Auf dieser Seite
Beispiel: Konfigurieren eines Filters zur Ratenbegrenzung basierend auf der Zielklasse
In diesem Beispiel wird gezeigt, wie Sie einen zustandslosen Firewallfilter mit Ratenbegrenzung konfigurieren.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Bevor Sie beginnen, konfigurieren Sie die Zielklasse class1.
Überblick
In diesem Beispiel verwenden Sie einen zustandslosen Firewallfilter, um Ratenbegrenzungen basierend auf einer Zielklasse festzulegen.
So aktivieren Sie einen Policer aus einer zustandslosen Firewall-Filterkonfiguration heraus:
Erstellen Sie eine Vorlage für den Policer, indem Sie die
policer policer-nameAnweisung einfügen.Verweisen Sie in einem Filterbegriff auf den Policer, der den Policer in der nicht beendenden
policer policer-nameAktion angibt.
Sie können einen Policer auch aktivieren, indem Sie die policer (input | output) policer-template-name Anweisung an einer logischen Schnittstelle einfügen.
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
- CLI-Schnellkonfiguration
- Konfigurieren des Filters "Zustandslose Firewall"
- Anwenden des Filters "Zustandslose Firewall" auf eine logische Schnittstelle
- Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene [edit] in die CLI ein.
set firewall policer police_class1 if-exceeding bandwidth-limit 25m set firewall policer police_class1 if-exceeding burst-size-limit 25m set firewall policer police_class1 then discard set firewall filter rl_dclass1 term term1 from destination-class class1 set firewall filter rl_dclass1 term term1 then policer police_class1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.1/30 set interfaces ge-0/0/1 unit 0 family inet filter input rl_dclass1
Konfigurieren des Filters "Zustandslose Firewall"
Schritt-für-Schritt-Anleitung
So konfigurieren Sie den zustandslosen Firewall-Filter rl_dclass1 mit policer police_class1 für die Zielklasse class1:
Erstellen Sie die Policer-Vorlage
police_class1.[edit] user@host# edit firewall policer police_class1
Konfigurieren Sie die Policer-Vorlage
police_class1.[edit firewall policer police_class1] user@host# set if-exceeding bandwidth-limit 25m user@host# set if-exceeding burst-size-limit 25m user@host# set then discard
Erstellen Sie den zustandslosen Firewallfilter
rl_dclass1.[edit] user@host# edit firewall filter rl_dclass1
Konfigurieren Sie einen Filterbegriff, der policer
police_class1verwendet, um den Datenverkehr für die Zielklasseclass1zu begrenzen.[edit firewall filter rl_dclass1] user@host# set term term1 from destination-class class1 user@host# set term term1 then policer police_class1
Anwenden des Filters "Zustandslose Firewall" auf eine logische Schnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie den Filter rl_dclass1 auf eine logische Schnittstelle an:
Konfigurieren Sie die logische Schnittstelle, auf die Sie den zustandslosen Firewallfilter anwenden möchten.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Konfigurieren Sie die Schnittstellenadresse für die logische Schnittstelle.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.1/30
Wenden Sie den zustandslosen Firewallfilter auf die logische Schnittstelle an.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input rl_dclass1
Bestätigen und bestätigen Sie Ihre Kandidatenkonfiguration
Schritt-für-Schritt-Anleitung
So bestätigen Sie Ihre Kandidatenkonfiguration und bestätigen sie:
Bestätigen Sie die Konfiguration des zustandslosen Firewallfilters, indem Sie den
show firewallBefehl configuration mode eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show firewall policer police_class1 { if-exceeding { bandwidth-limit 25m; burst-size-limit 25m; } then discard; } filter rl_dclass1 { term term1 { from { destination-class class1; } then policer police_class1; } }Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den
show interfacesBefehl Konfigurationsmodus eingeben. Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input rl_dclass1; } address 10.1.2.1/30; } } }Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie Ihre Kandidatenkonfiguration.
[edit] user@host# commit
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, geben Sie den show class-of-service ge-0/0/1 Befehl Betriebsmodus ein.