Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Verwendung von Policers zur Verwaltung von Überzeichnung

Möglicherweise möchten Sie einen Policer verwenden, wenn eine Schnittstelle überbelegt ist und Sie steuern möchten, was passiert, wenn eine Überlastung auftritt. Angenommen, Sie haben Server, die mit einem Switch verbunden sind, wie in aufgeführt.Tabelle 1

Tabelle 1: Server, die mit dem Switch verbunden sind

Server-Typ

Verbindung

IP-Adresse

Netzwerkanwendungsserver

1-Gigabit-Schnittstelle

10.0.0.1

Authentifizierungsserver

1-Gigabit-Schnittstelle

10.0.0.2

Datenbankserver

10-Gigabit-Schnittstelle

10.0.0.3

In diesem Beispiel greifen Benutzer auf Services zu, die vom Netzwerkanwendungsserver bereitgestellt werden, der entsprechend Informationen vom Datenbankserver anfordert. Wenn der Netzwerkanwendungsserver eine Anforderung von einem Benutzer erhält, kontaktiert er zunächst den Authentifizierungsserver, um die Anmeldeinformationen des Benutzers zu überprüfen. Wenn ein Benutzer authentifiziert ist und der Netzwerkanwendungsserver den angeforderten Service bereitstellt, müssen alle Pakete, die vom Datenbankserver an den Anwendungsserver gesendet werden, die mit dem Anwendungsserver verbundene 1-Gigabit-Ethernet-Schnittstelle zweimal durchlaufen – einmal beim Eingang zum Anwendungsserver und einmal beim Ausgang zum Benutzer.

Die Reihenfolge der Ereignisse für eine Benutzersitzung ist wie folgt:

  1. Ein Benutzer stellt eine Verbindung zum Anwendungsserver her und fordert einen Service an.

  2. Der Anwendungsserver fordert die Anmeldeinformationen des Benutzers an und leitet sie an den Authentifizierungsserver weiter.

  3. Wenn der Authentifizierungsserver die Anmeldeinformationen überprüft, initiiert der Anwendungsserver den angeforderten Service.

  4. Der Anwendungsserver fordert die Dateien vom Datenbankserver an, die erforderlich sind, um die Anforderung des Benutzers zu erfüllen.

  5. Der Datenbankserver sendet die angeforderten Dateien an den Anwendungsserver.

  6. Der Anwendungsserver nimmt die angeforderten Dateien in seine Antwort an den Benutzer auf.

Der Datenverkehr vom Datenbankserver zum Anwendungsserver kann die 1-Gigabit-Schnittstelle, mit der der Anwendungsserver verbunden ist, überlasten. Diese Überlastung kann den Server möglicherweise daran hindern, auf Anforderungen von Benutzern zu antworten und neue Sitzungen für sie zu erstellen. Sie können die Polizeiarbeit nutzen, um sicherzustellen, dass dies nicht geschieht.

Um diese Firewall-Konfiguration zu erstellen, führen Sie die folgenden Schritte auf dem Datenbankserver aus:

  1. Erstellen Sie einen Policer, um Datenverkehr vom Datenbankserver zum Anwendungsserver zu verwerfen, wenn bestimmte Grenzwerte überschritten werden:

  2. Erstellen Sie einen Filter, um den Datenverkehr vom Datenbankserver zum Anwendungsserver zu untersuchen:

  3. Konfigurieren Sie den Filter so, dass der Policer auf den Datenverkehr angewendet wird, der den Datenbankserver ausgeht und für den Anwendungsserver bestimmt ist:

  4. Konfigurieren Sie bei Bedarf einen Begriff, um Datenverkehr vom Datenbankserver zu anderen Zielen zuzulassen (andernfalls wird der Datenverkehr durch die implizite deny-Anweisung verworfen):

    Beachten Sie, dass das Weglassen einer Anweisung dazu führt, dass der Begriff mit allen Paketen übereinstimmt, was dem gewünschten Verhalten entspricht.from

  5. Installieren Sie den Ausgangsfilter als Ausgabefilter auf der Datenbankserverschnittstelle, die mit dem Anwendungsserver verbunden ist:

So sieht die endgültige Konfiguration aus:

Verwandte Themen