Konfigurieren von zweifarbigen und dreifarbigen Policern zur Steuerung der Datenverkehrsraten
Sie können datenverkehrsbeschränken, indem Sie einen Policer konfigurieren und ihn als Aktionsmodifizierer für einen Begriff in einem Firewall-Filter angeben. Wenn Sie standardmäßig denselben Policer in mehreren Begriffen angeben, erstellt Junos OS für jeden Begriff eine separate Policer-Instanz und wendet die Begrenzung der Übertragungsrate für jede Instanz separat an. Wenn Sie beispielsweise einen Policer so konfigurieren, dass er Datenverkehr über 1 Gbit/s verwirft und diesen Policer in drei unterschiedlichen Bedingungen referenziert, setzt jede Policer-Instanz ein 1-Gbit/s-Limit durch. In diesem Fall beträgt die vom Filter zulässige Gesamtbandbreite 3 Gbit/s.
Sie können auch einen Policer so konfigurieren, dass er filterspezifisch ist, was bedeutet, dass Junos OS unabhängig davon, wie oft der Policer referenziert wird, nur eine Policer-Instanz erstellt. Wenn Sie dies tun, wird die Begrenzung der Übertragungsrate aggregiert angewendet. Wenn Sie also einen Policer so konfigurieren, dass der Datenverkehr, der 1 Gbit/s überschreitet, verworfen wird und der Policer drei verschiedene Bedingungen referenziert, beträgt die vom Filter zulässige Gesamtbandbreite 1 Gbit/s.
Sie können zweifarbige Policer-Aktionen nur auf Ingress-Firewall-Filter anwenden. Sie können dreifarbige Policer-Aktionen für Eingangs- und Ausgangsfilter einfügen.
Konfigurieren von zweifarbigen Policern
So konfigurieren Sie einen zweifarbigen Policer:
Konfigurieren dreifarbiger Policer
So konfigurieren Sie einen dreifarbigen Policer:
Angeben von Policern in einer Firewall-Filterkonfiguration
Um einen zweifarbigen Policer zu verwenden, konfigurieren Sie einen Filterbegriff, der die Aktion policereinschließt:
[edit firewall family family-name] user@switch# set filter filter-name term name then name
Die folgenden Befehle wenden beispielsweise einen zweifarbigen Policer auf alle Pakete an, die von 192.0.2.0/24 gesendet werden.
[edit firewall family family-name] user@switch# set filter limit—hosts term term1 from source-address 192.0.2.0/24 user@switch# set filter limit—hosts term term1 then policer policer1
Um einen dreifarbigen Policer zu verwenden, konfigurieren Sie einen Filterbegriff, der die Aktion three-color-policerumfasst:
[edit firewall family name] user@switch# set filter name term name from match-condition user@switch# set filter name term name then three-color-policer (single-rate | two-rate) name
Die folgenden Befehle wenden z. B. einen dreifarbigen Single-Rate-Policer auf alle Pakete an, die von der Schnittstelle ge-0/0/6 empfangen oder gesendet werden (abhängig davon, ob es sich bei dem Filter um einen Eingangs- oder Ausgangsfilter handelt).
[edit firewall family name] user@switch# set filter srTCM term term-one from interface ge-0/0/6 user@switch# set filter srTCM term term-one then three-color-policer single-rate srTCM1-ca
Sie müssen angeben, ob der dreifarbige Policer ein- oder zweirate ist, und dies muss mit dem Policer selbst übereinstimmen. Andernfalls enthält die Konfigurationsliste eine Fehlermeldung, die angibt, dass der dreifarbige Policer, auf den Sie im Filter verwiesen haben, nicht existiert.
Anwenden eines Firewall-Filters, der einen Policer einschließt
Ein Firewall-Filter, der einen oder mehrere Policer-Action-Modifikatoren enthält, muss wie jeder andere Filter auf eine Port-, VLAN- oder Layer-3-Schnittstelle angewendet werden. Informationen zur Anwendung von Firewall-Filtern finden Sie unter Konfigurieren von Firewall-Filtern.
Sie können zweifarbige Policer-Aktionen nur auf Ingress-Firewall-Filter anwenden. Sie können dreifarbige Policer-Aktionen für Eingangs- und Ausgangsfilter einfügen.