示例:使用监管器管理超额订阅
您可能希望在接口过度订阅时使用监管器,并且希望控制发生拥塞时将发生的情况。例如,您可能已将服务器连接到中表 1列出的交换机。
服务器类型 |
Connection |
IP 地址 |
|---|---|---|
网络应用服务器 |
1千兆位接口 |
10.0.0.1 |
认证服务器 |
1千兆位接口 |
10.0.0.2 |
数据库服务器 |
10千兆位接口 |
10.0.0.3 |
在此示例中,用户访问由网络应用程序服务器提供的服务,并根据需要向数据库服务器请求信息。当网络应用程序服务器收到用户的请求时,会首先与认证服务器联系以验证用户的凭据。用户经过身份验证且网络应用程序服务器提供请求的服务时,从数据库服务器发送至应用程序服务器的所有数据包必须通过连接到应用程序服务器的 1 千兆位以太网接口传输两次 — 一次位于应用程序服务器的入口,再一次位于用户出口上。
用户会话的事件序列如下:
用户连接到应用程序服务器并请求服务。
应用程序服务器请求用户的凭据,将其中继至认证服务器。
如果认证服务器验证凭证,应用服务器将启动所请求的服务。
应用程序服务器请求满足用户从数据库服务器请求所需的文件。
数据库服务器将请求的文件发送至应用服务器。
应用服务器将请求的文件包含在其对用户的响应中。
从数据库服务器到应用服务器的信息流可能 congest 与应用服务器连接的1千兆位接口。这种拥塞可能会阻止服务器响应用户的请求并为其创建新会话。您可以使用监管来确保这种情况不会发生。
要创建此防火墙配置,请在数据库服务器上执行以下步骤:
创建一个监管器以将流量从数据库服务器丢弃到应用服务器(如果超过一定限制):
[edit firewall] user@switch# set policer Database-Egress-Policer if-exceeding bandwidth-limit 400 burst-size-limit 500m user@switch# set policer Database-Egress-Policer then discard
创建过滤器以检查从数据库服务器到应用服务器的信息流:
[edit firewall] user@switch# edit family inet filter Database-Egress-Filter
配置过滤器以将监管器应用于数据库服务器 egressing 的流量,并发送给应用服务器:
[edit firewall family inet filter Database-Egress-Filter] user@switch# set term term-1 from destination-address 10.0.0.1 user@switch# set term term-1 then policer Database-Egress-Policer
如有必要,配置一个术语以允许从数据库服务器到其他目标的流量(否则该流量将被隐式拒绝语句丢弃):
[edit firewall family inet filter Database-Egress-Filter] user@switch# set term term-2 then accept
请注意,省略
from语句会导致术语与所有数据包匹配,这是所需的行为。将出口过滤器作为连接到应用服务器的数据库服务器接口上的输出过滤器安装:
[edit interfaces] user@switch# set xe-0/0/3 unit 0 family inet filter output Database-Egress-Filter
最终配置将如何显示:
firewall {
policer Database-Egress-Policer {
if-exceeding {
bandwidth-limit 400;
burst-size-limit 500m;
}
then discard;
}
family inet {
filter Database-Egress-Filter {
term term-1 {
from {
destination-address {
10.0.0.1/24;
}
}
then policer Database-Egress-Policer;
}
term term-2 { # If required, include this term so that traffic from the database server to other destinations is allowed.
then accept;
}
}
}
]