Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Verwendung von Policern zur Verwaltung der Überzeichnung

Sie können einen Policer verwenden, wenn eine Schnittstelle überlastet ist, und Sie möchten kontrollieren, was passiert, wenn es zu Überlastungen kommt. Beispielsweise können Server mit einem Switch verbunden sein, wie in Tabelle 1aufgeführt.

Tabelle 1: Mit Switch verbundene Server

Servertyp

Verbindung

IP-Adresse

Netzwerkanwendungsserver

1-Gigabit-Schnittstelle

10.0.0.1

Authentifizierungsserver

1-Gigabit-Schnittstelle

10.0.0.2

Datenbankserver

10-Gigabit-Schnittstelle

10.0.0.3

In diesem Beispiel greifen Benutzer auf die Dienste zu, die vom Netzwerkanwendungsserver bereitgestellt werden, der gegebenenfalls Informationen vom Datenbankserver anfordert. Wenn eine Anfrage von einem Benutzer empfangen wird, wendet sich der Netzwerkanwendungsserver zuerst an den Authentifizierungsserver, um die Anmeldeinformationen des Benutzers zu überprüfen. Wenn ein Benutzer authentifiziert wird und der Netzwerkanwendungsserver den angeforderten Dienst bereitstellt, müssen alle Vom Datenbankserver an den Anwendungsserver gesendeten Pakete die mit dem Anwendungsserver verbundene 1-Gigabit Ethernet-Schnittstelle zweimal übertragen – einmal beim Eingang zum Anwendungsserver und erneut beim Ausgehenden zum Benutzer.

Die Abfolge von Ereignissen für eine Benutzersitzung lautet wie folgt:

  1. Ein Benutzer verbindet sich mit dem Anwendungsserver und fordert einen Dienst an.

  2. Der Anwendungsserver fordert die Anmeldeinformationen des Benutzers an und leitet sie an den Authentifizierungsserver weiter.

  3. Wenn der Authentifizierungsserver die Anmeldeinformationen überprüft, initiiert der Anwendungsserver den angeforderten Dienst.

  4. Der Anwendungsserver fordert die Dateien an, die erforderlich sind, um die Anforderungen des Benutzers vom Datenbankserver zu erfüllen.

  5. Der Datenbankserver sendet die angeforderten Dateien an den Anwendungsserver.

  6. Der Anwendungsserver enthält die angeforderten Dateien in seiner Antwort auf den Benutzer.

Der Datenverkehr vom Datenbankserver zum Anwendungsserver überlastet möglicherweise die 1-Gigabit-Schnittstelle, mit der der Anwendungsserver verbunden ist. Diese Überlastung kann verhindern, dass der Server auf Anfragen von Benutzern reagiert und neue Sitzungen für sie erstellt. Sie können policing verwenden, um sicherzustellen, dass dies nicht eintritt.

Um diese Firewall-Konfiguration zu erstellen, führen Sie die folgenden Schritte auf dem Datenbankserver aus:

  1. Erstellen Sie einen Policer, um den Datenverkehr vom Datenbankserver zum Anwendungsserver abzulegen, wenn dieser bestimmte Grenzwerte überschreitet:

  2. Erstellen Sie einen Filter, um den Datenverkehr vom Datenbankserver zum Anwendungsserver zu untersuchen:

  3. Konfigurieren Sie den Filter, um den Policer auf den Datenverkehr anzuwenden, der den Datenbankserver abtritt und für den Anwendungsserver bestimmt ist:

  4. Konfigurieren Sie bei Bedarf einen Begriff, um Datenverkehr vom Datenbankserver zu anderen Zielen zuzulassen (andernfalls wird der Datenverkehr durch die implizite Deny-Anweisung unterbrochen):

    Beachten Sie, dass das Auslassen einer from Anweisung dazu führt, dass der Begriff mit allen Paketen übereinstimmt, was das gewünschte Verhalten ist.

  5. Installieren Sie den Ausgangsfilter als Ausgabefilter auf der Schnittstelle des Datenbankservers, die mit dem Anwendungsserver verbunden ist:

Hier erfahren Sie, wie die endgültige Konfiguration aussehen würde: