {
description to-Host;
unit 0 {
family inet {
address 172.16.80.2/30;
}
}
}
ge-2/0/8 {
description to-R1;
unit 0 {
family inet {
address 10.50.0.2/30;
}
}
}
lo0 {
unit 0 {
description looback-interface;
family inet {
address 192.168.14.1/32;
}
}
}
user@R2# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/7.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-2/0/8.0;
}
Se você terminar de configurar o Dispositivo R2, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
Limpar os contadores
Propósito
Confirme que os contadores de firewall estão liberados.
Ação
No dispositivo R1, execute o clear firewall all comando para redefinir os contadores de firewall para 0.
user@R1> clear firewall all
Enviar tráfego TCP para a rede e monitorar os descartes
Propósito
Certifique-se de que o tráfego de juros enviado seja limitado por taxa na interface de entrada (ge-2/0/5).
Ação
Use um gerador de tráfego para enviar 10 pacotes TCP com uma porta de origem de 80.
A bandeira da s define a porta de origem. A bandeira -k faz com que a porta de origem permaneça estável em 80, em vez de aumentar. A bandeira -c define o número de pacotes para 10. A bandeira -d define o tamanho do pacote.
O endereço IP de destino de 172.16.80.1 pertence ao Dispositivo Host 2 que está conectado ao dispositivo R2. O usuário no Device Host 2 solicitou uma página web do Dispositivo Host 1 (o webserver emulado pelo gerador de tráfego no Host do Dispositivo 1). Os pacotes que são limitados por taxa são enviados do Host de Dispositivo 1 em resposta à solicitação do Host do Dispositivo 2.
Nota:Neste exemplo, o número de policiais é reduzido a um limite de largura de banda de 8 Kbps e um limite de tamanho de explosão de 1500 KBps para garantir que alguns pacotes sejam descartados durante este teste.
[root@host]# hping 172.16.80.1 -c 10 -s 80 -k -d 300 [User@Host]# hping 172.16.80.1 -c 10 -s 80 -k -d 350 HPING 172.16.80.1 (eth1 172.16.80.1): NO FLAGS are set, 40 headers + 350 data bytes len=46 ip=172.16.80.1 ttl=62 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=0.5 ms . . . --- 172.16.80.1 hping statistic --- 10 packets transmitted, 6 packets received, 40% packet loss round-trip min/avg/max = 0.5/3000.8/7001.3 ms
No dispositivo R1, verifique os contadores de firewall usando o
show firewallcomando.user@R1> show firewall User@R1# run show firewall Filter: __default_bpdu_filter__ Filter: mf-classifier Policers: Name Bytes Packets discard-t1 1560 4
Significado
Nas Etapas 1 e 2, a saída de ambos os dispositivos mostra que 4 pacotes foram descartados Isso significa que havia pelo menos 8 Kbps de tráfego verde (porta HTTP em contrato 80) e que a opção de estouro de 1500 KBps para tráfego de http fora de contrato foi excedida.
Exemplo: Configuração de interface e filtro de firewall de policiais na mesma interface
Este exemplo mostra como configurar três policiais de duas cores de taxa única e aplicar os policiais ao tráfego de entrada IPv4 na mesma interface lógica de LAN virtual (VLAN) de tag única.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você configura três policiais de duas cores de taxa única e aplica os policiais ao tráfego de entrada IPv4 na mesma interface lógica VLAN de tag única. Dois policiais são aplicados à interface por meio de um filtro de firewall, e um policial é aplicado diretamente à interface.
Você configura um policial, chamado p-all-1m-5k-discard, para limitar o tráfego a 1 Mbps com uma explosão de 5000 bytes. Você aplica este policial diretamente ao tráfego de entrada IPv4 na interface lógica. Quando você aplica um policial diretamente ao tráfego específico do protocolo em uma interface lógica, diz-se que o policial é aplicado como um policiador de interface.
Você configura os outros dois policiais para permitir tamanhos de explosão de 500 KB, e aplica esses policiais ao tráfego de entrada IPv4 na interface lógica usando um filtro de firewall sem estado padrão IPv4. Quando você aplica um policial ao tráfego específico de protocolo em uma interface lógica através de uma ação de filtro de firewall, diz-se que o policial é aplicado como um policial de filtro de firewall.
Você configura o policial nomeado
p-icmp-500k-500k-discardpara limitar o tráfego a 500 Kbps com uma explosão de bytes de 500 K, descartando pacotes que não estejam em conformidade com esses limites. Você configura um dos termos do filtro de firewall para aplicar este policiador a pacotes de protocolo de mensagem de controle de Internet (ICMP).Você configura o policial nomeado
p-ftp-10p-500k-discardpara limitar o tráfego a uma largura de banda de 10 por cento com uma explosão de tamanho de 500 KB, descartando pacotes que não estejam em conformidade com esses limites. Você configura outro termo de filtro de firewall para aplicar este policiador a pacotes de protocolo de transferência de arquivos (FTP).
Um policial que você configura com um limite de largura de banda expresso como um valor percentual (em vez de como um valor de largura de banda absoluta) é chamado de policiador de largura de banda. Apenas policiais de duas cores de taxa única podem ser configurados com uma especificação de largura de banda em porcentagem. Por padrão, um policiador de largura de banda limita o tráfego à porcentagem especificada da taxa de linha da interface física subjacente à interface lógica alvo.
Topologia
Você configura a interface lógica alvo como uma interface lógica VLAN de tag única em uma interface Ethernet rápida operando a 100 Mbps. Isso significa que o policial que você configura com o limite de largura de banda de 10 por cento (o policial que você aplica a pacotes FTP) limita o tráfego FTP nesta interface a 10 Mbps.
Neste exemplo, você não configura o policial de largura de banda como um policial de largura de banda lógica. Portanto, a porcentagem é baseada na taxa de mídia física e não na taxa de modelagem configurada da interface lógica.
O filtro de firewall que você configura para fazer referência a dois dos policiais deve ser configurado como um filtro específico da interface. Como o policiador usado para limitar a taxa de pacotes FTP especifica o limite de largura de banda como um valor percentual, o filtro de firewall que faz referência a este policiador deve ser configurado como um filtro específico de interface. Assim, se esse filtro de firewall fosse aplicado a várias interfaces em vez de apenas a interface Fast Ethernet neste exemplo, policiais e contadores exclusivos seriam criados para cada interface à qual o filtro é aplicado.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configuração da interface lógica VLAN de tag única
- Configurando os três policiais
- Configurando o filtro de firewall IPv4
- Aplicando o Interface Policer e os firewall Filter Policers na interface lógica
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit] hierarquia.
set interfaces fe-0/1/1 vlan-tagging set interfaces fe-0/1/1 unit 0 vlan-id 100 set interfaces fe-0/1/1 unit 0 family inet address 10.20.15.1/24 set interfaces fe-0/1/1 unit 1 vlan-id 101 set interfaces fe-0/1/1 unit 1 family inet address 10.20.240.1/24 set firewall policer p-all-1m-5k-discard if-exceeding bandwidth-limit 1m set firewall policer p-all-1m-5k-discard if-exceeding burst-size-limit 5k set firewall policer p-all-1m-5k-discard then discard set firewall policer p-ftp-10p-500k-discard if-exceeding bandwidth-percent 10 set firewall policer p-ftp-10p-500k-discard if-exceeding burst-size-limit 500k set firewall policer p-ftp-10p-500k-discard then discard set firewall policer p-icmp-500k-500k-discard if-exceeding bandwidth-limit 500k set firewall policer p-icmp-500k-500k-discard if-exceeding burst-size-limit 500k set firewall policer p-icmp-500k-500k-discard then discard set firewall family inet filter filter-ipv4-with-limits interface-specific set firewall family inet filter filter-ipv4-with-limits term t-ftp from protocol tcp set firewall family inet filter filter-ipv4-with-limits term t-ftp from port ftp set firewall family inet filter filter-ipv4-with-limits term t-ftp from port ftp-data set firewall family inet filter filter-ipv4-with-limits term t-ftp then policer p-ftp-10p-500k-discard set firewall family inet filter filter-ipv4-with-limits term t-icmp from protocol icmp set firewall family inet filter filter-ipv4-with-limits term t-icmp then policer p-icmp-500k-500k-discard set firewall family inet filter filter-ipv4-with-limits term catch-all then accept set interfaces fe-0/1/1 unit 1 family inet filter input filter-ipv4-with-limits set interfaces fe-0/1/1 unit 1 family inet policer input p-all-1m-5k-discard
Configuração da interface lógica VLAN de tag única
Procedimento passo a passo
Para configurar a interface lógica VLAN de tag única:
Habilite a configuração da interface Fast Ethernet.
[edit] user@host# edit interfaces fe-0/1/1
Habilite o enquadramento de VLAN de tag única.
[edit interfaces fe-0/1/1] user@host# set vlan-tagging
Vincule os IDs VLAN às interfaces lógicas.
[edit interfaces fe-0/1/1] user@host# set unit 0 vlan-id 100 user@host# set unit 1 vlan-id 101
Configure o IPv4 nas interfaces lógicas VLAN de tag única.
[edit interfaces fe-0/1/1] user@host# set unit 0 family inet address 10.20.15.1/24 user@host# set unit 1 family inet address 10.20.240.1/24
Resultados
Confirme a configuração da VLAN inserindo o comando de show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show interfaces
fe-0/1/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.20.15.1/24;
}
}
unit 1 {
vlan-id 101;
family inet {
address 10.20.240.1/24;
}
}
}
Configurando os três policiais
Procedimento passo a passo
Para configurar os três policiais:
Habilite a configuração de um policiador de duas cores que descarta pacotes que não estejam em conformidade com uma largura de banda de 1 Mbps e uma explosão de 5000 bytes.
Nota:Você aplica este policial diretamente a todo o tráfego de entrada IPv4 na interface lógica VLAN de tag única, para que os pacotes não sejam filtrados antes de serem submetidos a limitações de taxa.
[edit] user@host# edit firewall policer p-all-1m-5k-discard
Configure o primeiro policial.
[edit firewall policer p-all-1m-5k-discard] user@host# set if-exceeding bandwidth-limit 1m user@host# set if-exceeding burst-size-limit 5k user@host# set then discard
Habilite a configuração de um policiador de duas cores que descarta pacotes que não estejam em conformidade com uma largura de banda especificada como "10 por cento" e um tamanho de explosão de 500.000 bytes.
Você aplica este policiador apenas no tráfego FTP na interface lógica VLAN de tag única.
Você aplica este policiador como ação de um termo de filtro de firewall IPv4 que combina com pacotes FTP do TCP.
[edit firewall policer p-all-1m-5k-discard] user@host# up [edit] user@host# edit firewall policer p-ftp-10p-500k-discard
Configure limites e ações de policiamento.
[edit firewall policer p-ftp-10p-500k-discard] user@host# set if-exceeding bandwidth-percent 10 user@host# set if-exceeding burst-size-limit 500k user@host# set then discard
Como o limite de largura de banda é especificado em porcentagem, o filtro de firewall que faz referência a esse policiador deve ser configurado como um filtro específico da interface.
Nota:Se você quisesse que este policial limitasse a 10% da taxa de modelagem configurada pela interface lógica (em vez de 10% da taxa de mídia de interface física), você precisaria incluir a
logical-bandwidth-policerdeclaração no nível de[edit firewall policer p-all-1m-5k-discard]hierarquia. Esse tipo de policiador é chamado de policial de largura de banda lógica.Habilite a configuração do roteador de filtro de firewall IPv4 para pacotes ICMP.
[edit firewall policer p-ftp-10p-500k-discard] user@host# up [edit] user@host# edit firewall policer p-icmp-500k-500k-discard
Configure limites e ações de policiamento.
[edit firewall policer p-icmp-500k-500k-discard] user@host# set if-exceeding bandwidth-limit 500k user@host# set if-exceeding burst-size-limit 500k user@host# set then discard
Resultados
Confirme a configuração dos policiais entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit] user@host# show firewall policer p-all-1m-5k-discard { if-exceeding { bandwidth-limit 1m; burst-size-limit 5k; } then discard; } policer p-ftp-10p-500k-discard { if-exceeding { bandwidth-percent 10; burst-size-limit 500k; } then discard; } policer p-icmp-500k-500k-discard { if-exceeding { bandwidth-limit 500k; burst-size-limit 500k; } then discard; }
Configurando o filtro de firewall IPv4
Procedimento passo a passo
Para configurar o filtro de firewall IPv4:
Habilite a configuração do filtro de firewall IPv4.
[edit] user@host# edit firewall family inet filter filter-ipv4-with-limits
Configure o filtro de firewall como específico da interface.
[edit firewall family inet filter filter-ipv4-with-limits] user@host# set interface-specific
O filtro de firewall deve ser específico da interface porque um dos policiais mencionados está configurado com um limite de largura de banda expresso como um valor percentual.
Habilite a configuração de um termo de filtro para limitar a taxa de pacotes FTP.
[edit firewall family inet filter filter-ipv4-with-limits] user@host# edit term t-ftp [edit firewall family inet filter filter-ipv4-with-limits term t-ftp] user@host# set from protocol tcp user@host# set from port [ ftp ftp-data ]
As mensagens FTP são enviadas pela porta TCP 20 (
ftp) e recebidas pela porta TCP 21 (ftp-data).Configure o termo filtro para combinar com pacotes FTP.
[edit firewall family inet filter filter-ipv4-with-limits term t-ftp] user@host# set then policer p-ftp-10p-500k-discard
Habilite a configuração de um termo de filtro para limitar a taxa de pacotes ICMP.
[edit firewall family inet filter filter-ipv4-with-limits term t-ftp] user@host# up [edit firewall family inet filter filter-ipv4-with-limits] user@host# edit term t-icmp
Configure o termo filtro para pacotes ICMP
[edit firewall family inet filter filter-ipv4-with-limits term t-icmp] user@host# set from protocol icmp user@host# set then policer p-icmp-500k-500k-discard
Configure um termo de filtro para aceitar todos os outros pacotes sem policiamento.
[edit firewall family inet filter filter-ipv4-with-limits term t-icmp] user@host# up [edit firewall family inet filter filter-ipv4-with-limits] user@host# set term catch-all then accept
Resultados
Confirme a configuração do filtro de firewall entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit] user@host# show firewall family inet { filter filter-ipv4-with-limits { interface-specific; term t-ftp { from { protocol tcp; port [ ftp ftp-data ]; } then policer p-ftp-10p-500k-discard; } term t-icmp { from { protocol icmp; } then policer p-icmp-500k-500k-discard; } term catch-all { then accept; } } } policer p-all-1m-5k-discard { if-exceeding { bandwidth-limit 1m; burst-size-limit 5k; } then discard; } policer p-ftp-10p-500k-discard { if-exceeding { bandwidth-percent 10; burst-size-limit 500k; } then discard; } policer p-icmp-500k-500k-discard { if-exceeding { bandwidth-limit 500k; burst-size-limit 500k; } then discard; }
Aplicando o Interface Policer e os firewall Filter Policers na interface lógica
Procedimento passo a passo
Para aplicar os três policiais na VLAN:
Habilite a configuração do IPv4 na interface lógica.
[edit] user@host# edit interfaces fe-0/1/1 unit 1 family inet
Aplique o filtro de firewall dos policiais na interface.
[edit interfaces fe-0/1/1 unit 1 family inet] user@host# set filter input filter-ipv4-with-limits
Aplique o interface policer na interface.
[edit interfaces fe-0/1/1 unit 1 family inet] user@host# set policer input p-all-1m-5k-discard
Os pacotes de entrada
fe-0/1/1.0são avaliados contra o policiador de interface antes de serem avaliados contra os roteadores de filtro de firewall. Para obter mais informações, veja Operações de filtro de ordem de policiamento e firewall.
Resultados
Confirme a configuração da interface entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show interfaces
fe-0/1/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.20.15.1/24;
}
}
unit 1 {
vlan-id 101;
family inet {
filter {
input filter-ipv4-with-limits;
}
policer {
input p-all-1m-5k-discard;
}
address 10.20.240.1/24;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Exibição de policiais aplicados diretamente à interface lógica
- Exibição de estatísticas para o policiador aplicada diretamente à interface lógica
- Exibição dos policiais e filtros de firewall aplicados a uma interface
- Exibição de estatísticas para os firewall Filter Policers
Exibição de policiais aplicados diretamente à interface lógica
Propósito
Verifique se o policiador de interface é avaliado quando os pacotes são recebidos na interface lógica.
Ação
Use o comando de show interfaces policers modo operacional para interface fe-0/1/1.1lógica. A seção de saída de comando para a coluna e Input Policer a Proto coluna mostra que o policiador p-all-1m-5k-discard é avaliado quando os pacotes são recebidos na interface lógica.
user@host> show interfaces policers fe-0/1/1.1
Interface Admin Link Proto Input Policer Output Policer
fe-0/1/1.1 up up
inet p-all-1m-5k-discard-fe-0/1/1.1-inet-i
Neste exemplo, o policiador de interface é aplicado apenas ao tráfego de interface lógica na direção de entrada.
Exibição de estatísticas para o policiador aplicada diretamente à interface lógica
Propósito
Verifique o número de pacotes avaliados pelo policiador de interface.
Ação
Use o comando do show policer modo operacional e especifique opcionalmente o nome do policiador. A saída de comando exibe o número de pacotes avaliados por cada policiador configurado (ou pelo policiador especificado), em cada direção.
user@host> show policer p-all-1m-5k-discard-fe-0/1/1.1-inet-i Policers: Name Bytes Packets p-all-1m-5k-discard-fe-0/1/1.1-inet-i 200 5
Exibição dos policiais e filtros de firewall aplicados a uma interface
Propósito
Verifique se o filtro filter-ipv4-with-limits de firewall é aplicado ao tráfego de entrada IPv4 na interface fe-0/1/1.1lógica.
Ação
Use o comando de show interfaces statistics modo operacional para interface fe-0/1/1.1lógica e inclua a opção detail . Sob a Protocol inet seção da seção de saída de comando, a e Policer as Input Filters linhas exibem os nomes do filtro e do policiador aplicados à interface lógica na direção de entrada.
user@host> show interfaces statistics fe-0/1/1.1 detail
Logical interface fe-0/1/1.1 (Index 83) (SNMP ifIndex 545) (Generation 153)
Flags: SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.100 ] Encapsulation: ENET2
Traffic statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Local statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Protocol inet, MTU: 1500, Generation: 176, Route table: 0
Flags: Sendbcast-pkt-to-re
Input Filters: filter-ipv4-with-limits-fe-0/1/1.1-i
Policer: Input: p-all-1m-5k-discard-fe-0/1/1.1-inet-i
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255,
Generation: 169
Neste exemplo, os dois policiais de filtro de firewall são aplicados apenas ao tráfego de interface lógica na direção de entrada.
Exibição de estatísticas para os firewall Filter Policers
Propósito
Verifique o número de pacotes avaliados pelos policiais do filtro de firewall.
Ação
Use o comando de show firewall modo operacional para o filtro que você aplicou à interface lógica.
[edit] user@host> show firewall filter filter-ipv4-with-limits-fe-0/1/1.1-i Filter: filter-ipv4-with-limits-fe-0/1/1.1-i Policers: Name Bytes Packets p-ftp-10p-500k-discard-t-ftp-fe-0/1/1.1-i 0 0 p-icmp-500k-500k-discard-t-icmp-fe-0/1/1.1-i 0 0
A saída de comando exibe os nomes dos policiais (p-ftp-10p-500k-discard e p-icmp-500k-500k-discard), combinados com os nomes dos termos do filtro (t-ftp e t-icmp, respectivamente) sob os quais a ação do policiador é especificada. As linhas de saída específicas do policiador exibem o número de pacotes compatíveis com o termo filtro. Este é apenas o número de contagens de pacotes fora de especificação (fora de especificação), nem todos os pacotes policiados pelo policial.