Auf dieser Seite
Beispiel: Konfigurieren eines Filters zur Ratenbegrenzung basierend auf der Zielklasse
In diesem Beispiel wird gezeigt, wie Sie einen zustandslosen Firewallfilter mit Ratenbegrenzung konfigurieren.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Bevor Sie beginnen, konfigurieren Sie die Zielklasse .class1
Überblick
In diesem Beispiel verwenden Sie einen zustandslosen Firewallfilter, um Ratenbegrenzungen basierend auf einer Zielklasse festzulegen.
So aktivieren Sie einen Policer aus einer zustandslosen Firewall-Filterkonfiguration heraus:
Erstellen Sie eine Vorlage für den Policer, indem Sie die Anweisung einfügen.
policer policer-nameVerweisen Sie in einem Filterbegriff auf den Policer, der den Policer in der nicht beendenden Aktion angibt.
policer policer-name
Sie können einen Policer auch aktivieren, indem Sie die Anweisung an einer logischen Schnittstelle einfügen.policer (input | output) policer-template-name
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus
- CLI-Schnellkonfiguration
- Konfigurieren des Filters "Zustandslose Firewall"
- Anwenden des Filters "Zustandslose Firewall" auf eine logische Schnittstelle
- Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set firewall policer police_class1 if-exceeding bandwidth-limit 25m set firewall policer police_class1 if-exceeding burst-size-limit 25m set firewall policer police_class1 then discard set firewall filter rl_dclass1 term term1 from destination-class class1 set firewall filter rl_dclass1 term term1 then policer police_class1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.1/30 set interfaces ge-0/0/1 unit 0 family inet filter input rl_dclass1
Konfigurieren des Filters "Zustandslose Firewall"
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den zustandslosen Firewall-Filter mit policer für die Zielklasse :rl_dclass1police_class1class1
Erstellen Sie die Policer-Vorlage .
police_class1[edit] user@host# edit firewall policer police_class1
Konfigurieren Sie die Policer-Vorlage .
police_class1[edit firewall policer police_class1] user@host# set if-exceeding bandwidth-limit 25m user@host# set if-exceeding burst-size-limit 25m user@host# set then discard
Erstellen Sie den zustandslosen Firewallfilter .
rl_dclass1[edit] user@host# edit firewall filter rl_dclass1
Konfigurieren Sie einen Filterbegriff, der policer verwendet, um den Datenverkehr für die Zielklasse zu begrenzen.
police_class1class1[edit firewall filter rl_dclass1] user@host# set term term1 from destination-class class1 user@host# set term term1 then policer police_class1
Anwenden des Filters "Zustandslose Firewall" auf eine logische Schnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie den Filter auf eine logische Schnittstelle an:rl_dclass1
Konfigurieren Sie die logische Schnittstelle, auf die Sie den zustandslosen Firewallfilter anwenden möchten.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Konfigurieren Sie die Schnittstellenadresse für die logische Schnittstelle.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.1/30
Wenden Sie den zustandslosen Firewallfilter auf die logische Schnittstelle an.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input rl_dclass1
Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
Schritt-für-Schritt-Anleitung
So bestätigen Sie Ihre Kandidatenkonfiguration und bestätigen sie:
Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters, indem Sie den Befehl configuration mode eingeben.
show firewallWenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall policer police_class1 { if-exceeding { bandwidth-limit 25m; burst-size-limit 25m; } then discard; } filter rl_dclass1 { term term1 { from { destination-class class1; } then policer police_class1; } }Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den Befehl Konfigurationsmodus eingeben.
show interfacesWenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input rl_dclass1; } address 10.1.2.1/30; } } }Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.
[edit] user@host# commit
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, geben Sie den Befehl Betriebsmodus ein.show class-of-service ge-0/0/1