Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:使用监管器管理超额订阅

您可能希望在接口过度订阅时使用监管器,并且希望控制发生拥塞时将发生的情况。例如,您可能已将服务器连接到中表 1列出的交换机。

表 1: 连接到交换机的服务器

服务器类型

Connection

IP 地址

网络应用服务器

1千兆位接口

10.0.0.1

认证服务器

1千兆位接口

10.0.0.2

数据库服务器

10千兆位接口

10.0.0.3

在此示例中,用户访问由网络应用程序服务器提供的服务,并根据需要向数据库服务器请求信息。当网络应用程序服务器收到用户的请求时,会首先与认证服务器联系以验证用户的凭据。用户经过身份验证且网络应用程序服务器提供请求的服务时,从数据库服务器发送至应用程序服务器的所有数据包必须通过连接到应用程序服务器的 1 千兆位以太网接口传输两次 — 一次位于应用程序服务器的入口,再一次位于用户出口上。

用户会话的事件序列如下:

  1. 用户连接到应用程序服务器并请求服务。

  2. 应用程序服务器请求用户的凭据,将其中继至认证服务器。

  3. 如果认证服务器验证凭证,应用服务器将启动所请求的服务。

  4. 应用程序服务器请求满足用户从数据库服务器请求所需的文件。

  5. 数据库服务器将请求的文件发送至应用服务器。

  6. 应用服务器将请求的文件包含在其对用户的响应中。

从数据库服务器到应用服务器的信息流可能 congest 与应用服务器连接的1千兆位接口。这种拥塞可能会阻止服务器响应用户的请求并为其创建新会话。您可以使用监管来确保这种情况不会发生。

要创建此防火墙配置,请在数据库服务器上执行以下步骤:

  1. 创建一个监管器以将流量从数据库服务器丢弃到应用服务器(如果超过一定限制):

  2. 创建过滤器以检查从数据库服务器到应用服务器的信息流:

  3. 配置过滤器以将监管器应用于数据库服务器 egressing 的流量,并发送给应用服务器:

  4. 如有必要,配置一个术语以允许从数据库服务器到其他目标的流量(否则该流量将被隐式拒绝语句丢弃):

    请注意,省略from语句会导致术语与所有数据包匹配,这是所需的行为。

  5. 将出口过滤器作为连接到应用服务器的数据库服务器接口上的输出过滤器安装:

最终配置将如何显示: