- play_arrow Descripción y configuración de las políticas de enrutamiento de Junos
- play_arrow Descripción general
- Descripción general del marco de políticas
- Comparación de políticas de enrutamiento y filtros de firewall
- Descripción general de la priorización de prefijos
- Priorización de prefijos FIB
- Contabilidad del atributo de sobrecarga del aplicador en el nivel de interfaz
- Configuración de la contabilidad de la sobrecarga de Policer en estadísticas de interfaz
- Descripción de las políticas de enrutamiento
- Soporte de protocolo para políticas de importación y exportación
- Ejemplo: Aplicación de políticas de enrutamiento en diferentes niveles de la jerarquía de BGP
- Políticas de enrutamiento predeterminadas
- Ejemplo: Configuración de una directiva de ruta predeterminada condicional
- play_arrow Evaluación de políticas de enrutamiento mediante condiciones, acciones, términos y expresiones de coincidencia
- Cómo se evalúa una directiva de enrutamiento
- Categorías de condiciones de coincidencia de políticas de enrutamiento
- Condiciones de coincidencia de políticas de enrutamiento
- Condiciones de coincidencia del filtro de ruta
- Acciones en términos de política de enrutamiento
- Resumen de acciones de directiva de enrutamiento
- Ejemplo: Configuración de una directiva de enrutamiento para anunciar la mejor ruta externa a pares internos
- Ejemplo: Configuración de BGP para anunciar rutas inactivas
- Ejemplo: Uso de la directiva de enrutamiento para establecer un valor de preferencia para las rutas BGP
- Ejemplo: Habilitación de anuncios de rutas BGP
- Ejemplo: Rechazar rutas no válidas conocidas
- Ejemplo: Uso de la política de enrutamiento en una red de ISP
- Descripción de las expresiones de política
- Descripción de la directiva de selección de copia de seguridad para el protocolo OSPF
- Configuración de la directiva de selección de copia de seguridad para el protocolo OSPF
- Configuración de la directiva de selección de copia de seguridad para el protocolo IS-IS
- Ejemplo: Configuración de la directiva de selección de copia de seguridad para el protocolo OSPF u OSPF3
- play_arrow Evaluación de casos complejos mediante cadenas y subrutinas de políticas
- Descripción de cómo se evalúa una cadena de políticas de enrutamiento
- Ejemplo: Configuración de cadenas de directivas y filtros de ruta
- Ejemplo: Uso de cadenas de filtro de firewall
- Descripción de las subrutinas de políticas en condiciones de coincidencia de políticas de enrutamiento
- Cómo se evalúa una subrutina de directiva de enrutamiento
- Ejemplo: Configuración de una subrutina de directivas
- play_arrow Configuración de filtros de ruta y listas de prefijos como condiciones de coincidencia
- Descripción de los filtros de ruta para su uso en condiciones de coincidencia de políticas de enrutamiento
- Descripción del filtro de ruta y las listas de filtros de direcciones de origen para su uso en condiciones de coincidencia de directivas de enrutamiento
- Descripción del equilibrio de carga solo con IP de origen o destino
- Configuración del equilibrio de carga solo con IP de origen o destino
- Descripción general de Walkup for Route Filters
- Configuración de filtros de ruta para mejorar la eficiencia operativa
- Ejemplo: Configuración de listas de filtros de ruta
- Ejemplo: Configuración de Walkup para filtros de ruta globalmente para mejorar la eficiencia operativa
- Ejemplo: Configuración local de Walkup para filtros de ruta a fin de mejorar la eficiencia operativa
- Ejemplo: Configuración de una directiva de filtro de ruta para especificar la prioridad de los prefijos aprendidos a través de OSPF
- Ejemplo: Configuración del MED mediante filtros de ruta
- Ejemplo: Configuración de calificadores de familia de protocolo VPN de capa 3 para filtros de ruta
- Descripción de las listas de prefijos para su uso en condiciones de coincidencia de políticas de enrutamiento
- Ejemplo: Configuración de listas de prefijos de directiva de enrutamiento
- Ejemplo: Configuración de la prioridad para los prefijos de ruta en la infraestructura RPD
- Configuración de prioridad para prefijos de ruta en infraestructura RPD
- play_arrow Configuración de rutas de AS como condiciones de coincidencia
- Descripción de expresiones regulares de ruta de AS para usarlas como condiciones de coincidencia de políticas de enrutamiento
- Ejemplo: Usar expresiones regulares de ruta de AS
- Descripción de los números de AS antepuestos a rutas de AS de BGP
- Ejemplo: Configuración de una directiva de enrutamiento para la ruta del AS antepuesta
- Descripción de la adición de números de AS a rutas de AS de BGP
- Ejemplo: Publicidad de varias rutas en BGP
- Mejorar el rendimiento de la búsqueda de ruta de AS en la política de BGP
- play_arrow Configuración de comunidades como condiciones de coincidencia
- Descripción de las comunidades BGP, las comunidades extendidas y las comunidades grandes como condiciones de coincidencia de políticas de enrutamiento
- Descripción de cómo definir comunidades BGP y comunidades extendidas
- Cómo se evalúan las comunidades BGP y las comunidades extendidas en condiciones de coincidencia de políticas de enrutamiento
- Ejemplo: Configuración de comunidades en una directiva de enrutamiento
- Ejemplo: Configuración de comunidades extendidas en una directiva de enrutamiento
- Ejemplo: Configuración de grandes comunidades de BGP
- Ejemplo: Configuración de una directiva de enrutamiento basada en el número de comunidades BGP
- Ejemplo: Configuración de una directiva de enrutamiento que quita comunidades BGP
- play_arrow Aumento de la estabilidad de la red con acciones de aleteo de ruta BGP
- Descripción de los parámetros de amortiguación
- Uso de políticas de enrutamiento para amortiguar el aleteo de rutas BGP
- Ejemplo: Configuración de parámetros de amortiguación de aletas de ruta BGP
- Ejemplo: Configuración de la amortiguación de aletas de ruta BGP basada en la familia de direcciones MVPN MBGP
- play_arrow Seguimiento del uso del tráfico con acciones de uso de clase de origen y uso de clase de destino
- Descripción del uso de la clase de origen y de las opciones de uso de la clase de destino
- Información general sobre el uso de clases de origen
- Directrices para configurar SCU
- Requisitos del sistema para SCU
- Términos y siglas de SCU
- Guía básica para configurar SCU
- Hoja de ruta para configurar SCU con VPN de capa 3
- Configuración de filtros de ruta y clases de origen en una directiva de enrutamiento
- Aplicación de la directiva a la tabla de reenvío
- Habilitación de la contabilidad en interfaces entrantes y salientes
- Configuración de SCU de entrada en la interfaz vt del enrutador PE de salida
- Asignación de la interfaz vt habilitada para SCU a la instancia VRF
- Configuración de SCU en la interfaz de salida
- Asociación de un perfil contable con clases de SCU
- Verificación de su perfil contable de SCU
- Configuración de SCU
- Configuración de SCU con VPN de capa 3
- Ejemplo: Agrupar prefijos de origen y destino en una clase de reenvío
- play_arrow Evitar amenazas de enrutamiento de tráfico con políticas de enrutamiento condicional
- Política de importación y publicidad condicional (tabla de enrutamiento) con determinadas condiciones de coincidencia
- Anuncio condicional que habilita la instalación condicional de casos de uso de prefijos
- Ejemplo: Configuración de una directiva de enrutamiento para publicidad condicional Habilitación de la instalación condicional de prefijos en una tabla de enrutamiento
- play_arrow Protección contra ataques DoS mediante el reenvío de tráfico a la interfaz de descarte
- play_arrow Mejora de los tiempos de confirmación con políticas de enrutamiento dinámico
- play_arrow Pruebas antes de aplicar directivas de enrutamiento
-
- play_arrow Configuración de filtros de firewall
- play_arrow Descripción de cómo los filtros de firewall protegen su red
- Descripción general de los filtros de firewall
- Descripción general del flujo de datos del enrutador
- Descripción general del filtro de firewall sin estado
- Descripción de cómo usar filtros de firewall estándar
- Descripción de cómo los filtros de firewall controlan los flujos de paquetes
- Componentes del filtro de firewall sin estado
- Puntos de aplicación de filtro de firewall sin estado
- Cómo los filtros de firewall estándar evalúan los paquetes
- Descripción del filtro de firewall Filtro de búsqueda rápida
- Descripción de los filtros de firewall de salida con PVLAN
- Filtrado selectivo basado en clases en enrutadores PTX
- Directrices para configurar filtros de firewall
- Directrices para aplicar filtros de firewall estándar
- Estándares admitidos para el filtrado
- Supervisión del tráfico de filtro de firewall
- Solución de problemas de filtros de firewall
- play_arrow Condiciones y acciones de coincidencia del filtro de firewall
- Descripción general de los filtros de firewall (serie OCX)
- Descripción general de los perfiles de filtro de firewall en enrutadores de la serie ACX (Junos OS evolucionado)
- Descripción de las condiciones de coincidencia de filtros de firewall
- Descripción de la planeación del filtro de firewall
- Descripción de cómo se evalúan los filtros de firewall
- Descripción de las condiciones de coincidencia de filtros de firewall
- Condiciones de coincidencia flexibles del filtro de firewall
- Acciones de no terminación del filtro de firewall
- Acciones de finalización del filtro de firewall
- Condiciones y acciones de coincidencia del filtro de firewall (enrutadores de la serie ACX)
- Condiciones y acciones de coincidencia del filtro de firewall en enrutadores de la serie ACX (Junos OS evolucionado)
- Condiciones de coincidencia del filtro de firewall para el tráfico independiente del protocolo
- Condiciones de coincidencia del filtro de firewall para el tráfico IPv4
- Condiciones de coincidencia del filtro de firewall para el tráfico IPv6
- El filtro de firewall hace coincidir condiciones basadas en números o alias de texto
- El filtro de firewall coincide con las condiciones según los valores de campo de bits
- El filtro de firewall coincide con las condiciones según los campos de dirección
- El filtro de firewall coincide con condiciones basadas en clases de dirección
- Descripción del filtrado basado en IP y la duplicación selectiva de puertos del tráfico MPLS
- Condiciones de coincidencia del filtro de firewall para el tráfico MPLS
- Condiciones de coincidencia del filtro de firewall para el tráfico IPv4 o IPv6 etiquetado con MPLS
- Condiciones de coincidencia del filtro de firewall para el tráfico VPLS
- Condiciones de coincidencia del filtro de firewall para el tráfico CCC de capa 2
- Condiciones de coincidencia del filtro de firewall para el tráfico de puente de capa 2
- Compatibilidad con filtros de firewall en interfaz de circuito cerrado
- play_arrow Aplicación de filtros de firewall al tráfico del motor de enrutamiento
- Configuración de unidades lógicas en la interfaz de circuito cerrado para instancias de enrutamiento en VPN de capa 3
- Ejemplo: Configuración de un filtro para limitar el acceso TCP a un puerto basado en una lista de prefijos
- Ejemplo: Configuración de un filtro de firewall sin estado para aceptar tráfico de fuentes de confianza
- Ejemplo: Configurar un filtro para bloquear el acceso Telnet y SSH
- Ejemplo: Configuración de un filtro para bloquear el acceso TFTP
- Ejemplo: Configuración de un filtro para aceptar paquetes basados en indicadores TCP IPv6
- Ejemplo: Configuración de un filtro para bloquear el acceso TCP a un puerto, excepto desde pares BGP especificados
- Ejemplo: Configuración de un filtro de firewall sin estado para proteger contra inundaciones TCP e ICMP
- Ejemplo: Protección del motor de enrutamiento con un filtro limitador de velocidad de paquetes por segundo
- Ejemplo: Configuración de un filtro para excluir el tráfico de control DHCPv6 e ICMPv6 para el suscriptor de LAC
- Requisitos de número de puerto para los filtros de firewall DHCP
- Ejemplo: Configuración de un filtro de firewall DHCP para proteger el motor de enrutamiento
- play_arrow Aplicación de filtros de firewall al tráfico de tránsito
- Ejemplo: Configuración de un filtro para su uso como filtro de cola de entrada
- Ejemplo: Configuración de un filtro para que coincida en indicadores IPv6
- Ejemplo: Configuración de un filtro para que coincida en los campos Puerto y Protocolo
- Ejemplo: Configuración de un filtro para contar los paquetes aceptados y rechazados
- Ejemplo: Configuración de un filtro para contar y descartar paquetes de opciones IP
- Ejemplo: Configuración de un filtro para contar paquetes de opciones IP
- Ejemplo: Configuración de un filtro para contar y muestrear paquetes aceptados
- Ejemplo: Configuración de un filtro para establecer el bit DSCP en cero
- Ejemplo: Configuración de un filtro para establecer el bit DSCP en cero
- Ejemplo: Configuración de un filtro para que coincida con dos criterios no relacionados
- Ejemplo: Configuración de un filtro para aceptar paquetes DHCP según la dirección
- Ejemplo: Configuración de un filtro para aceptar paquetes OSPF desde un prefijo
- Ejemplo: Configuración de un filtro de firewall sin estado para controlar fragmentos
- Configuración de un filtro de firewall para impedir o permitir la fragmentación de paquetes IPv4
- Configuración de un filtro de firewall para descartar paquetes IPv6 de entrada con un encabezado de extensión de movilidad
- Ejemplo: Configuración de un filtro de salida basado en direcciones IP de origen o destino IPv6
- Ejemplo: Configuración de un filtro de limitación de velocidad basado en la clase de destino
- play_arrow Configuración de filtros de firewall en sistemas lógicos
- Descripción general de los filtros de firewall en sistemas lógicos
- Directrices para configurar y aplicar filtros de firewall en sistemas lógicos
- Referencias desde un filtro de firewall en un sistema lógico a objetos subordinados
- Referencias de un filtro de firewall en un sistema lógico a objetos que no son firewall
- Referencias de un objeto que no es firewall en un sistema lógico a un filtro de firewall
- Ejemplo: Configuración del reenvío basado en filtros
- Ejemplo: Configuración del reenvío basado en filtros en sistemas lógicos
- Ejemplo: Configuración de un filtro de firewall sin estado para proteger un sistema lógico contra inundaciones ICMP
- Ejemplo: Configuración de un filtro de firewall sin estado para proteger un sistema lógico contra inundaciones ICMP
- Instrucciones de filtro de firewall no compatibles para sistemas lógicos
- Acciones no admitidas para filtros de firewall en sistemas lógicos
- Reenvío basado en filtros para instancias de enrutamiento
- Filtros de tabla de reenvío para instancias de enrutamiento en enrutadores de la serie ACX
- Configuración de filtros de tabla de reenvío
- play_arrow Configuración de la contabilidad y el registro del filtro de firewall
- Información general sobre la contabilidad de los filtros de firewall
- Información general sobre el registro del sistema
- Registro del sistema de eventos generados para la función de firewall
- Acciones de registro de filtro de firewall
- Ejemplo: Configuración de la recopilación de estadísticas para un filtro de firewall
- Ejemplo: Configuración del registro para un término de filtro de firewall
- play_arrow Adjuntar varios filtros de firewall a una sola interfaz
- Aplicación de filtros de firewall a interfaces
- Configuración de filtros de firewall
- Ejemplo de clasificadorde múltiples campos: Configuración de la clasificación de campos múltiples
- Clasificador de múltiples campos para colas de entrada en enrutadores de la serie MX con MPC
- Asignación de clasificadores de varios campos en filtros de firewall para especificar el comportamiento del reenvío de paquetes (procedimiento de la CLI)
- Descripción de varios filtros de firewall en una configuración anidada
- Directrices para anidar referencias a varios filtros de firewall
- Descripción de varios filtros de firewall aplicados como una lista
- Directrices para aplicar varios filtros de firewall como lista
- Ejemplo: Aplicación de listas de varios filtros de firewall
- Ejemplo: Anidamiento de referencias a varios filtros de firewall
- Ejemplo: Filtrado de paquetes recibidos en un conjunto de interfaces
- play_arrow Adjuntar un único filtro de firewall a varias interfaces
- Descripción general de las instancias de filtro de firewall específicas de la interfaz
- Descripción general de las instancias de filtro de firewall específicas de la interfaz
- Información general sobre el filtrado de paquetes recibidos en un conjunto de grupos de interfaces
- Información general sobre el filtrado de paquetes recibidos en un conjunto de interfaces
- Ejemplo: Configuración de contadores de filtro de firewall específicos de la interfaz
- Ejemplo: Configuración de un filtro de firewall sin estado en un grupo de interfaces
- play_arrow Configuración de túneles basados en filtros entre redes IP
- Descripción de la tunelización basada en filtros en redes IPv4
- Descripción general de la tunelización L2TP basada en filtros de firewall en redes IPv4
- Interfaces que admiten tunelización basada en filtros entre redes IPv4
- Componentes de la tunelización basada en filtros en redes IPv4
- Ejemplo: Transporte de tráfico IPv6 a través de IPv4 mediante tunelización basada en filtros
- play_arrow Configuración de filtros de servicio
- Información general sobre el filtro de servicio
- Cómo evalúan los paquetes los filtros de servicio
- Directrices para configurar filtros de servicio
- Directrices para aplicar filtros de servicio
- Ejemplo: Configuración y aplicación de filtros de servicio
- Condiciones de coincidencia del filtro de servicio para el tráfico IPv4 o IPv6
- Acciones de no terminación del filtro de servicio
- Acciones de terminación del filtro de servicio
- play_arrow Configuración de filtros simples
- play_arrow Configuración de filtros de firewall de capa 2
- Descripción de los filtros de firewall utilizados para controlar el tráfico dentro de los dominios de puente y las instancias VPLS
- Ejemplo: Configuración del filtrado de tramas por dirección MAC
- Ejemplo: Configuración del filtrado de tramas por bits IEEE 802.1p
- Ejemplo: Configuración del filtrado de tramas por prioridad de pérdida de paquetes
- Ejemplo: Configuración de la vigilancia y el marcado del tráfico que entra en un núcleo VPLS
- Descripción de los filtros de firewall en interfaces administradas por OVSDB
- Ejemplo: Aplicación de un filtro de firewall a interfaces administradas por OVSDB
- play_arrow Configuración de filtros de firewall para reenvío, fragmentos y vigilancia
- Descripción general del reenvío basado en filtros
- Descripción general de los filtros de firewall que manejan paquetes fragmentados
- Filtros de firewall sin estado que hacen referencia a la descripción general de los aplicadores de políticas
- Ejemplo: Configuración del reenvío basado en filtros en la dirección de origen
- Ejemplo: Configuración del reenvío basado en filtros a una interfaz de salida específica o a una dirección IP de destino
- play_arrow Configuración de filtros de firewall (conmutadores de la serie EX)
- Descripción general de los filtros de firewall para conmutadores de la serie EX
- Descripción de la planeación de filtros de firewall
- Descripción de las condiciones de coincidencia de filtros de firewall
- Descripción de cómo los filtros de firewall controlan los flujos de paquetes
- Descripción de cómo se evalúan los filtros de firewall
- Descripción de los puntos de procesamiento de filtros de firewall para paquetes puenteados y enrutados en conmutadores de la serie EX
- El filtro de firewall coincide con condiciones, acciones y modificadores de acción para conmutadores de la serie EX
- Compatibilidad de la plataforma con condiciones, acciones y modificadores de acción de coincidencia de filtro de firewall en conmutadores de la serie EX
- Compatibilidad con condiciones y acciones de coincidencia para filtros de firewall de circuito cerrado en conmutadores
- Configuración de filtros de firewall (procedimiento de la CLI)
- Descripción de cómo los filtros de firewall prueban el protocolo de un paquete
- Descripción del reenvío basado en filtros para conmutadores de la serie EX
- Ejemplo: Configuración de filtros de firewall para tráfico de puertos, VLAN y enrutadores en conmutadores de la serie EX
- Ejemplo: Configuración de un filtro de firewall en una interfaz de administración en un conmutador de la serie EX
- Ejemplo: Uso del reenvío basado en filtros para enrutar el tráfico de aplicaciones a un dispositivo de seguridad
- Ejemplo: Aplicación de filtros de firewall a varios suplicantes en interfaces habilitadas para autenticación 802.1X o MAC RADIUS
- Comprobación de que los aplicadores de políticas estén operativos
- Solución de problemas de filtros de firewall
- play_arrow Configuración de filtros de firewall (conmutadores de la serie QFX, conmutadores EX4600, enrutadores de la serie PTX)
- Descripción general de los filtros de firewall (serie QFX)
- Descripción de la planeación del filtro de firewall
- Planificación del número de filtros de firewall que se van a crear
- Condiciones y acciones de coincidencia del filtro de firewall (conmutadores de las series QFX y EX)
- Condiciones y acciones de coincidencia del filtro de firewall (conmutadores QFX10000)
- Condiciones y acciones de coincidencia del filtro de firewall (enrutadores de la serie PTX)
- Diferencias de firewall y políticas entre los enrutadores de transporte de paquetes de la serie PTX y los enrutadores de matriz de la serie T
- Configuración de filtros de firewall
- Aplicación de filtros de firewall a interfaces
- Descripción general de los filtros de firewall MPLS en la interfaz de circuito cerrado
- Configuración de políticas y filtros de firewall MPLS en conmutadores
- Configuración de filtros y políticas de firewall MPLS en enrutadores
- Configuración de políticas y filtros de firewall MPLS
- Descripción de cómo un filtro de firewall prueba un protocolo
- Descripción de los puntos de procesamiento de filtros de firewall para paquetes puenteados y enrutados
- Descripción del reenvío basado en filtros
- Ejemplo: Uso del reenvío basado en filtros para enrutar el tráfico de aplicaciones a un dispositivo de seguridad
- Configuración de un filtro de firewall para desencapsular el tráfico GRE o IPIP
- Comprobación de que los filtros de firewall estén operativos
- Supervisión del tráfico de filtro de firewall
- Solución de problemas de configuración del filtro de firewall
- play_arrow Configuración de la contabilidad y el registro de filtros de firewall (conmutadores EX9200)
-
- play_arrow Instrucciones de configuración y comandos operativos
- play_arrow Solución de problemas
- play_arrow Base de conocimientos
-
EN ESTA PÁGINA
Aplicadores básicos de dos colores de una sola tasa
Descripción general de Single-Rate Two-Color Policer
La vigilancia de dos colores de velocidad única aplica una tasa configurada de flujo de tráfico para un nivel de servicio determinado mediante la aplicación de acciones implícitas o configuradas al tráfico que no se ajusta a los límites. Cuando se aplica un policer de dos colores de velocidad única al tráfico de entrada o salida en una interfaz, el aplicador mide el flujo de tráfico hasta el límite de velocidad definido por los siguientes componentes:
Límite de ancho de banda: el número promedio de bits por segundo permitido para los paquetes recibidos o transmitidos en la interfaz. Puede especificar el límite de ancho de banda como un número absoluto de bits por segundo o como un valor porcentual del 1 al 100. Si se especifica un valor de porcentaje, el límite de ancho de banda efectivo se calcula como un porcentaje de la velocidad de medios de la interfaz física o de la velocidad de modelado configurada de la interfaz lógica .
Límite de paquetes por segundo (pps) (serie MX con MPC solamente): número promedio de paquetes por segundo permitido para paquetes recibidos o transmitidos en la interfaz. El límite de pps se especifica como un número absoluto de paquetes por segundo.
Límite de tamaño de ráfaga: el tamaño máximo permitido para ráfagas de datos.
Límite de ráfagas de paquetes:
Para un flujo de tráfico que se ajusta a los límites configurados (categorizado como tráfico verde), los paquetes se marcan implícitamente con un nivel de prioridad de pérdida de paquetes (PLP) de y se les permite pasar a través de low la interfaz sin restricciones.
Para un flujo de tráfico que supera los límites configurados (categorizado como tráfico rojo), los paquetes se manejan de acuerdo con las acciones de control de tráfico configuradas para el policía. La acción podría ser descartar el paquete o volver a marcar el paquete con una clase de reenvío especificada, un PLP especificado o ambos, y luego transmitir el paquete.
Para limitar la velocidad del tráfico de capa 3, puede aplicar un aplicador de dos colores de las siguientes maneras:
Directamente a una interfaz lógica, en un nivel de protocolo específico.
Como la acción de un filtro de firewall sin estado estándar que se aplica a una interfaz lógica, en un nivel de protocolo específico.
Para limitar la velocidad del tráfico de capa 2, puede aplicar un aplicador de dos colores únicamente como controlador de interfaz lógica . No puede aplicar un aplicador de dos colores al tráfico de capa 2 a través de un filtro de firewall.
En las plataformas MX, la prioridad de pérdida de paquetes (PLP) no es implícitamente baja (verde) cuando el flujo de tráfico confirma el límite del aplicador configurado. En su lugar, toma los valores PLP configurados por el usuario como alto, medio-alto, medio-bajo. Use dp-rewrite under edit firewall policer <policer-name> para habilitar este comportamiento en plataformas MX. Si la perilla no está habilitada, los paquetes pueden llevar su color original y prioridad de pérdida.
Consulte también
Ejemplo: Limitar el tráfico entrante en el borde de la red mediante la configuración de un aplicador de dos colores de entrada de una sola velocidad
En este ejemplo se muestra cómo configurar un aplicador de dos colores de velocidad única de entrada para filtrar el tráfico entrante. El policía aplica la estrategia de clase de servicio (CoS) para el tráfico dentro y fuera de contrato. Puede aplicar un aplicador de dos colores de velocidad única a los paquetes entrantes, salientes o ambos. En este ejemplo se aplica el aplicador de policía como un controlador de entrada (entrada). El objetivo de este tema es proporcionarle una introducción a la vigilancia policial mediante un ejemplo que muestre la vigilancia del tráfico en acción.
Los aplicadores utilizan un concepto conocido como bucket de tokens para asignar recursos del sistema en función de los parámetros definidos para el aplicador. Una explicación detallada del concepto de bucket de tokens y sus algoritmos subyacentes está fuera del alcance de este documento. Para obtener más información sobre la vigilancia del tráfico y la CoS en general, consulte Redes habilitadas para QOS: herramientas y fundamentos por Miguel Barreiros y Peter Lundqvist. Este libro está disponible en muchas librerías en línea y en www.juniper.net/books.
Requisitos
Para comprobar este procedimiento, en este ejemplo se utiliza un generador de tráfico. El generador de tráfico puede estar basado en hardware o puede ser software que se ejecuta en un servidor o máquina host.
La funcionalidad de este procedimiento es ampliamente admitida en dispositivos que ejecutan Junos OS. El ejemplo que se muestra aquí se probó y verificó en enrutadores de la serie MX que ejecutan Junos OS versión 10.4.
Descripción general
La vigilancia de dos colores de velocidad única aplica una tasa configurada de flujo de tráfico para un nivel de servicio determinado mediante la aplicación de acciones implícitas o configuradas al tráfico que no se ajusta a los límites. Cuando se aplica un policer de dos colores de velocidad única al tráfico de entrada o salida en una interfaz, el aplicador mide el flujo de tráfico hasta el límite de velocidad definido por los siguientes componentes:
Límite de ancho de banda: el número promedio de bits por segundo permitido para los paquetes recibidos o transmitidos en la interfaz. Puede especificar el límite de ancho de banda como un número absoluto de bits por segundo o como un valor porcentual del 1 al 100. Si se especifica un valor de porcentaje, el límite de ancho de banda efectivo se calcula como un porcentaje de la velocidad de medios de la interfaz física o de la velocidad de modelado configurada de la interfaz lógica.
Límite de tamaño de ráfaga: el tamaño máximo permitido para ráfagas de datos. Los tamaños de ráfaga se miden en bytes. Recomendamos dos fórmulas para calcular el tamaño de ráfaga:
Tamaño de ráfaga = ancho de banda x tiempo permitido para el tráfico de ráfaga / 8
O
Tamaño de ráfaga = mtu de interfaz x 10
Para obtener información acerca de cómo configurar el tamaño de ráfaga, consulte Determinación del tamaño de ráfaga adecuado para los policías de tráfico.
Nota:Hay un espacio de búfer finito para una interfaz. En general, la profundidad de búfer total estimada para una interfaz es de unos 125 ms.
Para un flujo de tráfico que se ajusta a los límites configurados (categorizados como tráfico verde), los paquetes se marcan implícitamente con un nivel de prioridad de pérdida de paquetes (PLP) bajo y se les permite pasar a través de la interfaz sin restricciones.
Para un flujo de tráfico que supera los límites configurados (categorizado como tráfico rojo), los paquetes se manejan de acuerdo con las acciones de control de tráfico configuradas para el policía. En este ejemplo se descartan los paquetes que superan el límite de 15 kbps.
Para limitar la velocidad del tráfico de capa 3, puede aplicar un aplicador de dos colores de las siguientes maneras:
Directamente a una interfaz lógica, en un nivel de protocolo específico.
Como la acción de un filtro de firewall sin estado estándar que se aplica a una interfaz lógica, en un nivel de protocolo específico. Esta es la técnica utilizada en este ejemplo.
Para limitar la velocidad del tráfico de capa 2, puede aplicar un aplicador de dos colores únicamente como controlador de interfaz lógica. No puede aplicar un aplicador de dos colores al tráfico de capa 2 a través de un filtro de firewall.
Puede elegir entre el límite de ancho de banda o el porcentaje de ancho de banda dentro del aplicador, ya que son mutuamente excluyentes. No puede configurar un aplicador de políticas para que utilice el porcentaje de ancho de banda para interfaces agregadas, de túnel y de software.
En este ejemplo, el host es un generador de tráfico que emula un servidor web. Los dispositivos R1 y R2 son propiedad de un proveedor de servicios. Los usuarios acceden al servidor web en Device Host2. El dispositivo Host1 enviará tráfico con un puerto HTTP TCP de origen de 80 a los usuarios. Se configura un aplicador de dos colores de velocidad única y se aplica a la interfaz del dispositivo R1 que se conecta al host del dispositivo1. El aplicador de políticas hace cumplir la disponibilidad contractual de ancho de banda realizada entre el propietario del servidor web y el proveedor de servicios propietario del dispositivo R1 para el tráfico web que fluye a través del enlace que conecta el host del dispositivo1 con el dispositivo R1.
De acuerdo con la disponibilidad contractual de ancho de banda realizada entre el propietario del servidor web y el proveedor de servicios propietario de los dispositivos R1 y R2, el controlador limitará el tráfico del puerto HTTP 80 que se origina en el host del dispositivo1 al uso de 700 Mbps (70 por ciento) del ancho de banda disponible con una velocidad de ráfaga permitida de 10 veces el tamaño MTU de la interfaz gigabit Ethernet entre el dispositivo host Host1 y el dispositivo R1.
En un escenario del mundo real, probablemente también limitaría el tráfico para una variedad de otros puertos, como FTP, SFTP, SSH, TELNET, SMTP, IMAP y POP3, ya que a menudo se incluyen como servicios adicionales con los servicios de alojamiento web.
Debe dejar disponible un ancho de banda adicional que no esté limitado para los protocolos de control de red, como los protocolos de enrutamiento, DNS y cualquier otro protocolo necesario para mantener operativa la conectividad de red. Esta es la razón por la que el filtro de firewall tiene una condición de aceptación final.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.
Dispositivo R1
set interfaces ge-2/0/5 description to-Host set interfaces ge-2/0/5 unit 0 family inet address 172.16.70.2/30 set interfaces ge-2/0/5 unit 0 family inet filter input mf-classifier set interfaces ge-2/0/8 description to-R2 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.1/30 set interfaces lo0 unit 0 description looback-interface set interfaces lo0 unit 0 family inet address 192.168.13.1/32 set firewall policer discard if-exceeding bandwidth-limit 700m set firewall policer discard if-exceeding burst-size-limit 15k set firewall policer discard then discard set firewall family inet filter mf-classifier term t1 from protocol tcp set firewall family inet filter mf-classifier term t1 from port 80 set firewall family inet filter mf-classifier term t1 then policer discard set firewall family inet filter mf-classifier term t2 then accept set protocols ospf area 0.0.0.0 interface ge-2/0/5.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Dispositivo R2
set interfaces ge-2/0/8 description to-R1 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.2/30 set interfaces ge-2/0/7 description to-Host set interfaces ge-2/0/7 unit 0 family inet address 172.16.80.2/30 set interfaces lo0 unit 0 description looback-interface set interfaces lo0 unit 0 family inet address 192.168.14.1/32 set protocols ospf area 0.0.0.0 interface ge-2/0/7.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar el dispositivo R1:
Configure las interfaces del dispositivo.
content_copy zoom_out_map[edit interfaces] user@R1# set ge-2/0/5 description to-Host user@R1# set ge-2/0/5 unit 0 family inet address 172.16.70.2/30 user@R1# set ge-2/0/8 description to-R2 user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.1/30 user@R1# set lo0 unit 0 description looback-interface user@R1# set lo0 unit 0 family inet address 192.168.13.1/32
Aplique el filtro de firewall a la interfaz ge-2/0/5 como filtro de entrada.
content_copy zoom_out_map[edit interfaces ge-2/0/5 unit 0 family inet] user@R1# set filter input mf-classifier
Configure el aplicador de políticas para limitar la velocidad a un ancho de banda de 700 Mbps y un tamaño de ráfaga de 15000 kbps para el tráfico HTTP (puerto TCP 80).
content_copy zoom_out_map[edit firewall policer discard] user@R1# set if-exceeding bandwidth-limit 700m user@R1# set if-exceeding burst-size-limit 15k
Configure el aplicador de políticas para descartar paquetes en el flujo de tráfico rojo.
content_copy zoom_out_map[edit firewall policer discard] user@R1# set then discard
Configure las dos condiciones del firewall para aceptar todo el tráfico TCP al puerto HTTP (puerto 80).
content_copy zoom_out_map[edit firewall family inet filter mf-classifier] user@R1# set term t1 from protocol tcp user@R1# set term t1 from port 80
Configure la acción del firewall para limitar la velocidad del tráfico TCP HTTP mediante el aplicador de políticas.
content_copy zoom_out_map[edit firewall family inet filter mf-classifier] user@R1# set term t1 then policer discard
Al final del filtro de firewall, configure una acción predeterminada que acepte el resto del tráfico.
De lo contrario, se descartará todo el tráfico que llegue a la interfaz y que el firewall no acepte explícitamente.
content_copy zoom_out_map[edit firewall family inet filter mf-classifier] user@R1# set term t2 then accept
Configure OSPF.
content_copy zoom_out_map[edit protocols ospf] user@R1# set area 0.0.0.0 interface ge-2/0/5.0 passive user@R1# set area 0.0.0.0 interface lo0.0 passive user@R1# set area 0.0.0.0 interface ge-2/0/8.0
Procedimiento paso a paso
Para configurar el dispositivo R2:
Configure las interfaces del dispositivo.
content_copy zoom_out_map[edit interfaces] user@R1# set ge-2/0/8 description to-R1 user@R1# set ge-2/0/7 description to-Host user@R1# set lo0 unit 0 description looback-interface user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.2/30 user@R1# set ge-2/0/7 unit 0 family inet address 172.16.80.2/30 user@R1# set lo0 unit 0 family inet address 192.168.14.1/32
Configure OSPF.
content_copy zoom_out_map[edit protocols ospf] user@R1# set area 0.0.0.0 interface ge-2/0/7.0 passive user@R1# set area 0.0.0.0 interface lo0.0 passive user@R1# set area 0.0.0.0 interface ge-2/0/8.0
Resultados
Desde el modo de configuración, escriba los comandos , y show protocols ospf para confirmar la show interfaces configuración. show firewall Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@R1# show interfaces
ge-2/0/5 {
description to-Host;
unit 0 {
family inet {
filter {
input mf-classifier;
}
address 172.16.70.2/30;
}
}
}
ge-2/0/8 {
description to-R2;
unit 0 {
family inet {
address 10.50.0.1/30;
}
}
}
lo0 {
unit 0 {
description looback-interface;
family inet {
address 192.168.13.1/32;
}
}
}
user@R1# show firewall
family inet {
filter mf-classifier {
term t1 {
from {
protocol tcp;
port 80;
}
then policer discard;
}
term t2 {
then accept;
}
}
}
policer discard {
if-exceeding {
bandwidth-limit 700m;
burst-size-limit 15k;
}
then discard;
}
user@R1# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/5.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-2/0/8.0;
}
Si ha terminado de configurar el dispositivo R1, ingrese commit en el modo de configuración.
user@R2# show interfaces
ge-2/0/7 {
description to-Host;
unit 0 {
family inet {
address 172.16.80.2/30;
}
}
}
ge-2/0/8 {
description to-R1;
unit 0 {
family inet {
address 10.50.0.2/30;
}
}
}
lo0 {
unit 0 {
description looback-interface;
family inet {
address 192.168.14.1/32;
}
}
}
user@R2# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/7.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-2/0/8.0;
}
Si ha terminado de configurar el dispositivo R2, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
Limpieza de los contadores
Propósito
Confirme que los contadores del firewall estén borrados.
Acción
En el dispositivo R1, ejecute el clear firewall all comando para restablecer los contadores del firewall a 0.
user@R1> clear firewall all
Envío de tráfico TCP a la red y supervisión de los descartes
Propósito
Asegúrese de que el tráfico de interés que se envía está limitado en la interfaz de entrada (ge-2/0/5).
Acción
Utilice un generador de tráfico para enviar 10 paquetes TCP con un puerto de origen de 80.
El indicador -s establece el puerto de origen. El indicador -k hace que el puerto de origen permanezca estable en 80 en lugar de incrementarse. El indicador -c establece el número de paquetes en 10. El indicador -d establece el tamaño del paquete.
La dirección IP de destino de 172.16.80.1 pertenece al host del dispositivo 2 que está conectado al dispositivo R2. El usuario del host del dispositivo 2 ha solicitado una página web al host del dispositivo 1 (el servidor web emulado por el generador de tráfico del host del dispositivo 1). Los paquetes cuya velocidad está limitada se envían desde el host del dispositivo 1 en respuesta a la solicitud del host del dispositivo 2.
Nota:En este ejemplo, los números de controlador se reducen a un límite de ancho de banda de 8 Kbps y un límite de tamaño de ráfaga de 1500 Kbps para garantizar que algunos paquetes se descarten durante esta prueba.
content_copy zoom_out_map[root@host]# hping 172.16.80.1 -c 10 -s 80 -k -d 300 [User@Host]# hping 172.16.80.1 -c 10 -s 80 -k -d 350 HPING 172.16.80.1 (eth1 172.16.80.1): NO FLAGS are set, 40 headers + 350 data bytes len=46 ip=172.16.80.1 ttl=62 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=0.5 ms . . . --- 172.16.80.1 hping statistic --- 10 packets transmitted, 6 packets received, 40% packet loss round-trip min/avg/max = 0.5/3000.8/7001.3 ms
En el dispositivo R1, compruebe los contadores del firewall con el
show firewallcomando.content_copy zoom_out_mapuser@R1> show firewall User@R1# run show firewall Filter: __default_bpdu_filter__ Filter: mf-classifier Policers: Name Bytes Packets discard-t1 1560 4
Significado
En los pasos 1 y 2, la salida de ambos dispositivos muestra que se descartaron 4 paquetes Esto significa que hubo al menos 8 Kbps de tráfico verde (puerto HTTP 80 en el contrato) y que se superó la opción de ráfaga de 1500 kbps para el tráfico rojo del puerto HTTP 80 fuera de contrato.
Ejemplo: Configuración de políticas de filtro de interfaz y firewall en la misma interfaz
En este ejemplo se muestra cómo configurar tres políticas de dos colores de velocidad única y aplicar las políticas al tráfico de entrada IPv4 en la misma interfaz lógica de LAN virtual (VLAN) de etiqueta única.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se configuran tres políticas de dos colores de velocidad única y se aplican las políticas al tráfico de entrada IPv4 en la misma interfaz lógica VLAN de etiqueta única. Se aplican dos políticas a la interfaz a través de un filtro de firewall y una política se aplica directamente a la interfaz.
Configure un aplicador de policía, denominado p-all-1m-5k-discard, para limitar la velocidad del tráfico a 1 Mbps con un tamaño de ráfaga de 5000 bytes. Este aplicador de políticas se aplica directamente al tráfico de entrada IPv4 en la interfaz lógica. Cuando se aplica un policer directamente al tráfico específico del protocolo en una interfaz lógica, se dice que el policer se aplica como un policer de interfaz.
Configure las otras dos políticas para permitir tamaños de ráfaga de 500 KB y aplique estas políticas al tráfico de entrada IPv4 en la interfaz lógica mediante un filtro de firewall sin estado estándar IPv4. Cuando se aplica un policer al tráfico específico del protocolo en una interfaz lógica mediante una acción de filtro de firewall, se dice que el policer se aplica como un policer de filtro de firewall.
Configure el controlador de policía denominado
p-icmp-500k-500k-discardpara limitar el tráfico a 500 Kbps con un tamaño de ráfaga de 500 K bytes descartando paquetes que no se ajustan a estos límites. Configure uno de los términos de filtro de firewall para aplicar este aplicador de políticas a los paquetes del Protocolo de mensajes de control de Internet (ICMP).Configure el controlador de policía denominado
p-ftp-10p-500k-discardpara limitar el tráfico a un ancho de banda del 10 por ciento con un tamaño de ráfaga de 500 KB descartando paquetes que no se ajusten a estos límites. Configure otro término de filtro de firewall para aplicar este aplicador de política a los paquetes de protocolo de transferencia de archivos (FTP).
Un controlador de policía que se configura con un límite de ancho de banda expresado como un valor porcentual (en lugar de como un valor de ancho de banda absoluto) se denomina controlador de ancho de banda. Solo se pueden configurar aplicadores de dos colores de velocidad única con una especificación de ancho de banda porcentual. De forma predeterminada, una tasa de aplicación de política de ancho de banda limita el tráfico al porcentaje especificado de la velocidad de línea de la interfaz física subyacente a la interfaz lógica de destino.
Topología
Configure la interfaz lógica de destino como una interfaz lógica VLAN de etiqueta única en una interfaz Fast Ethernet que funcione a 100 Mbps. Esto significa que el controlador de policía que configure con el límite de ancho de banda del 10 por ciento (el controlador que se aplica a los paquetes FTP) limita el tráfico FTP en esta interfaz a 10 Mbps.
En este ejemplo, no se configura el controlador de ancho de banda como un controlador de ancho de banda lógico. Por lo tanto, el porcentaje se basa en la velocidad de medios físicos y no en la velocidad de modelado configurada de la interfaz lógica.
El filtro de firewall que configure para hacer referencia a dos de las políticas debe configurarse como un filtro específico de la interfaz. Dado que el controlador que se utiliza para limitar la velocidad de los paquetes FTP especifica el límite de ancho de banda como un valor de porcentaje, el filtro de firewall que hace referencia a este controlador de policía debe configurarse como un filtro específico de la interfaz. Por lo tanto, si este filtro de firewall se aplicara a varias interfaces en lugar de solo a la interfaz de Fast Ethernet en este ejemplo, se crearían contadores y aplicadores únicos para cada interfaz a la que se aplica el filtro.
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configuración de la interfaz lógica de VLAN de etiqueta única
- Configuración de los tres policías
- Configuración del filtro de firewall IPv4
- Aplicación del aplicador de controlador de interfaz y los aplicadores de filtro de firewall a la interfaz lógica
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit] jerarquía.
set interfaces fe-0/1/1 vlan-tagging set interfaces fe-0/1/1 unit 0 vlan-id 100 set interfaces fe-0/1/1 unit 0 family inet address 10.20.15.1/24 set interfaces fe-0/1/1 unit 1 vlan-id 101 set interfaces fe-0/1/1 unit 1 family inet address 10.20.240.1/24 set firewall policer p-all-1m-5k-discard if-exceeding bandwidth-limit 1m set firewall policer p-all-1m-5k-discard if-exceeding burst-size-limit 5k set firewall policer p-all-1m-5k-discard then discard set firewall policer p-ftp-10p-500k-discard if-exceeding bandwidth-percent 10 set firewall policer p-ftp-10p-500k-discard if-exceeding burst-size-limit 500k set firewall policer p-ftp-10p-500k-discard then discard set firewall policer p-icmp-500k-500k-discard if-exceeding bandwidth-limit 500k set firewall policer p-icmp-500k-500k-discard if-exceeding burst-size-limit 500k set firewall policer p-icmp-500k-500k-discard then discard set firewall family inet filter filter-ipv4-with-limits interface-specific set firewall family inet filter filter-ipv4-with-limits term t-ftp from protocol tcp set firewall family inet filter filter-ipv4-with-limits term t-ftp from port ftp set firewall family inet filter filter-ipv4-with-limits term t-ftp from port ftp-data set firewall family inet filter filter-ipv4-with-limits term t-ftp then policer p-ftp-10p-500k-discard set firewall family inet filter filter-ipv4-with-limits term t-icmp from protocol icmp set firewall family inet filter filter-ipv4-with-limits term t-icmp then policer p-icmp-500k-500k-discard set firewall family inet filter filter-ipv4-with-limits term catch-all then accept set interfaces fe-0/1/1 unit 1 family inet filter input filter-ipv4-with-limits set interfaces fe-0/1/1 unit 1 family inet policer input p-all-1m-5k-discard
Configuración de la interfaz lógica de VLAN de etiqueta única
Procedimiento paso a paso
Para configurar la interfaz lógica de VLAN de etiqueta única:
Habilite la configuración de la interfaz Fast Ethernet.
content_copy zoom_out_map[edit] user@host# edit interfaces fe-0/1/1
Habilite el entramado VLAN de etiqueta única.
content_copy zoom_out_map[edit interfaces fe-0/1/1] user@host# set vlan-tagging
Enlazar ID de VLAN a las interfaces lógicas.
content_copy zoom_out_map[edit interfaces fe-0/1/1] user@host# set unit 0 vlan-id 100 user@host# set unit 1 vlan-id 101
Configure IPv4 en las interfaces lógicas VLAN de etiqueta única.
content_copy zoom_out_map[edit interfaces fe-0/1/1] user@host# set unit 0 family inet address 10.20.15.1/24 user@host# set unit 1 family inet address 10.20.240.1/24
Resultados
Confirme la configuración de la VLAN ingresando el comando configuration show interfaces mode. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit]
user@host# show interfaces
fe-0/1/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.20.15.1/24;
}
}
unit 1 {
vlan-id 101;
family inet {
address 10.20.240.1/24;
}
}
}
Configuración de los tres policías
Procedimiento paso a paso
Para configurar los tres policías:
Habilite la configuración de un aplicador de dos colores que descarte los paquetes que no se ajusten a un ancho de banda de 1 Mbps y un tamaño de ráfaga de 5000 bytes.
Nota:Este aplicador de políticas se aplica directamente a todo el tráfico de entrada IPv4 en la interfaz lógica VLAN de etiqueta única, por lo que los paquetes no se filtrarán antes de someterse a la limitación de velocidad.
content_copy zoom_out_map[edit] user@host# edit firewall policer p-all-1m-5k-discard
Configure el primer aplicador de policía.
content_copy zoom_out_map[edit firewall policer p-all-1m-5k-discard] user@host# set if-exceeding bandwidth-limit 1m user@host# set if-exceeding burst-size-limit 5k user@host# set then discard
Habilite la configuración de un aplicador de dos colores que descarte los paquetes que no se ajustan a un ancho de banda especificado como "10 por ciento" y un tamaño de ráfaga de 500.000 bytes.
Este aplicador de políticas sólo se aplica al tráfico FTP en la interfaz lógica de VLAN de etiqueta única.
Este aplicador de políticas se aplica como la acción de un término de filtro de firewall IPv4 que coincide con paquetes FTP de TCP.
content_copy zoom_out_map[edit firewall policer p-all-1m-5k-discard] user@host# up [edit] user@host# edit firewall policer p-ftp-10p-500k-discard
Configure límites y acciones policiales.
content_copy zoom_out_map[edit firewall policer p-ftp-10p-500k-discard] user@host# set if-exceeding bandwidth-percent 10 user@host# set if-exceeding burst-size-limit 500k user@host# set then discard
Dado que el límite de ancho de banda se especifica como un porcentaje, el filtro de firewall que hace referencia a este aplicador de políticas debe configurarse como un filtro específico de la interfaz.
Nota:Si desea que este controlador de políticas limite la velocidad al 10 por ciento de la velocidad de modelado configurada de la interfaz lógica (en lugar del 10 por ciento de la velocidad de medios de la interfaz física), deberá incluir la
logical-bandwidth-policerinstrucción en el[edit firewall policer p-all-1m-5k-discard]nivel de jerarquía. Este tipo de controlador se denomina aplicador de ancho de banda lógico.Habilite la configuración del separador de filtros de firewall IPv4 para paquetes ICMP.
content_copy zoom_out_map[edit firewall policer p-ftp-10p-500k-discard] user@host# up [edit] user@host# edit firewall policer p-icmp-500k-500k-discard
Configure límites y acciones policiales.
content_copy zoom_out_map[edit firewall policer p-icmp-500k-500k-discard] user@host# set if-exceeding bandwidth-limit 500k user@host# set if-exceeding burst-size-limit 500k user@host# set then discard
Resultados
Confirme la configuración de los aplicadores introduciendo el comando de show firewall modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit] user@host# show firewall policer p-all-1m-5k-discard { if-exceeding { bandwidth-limit 1m; burst-size-limit 5k; } then discard; } policer p-ftp-10p-500k-discard { if-exceeding { bandwidth-percent 10; burst-size-limit 500k; } then discard; } policer p-icmp-500k-500k-discard { if-exceeding { bandwidth-limit 500k; burst-size-limit 500k; } then discard; }
Configuración del filtro de firewall IPv4
Procedimiento paso a paso
Para configurar el filtro de firewall IPv4:
Habilite la configuración del filtro de firewall IPv4.
content_copy zoom_out_map[edit] user@host# edit firewall family inet filter filter-ipv4-with-limits
Configure el filtro de firewall como específico de la interfaz.
content_copy zoom_out_map[edit firewall family inet filter filter-ipv4-with-limits] user@host# set interface-specific
El filtro de firewall debe ser específico de la interfaz, ya que una de las políticas a las que se hace referencia está configurada con un límite de ancho de banda expresado como un valor de porcentaje.
Habilite la configuración de un término de filtro para limitar la velocidad de los paquetes FTP.
content_copy zoom_out_map[edit firewall family inet filter filter-ipv4-with-limits] user@host# edit term t-ftp [edit firewall family inet filter filter-ipv4-with-limits term t-ftp] user@host# set from protocol tcp user@host# set from port [ ftp ftp-data ]
Los mensajes FTP se envían a través del puerto TCP 20 (
ftp) y se reciben a través del puerto TCP 21 (ftp-data).Configure el término de filtro para que coincida con los paquetes FTP.
content_copy zoom_out_map[edit firewall family inet filter filter-ipv4-with-limits term t-ftp] user@host# set then policer p-ftp-10p-500k-discard
Habilite la configuración de un término de filtro para limitar la velocidad de los paquetes ICMP.
content_copy zoom_out_map[edit firewall family inet filter filter-ipv4-with-limits term t-ftp] user@host# up [edit firewall family inet filter filter-ipv4-with-limits] user@host# edit term t-icmp
Configurar el término de filtro para paquetes ICMP
content_copy zoom_out_map[edit firewall family inet filter filter-ipv4-with-limits term t-icmp] user@host# set from protocol icmp user@host# set then policer p-icmp-500k-500k-discard
Configure un término de filtro para aceptar todos los demás paquetes sin vigilancia.
content_copy zoom_out_map[edit firewall family inet filter filter-ipv4-with-limits term t-icmp] user@host# up [edit firewall family inet filter filter-ipv4-with-limits] user@host# set term catch-all then accept
Resultados
Confirme la configuración del filtro de firewall introduciendo el comando de show firewall modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit] user@host# show firewall family inet { filter filter-ipv4-with-limits { interface-specific; term t-ftp { from { protocol tcp; port [ ftp ftp-data ]; } then policer p-ftp-10p-500k-discard; } term t-icmp { from { protocol icmp; } then policer p-icmp-500k-500k-discard; } term catch-all { then accept; } } } policer p-all-1m-5k-discard { if-exceeding { bandwidth-limit 1m; burst-size-limit 5k; } then discard; } policer p-ftp-10p-500k-discard { if-exceeding { bandwidth-percent 10; burst-size-limit 500k; } then discard; } policer p-icmp-500k-500k-discard { if-exceeding { bandwidth-limit 500k; burst-size-limit 500k; } then discard; }
Aplicación del aplicador de controlador de interfaz y los aplicadores de filtro de firewall a la interfaz lógica
Procedimiento paso a paso
Para aplicar los tres políticas a la VLAN:
Habilite la configuración de IPv4 en la interfaz lógica.
content_copy zoom_out_map[edit] user@host# edit interfaces fe-0/1/1 unit 1 family inet
Aplique los aplicadores de políticas de filtro de firewall a la interfaz.
content_copy zoom_out_map[edit interfaces fe-0/1/1 unit 1 family inet] user@host# set filter input filter-ipv4-with-limits
Aplique el aplicador de control de interfaz a la interfaz.
content_copy zoom_out_map[edit interfaces fe-0/1/1 unit 1 family inet] user@host# set policer input p-all-1m-5k-discard
Los paquetes de entrada en se evalúan con
fe-0/1/1.0respecto al controlador de interfaz antes de evaluarse con los aplicadores de filtro de firewall. Para obtener más información, consulte Orden de las operaciones de filtro de Policer y Firewall.
Resultados
Confirme la configuración de la interfaz introduciendo el comando de show interfaces modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Visualización de políticas aplicadas directamente a la interfaz lógica
- Visualización de estadísticas para el aplicador de políticas aplicado directamente a la interfaz lógica
- Visualización de los filtros de políticas y firewall aplicados a una interfaz
- Visualización de estadísticas para los aplicadores de filtro de firewall
Visualización de políticas aplicadas directamente a la interfaz lógica
Propósito
Compruebe que el aplicador de políticas de interfaz se evalúa cuando se reciben paquetes en la interfaz lógica.
Acción
Utilice el comando de modo operativo para la show interfaces policers interfaz fe-0/1/1.1lógica. La sección de salida de comandos para la columna y Input Policer la Proto columna muestra que el aplicador p-all-1m-5k-discard de políticas se evalúa cuando se reciben paquetes en la interfaz lógica.
user@host> show interfaces policers fe-0/1/1.1
Interface Admin Link Proto Input Policer Output Policer
fe-0/1/1.1 up up
inet p-all-1m-5k-discard-fe-0/1/1.1-inet-i
En este ejemplo, el aplicador de control de interfaz se aplica al tráfico de interfaz lógica solo en la dirección de entrada.
Visualización de estadísticas para el aplicador de políticas aplicado directamente a la interfaz lógica
Propósito
Compruebe el número de paquetes evaluados por el aplicador de políticas de interfaz.
Acción
Utilice el comando del show policer modo operativo y, opcionalmente, especifique el nombre del aplicador de policía. El resultado del comando muestra el número de paquetes evaluados por cada aplicador de policía configurado (o el aplicador especificado) en cada dirección.
user@host> show policer p-all-1m-5k-discard-fe-0/1/1.1-inet-i Policers: Name Bytes Packets p-all-1m-5k-discard-fe-0/1/1.1-inet-i 200 5
Visualización de los filtros de políticas y firewall aplicados a una interfaz
Propósito
Compruebe que el filtro filter-ipv4-with-limits de firewall se aplica al tráfico de entrada IPv4 en la interfaz fe-0/1/1.1lógica.
Acción
Utilice el comando de modo operativo para la show interfaces statistics interfaz fe-0/1/1.1lógica e incluya la detail opción. En la Protocol inet sección de la sección de salida de comandos, las Input Filters líneas y Policer muestran los nombres del filtro y del aplicador de políticas aplicado a la interfaz lógica en la dirección de entrada.
user@host> show interfaces statistics fe-0/1/1.1 detail
Logical interface fe-0/1/1.1 (Index 83) (SNMP ifIndex 545) (Generation 153)
Flags: SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.100 ] Encapsulation: ENET2
Traffic statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Local statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Protocol inet, MTU: 1500, Generation: 176, Route table: 0
Flags: Sendbcast-pkt-to-re
Input Filters: filter-ipv4-with-limits-fe-0/1/1.1-i
Policer: Input: p-all-1m-5k-discard-fe-0/1/1.1-inet-i
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255,
Generation: 169
En este ejemplo, las dos políticas de filtro de firewall se aplican al tráfico de la interfaz lógica únicamente en la dirección de entrada.
Visualización de estadísticas para los aplicadores de filtro de firewall
Propósito
Compruebe el número de paquetes evaluados por los aplicadores de filtro de firewall.
Acción
Utilice el comando de show firewall modo operativo para el filtro que aplicó a la interfaz lógica.
[edit] user@host> show firewall filter filter-ipv4-with-limits-fe-0/1/1.1-i Filter: filter-ipv4-with-limits-fe-0/1/1.1-i Policers: Name Bytes Packets p-ftp-10p-500k-discard-t-ftp-fe-0/1/1.1-i 0 0 p-icmp-500k-500k-discard-t-icmp-fe-0/1/1.1-i 0 0
El resultado del comando muestra los nombres de los policías (p-ftp-10p-500k-discard y p-icmp-500k-500k-discard), combinados con los nombres de los términos de filtro (t-ftp y t-icmp, respectivamente) con los que se especifica la acción del aplicador de policía. Las líneas de salida específicas del controlador muestran el número de paquetes que coinciden con el término de filtro. Esto es solo el número de recuentos de paquetes fuera de especificación (fuera de especificación), no todos los paquetes vigilados por el policía.
