Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemplo: Usando listas de policiais e prefixos de duas cores

Se você fornecer quantidades específicas de largura de banda para clientes internos ou externos, você pode usar o policiamento para garantir que os clientes não consumam mais largura de banda do que deveriam receber. Por exemplo, você pode conectar muitos clientes a uma interface de 10 Gbps e quer garantir que nenhum deles congestione a interface usando mais largura de banda do que eles foram alocados.

Você pode realizar isso criando um policiador de duas cores semelhante ao seguinte para cada cliente:

No entanto, criar um policiador para cada cliente não é claramente uma solução escalável. Como alternativa, você pode criar listas de prefixo que agrupam classes de clientes e, em seguida, criar policiais para cada lista de prefixo. Por exemplo, você pode criar listas de prefixo, como Class-A-Customer-Prefixes, Class-B-Customer-Prefixese Class-C-Customer-Prefixes (no nível da [edit policy-options] hierarquia) e criar os seguintes policiais correspondentes:

Você deve criar termos de filtro que especifiquem as listas de prefixo em suas from declarações e os policiais correspondentes em suas then declarações semelhantes às seguintes:

Aqui estão as etapas para criar essa configuração de firewall:

  1. Crie o primeiro policial:

  2. Crie o segundo policial:

  3. Crie o terceiro policial:

  4. Crie um filtro para clientes da classe A:

  5. Configure o filtro para enviar pacotes que correspondam à Class-A-Customer-Prefixes lista de prefixo ao Class-A policial:

  6. Crie um filtro para clientes da classe B:

  7. Configure o filtro para enviar pacotes que correspondam à Class-B-Customer-Prefixes lista de prefixo ao Class-B policial:

  8. Crie um filtro para clientes da classe C:

  9. Configure o filtro para enviar pacotes que correspondam à Class-C-Customer-Prefixes lista de prefixo ao Class-C policial:

  10. Aplique os filtros que você criou nas interfaces apropriadas na direção de saída.

Nota:

Observe que a declaração de negação implícita neste filtro bloqueará o tráfego de qualquer fonte que não corresponda a uma das listas de prefixo. Se você quiser que o filtro permita esse tráfego, você deve incluir um termo explícito para esta finalidade.