Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Usando policiais para gerenciar a sobrescrição

Você pode querer usar um policial quando uma interface é subscrita demais e deseja controlar o que acontecerá se ocorrer congestionamento. Por exemplo, você pode ter servidores conectados a um switch conforme listado em Tabela 1.

Tabela 1: Servidores conectados ao switch

Tipo de servidor

Conexão

Endereço IP

Servidor de aplicativo de rede

Interface de 1 gigabit

10.0.0.1

Servidor de autenticação

Interface de 1 gigabit

10.0.0.2

Servidor de banco de dados

Interface de 10 gigabits

10.0.0.3

Neste exemplo, os usuários acessam serviços fornecidos pelo servidor de aplicativo de rede, que solicita informações do servidor de banco de dados conforme apropriado. Quando ele recebe uma solicitação de um usuário, o servidor de aplicativo de rede entra em contato primeiro com o servidor de autenticação para verificar as credenciais do usuário. Quando um usuário é autenticado e o servidor de aplicativo de rede fornece o serviço solicitado, todos os pacotes enviados do servidor de banco de dados para o servidor de aplicativo devem transitar pela interface Ethernet de 1 Gigabit conectada ao servidor do aplicativo duas vezes — uma vez na entrada do servidor do aplicativo e novamente na saída para o usuário.

A sequência de eventos para uma sessão de usuário é a seguinte:

  1. Um usuário se conecta ao servidor do aplicativo e solicita um serviço.

  2. O servidor do aplicativo solicita as credenciais do usuário e as transmite ao servidor de autenticação.

  3. Se o servidor de autenticação verificar as credenciais, o servidor do aplicativo inicia o serviço solicitado.

  4. O servidor do aplicativo solicita os arquivos necessários para atender à solicitação do usuário no servidor do banco de dados.

  5. O servidor de banco de dados envia os arquivos solicitados para o servidor do aplicativo.

  6. O servidor do aplicativo inclui os arquivos solicitados em sua resposta ao usuário.

O tráfego do servidor de banco de dados para o servidor do aplicativo pode congestionar a interface de 1 gigabit à qual o servidor do aplicativo está conectado. Esse congestionamento pode impedir que o servidor responda às solicitações dos usuários e crie novas sessões para eles. Você pode usar o policiamento para garantir que isso não ocorra.

Para criar essa configuração de firewall, execute as seguintes etapas no servidor de banco de dados:

  1. Crie um policial para soltar o tráfego do servidor de banco de dados para o servidor do aplicativo se exceder determinados limites:

  2. Crie um filtro para examinar o tráfego do servidor de banco de dados até o servidor do aplicativo:

  3. Configure o filtro para aplicar o policiador à saída de tráfego do servidor de banco de dados e destinado ao servidor do aplicativo:

  4. Se necessário, configure um termo para permitir o tráfego do servidor de banco de dados para outros destinos (caso contrário, o tráfego será descartado pela declaração de negação implícita):

    Observe que omitir uma declaração faz com que o termo corresponda a todos os pacotes, que é o comportamento desejado.from

  5. Instale o filtro de saída como um filtro de saída na interface do servidor de banco de dados que está conectada ao servidor do aplicativo:

Veja como a configuração final apareceria:

Tópicos relacionados