- play_arrow Compreensão e configuração das políticas de roteamento do Junos
- play_arrow Visão geral
- Visão geral da estrutura de políticas
- Comparação entre políticas de roteamento e filtros de firewall
- Visão geral da priorização de prefixo
- Priorização de prefixo da FIB
- Contabilidade do atributo de sobrecarga do policial no nível de interface
- Configuração da contabilidade da sobrecarga do policiamento em estatísticas de interface
- Entendendo as políticas de roteamento
- Suporte de protocolo para políticas de importação e exportação
- Exemplo: Aplicação de políticas de roteamento em diferentes níveis da hierarquia BGP
- Políticas de roteamento padrão
- Exemplo: Configuração de uma política de rota padrão condicional
- play_arrow Avaliação de políticas de roteamento usando condições, ações, termos e expressões de correspondência
- Como uma política de roteamento é avaliada
- Categorias de condições de correspondência da política de roteamento
- Condições de correspondência da política de roteamento
- Condições de correspondência do filtro de rota
- Ações em termos de política de roteamento
- Resumo das ações de políticas de roteamento
- Exemplo: Configuração de uma política de roteamento para anunciar a melhor rota externa para pares internos
- Exemplo: Configuração do BGP para anunciar rotas inativas
- Exemplo: Usando a política de roteamento para definir um valor de preferência para rotas BGP
- Exemplo: Habilitação de anúncios de rotas BGP
- Exemplo: Rejeitar rotas inválidas conhecidas
- Exemplo: Usando a política de roteamento em uma rede ISP
- Entendendo expressões de políticas
- Entendendo a política de seleção de backup para o protocolo OSPF
- Configuração da política de seleção de backup para o protocolo OSPF
- Configuração da política de seleção de backup para o protocolo IS-IS
- Exemplo: Configuração da política de seleção de backup para o protocolo OSPF ou OSPF3
- play_arrow Avaliação de casos complexos usando cadeias de políticas e subrotinas
- Entenda como uma cadeia de políticas de roteamento é avaliada
- Exemplo: Configuração de cadeias de políticas e filtros de rota
- Exemplo: Usando cadeias de filtro de firewall
- Entendendo as subrotinas de políticas em condições de correspondência de políticas de roteamento
- Como uma subrotina de política de roteamento é avaliada
- Exemplo: Configuração de uma subrotina de políticas
- play_arrow Configuração de filtros de rota e listas de prefixo como condições de correspondência
- Entender os filtros de rota para uso em condições de correspondência da política de roteamento
- Entenda as listas de filtro de rota e filtro de endereço de origem para uso em condições de correspondência da política de roteamento
- Entendendo o balanceamento de carga usando apenas IP de origem ou destino
- Configuração de balanceamento de carga usando apenas IP de origem ou destino
- Visão geral do walkup for Route Filters
- Configuração do walkup para filtros de rota para melhorar a eficiência operacional
- Exemplo: Configuração de listas de filtro de rota
- Exemplo: Configuração do walkup para filtros de rota globalmente para melhorar a eficiência operacional
- Exemplo: Configuração do walkup para filtros de rota localmente para melhorar a eficiência operacional
- Exemplo: Configuração de uma política de filtro de rota para especificar prioridade para prefixos aprendidos através do OSPF
- Exemplo: Configuração do MED usando filtros de rota
- Exemplo: Configuração das qualificações da família de protocolo VPN de Camada 3 para filtros de rota
- Entendendo listas de prefixo para uso em condições de correspondência de políticas de roteamento
- Exemplo: Configuração de listas de prefixo de políticas de roteamento
- Exemplo: Configurando a prioridade para prefixos de rota na infraestrutura de RPD
- Configuração da prioridade para prefixos de rota em infraestrutura de RPD
- play_arrow Configuração de caminhos AS como condições de correspondência
- Entender como caminho expressões regulares para uso como condições de correspondência da política de roteamento
- Exemplo: Usando expressões regulares do caminho AS
- Entendendo a preparação dos números de AS para caminhos DE BGP
- Exemplo: Configuração de uma política de roteamento para preparação de caminhos AS
- Entendendo a inclusão de números AS nos caminhos DO BGP
- Exemplo: Publicidade Múltiplos caminhos no BGP
- Melhore o desempenho da busca por caminhos AS na política BGP
- play_arrow Configuração de comunidades como condições de correspondência
- Entender as comunidades BGP, comunidades estendidas e grandes comunidades como condições de correspondência da política de roteamento
- Entender como definir comunidades BGP e comunidades estendidas
- Como as comunidades BGP e comunidades estendidas são avaliadas em condições de correspondência de políticas de roteamento
- Exemplo: Configuração de comunidades em uma política de roteamento
- Exemplo: Configuração de comunidades estendidas em uma política de roteamento
- Exemplo: Configuração de grandes comunidades BGP
- Exemplo: Configuração de uma política de roteamento com base no número de comunidades BGP
- Exemplo: Configuração de uma política de roteamento que remove comunidades BGP
- play_arrow Aumentando a estabilidade da rede com ações de flapping de rota BGP
- play_arrow Rastreamento do uso de tráfego com ações de uso de classe de origem e de classe de destino
- Entendendo as opções de uso de classe de origem e de classe de destino
- Visão geral da classe de origem
- Diretrizes para configuração do SCU
- Requisitos do sistema para SCU
- Termos e siglas para SCU
- Roteiro de configuração do SCU
- Roteiro de configuração de SCU com VPNs de camada 3
- Configuração de filtros de rota e aulas de origem em uma política de roteamento
- Aplicar a política à tabela de encaminhamento
- Habilitando a contabilidade em interfaces de entrada e saída
- Configuração de SCU de entrada na interface vt do roteador PE de saída
- Mapeamento da interface vt habilitada para SCU para a instância VRF
- Configuração de SCU na interface de saída
- Associação de um perfil de contabilidade com aulas de SCU
- Verificando seu perfil de contabilidade na SCU
- Configuração do SCU
- Configuração de SCU com VPNs de camada 3
- Exemplo: Prefixos de origem e destino de agrupamento em uma classe de encaminhamento
- play_arrow Evitando ameaças de roteamento de tráfego com políticas condicionais de roteamento
- Política de anúncio e importação condicionais (Tabela de roteamento) com determinadas condições de correspondência
- Anúncio condicional que permite a instalação condicional de casos de uso de prefixos
- Exemplo: Configuração de uma política de roteamento para anúncio condicional que permite a instalação condicional de prefixos em uma tabela de roteamento
- play_arrow Proteção contra ataques do DoS encaminhando o tráfego para a interface de descarte
- play_arrow Melhorando os tempos de compromisso com políticas de roteamento dinâmico
- play_arrow Teste antes de aplicar políticas de roteamento
-
- play_arrow Configuração de filtros de firewall
- play_arrow Entenda como os filtros de firewall protegem sua rede
- Visão geral dos filtros de firewall
- Visão geral do fluxo de dados do roteador
- Visão geral do filtro de firewall sem estado
- Entender como usar filtros de firewall padrão
- Entenda como o firewall filtra fluxos de pacotes de controle
- Componentes de filtro de firewall sem estado
- Pontos de aplicativo de filtro de firewall stateless
- Como os filtros de firewall padrão avaliam pacotes
- Entendendo o filtro de pesquisa rápida do filtro de firewall
- Entendendo os filtros de firewall de saída com PVLANs
- Filtragem seletiva baseada em classe em roteadores PTX
- Diretrizes para configurar filtros de firewall
- Diretrizes para a aplicação de filtros de firewall padrão
- Padrões suportados para filtragem
- Monitoramento do tráfego de filtro de firewall
- Solução de problemas de filtros de firewall
- play_arrow Condições e ações de correspondência do filtro de firewall
- Visão geral dos filtros de firewall (Série OCX)
- Visão geral dos perfis de filtro de firewall nos roteadores da Série ACX (Junos OS Evolved)
- Entendendo as condições de correspondência do filtro de firewall
- Entendendo o planejamento de filtros de firewall
- Entendendo como os filtros de firewall são avaliados
- Entendendo as condições de correspondência do filtro de firewall
- Condições flexíveis de correspondência do filtro de firewall
- Firewall filtra ações sem administração
- Ações de terminação de filtros de firewall
- Condições e ações de correspondência do filtro de firewall (roteadores da Série ACX)
- Condições e ações de correspondência do filtro de firewall em roteadores da Série ACX (Junos OS Evolved)
- Condições de correspondência do filtro de firewall para tráfego independente de protocolo
- Condições de correspondência do filtro de firewall para tráfego IPv4
- Condições de correspondência do filtro de firewall para tráfego IPv6
- Condições de correspondência do filtro de firewall com base em números ou vulses de texto
- Condições de correspondência do filtro de firewall com base em valores de campo bit
- Condições de correspondência do filtro de firewall com base em campos de endereço
- Condições de correspondência do filtro de firewall com base em aulas de endereço
- Entendendo a filtragem baseada em IP e o espelhamento seletivo de portas do tráfego MPLS
- Condições de correspondência do filtro de firewall para tráfego MPLS
- Condições de correspondência do filtro de firewall para tráfego IPv4 ou IPv6 com tag MPLS
- Condições de correspondência do filtro de firewall para tráfego VPLS
- Condições de correspondência do filtro de firewall para tráfego CCC de Camada 2
- Condições de correspondência do filtro de firewall para tráfego de ponte de camada 2
- Suporte a filtros de firewall na interface de loopback
- play_arrow Aplicação de filtros de firewall ao tráfego de mecanismos de roteamento
- Configuração de unidades lógicas na interface de loopback para instâncias de roteamento em VPNs de camada 3
- Exemplo: Configuração de um filtro para limitar o acesso TCP a uma porta com base em uma lista de prefixo
- Exemplo: Configuração de um filtro de firewall sem estado para aceitar tráfego de fontes confiáveis
- Exemplo: Configure um filtro para bloquear o acesso à Telnet e SSH
- Exemplo: Configuração de um filtro para bloquear o acesso TFTP
- Exemplo: Configuração de um filtro para aceitar pacotes com base em bandeiras IPv6 TCP
- Exemplo: Configuração de um filtro para bloquear o acesso TCP a uma porta, exceto de peers BGP especificados
- Exemplo: Configuração de um filtro de firewall sem estado para proteger contra inundações de TCP e ICMP
- Exemplo: Protegendo o mecanismo de roteamento com um filtro de limitação de taxa de pacotes por segundo
- Exemplo: Configuração de um filtro para excluir o tráfego de controle DHCPv6 e ICMPv6 para assinantes LAC
- Requisitos de número de porta para filtros de firewall DHCP
- Exemplo: Configuração de um filtro de firewall DHCP para proteger o mecanismo de roteamento
- play_arrow Aplicação de filtros de firewall ao tráfego de trânsito
- Exemplo: Configuração de um filtro para uso como filtro de fila de entrada
- Exemplo: Configuração de um filtro para combinar em bandeiras IPv6
- Exemplo: Configuração de um filtro para combinar em campos de porta e protocolo
- Exemplo: Configuração de um filtro para contar pacotes aceitos e rejeitados
- Exemplo: Configuração de um filtro para contar e descartar pacotes de opções de IP
- Exemplo: Configuração de um filtro para contar pacotes de opções de IP
- Exemplo: Configuração de um filtro para contagem e amostra de pacotes aceitos
- Exemplo: Configurando um filtro para definir o DSCP Bit a zero
- Exemplo: Configurando um filtro para definir o DSCP Bit a zero
- Exemplo: Configuração de um filtro para combinar com dois critérios não relacionados
- Exemplo: Configuração de um filtro para aceitar pacotes DHCP com base no endereço
- Exemplo: Configurando um filtro para aceitar pacotes OSPF a partir de um prefixo
- Exemplo: Configuração de um filtro de firewall sem estado para lidar com fragmentos
- Configuração de um filtro de firewall para evitar ou permitir a fragmentação de pacotes IPv4
- Configurando um filtro de firewall para descartar pacotes IPv6 de entrada com um cabeçalho de extensão de mobilidade
- Exemplo: Configuração de um filtro de saída com base em endereços IP de origem ou destino IPv6
- Exemplo: Configuração de um filtro de limitação de taxa com base na classe de destino
- play_arrow Configuração de filtros de firewall em sistemas lógicos
- Filtros de firewall em visão geral dos sistemas lógicos
- Diretrizes para configurar e aplicar filtros de firewall em sistemas lógicos
- Referências de um filtro de firewall em um sistema lógico para objetos subordinados
- Referências de um filtro de firewall em um sistema lógico para objetos nonfirewall
- Referências de um objeto nonfirewall em um sistema lógico para um filtro de firewall
- Exemplo: Configuração do encaminhamento baseado em filtro
- Exemplo: Configuração do encaminhamento baseado em filtros em sistemas lógicos
- Exemplo: Configuração de um filtro de firewall sem estado para proteger um sistema lógico contra inundações de ICMP
- Exemplo: Configuração de um filtro de firewall sem estado para proteger um sistema lógico contra inundações de ICMP
- Declarações de filtro de firewall sem suporte para sistemas lógicos
- Ações sem suporte para filtros de firewall em sistemas lógicos
- Encaminhamento baseado em filtros para instâncias de roteamento
- Filtros de tabela de encaminhamento para instâncias de roteamento em roteadores da Série ACX
- Configuração de filtros de tabela de encaminhamento
- play_arrow Configuração de registro e contabilidade de filtro de firewall
- Visão geral da contabilidade dos filtros de firewall
- Visão geral do registro do sistema
- Registro de sistemas de eventos gerados para a instalação do firewall
- Ações de registro de filtro de firewall
- Exemplo: Configuração da coleta de estatísticas para um filtro de firewall
- Exemplo: Configuração de registro para um termo de filtro de firewall
- play_arrow Anexação de vários filtros de firewall a uma única interface
- Aplicação de filtros de firewall em interfaces
- Configuração de filtros de firewall
- Exemplo de classificador multicampo: Configuração da classificação multicampo
- Classificador multicampo para enfileiramento de entrada em roteadores da Série MX com MPC
- Atribuição de classificadores multicampo em filtros de firewall para especificar o comportamento de encaminhamento de pacotes (procedimento CLI)
- Entendendo vários filtros de firewall em uma configuração aninhada
- Diretrizes para referências de nesting a vários filtros de firewall
- Entendendo vários filtros de firewall aplicados como uma lista
- Diretrizes para a aplicação de vários filtros de firewall como lista
- Exemplo: Aplicando listas de vários filtros de firewall
- Exemplo: Referências de nesting a vários filtros de firewall
- Exemplo: Filtragem de pacotes recebidos em um conjunto de interface
- play_arrow Anexando um único filtro de firewall a várias interfaces
- Visão geral das instâncias de filtro de firewall específicas da interface
- Visão geral das instâncias de filtro de firewall específicas da interface
- Filtragem de pacotes recebidos em um conjunto de grupos de interface visão geral
- Filtragem de pacotes recebidos em uma visão geral do conjunto de interface
- Exemplo: Configuração de contadores de filtro de firewall específicos para interface
- Exemplo: Configuração de um filtro de firewall sem estado em um grupo de interface
- play_arrow Configuração de tunelamento baseado em filtro em redes IP
- Entendendo o tunelamento baseado em filtros em redes IPv4
- Tunelamento L2TP baseado em filtro de firewall em visão geral da IPv4 Networks
- Interfaces que oferecem suporte a tunelamento baseado em filtros em redes IPv4
- Componentes do tunelamento baseado em filtros em redes IPv4
- Exemplo: Transporte de tráfego IPv6 pelo IPv4 usando tunelamento baseado em filtro
- play_arrow Configuração de filtros de serviço
- Visão geral do filtro de serviço
- Como os filtros de serviço avaliam pacotes
- Diretrizes para configurar filtros de serviço
- Diretrizes para a aplicação de filtros de serviço
- Exemplo: Configuração e aplicação de filtros de serviço
- Condições de correspondência do filtro de serviço para tráfego IPv4 ou IPv6
- Ações sem gerenciamento do filtro de serviço
- Ações de terminação de filtro de serviço
- play_arrow Configuração de filtros simples
- play_arrow Configuração de filtros de firewall de camada 2
- Entendendo os filtros de firewall usados para controlar o tráfego em domínios de ponte e instâncias VPLS
- Exemplo: Configuração da filtragem de quadros por endereço MAC
- Exemplo: Configuração da filtragem de quadros por bits IEEE 802.1p
- Exemplo: Configuração da filtragem de quadros pela prioridade de perda de pacotes
- Exemplo: Configuração do policiamento e marcação do tráfego entrando em um núcleo VPLS
- Entendendo os filtros de firewall em interfaces gerenciadas por OVSDB
- Exemplo: Aplicando um filtro de firewall em interfaces gerenciadas por OVSDB
- play_arrow Configuração de filtros de firewall para encaminhamento, fragmentos e policiamento
- Visão geral de encaminhamento com base em filtros
- Filtros de firewall que lidam com a visão geral de pacotes fragmentados
- Filtros de firewall stateless que fazem referência à visão geral dos policiais
- Exemplo: Configuração do encaminhamento baseado em filtro no endereço de origem
- Exemplo: Configuração do encaminhamento baseado em filtro para uma interface de saída específica ou endereço IP de destino
- play_arrow Configuração de filtros de firewall (switches da Série EX)
- Visão geral dos filtros de firewall para switches da Série EX
- Entendendo o planejamento de filtros de firewall
- Entendendo as condições de correspondência do filtro de firewall
- Entenda como o firewall filtra fluxos de pacotes de controle
- Entendendo como os filtros de firewall são avaliados
- Entendendo os pontos de processamento de filtro de firewall para pacotes em pontes e roteados em switches da Série EX
- Firewall filtrar condições, ações e modificadores de ação para switches da Série EX
- Suporte de plataforma para condições de correspondência de filtro de firewall, ações e modificadores de ação em switches da Série EX
- Suporte para condições e ações de correspondência para filtros de firewall de loopback em switches
- Configuração de filtros de firewall (procedimento CLI)
- Entenda como os filtros de firewall testam o protocolo de um pacote
- Entendendo o encaminhamento baseado em filtros para switches da Série EX
- Exemplo: Configuração de filtros de firewall para tráfego de portas, VLAN e roteadores em switches da Série EX
- Exemplo: Configuração de um filtro de firewall em uma interface de gerenciamento em um switch da Série EX
- Exemplo: Usando o encaminhamento baseado em filtro para rotear o tráfego de aplicativos para um dispositivo de segurança
- Exemplo: Aplicação de filtros de firewall a vários suplicantes em interfaces habilitadas para autenticação 802.1X ou MAC RADIUS
- Verificando se os policiais estão operacionais
- Solução de problemas de filtros de firewall
- play_arrow Configuração de filtros de firewall (switches da Série QFX, switches EX4600, roteadores da Série PTX)
- Visão geral dos filtros de firewall (Série QFX)
- Entendendo o planejamento de filtros de firewall
- Planejando o número de filtros de firewall para criar
- Condições e ações de correspondência do filtro de firewall (switches da série QFX e EX)
- Condições e ações de correspondência do filtro de firewall (QFX10000 switches)
- Condições e ações de correspondência do filtro de firewall (roteadores da Série PTX)
- Diferenças de firewall e policiamento entre roteadores de transporte de pacotes da Série PTX e roteadores matrix da Série T
- Configuração de filtros de firewall
- Aplicação de filtros de firewall em interfaces
- Visão geral dos filtros de firewall MPLS na interface de loopback
- Configuração de filtros de firewall MPLS e policiais em switches
- Configuração de filtros de firewall MPLS e policiais em roteadores
- Configuração de filtros de firewall MPLS e policiais
- Entender como um filtro de firewall testa um protocolo
- Entendendo os pontos de processamento de filtro de firewall para pacotes roteados e em pontes
- Entendendo o encaminhamento baseado em filtros
- Exemplo: Usando o encaminhamento baseado em filtro para rotear o tráfego de aplicativos para um dispositivo de segurança
- Configuração de um filtro de firewall para des encapsular o tráfego GRE ou IPIP
- Verificando se os filtros de firewall estão operacionais
- Monitoramento do tráfego de filtro de firewall
- Resolução de problemas da configuração do filtro de firewall
- play_arrow Configuração da contabilidade e registro de filtros de firewall (switches EX9200)
-
- play_arrow Declarações de configuração e comandos operacionais
- play_arrow Solução de problemas
- play_arrow Base de conhecimento
-
Policiais básicos de duas cores de taxa única
Visão geral do policiador de duas cores de taxa única
O policiamento de duas cores de taxa única impõe uma taxa configurada de fluxo de tráfego para um determinado nível de serviço aplicando ações implícitas ou configuradas ao tráfego que não estão em conformidade com os limites. Quando você aplica um policiador de duas cores de taxa única no tráfego de entrada ou saída em uma interface, o policial reduz o fluxo de tráfego até o limite de taxa definido pelos seguintes componentes:
Limite de largura de banda — o número médio de bits por segundo permitido para pacotes recebidos ou transmitidos na interface. Você pode especificar o limite de largura de banda como um número absoluto de bits por segundo ou como um valor percentual de 1 a 100. Se um valor percentual for especificado, o limite de largura de banda eficaz é calculado como uma porcentagem da taxa de mídia da interface física ou da taxa de modelagem configurada pela interface lógica .
Limite de pacotes por segundo (pps) (Série MX apenas com MPC)— O número médio de pacotes por segundo permitido para pacotes recebidos ou transmitidos na interface. Você especifica o limite de pps como um número absoluto de pacotes por segundo.
Limite de tamanho de explosão — o tamanho máximo permitido para rajadas de dados.
Limite de estouro de pacotes:
Para um fluxo de tráfego que esteja em conformidade com os limites configurados (categorizados como tráfego verde), os pacotes são marcados implicitamente com um nível de prioridade de perda de low pacote (PLP) e podem passar pela interface sem restrições.
Para um fluxo de tráfego que excede os limites configurados (categorizados como tráfego vermelho), os pacotes são tratados de acordo com as ações de policiamento de tráfego configuradas para o policiador. A ação pode ser descartar o pacote, ou a ação pode ser refazer a marcação do pacote com uma classe de encaminhamento especificada, um PLP especificado ou ambos, e depois transmitir o pacote.
Para limitar a taxa de tráfego de Camada 3, você pode aplicar um policial de duas cores das seguintes maneiras:
Diretamente a uma interface lógica, em um nível de protocolo específico.
Como a ação de um filtro de firewall sem estado padrão que é aplicado a uma interface lógica, em um nível de protocolo específico.
Para limitar a taxa de tráfego de Camada 2, você pode aplicar um policiador de duas cores apenas como um policiador de interface lógica . Você não pode aplicar um policiador de duas cores ao tráfego de Camada 2 por meio de um filtro de firewall.
Nas plataformas MX, a prioridade de perda de pacotes (PLP) não é implicitamente baixa (verde) quando o fluxo de tráfego confirma o limite do policiador configurado. Em vez disso, ele leva os valores de PLP configurados pelo usuário, como alto, médio-alto, médio-baixo. Use dp-rewrite para edit firewall policer <policer-name> habilitar esse comportamento em plataformas MX. Se o botão não estiver habilitado, os pacotes podem ter sua prioridade original de cor e perda.
Consulte também
Exemplo: Limitando o tráfego de entrada na borda de sua rede configurando um policial de duas cores de entrada
Este exemplo mostra como configurar um policial de duas cores de entrada única para filtrar o tráfego de entrada. O policial aplica a estratégia de classe de serviço (CoS) para tráfego em contrato e fora de contrato. Você pode aplicar um policial de duas cores de taxa única a pacotes de entrada, pacotes de saída ou ambos. Este exemplo aplica o policial como um policial de entrada (entrada). O objetivo deste tópico é fornecer a você uma introdução ao policiamento usando um exemplo que mostra o policiamento de trânsito em ação.
Os policiais usam um conceito conhecido como balde de ficha para alocar recursos do sistema com base nos parâmetros definidos para o policiador. Uma explicação completa do conceito de balde de símbolo e seus algoritmos subjacentes está além do escopo deste documento. Para obter mais informações sobre o policiamento de tráfego e a CoS em geral, consulte as redes habilitadas para QOS — Ferramentas e fundações de Miguel Barreiros e Peter Lundqvist. Este livro está disponível em muitos livreiros online e em www.juniper.net/books.
Requisitos
Para verificar esse procedimento, este exemplo usa um gerador de tráfego. O gerador de tráfego pode ser baseado em hardware ou pode ser um software em execução em um servidor ou máquina de host.
A funcionalidade neste procedimento é amplamente suportada em dispositivos que executam o Junos OS. O exemplo mostrado aqui foi testado e verificado em roteadores da Série MX que executam o Junos OS Release 10.4.
Visão geral
O policiamento de duas cores de taxa única aplica uma taxa configurada de fluxo de tráfego para um determinado nível de serviço aplicando ações implícitas ou configuradas ao tráfego que não estão em conformidade com os limites. Quando você aplica um policiador de duas cores de taxa única no tráfego de entrada ou saída em uma interface, o policial reduz o fluxo de tráfego até o limite de taxa definido pelos seguintes componentes:
Limite de largura de banda — o número médio de bits por segundo permitido para pacotes recebidos ou transmitidos na interface. Você pode especificar o limite de largura de banda como um número absoluto de bits por segundo ou como um valor percentual de 1 a 100. Se um valor percentual for especificado, o limite de largura de banda eficaz é calculado como uma porcentagem da taxa de mídia da interface física ou da taxa de modelagem configurada pela interface lógica.
Limite de tamanho de explosão — o tamanho máximo permitido para rajadas de dados. Tamanhos de explosão são medidos em bytes. Recomendamos duas fórmulas para o cálculo do tamanho da explosão:
Tamanho de explosão = largura de banda x tempo permitido para o tráfego de explosão / 8
Ou
Tamanho de explosão = interface mtu x 10
Para obter informações sobre a configuração do tamanho da explosão, veja Determinar o tamanho adequado da explosão para os policiais de tráfego.
Nota:Há um espaço buffer finito para uma interface. Em geral, a profundidade total estimada de buffer para uma interface é de cerca de 125 ms.
Para um fluxo de tráfego que esteja em conformidade com os limites configurados (categorizados como tráfego verde), os pacotes são marcados implicitamente com um nível de prioridade de perda de pacote (PLP) baixo e podem passar pela interface sem restrições.
Para um fluxo de tráfego que excede os limites configurados (categorizados como tráfego vermelho), os pacotes são tratados de acordo com as ações de policiamento de tráfego configuradas para o policiador. Este exemplo descarta pacotes que estouram acima do limite de 15 KBps.
Para limitar a taxa de tráfego de Camada 3, você pode aplicar um policial de duas cores das seguintes maneiras:
Diretamente a uma interface lógica, em um nível de protocolo específico.
Como a ação de um filtro de firewall sem estado padrão que é aplicado a uma interface lógica, em um nível de protocolo específico. Esta é a técnica usada neste exemplo.
Para limitar a taxa de tráfego de Camada 2, você pode aplicar um policiador de duas cores apenas como um policiador de interface lógica. Você não pode aplicar um policiador de duas cores ao tráfego de Camada 2 por meio de um filtro de firewall.
Você pode escolher o limite de largura de banda ou a largura de banda dentro do policial, pois eles são mutuamente exclusivos. Você não pode configurar um policial para usar a largura de banda para interfaces agregadas, de túnel e de software.
Neste exemplo, o host é um gerador de tráfego que emula um webserver. Os dispositivos R1 e R2 são propriedade de um provedor de serviços. O webserver é acessado por usuários no Device Host2. O Host1 do dispositivo enviará tráfego com uma porta HTTP TCP de origem de 80 para os usuários. Um policiador de duas cores de taxa única é configurado e aplicado à interface no dispositivo R1 que se conecta ao Dispositivo Host1. O policial aplica a disponibilidade de largura de banda contratual feita entre o proprietário do webserver e o provedor de serviços que possui o Dispositivo R1 para o tráfego web que flui pelo link que conecta o Dispositivo Host1 ao Dispositivo R1.
De acordo com a disponibilidade de largura de banda contratual feita entre o proprietário do webserver e o provedor de serviços que possui dispositivos R1 e R2, o policial limitará a porta HTTP 80 de tráfego originária do Dispositivo Host1 ao uso de 700 Mbps (70 por cento) da largura de banda disponível com uma taxa de explosão permitido de 10 x o tamanho MTU da interface Ethernet gigabit entre o host do dispositivo host1 e o dispositivo R1.
Em um cenário real, você provavelmente também limitaria o tráfego para uma variedade de outras portas, como FTP, SFTP, SSH, TELNET, SMTP, IMAP e POP3, porque muitas vezes são incluídas como serviços adicionais com serviços de hospedagem web.
Você precisa deixar alguma largura de banda adicional disponível que não seja limitada para protocolos de controle de rede, como protocolos de roteamento, DNS e quaisquer outros protocolos necessários para manter a conectividade da rede operacional. É por isso que o filtro de firewall tem uma condição de aceitação final.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
Dispositivo R1
set interfaces ge-2/0/5 description to-Host set interfaces ge-2/0/5 unit 0 family inet address 172.16.70.2/30 set interfaces ge-2/0/5 unit 0 family inet filter input mf-classifier set interfaces ge-2/0/8 description to-R2 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.1/30 set interfaces lo0 unit 0 description looback-interface set interfaces lo0 unit 0 family inet address 192.168.13.1/32 set firewall policer discard if-exceeding bandwidth-limit 700m set firewall policer discard if-exceeding burst-size-limit 15k set firewall policer discard then discard set firewall family inet filter mf-classifier term t1 from protocol tcp set firewall family inet filter mf-classifier term t1 from port 80 set firewall family inet filter mf-classifier term t1 then policer discard set firewall family inet filter mf-classifier term t2 then accept set protocols ospf area 0.0.0.0 interface ge-2/0/5.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Dispositivo R2
set interfaces ge-2/0/8 description to-R1 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.2/30 set interfaces ge-2/0/7 description to-Host set interfaces ge-2/0/7 unit 0 family inet address 172.16.80.2/30 set interfaces lo0 unit 0 description looback-interface set interfaces lo0 unit 0 family inet address 192.168.14.1/32 set protocols ospf area 0.0.0.0 interface ge-2/0/7.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar o dispositivo R1:
Configure as interfaces do dispositivo.
content_copy zoom_out_map[edit interfaces] user@R1# set ge-2/0/5 description to-Host user@R1# set ge-2/0/5 unit 0 family inet address 172.16.70.2/30 user@R1# set ge-2/0/8 description to-R2 user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.1/30 user@R1# set lo0 unit 0 description looback-interface user@R1# set lo0 unit 0 family inet address 192.168.13.1/32
Aplique o filtro de firewall para interface ge-2/0/5 como um filtro de entrada.
content_copy zoom_out_map[edit interfaces ge-2/0/5 unit 0 family inet] user@R1# set filter input mf-classifier
Configure o policial para limitar a taxa a uma largura de banda de 700 Mbps e uma explosão de tamanho de 15000 KBps para tráfego HTTP (porta TCP 80).
content_copy zoom_out_map[edit firewall policer discard] user@R1# set if-exceeding bandwidth-limit 700m user@R1# set if-exceeding burst-size-limit 15k
Configure o policial para descartar pacotes no fluxo de tráfego vermelho.
content_copy zoom_out_map[edit firewall policer discard] user@R1# set then discard
Configure as duas condições do firewall para aceitar todo o tráfego TCP para portar HTTP (porta 80).
content_copy zoom_out_map[edit firewall family inet filter mf-classifier] user@R1# set term t1 from protocol tcp user@R1# set term t1 from port 80
Configure a ação do firewall para limitar a taxa de tráfego DE TCP usando o policiador.
content_copy zoom_out_map[edit firewall family inet filter mf-classifier] user@R1# set term t1 then policer discard
Ao final do filtro de firewall, configure uma ação padrão que aceite todo o tráfego.
Caso contrário, todo o tráfego que chega na interface e não é explicitamente aceito pelo firewall é descartado.
content_copy zoom_out_map[edit firewall family inet filter mf-classifier] user@R1# set term t2 then accept
Configure OSPF.
content_copy zoom_out_map[edit protocols ospf] user@R1# set area 0.0.0.0 interface ge-2/0/5.0 passive user@R1# set area 0.0.0.0 interface lo0.0 passive user@R1# set area 0.0.0.0 interface ge-2/0/8.0
Procedimento passo a passo
Para configurar o dispositivo R2:
Configure as interfaces do dispositivo.
content_copy zoom_out_map[edit interfaces] user@R1# set ge-2/0/8 description to-R1 user@R1# set ge-2/0/7 description to-Host user@R1# set lo0 unit 0 description looback-interface user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.2/30 user@R1# set ge-2/0/7 unit 0 family inet address 172.16.80.2/30 user@R1# set lo0 unit 0 family inet address 192.168.14.1/32
Configure OSPF.
content_copy zoom_out_map[edit protocols ospf] user@R1# set area 0.0.0.0 interface ge-2/0/7.0 passive user@R1# set area 0.0.0.0 interface lo0.0 passive user@R1# set area 0.0.0.0 interface ge-2/0/8.0
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show interfaces , show firewalle show protocols ospf comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@R1# show interfaces
ge-2/0/5 {
description to-Host;
unit 0 {
family inet {
filter {
input mf-classifier;
}
address 172.16.70.2/30;
}
}
}
ge-2/0/8 {
description to-R2;
unit 0 {
family inet {
address 10.50.0.1/30;
}
}
}
lo0 {
unit 0 {
description looback-interface;
family inet {
address 192.168.13.1/32;
}
}
}
user@R1# show firewall
family inet {
filter mf-classifier {
term t1 {
from {
protocol tcp;
port 80;
}
then policer discard;
}
term t2 {
then accept;
}
}
}
policer discard {
if-exceeding {
bandwidth-limit 700m;
burst-size-limit 15k;
}
then discard;
}
user@R1# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/5.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-2/0/8.0;
}
Se você terminar de configurar o Dispositivo R1, entre no commit modo de configuração.
user@R2# show interfaces
ge-2/0/7 {
description to-Host;
unit 0 {
family inet {
address 172.16.80.2/30;
}
}
}
ge-2/0/8 {
description to-R1;
unit 0 {
family inet {
address 10.50.0.2/30;
}
}
}
lo0 {
unit 0 {
description looback-interface;
family inet {
address 192.168.14.1/32;
}
}
}
user@R2# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/7.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-2/0/8.0;
}
Se você terminar de configurar o Dispositivo R2, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
Limpar os contadores
Propósito
Confirme que os contadores de firewall estão liberados.
Ação
No dispositivo R1, execute o clear firewall all comando para redefinir os contadores de firewall para 0.
user@R1> clear firewall all
Enviar tráfego TCP para a rede e monitorar os descartes
Propósito
Certifique-se de que o tráfego de juros enviado seja limitado por taxa na interface de entrada (ge-2/0/5).
Ação
Use um gerador de tráfego para enviar 10 pacotes TCP com uma porta de origem de 80.
A bandeira da s define a porta de origem. A bandeira -k faz com que a porta de origem permaneça estável em 80, em vez de aumentar. A bandeira -c define o número de pacotes para 10. A bandeira -d define o tamanho do pacote.
O endereço IP de destino de 172.16.80.1 pertence ao Dispositivo Host 2 que está conectado ao dispositivo R2. O usuário no Device Host 2 solicitou uma página web do Dispositivo Host 1 (o webserver emulado pelo gerador de tráfego no Host do Dispositivo 1). Os pacotes que são limitados por taxa são enviados do Host de Dispositivo 1 em resposta à solicitação do Host do Dispositivo 2.
Nota:Neste exemplo, o número de policiais é reduzido a um limite de largura de banda de 8 Kbps e um limite de tamanho de explosão de 1500 KBps para garantir que alguns pacotes sejam descartados durante este teste.
content_copy zoom_out_map[root@host]# hping 172.16.80.1 -c 10 -s 80 -k -d 300 [User@Host]# hping 172.16.80.1 -c 10 -s 80 -k -d 350 HPING 172.16.80.1 (eth1 172.16.80.1): NO FLAGS are set, 40 headers + 350 data bytes len=46 ip=172.16.80.1 ttl=62 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=0.5 ms . . . --- 172.16.80.1 hping statistic --- 10 packets transmitted, 6 packets received, 40% packet loss round-trip min/avg/max = 0.5/3000.8/7001.3 ms
No dispositivo R1, verifique os contadores de firewall usando o
show firewallcomando.content_copy zoom_out_mapuser@R1> show firewall User@R1# run show firewall Filter: __default_bpdu_filter__ Filter: mf-classifier Policers: Name Bytes Packets discard-t1 1560 4
Significado
Nas Etapas 1 e 2, a saída de ambos os dispositivos mostra que 4 pacotes foram descartados Isso significa que havia pelo menos 8 Kbps de tráfego verde (porta HTTP em contrato 80) e que a opção de estouro de 1500 KBps para tráfego de http fora de contrato foi excedida.
Exemplo: Configuração de interface e filtro de firewall de policiais na mesma interface
Este exemplo mostra como configurar três policiais de duas cores de taxa única e aplicar os policiais ao tráfego de entrada IPv4 na mesma interface lógica de LAN virtual (VLAN) de tag única.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você configura três policiais de duas cores de taxa única e aplica os policiais ao tráfego de entrada IPv4 na mesma interface lógica VLAN de tag única. Dois policiais são aplicados à interface por meio de um filtro de firewall, e um policial é aplicado diretamente à interface.
Você configura um policial, chamado p-all-1m-5k-discard, para limitar o tráfego a 1 Mbps com uma explosão de 5000 bytes. Você aplica este policial diretamente ao tráfego de entrada IPv4 na interface lógica. Quando você aplica um policial diretamente ao tráfego específico do protocolo em uma interface lógica, diz-se que o policial é aplicado como um policiador de interface.
Você configura os outros dois policiais para permitir tamanhos de explosão de 500 KB, e aplica esses policiais ao tráfego de entrada IPv4 na interface lógica usando um filtro de firewall sem estado padrão IPv4. Quando você aplica um policial ao tráfego específico de protocolo em uma interface lógica através de uma ação de filtro de firewall, diz-se que o policial é aplicado como um policial de filtro de firewall.
Você configura o policial nomeado
p-icmp-500k-500k-discardpara limitar o tráfego a 500 Kbps com uma explosão de bytes de 500 K, descartando pacotes que não estejam em conformidade com esses limites. Você configura um dos termos do filtro de firewall para aplicar este policiador a pacotes de protocolo de mensagem de controle de Internet (ICMP).Você configura o policial nomeado
p-ftp-10p-500k-discardpara limitar o tráfego a uma largura de banda de 10 por cento com uma explosão de tamanho de 500 KB, descartando pacotes que não estejam em conformidade com esses limites. Você configura outro termo de filtro de firewall para aplicar este policiador a pacotes de protocolo de transferência de arquivos (FTP).
Um policial que você configura com um limite de largura de banda expresso como um valor percentual (em vez de como um valor de largura de banda absoluta) é chamado de policiador de largura de banda. Apenas policiais de duas cores de taxa única podem ser configurados com uma especificação de largura de banda em porcentagem. Por padrão, um policiador de largura de banda limita o tráfego à porcentagem especificada da taxa de linha da interface física subjacente à interface lógica alvo.
Topologia
Você configura a interface lógica alvo como uma interface lógica VLAN de tag única em uma interface Ethernet rápida operando a 100 Mbps. Isso significa que o policial que você configura com o limite de largura de banda de 10 por cento (o policial que você aplica a pacotes FTP) limita o tráfego FTP nesta interface a 10 Mbps.
Neste exemplo, você não configura o policial de largura de banda como um policial de largura de banda lógica. Portanto, a porcentagem é baseada na taxa de mídia física e não na taxa de modelagem configurada da interface lógica.
O filtro de firewall que você configura para fazer referência a dois dos policiais deve ser configurado como um filtro específico da interface. Como o policiador usado para limitar a taxa de pacotes FTP especifica o limite de largura de banda como um valor percentual, o filtro de firewall que faz referência a este policiador deve ser configurado como um filtro específico de interface. Assim, se esse filtro de firewall fosse aplicado a várias interfaces em vez de apenas a interface Fast Ethernet neste exemplo, policiais e contadores exclusivos seriam criados para cada interface à qual o filtro é aplicado.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configuração da interface lógica VLAN de tag única
- Configurando os três policiais
- Configurando o filtro de firewall IPv4
- Aplicando o Interface Policer e os firewall Filter Policers na interface lógica
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit] hierarquia.
set interfaces fe-0/1/1 vlan-tagging set interfaces fe-0/1/1 unit 0 vlan-id 100 set interfaces fe-0/1/1 unit 0 family inet address 10.20.15.1/24 set interfaces fe-0/1/1 unit 1 vlan-id 101 set interfaces fe-0/1/1 unit 1 family inet address 10.20.240.1/24 set firewall policer p-all-1m-5k-discard if-exceeding bandwidth-limit 1m set firewall policer p-all-1m-5k-discard if-exceeding burst-size-limit 5k set firewall policer p-all-1m-5k-discard then discard set firewall policer p-ftp-10p-500k-discard if-exceeding bandwidth-percent 10 set firewall policer p-ftp-10p-500k-discard if-exceeding burst-size-limit 500k set firewall policer p-ftp-10p-500k-discard then discard set firewall policer p-icmp-500k-500k-discard if-exceeding bandwidth-limit 500k set firewall policer p-icmp-500k-500k-discard if-exceeding burst-size-limit 500k set firewall policer p-icmp-500k-500k-discard then discard set firewall family inet filter filter-ipv4-with-limits interface-specific set firewall family inet filter filter-ipv4-with-limits term t-ftp from protocol tcp set firewall family inet filter filter-ipv4-with-limits term t-ftp from port ftp set firewall family inet filter filter-ipv4-with-limits term t-ftp from port ftp-data set firewall family inet filter filter-ipv4-with-limits term t-ftp then policer p-ftp-10p-500k-discard set firewall family inet filter filter-ipv4-with-limits term t-icmp from protocol icmp set firewall family inet filter filter-ipv4-with-limits term t-icmp then policer p-icmp-500k-500k-discard set firewall family inet filter filter-ipv4-with-limits term catch-all then accept set interfaces fe-0/1/1 unit 1 family inet filter input filter-ipv4-with-limits set interfaces fe-0/1/1 unit 1 family inet policer input p-all-1m-5k-discard
Configuração da interface lógica VLAN de tag única
Procedimento passo a passo
Para configurar a interface lógica VLAN de tag única:
Habilite a configuração da interface Fast Ethernet.
content_copy zoom_out_map[edit] user@host# edit interfaces fe-0/1/1
Habilite o enquadramento de VLAN de tag única.
content_copy zoom_out_map[edit interfaces fe-0/1/1] user@host# set vlan-tagging
Vincule os IDs VLAN às interfaces lógicas.
content_copy zoom_out_map[edit interfaces fe-0/1/1] user@host# set unit 0 vlan-id 100 user@host# set unit 1 vlan-id 101
Configure o IPv4 nas interfaces lógicas VLAN de tag única.
content_copy zoom_out_map[edit interfaces fe-0/1/1] user@host# set unit 0 family inet address 10.20.15.1/24 user@host# set unit 1 family inet address 10.20.240.1/24
Resultados
Confirme a configuração da VLAN inserindo o comando de show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show interfaces
fe-0/1/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.20.15.1/24;
}
}
unit 1 {
vlan-id 101;
family inet {
address 10.20.240.1/24;
}
}
}
Configurando os três policiais
Procedimento passo a passo
Para configurar os três policiais:
Habilite a configuração de um policiador de duas cores que descarta pacotes que não estejam em conformidade com uma largura de banda de 1 Mbps e uma explosão de 5000 bytes.
Nota:Você aplica este policial diretamente a todo o tráfego de entrada IPv4 na interface lógica VLAN de tag única, para que os pacotes não sejam filtrados antes de serem submetidos a limitações de taxa.
content_copy zoom_out_map[edit] user@host# edit firewall policer p-all-1m-5k-discard
Configure o primeiro policial.
content_copy zoom_out_map[edit firewall policer p-all-1m-5k-discard] user@host# set if-exceeding bandwidth-limit 1m user@host# set if-exceeding burst-size-limit 5k user@host# set then discard
Habilite a configuração de um policiador de duas cores que descarta pacotes que não estejam em conformidade com uma largura de banda especificada como "10 por cento" e um tamanho de explosão de 500.000 bytes.
Você aplica este policiador apenas no tráfego FTP na interface lógica VLAN de tag única.
Você aplica este policiador como ação de um termo de filtro de firewall IPv4 que combina com pacotes FTP do TCP.
content_copy zoom_out_map[edit firewall policer p-all-1m-5k-discard] user@host# up [edit] user@host# edit firewall policer p-ftp-10p-500k-discard
Configure limites e ações de policiamento.
content_copy zoom_out_map[edit firewall policer p-ftp-10p-500k-discard] user@host# set if-exceeding bandwidth-percent 10 user@host# set if-exceeding burst-size-limit 500k user@host# set then discard
Como o limite de largura de banda é especificado em porcentagem, o filtro de firewall que faz referência a esse policiador deve ser configurado como um filtro específico da interface.
Nota:Se você quisesse que este policial limitasse a 10% da taxa de modelagem configurada pela interface lógica (em vez de 10% da taxa de mídia de interface física), você precisaria incluir a
logical-bandwidth-policerdeclaração no nível de[edit firewall policer p-all-1m-5k-discard]hierarquia. Esse tipo de policiador é chamado de policial de largura de banda lógica.Habilite a configuração do roteador de filtro de firewall IPv4 para pacotes ICMP.
content_copy zoom_out_map[edit firewall policer p-ftp-10p-500k-discard] user@host# up [edit] user@host# edit firewall policer p-icmp-500k-500k-discard
Configure limites e ações de policiamento.
content_copy zoom_out_map[edit firewall policer p-icmp-500k-500k-discard] user@host# set if-exceeding bandwidth-limit 500k user@host# set if-exceeding burst-size-limit 500k user@host# set then discard
Resultados
Confirme a configuração dos policiais entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit] user@host# show firewall policer p-all-1m-5k-discard { if-exceeding { bandwidth-limit 1m; burst-size-limit 5k; } then discard; } policer p-ftp-10p-500k-discard { if-exceeding { bandwidth-percent 10; burst-size-limit 500k; } then discard; } policer p-icmp-500k-500k-discard { if-exceeding { bandwidth-limit 500k; burst-size-limit 500k; } then discard; }
Configurando o filtro de firewall IPv4
Procedimento passo a passo
Para configurar o filtro de firewall IPv4:
Habilite a configuração do filtro de firewall IPv4.
content_copy zoom_out_map[edit] user@host# edit firewall family inet filter filter-ipv4-with-limits
Configure o filtro de firewall como específico da interface.
content_copy zoom_out_map[edit firewall family inet filter filter-ipv4-with-limits] user@host# set interface-specific
O filtro de firewall deve ser específico da interface porque um dos policiais mencionados está configurado com um limite de largura de banda expresso como um valor percentual.
Habilite a configuração de um termo de filtro para limitar a taxa de pacotes FTP.
content_copy zoom_out_map[edit firewall family inet filter filter-ipv4-with-limits] user@host# edit term t-ftp [edit firewall family inet filter filter-ipv4-with-limits term t-ftp] user@host# set from protocol tcp user@host# set from port [ ftp ftp-data ]
As mensagens FTP são enviadas pela porta TCP 20 (
ftp) e recebidas pela porta TCP 21 (ftp-data).Configure o termo filtro para combinar com pacotes FTP.
content_copy zoom_out_map[edit firewall family inet filter filter-ipv4-with-limits term t-ftp] user@host# set then policer p-ftp-10p-500k-discard
Habilite a configuração de um termo de filtro para limitar a taxa de pacotes ICMP.
content_copy zoom_out_map[edit firewall family inet filter filter-ipv4-with-limits term t-ftp] user@host# up [edit firewall family inet filter filter-ipv4-with-limits] user@host# edit term t-icmp
Configure o termo filtro para pacotes ICMP
content_copy zoom_out_map[edit firewall family inet filter filter-ipv4-with-limits term t-icmp] user@host# set from protocol icmp user@host# set then policer p-icmp-500k-500k-discard
Configure um termo de filtro para aceitar todos os outros pacotes sem policiamento.
content_copy zoom_out_map[edit firewall family inet filter filter-ipv4-with-limits term t-icmp] user@host# up [edit firewall family inet filter filter-ipv4-with-limits] user@host# set term catch-all then accept
Resultados
Confirme a configuração do filtro de firewall entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit] user@host# show firewall family inet { filter filter-ipv4-with-limits { interface-specific; term t-ftp { from { protocol tcp; port [ ftp ftp-data ]; } then policer p-ftp-10p-500k-discard; } term t-icmp { from { protocol icmp; } then policer p-icmp-500k-500k-discard; } term catch-all { then accept; } } } policer p-all-1m-5k-discard { if-exceeding { bandwidth-limit 1m; burst-size-limit 5k; } then discard; } policer p-ftp-10p-500k-discard { if-exceeding { bandwidth-percent 10; burst-size-limit 500k; } then discard; } policer p-icmp-500k-500k-discard { if-exceeding { bandwidth-limit 500k; burst-size-limit 500k; } then discard; }
Aplicando o Interface Policer e os firewall Filter Policers na interface lógica
Procedimento passo a passo
Para aplicar os três policiais na VLAN:
Habilite a configuração do IPv4 na interface lógica.
content_copy zoom_out_map[edit] user@host# edit interfaces fe-0/1/1 unit 1 family inet
Aplique o filtro de firewall dos policiais na interface.
content_copy zoom_out_map[edit interfaces fe-0/1/1 unit 1 family inet] user@host# set filter input filter-ipv4-with-limits
Aplique o interface policer na interface.
content_copy zoom_out_map[edit interfaces fe-0/1/1 unit 1 family inet] user@host# set policer input p-all-1m-5k-discard
Os pacotes de entrada
fe-0/1/1.0são avaliados contra o policiador de interface antes de serem avaliados contra os roteadores de filtro de firewall. Para obter mais informações, veja Operações de filtro de ordem de policiamento e firewall.
Resultados
Confirme a configuração da interface entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Exibição de policiais aplicados diretamente à interface lógica
- Exibição de estatísticas para o policiador aplicada diretamente à interface lógica
- Exibição dos policiais e filtros de firewall aplicados a uma interface
- Exibição de estatísticas para os firewall Filter Policers
Exibição de policiais aplicados diretamente à interface lógica
Propósito
Verifique se o policiador de interface é avaliado quando os pacotes são recebidos na interface lógica.
Ação
Use o comando de show interfaces policers modo operacional para interface fe-0/1/1.1lógica. A seção de saída de comando para a coluna e Input Policer a Proto coluna mostra que o policiador p-all-1m-5k-discard é avaliado quando os pacotes são recebidos na interface lógica.
user@host> show interfaces policers fe-0/1/1.1
Interface Admin Link Proto Input Policer Output Policer
fe-0/1/1.1 up up
inet p-all-1m-5k-discard-fe-0/1/1.1-inet-i
Neste exemplo, o policiador de interface é aplicado apenas ao tráfego de interface lógica na direção de entrada.
Exibição de estatísticas para o policiador aplicada diretamente à interface lógica
Propósito
Verifique o número de pacotes avaliados pelo policiador de interface.
Ação
Use o comando do show policer modo operacional e especifique opcionalmente o nome do policiador. A saída de comando exibe o número de pacotes avaliados por cada policiador configurado (ou pelo policiador especificado), em cada direção.
user@host> show policer p-all-1m-5k-discard-fe-0/1/1.1-inet-i Policers: Name Bytes Packets p-all-1m-5k-discard-fe-0/1/1.1-inet-i 200 5
Exibição dos policiais e filtros de firewall aplicados a uma interface
Propósito
Verifique se o filtro filter-ipv4-with-limits de firewall é aplicado ao tráfego de entrada IPv4 na interface fe-0/1/1.1lógica.
Ação
Use o comando de show interfaces statistics modo operacional para interface fe-0/1/1.1lógica e inclua a opção detail . Sob a Protocol inet seção da seção de saída de comando, a e Policer as Input Filters linhas exibem os nomes do filtro e do policiador aplicados à interface lógica na direção de entrada.
user@host> show interfaces statistics fe-0/1/1.1 detail
Logical interface fe-0/1/1.1 (Index 83) (SNMP ifIndex 545) (Generation 153)
Flags: SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.100 ] Encapsulation: ENET2
Traffic statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Local statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Protocol inet, MTU: 1500, Generation: 176, Route table: 0
Flags: Sendbcast-pkt-to-re
Input Filters: filter-ipv4-with-limits-fe-0/1/1.1-i
Policer: Input: p-all-1m-5k-discard-fe-0/1/1.1-inet-i
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255,
Generation: 169
Neste exemplo, os dois policiais de filtro de firewall são aplicados apenas ao tráfego de interface lógica na direção de entrada.
Exibição de estatísticas para os firewall Filter Policers
Propósito
Verifique o número de pacotes avaliados pelos policiais do filtro de firewall.
Ação
Use o comando de show firewall modo operacional para o filtro que você aplicou à interface lógica.
[edit] user@host> show firewall filter filter-ipv4-with-limits-fe-0/1/1.1-i Filter: filter-ipv4-with-limits-fe-0/1/1.1-i Policers: Name Bytes Packets p-ftp-10p-500k-discard-t-ftp-fe-0/1/1.1-i 0 0 p-icmp-500k-500k-discard-t-icmp-fe-0/1/1.1-i 0 0
A saída de comando exibe os nomes dos policiais (p-ftp-10p-500k-discard e p-icmp-500k-500k-discard), combinados com os nomes dos termos do filtro (t-ftp e t-icmp, respectivamente) sob os quais a ação do policiador é especificada. As linhas de saída específicas do policiador exibem o número de pacotes compatíveis com o termo filtro. Este é apenas o número de contagens de pacotes fora de especificação (fora de especificação), nem todos os pacotes policiados pelo policial.