Nesta página
Exemplo: Configuração de um filtro de limitação de taxa com base na classe de destino
Este exemplo mostra como configurar um filtro de firewall sem estado que limita a taxa.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Antes de começar, configure a classe class1
de destino.
Visão geral
Neste exemplo, você usa um filtro de firewall sem estado para definir limites de taxa com base em uma classe de destino.
Para ativar um policiador de dentro de uma configuração de filtro de firewall sem estado:
Crie um modelo para o policiador, incluindo a
policer policer-name
declaração.Consulte o policial em um termo de filtro que especifica o policial na ação
policer policer-name
não sufocante.
Você também pode ativar um policial incluindo a policer (input | output) policer-template-name
declaração em uma interface lógica.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
- Configuração rápida da CLI
- Configure o filtro de firewall stateless
- Aplique o filtro de firewall sem estado em uma interface lógica
- Confirme e confirme a configuração do seu candidato
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos em um arquivo de texto, remova qualquer quebra de linha e depois cole os comandos na CLI no nível de [edit]
hierarquia.
set firewall policer police_class1 if-exceeding bandwidth-limit 25m set firewall policer police_class1 if-exceeding burst-size-limit 25m set firewall policer police_class1 then discard set firewall filter rl_dclass1 term term1 from destination-class class1 set firewall filter rl_dclass1 term term1 then policer police_class1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.1/30 set interfaces ge-0/0/1 unit 0 family inet filter input rl_dclass1
Configure o filtro de firewall stateless
Procedimento passo a passo
Para configurar o filtro rl_dclass1
de firewall sem estado com o policiador police_class1
para a classe class1
de destino:
Crie o modelo
police_class1
do policiador.[edit] user@host# edit firewall policer police_class1
Configure o modelo
police_class1
do policiador.[edit firewall policer police_class1] user@host# set if-exceeding bandwidth-limit 25m user@host# set if-exceeding burst-size-limit 25m user@host# set then discard
Crie o filtro de firewall sem estado
rl_dclass1
.[edit] user@host# edit firewall filter rl_dclass1
Configure um termo de filtro que usa o policiador
police_class1
para limitar o tráfego para a classeclass1
de destino.[edit firewall filter rl_dclass1] user@host# set term term1 from destination-class class1 user@host# set term term1 then policer police_class1
Aplique o filtro de firewall sem estado em uma interface lógica
Procedimento passo a passo
Para aplicar o filtro rl_dclass1
em uma interface lógica:
Configure a interface lógica à qual você aplicará o filtro de firewall sem estado.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configure o endereço da interface para a interface lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.1/30
Aplique o filtro de firewall sem estado na interface lógica.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input rl_dclass1
Confirme e confirme a configuração do seu candidato
Procedimento passo a passo
Para confirmar e então confirmar a configuração do seu candidato:
Confirme a configuração do filtro de firewall sem estado entrando no comando do
show firewall
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show firewall policer police_class1 { if-exceeding { bandwidth-limit 25m; burst-size-limit 25m; } then discard; } filter rl_dclass1 { term term1 { from { destination-class class1; } then policer police_class1; } }
Confirme a configuração da interface entrando no comando do
show interfaces
modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input rl_dclass1; } address 10.1.2.1/30; } } }
Se você terminar de configurar o dispositivo, confirme a configuração do seu candidato.
[edit] user@host# commit
Verificação
Para confirmar que a configuração está funcionando corretamente, insira o comando do show class-of-service ge-0/0/1
modo operacional.