Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de polícias para controlar taxas de tráfego (procedimento CLI)

Você pode configurar agentes de segurança para limitar o tráfego nos switches da Série EX. Depois de configurar um policial, você pode incluí-lo em uma configuração de filtro de firewall de entrada.

Ao configurar um filtro de firewall, você pode especificar uma ação de polícia para qualquer termo ou termos dentro do filtro. Todo o tráfego que bate com um termo que contém uma ação de polícia passa pelo policial referenciado pelo termo. Cada policial que você configura inclui um contador implícito. Para obter contagens de pacotes específicas de prazo, você deve configurar um policial separado para cada termo de filtro que exija o policiamento.

Nota:

Em todos os switches da Série EX, exceto EX8200 switches, cada policial que você configura inclui um contador implícito. Para garantir as contagens de pacotes específicas de prazo, configure um policial para cada termo no filtro que requer o policiamento. Para EX8200 switches de segurança, configure um policial e associe-o a um contador de gerenciamento global usando a opção de contador.

Os seguintes limites de polícia se aplicam a um switch:

  • No máximo 512 agentes podem ser configurados para filtros de firewall de porta.

  • No máximo 512 agentes podem ser configurados para filtros de firewall VLAN e Camada 3.

Se o número de policiais na configuração do filtro de firewall exceder esses limites, o switch retornará a seguinte mensagem quando você cometer a configuração:

Este tópico inclui essas tarefas:

Configuração de Policers

Para configurar um policial:

  1. Especifique o nome do policial:

    O nome do policial pode incluir letras, números e hífens (-) e pode conter até 64 caracteres.

  2. Especifique a instrução específica do filtro para configurar um policial para atuar como um policial específico de filtro; prossiga para a etapa 3:

    Caso você não especifique a declaração, o policial agirá como um policial específico filter-specific por padrão.

  3. Configurar limitação de taxa para o policial:
    1. Especifique o limite de largura de banda em bits por segundo (bps) para controlar a taxa de tráfego em uma interface:

      O intervalo para o limite de largura de banda é de 1k a 102,3g bps.

    2. Especifique o limite de tamanho de ruptura (o tamanho máximo permitido em bytes) para controlar a quantidade de estouro do tráfego:

      Para determinar o valor do limite de tamanho de ruptura, multiplique a largura de banda da interface na qual o filtro é aplicado pela quantidade de tempo para permitir uma explosão de tráfego nessa largura de banda:

      burst size = (bandwidth) * (allowable time for burst traffic)

      O intervalo para o limite de tamanho estouro é de 1 a 2.147.450.880 bytes.

  4. Especifique a ação do policial discard para descartar pacotes que superem os limites de taxa:

    O descarte é a única ação de polícia com suporte.

  5. Nos EX8200 switches, você deve designar um contador de gerenciamento global ao policial para obter estatísticas de polícia:

    Nesta declaração de amostra, a ID do contador de gerenciamento global é 0 . Você pode designar qualquer número de policiais ao contador de gerenciamento global. As estatísticas de polícia expostas para cada contador são as estatísticas coletivas de todos os policiais atribuídos a esse contador.

Especificando agentes de segurança em uma configuração de filtro de firewall

Para referenciar um policial para um único firewall, configure um termo de filtro que inclui a ação do policial:

Aplicação de um filtro de firewall configurado com um policer

Um filtro de firewall configurado com uma ou mais ações de polícia, como qualquer outro filtro de firewall, deve ser aplicado a uma interface de porta, VLAN ou Camada 3. Para obter informações sobre como aplicar filtros de firewall, consulte as seções sobre a aplicação de filtros de firewall na configuração de filtros de firewall (procedimento CLI).