Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Grundlegende einstufige zweifarbige Policer

Einstufiger zweifarbiger Policer Übersicht

Bei der zweifarbigen Überwachung mit einer Rate pro Rate wird eine konfigurierte Rate des Datenverkehrsflusses für einen bestimmten Servicelevel erzwungen, indem implizite oder konfigurierte Aktionen auf Datenverkehr angewendet werden, der nicht den Grenzwerten entspricht. Wenn Sie einen zweifarbigen Single-Rate-Policer auf den Eingabe- oder Ausgabedatenverkehr an einer Schnittstelle anwenden, misst der Policer den Datenverkehrsfluss bis zu der Ratengrenze, die durch die folgenden Komponenten definiert ist:

  • Bandbreitenbegrenzung - Die durchschnittliche Anzahl von Bits pro Sekunde, die für Pakete zulässig sind, die an der Schnittstelle empfangen oder übertragen werden. Sie können die Bandbreitenbegrenzung als absolute Anzahl von Bits pro Sekunde oder als Prozentwert zwischen 1 und 100 angeben. Wenn ein Prozentwert angegeben wird, wird der effektive Bandbreitengrenzwert als Prozentsatz der Medienrate der physischen Schnittstelle oder der für die logische Schnittstelle konfigurierten Shaping-Rate berechnet.

  • Limit für Pakete pro Sekunde (pps) (MX-Serie nur mit MPC): Die durchschnittliche Anzahl von Paketen pro Sekunde, die für Pakete zulässig sind, die an der Schnittstelle empfangen oder übertragen werden. Sie geben das pps-Limit als absolute Anzahl von Paketen pro Sekunde an.

  • Burst-Größenbeschränkung: Die maximal zulässige Größe für Datenbursts.

  • Paket-Burst-Limit –

Für einen Datenverkehrsfluss, der den konfigurierten Grenzwerten entspricht (kategorisiert als grüner Datenverkehr), werden Pakete implizit mit einer Paketverlustpriorität (PLP) von gekennzeichnet und dürfen die Schnittstelle uneingeschränkt passieren.low

Für einen Datenverkehrsfluss, der die konfigurierten Grenzwerte überschreitet (als roter Datenverkehr kategorisiert), werden Pakete gemäß den für den Policer konfigurierten Datenverkehrsüberwachungsaktionen verarbeitet. Die Aktion kann darin bestehen, das Paket zu verwerfen, oder die Aktion kann darin bestehen, das Paket mit einer angegebenen Weiterleitungsklasse, einem angegebenen PLP oder beidem neu zu markieren und dann das Paket zu übertragen.

Um die Rate des Layer-3-Datenverkehrs zu begrenzen, können Sie einen zweifarbigen Policer auf folgende Weise anwenden:

  • Direkt an eine logische Schnittstelle auf einer bestimmten Protokollebene.

  • Als Aktion eines standardmäßigen zustandslosen Firewallfilters , der auf eine logische Schnittstelle auf einer bestimmten Protokollebene angewendet wird.

Um die Rate des Layer-2-Datenverkehrs zu begrenzen, können Sie einen zweifarbigen Policer nur als logischen Schnittstellen-Policer anwenden. Es ist nicht möglich, einen zweifarbigen Policer über einen Firewallfilter auf Layer-2-Datenverkehr anzuwenden.

HINWEIS:

Auf MX-Plattformen ist die Paketverlustpriorität (PLP) nicht implizit zu niedrig (grün), wenn der Datenverkehrsfluss das konfigurierte Policer-Limit bestätigt. Stattdessen werden vom Benutzer konfigurierte PLP-Werte wie hoch, mittel-hoch, mittel-niedrig verwendet. Verwenden Sie unter , um dieses Verhalten auf MX-Plattformen zu aktivieren.dp-rewriteedit firewall policer <policer-name> Wenn der Knopf nicht aktiviert ist, haben die Pakete möglicherweise ihre ursprüngliche Farbe und Verlustpriorität.

Beispiel: Begrenzen des eingehenden Datenverkehrs an Ihrer Netzwerkgrenze durch Konfigurieren eines einstufigen, zweifarbigen Policers mit einer Eingangsrate

In diesem Beispiel wird gezeigt, wie Sie einen einstufigen, zweifarbigen Policer für den Eingang konfigurieren, um eingehenden Datenverkehr zu filtern. Der Policer setzt die Class-of-Service-Strategie (CoS) für vertragsinternen und vertragsfremden Datenverkehr durch. Sie können einen zweifarbigen Policer mit einer Rate auf eingehende Pakete, ausgehende Pakete oder beides anwenden. In diesem Beispiel wird der Policer als Eingabe-Policer (Eingangs-Policer) angewendet. Das Ziel dieses Themas ist es, Ihnen eine Einführung in die Polizeiarbeit zu geben, indem Sie ein Beispiel verwenden, das die Verkehrspolizei in Aktion zeigt.

Policer verwenden ein Konzept, das als Token-Bucket bekannt ist, um Systemressourcen basierend auf den für den Policer definierten Parametern zuzuweisen. Eine ausführliche Erläuterung des Token-Bucket-Konzepts und der zugrunde liegenden Algorithmen würde den Rahmen dieses Dokuments sprengen. Weitere Informationen zu Traffic Policing und CoS im Allgemeinen finden Sie unter QOS-fähige Netzwerke – Tools und Grundlagen von Miguel Barreiros und Peter Lundqvist. Dieses Buch ist bei vielen Online-Buchhändlern und bei www.juniper.net/books erhältlich.

Anforderungen

Um dieses Verfahren zu überprüfen, wird in diesem Beispiel ein Datenverkehrsgenerator verwendet. Der Datenverkehrsgenerator kann hardwarebasiert sein oder Software, die auf einem Server oder Hostcomputer ausgeführt wird.

Die Funktionen dieses Verfahrens werden auf Geräten mit Junos OS weitgehend unterstützt. Das hier gezeigte Beispiel wurde auf Routern der MX-Serie mit Junos OS Version 10.4 getestet und verifiziert.

Überblick

Single-Rate Two-Color Policing erzwingt eine konfigurierte Rate des Datenverkehrsflusses für einen bestimmten Servicelevel, indem implizite oder konfigurierte Aktionen auf Datenverkehr angewendet werden, der nicht den Grenzwerten entspricht. Wenn Sie einen zweifarbigen Single-Rate-Policer auf den Eingabe- oder Ausgabedatenverkehr an einer Schnittstelle anwenden, misst der Policer den Datenverkehrsfluss bis zu der Ratengrenze, die durch die folgenden Komponenten definiert ist:

  • Bandbreitenbegrenzung - Die durchschnittliche Anzahl von Bits pro Sekunde, die für Pakete zulässig sind, die an der Schnittstelle empfangen oder übertragen werden. Sie können die Bandbreitenbegrenzung als absolute Anzahl von Bits pro Sekunde oder als Prozentwert zwischen 1 und 100 angeben. Wenn ein Prozentwert angegeben wird, wird der effektive Bandbreitengrenzwert als Prozentsatz der Medienrate der physischen Schnittstelle oder der für die logische Schnittstelle konfigurierten Shaping-Rate berechnet.

  • Burst-Größenbeschränkung: Die maximal zulässige Größe für Datenbursts. Burst-Größen werden in Byte gemessen. Wir empfehlen zwei Formeln zum Berechnen der Burst-Größe:

    Burst-Größe = Bandbreite x zulässige Zeit für Burst-Datenverkehr / 8

    Oder

    Burst-Größe = Schnittstelle mtu x 10

    Weitere Informationen zum Konfigurieren der Burst-Größe finden Sie unter Bestimmen der richtigen Burst-Größe für Datenverkehrs-Policer.Bestimmen der richtigen Burst-Größe für Verkehrspolizisten

    HINWEIS:

    Es gibt einen endlichen Pufferspeicher für eine Schnittstelle. Im Allgemeinen beträgt die geschätzte Gesamtpuffertiefe für eine Schnittstelle etwa 125 ms.

Für einen Datenverkehrsfluss, der den konfigurierten Grenzwerten entspricht (als grüner Datenverkehr kategorisiert), werden Pakete implizit mit einer Paketverlustpriorität (PLP) von niedrig gekennzeichnet und dürfen die Schnittstelle uneingeschränkt passieren.

Für einen Datenverkehrsfluss, der die konfigurierten Grenzwerte überschreitet (als roter Datenverkehr kategorisiert), werden Pakete gemäß den für den Policer konfigurierten Datenverkehrsüberwachungsaktionen verarbeitet. In diesem Beispiel werden Pakete verworfen, die den Grenzwert von 15 KBit/s überschreiten.

Um die Rate des Layer-3-Datenverkehrs zu begrenzen, können Sie einen zweifarbigen Policer auf folgende Weise anwenden:

  • Direkt an eine logische Schnittstelle auf einer bestimmten Protokollebene.

  • Als Aktion eines standardmäßigen zustandslosen Firewallfilters, der auf eine logische Schnittstelle auf einer bestimmten Protokollebene angewendet wird. Dies ist die Technik, die in diesem Beispiel verwendet wird.

Um die Rate des Layer-2-Datenverkehrs zu begrenzen, können Sie einen zweifarbigen Policer nur als logischen Schnittstellen-Policer anwenden. Es ist nicht möglich, einen zweifarbigen Policer über einen Firewallfilter auf Layer-2-Datenverkehr anzuwenden.

VORSICHT:

Sie können entweder Bandbreitenlimit oder Bandbreitenprozent innerhalb des Policers auswählen, da sie sich gegenseitig ausschließen. Sie können einen Policer nicht so konfigurieren, dass er die prozentuale Bandbreite für Aggregat-, Tunnel- und Softwareschnittstellen verwendet.

In diesem Beispiel ist der Host ein Datenverkehrsgenerator, der einen Webserver emuliert. Die Geräte R1 und R2 sind im Besitz eines Dienstanbieters. Der Webserver wird von Benutzern auf Gerät Host2 aufgerufen. Gerät Host1 sendet Datenverkehr mit einem TCP-Quell-HTTP-Port von 80 an die Benutzer. Ein zweifarbiger Policer mit einer Rate wird konfiguriert und auf die Schnittstelle auf Gerät R1 angewendet, die eine Verbindung zu Gerät Host1 herstellt. Der Policer erzwingt die vertragliche Bandbreitenverfügbarkeit zwischen dem Besitzer des Webservers und dem Dienstanbieter, der Gerät R1 besitzt, für den Webdatenverkehr, der über die Verbindung fließt, die Gerät Host1 mit Gerät R1 verbindet.

In Übereinstimmung mit der vertraglichen Bandbreitenverfügbarkeit, die zwischen dem Eigentümer des Webservers und dem Dienstanbieter, dem die Geräte R1 und R2 gehören, vereinbart wurde, begrenzt der Policer den HTTP-Port 80-Datenverkehr, der von Gerät Host1 stammt, auf die Nutzung von 700 Mbit/s (70 Prozent) der verfügbaren Bandbreite mit einer zulässigen Burst-Rate von 10x der MTU-Größe der Gigabit-Ethernet-Schnittstelle zwischen dem Hostgerät Host1 und Gerät R1.

HINWEIS:

In einem realen Szenario würden Sie wahrscheinlich auch den Datenverkehr für eine Vielzahl anderer Ports wie FTP, SFTP, SSH, TELNET, SMTP, IMAP und POP3 begrenzen, da sie oft als zusätzliche Dienste in Webhostingdiensten enthalten sind.

HINWEIS:

Sie müssen zusätzliche Bandbreite zur Verfügung stellen, die nicht für Netzwerksteuerungsprotokolle wie Routingprotokolle, DNS und andere Protokolle beschränkt ist, die erforderlich sind, um die Netzwerkkonnektivität betriebsbereit zu halten. Aus diesem Grund verfügt der Firewall-Filter über eine endgültige Annahmebedingung.

Topologie

In diesem Beispiel wird die Topologie in Abbildung 1.

Abbildung 1: Einstufiges zweifarbiges Policer-SzenarioEinstufiges zweifarbiges Policer-Szenario

Abbildung 2 zeigt das Verhalten der Polizei.

Abbildung 2: Begrenzung des Datenverkehrs in einem Single-Rate-Szenario mit zwei FarbenBegrenzung des Datenverkehrs in einem Single-Rate-Szenario mit zwei Farben

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein.[edit]

Gerät R1

Gerät R2

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.Verwenden des CLI-Editors im Konfigurationsmodushttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html

So konfigurieren Sie Gerät R1:

  1. Konfigurieren Sie die Geräteschnittstellen.

  2. Wenden Sie den Firewall-Filter auf die Schnittstelle ge-2/0/5 als Eingabefilter an.

  3. Konfigurieren Sie den Policer so, dass die Rate für HTTP-Datenverkehr (TCP-Port 80) auf eine Bandbreite von 700 Mbit/s und eine Burst-Größe von 15000 KBit/s begrenzt wird.

  4. Konfigurieren Sie den Policer so, dass Pakete im roten Datenverkehrsfluss verworfen werden.

  5. Konfigurieren Sie die beiden Bedingungen der Firewall so, dass der gesamte TCP-Datenverkehr an Port HTTP (Port 80) akzeptiert wird.

  6. Konfigurieren Sie die Firewallaktion so, dass die Rate des HTTP-TCP-Datenverkehrs mithilfe des Policers begrenzt wird.

  7. Konfigurieren Sie am Ende des Firewallfilters eine Standardaktion, die den gesamten anderen Datenverkehr akzeptiert.

    Andernfalls wird der gesamte Datenverkehr, der auf der Schnittstelle eingeht und nicht explizit von der Firewall akzeptiert wird, verworfen.

  8. Konfigurieren Sie OSPF.

Schritt-für-Schritt-Anleitung

So konfigurieren Sie Gerät R2:

  1. Konfigurieren Sie die Geräteschnittstellen.

  2. Konfigurieren Sie OSPF.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die Befehle , und eingeben.show interfacesshow firewallshow protocols ospf Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration von Gerät R1 fertig sind, wechseln Sie in den Konfigurationsmodus.commit

Wenn Sie mit der Konfiguration von Gerät R2 fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Löschen der Zähler

Zweck

Vergewissern Sie sich, dass die Firewallzähler gelöscht sind.

Was

Führen Sie auf Gerät R1 den Befehl aus, um die Firewallindikatoren auf 0 zurückzusetzen.clear firewall all

Senden von TCP-Datenverkehr an das Netzwerk und Überwachen der Verwerfungen

Zweck

Stellen Sie sicher, dass der gesendete Datenverkehr auf der Eingabeschnittstelle ratenbegrenzt ist (ge-2/0/5).

Was
  1. Verwenden Sie einen Datenverkehrsgenerator, um 10 TCP-Pakete mit einem Quellport von 80 zu senden.

    Das Flag -s legt den Quellport fest. Das Flag -k bewirkt, dass der Quellport bei 80 stabil bleibt, anstatt zu inkrementieren. Das Flag -c setzt die Anzahl der Pakete auf 10. Das Flag -d legt die Paketgröße fest.

    Die Ziel-IP-Adresse 172.16.80.1 gehört zu Gerätehost 2, der mit Gerät R2 verbunden ist. Der Benutzer auf Gerätehost 2 hat eine Webseite von Gerätehost 1 (dem Webserver, der vom Datenverkehrsgenerator auf Gerät Host 1 emuliert wird) angefordert. Die Pakete, deren Rate begrenzt ist, werden von Gerätehost 1 als Antwort auf die Anforderung von Gerätehost 2 gesendet.

    HINWEIS:

    In diesem Beispiel werden die Policer-Nummern auf ein Bandbreitenlimit von 8 KBit/s und ein Burst-Größenlimit von 1500 KBps reduziert, um sicherzustellen, dass einige Pakete während dieses Tests verworfen werden.

  2. Überprüfen Sie auf Gerät R1 die Firewallindikatoren mithilfe des Befehls.show firewall

Bedeutung

In den Schritten 1 und 2 zeigt die Ausgabe beider Geräte, dass 4 Pakete verworfen wurden. Dies bedeutet, dass mindestens 8 KBit/s grüner Datenverkehr (vertragsinterner HTTP-Port 80) vorhanden waren und dass die Burst-Option von 1500 KBit/s für roten nicht vertragsgemäßen HTTP-Port 80-Datenverkehr überschritten wurde.

Beispiel: Konfigurieren von Schnittstellen- und Firewallfilter-Policern an derselben Schnittstelle

In diesem Beispiel wird gezeigt, wie drei zweifarbige Single-Rate-Policer konfiguriert und auf den IPv4-Eingabedatenverkehr an derselben logischen VLAN-Schnittstelle (Single-Tag-Virtual LAN) angewendet werden.

Anforderungen

Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.

Überblick

In diesem Beispiel konfigurieren Sie drei zweifarbige Single-Rate-Policer und wenden die Policer auf den IPv4-Eingabedatenverkehr an derselben logischen Single-Tag-VLAN-Schnittstelle an. Zwei Policer werden über einen Firewallfilter auf die Schnittstelle angewendet, und ein Policer wird direkt auf die Schnittstelle angewendet.

Sie konfigurieren einen Policer mit dem Namen , um den Datenverkehr auf 1 Mbit/s mit einer Burstgröße von 5000 Byte zu begrenzen.p-all-1m-5k-discard Sie wenden diesen Policer direkt auf IPv4-Eingabedatenverkehr an der logischen Schnittstelle an. Wenn Sie einen Policer direkt auf protokollspezifischen Datenverkehr an einer logischen Schnittstelle anwenden, wird der Policer als Schnittstellen-Policer angewendet.

Sie konfigurieren die beiden anderen Policer so, dass sie Burstgrößen von 500 KB zulassen, und wenden diese Policer mithilfe eines zustandslosen IPv4-Standardfirewallfilters auf IPv4-Eingabedatenverkehr an der logischen Schnittstelle an. Wenn Sie einen Policer auf protokollspezifischen Datenverkehr an einer logischen Schnittstelle über eine Firewallfilteraktion anwenden, wird der Policer als Firewallfilter-Policer angewendet.

  • Sie konfigurieren den benannten Policer so, dass die Rate des Datenverkehrs auf 500 KBit/s mit einer Burstgröße von 500 KB Byte begrenzt wird, indem Pakete, die diesen Grenzwerten nicht entsprechen, verworfen werden.p-icmp-500k-500k-discard Sie konfigurieren einen der Firewallfilterbegriffe so, dass dieser Policer auf ICMP-Pakete (Internet Control Message Protocol) angewendet wird.

  • Sie konfigurieren den benannten Policer so, dass die Rate des Datenverkehrs auf eine Bandbreite von 10 Prozent mit einer Burstgröße von 500 KB begrenzt wird, indem Pakete, die diesen Grenzwerten nicht entsprechen, verworfen werden.p-ftp-10p-500k-discard Sie konfigurieren einen anderen Firewallfilterbegriff, um diesen Policer auf FTP-Pakete (File Transfer Protocol) anzuwenden.

Ein Policer, den Sie mit einer Bandbreitenbegrenzung konfigurieren, die als Prozentwert (und nicht als absoluter Bandbreitenwert) ausgedrückt wird, wird als Bandbreiten-Policer bezeichnet. Es können nur zweifarbige Single-Rate-Policer mit einer prozentualen Bandbreitenspezifikation konfiguriert werden. Standardmäßig begrenzt ein Bandbreiten-Policer den Datenverkehr auf den angegebenen Prozentsatz der Leitungsrate der physischen Schnittstelle, die der logischen Zielschnittstelle zugrunde liegt.

Topologie

Sie konfigurieren die logische Zielschnittstelle als logische Single-Tag-VLAN-Schnittstelle auf einer Fast Ethernet-Schnittstelle mit 100 Mbit/s. Dies bedeutet, dass der Policer, den Sie mit der Bandbreitenbegrenzung von 10 Prozent konfigurieren (der Policer, den Sie auf FTP-Pakete anwenden), den FTP-Datenverkehr auf dieser Schnittstelle auf 10 Mbit/s begrenzt.

HINWEIS:

In diesem Beispiel konfigurieren Sie den Bandbreiten-Policer nicht als logischen Bandbreiten-Policer. Daher basiert der Prozentsatz auf der Rate der physischen Medien und nicht auf der konfigurierten Shaping-Rate der logischen Schnittstelle.

Der Firewallfilter, den Sie so konfigurieren, dass er auf zwei der Policer verweist, muss als schnittstellenspezifischer Filter konfiguriert sein. Da der Policer, der zur Ratenbegrenzung von FTP-Paketen verwendet wird, die Bandbreitenbegrenzung als Prozentwert angibt, muss der Firewallfilter, der auf diesen Policer verweist, als schnittstellenspezifischer Filter konfiguriert werden. Wenn also dieser Firewallfilter auf mehrere Schnittstellen angewendet würde, anstatt nur auf die Fast Ethernet-Schnittstelle in diesem Beispiel, würden für jede Schnittstelle, auf die der Filter angewendet wird, eindeutige Policer und Zähler erstellt.

Konfiguration

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus

Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]

Konfigurieren der logischen Single-Tag-VLAN-Schnittstelle

Schritt-für-Schritt-Anleitung

So konfigurieren Sie die logische Single-Tag-VLAN-Schnittstelle:

  1. Aktivieren Sie die Konfiguration der Fast Ethernet-Schnittstelle.

  2. Aktivieren Sie das Single-Tag-VLAN-Framing.

  3. Binden Sie VLAN-IDs an die logischen Schnittstellen.

  4. Konfigurieren Sie IPv4 auf den logischen Single-Tag-VLAN-Schnittstellen.

Ergebnisse

Bestätigen Sie die Konfiguration des VLANs, indem Sie den Befehl Konfigurationsmodus eingeben.show interfaces Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.

Konfiguration der drei Policer

Schritt-für-Schritt-Anleitung

So konfigurieren Sie die drei Policer:

  1. Aktivieren Sie die Konfiguration eines zweifarbigen Policers, der Pakete verwirft, die nicht einer Bandbreite von 1 Mbit/s und einer Burst-Größe von 5000 Byte entsprechen.

    HINWEIS:

    Sie wenden diesen Policer direkt auf den gesamten IPv4-Eingangsdatenverkehr an der logischen VLAN-Schnittstelle mit einem einzelnen Tag an, sodass die Pakete nicht gefiltert werden, bevor sie einer Ratenbegrenzung unterzogen werden.

  2. Konfigurieren Sie den ersten Policer.

  3. Aktivieren Sie die Konfiguration eines zweifarbigen Policers, der Pakete verwirft, die nicht einer als "10 Prozent" angegebenen Bandbreite und einer Burst-Größe von 500.000 Byte entsprechen.

    Sie wenden diesen Policer nur auf den FTP-Datenverkehr an der logischen VLAN-Schnittstelle mit einem einzelnen Tag an.

    Sie wenden diesen Policer als Aktion eines IPv4-Firewallfilterbegriffs an, der FTP-Pakete von TCP abgleicht.

  4. Konfigurieren Sie Grenzwerte und Aktionen für die Polizeiarbeit.

    Da die Bandbreitenbeschränkung als Prozentsatz angegeben wird, muss der Firewallfilter, der auf diesen Policer verweist, als schnittstellenspezifischer Filter konfiguriert werden.

    HINWEIS:

    Wenn Sie möchten, dass dieser Policer die Rate auf 10 Prozent der für die logische Schnittstelle konfigurierten Shaping-Rate (und nicht auf 10 Prozent der Medienrate der physischen Schnittstelle) begrenzt, müssen Sie die Anweisung auf Hierarchieebene einschließen.logical-bandwidth-policer[edit firewall policer p-all-1m-5k-discard] Diese Art von Policer wird als Policer mit logischer Bandbreite bezeichnet.

  5. Aktivieren Sie die Konfiguration des IPv4-Firewall-Filter-Policers für ICMP-Pakete.

  6. Konfigurieren Sie Grenzwerte und Aktionen für die Polizeiarbeit.

Ergebnisse

Bestätigen Sie die Konfiguration der Policer, indem Sie den Befehl configuration mode eingeben.show firewall Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.

Konfigurieren des IPv4-Firewallfilters

Schritt-für-Schritt-Anleitung

So konfigurieren Sie den IPv4-Firewallfilter:

  1. Aktivieren Sie die Konfiguration des IPv4-Firewallfilters.

  2. Konfigurieren Sie den Firewall-Filter als schnittstellenspezifisch.

    Der Firewallfilter muss schnittstellenspezifisch sein, da einer der Policer, auf die verwiesen wird, mit einer Bandbreitenbeschränkung konfiguriert ist, die als Prozentwert ausgedrückt wird.

  3. Aktivieren Sie die Konfiguration eines Filterbegriffs zur Ratenbegrenzung von FTP-Paketen.

    FTP-Nachrichten werden über TCP-Port 20 () gesendet und über TCP-Port 21 () empfangen.ftpftp-data

  4. Konfigurieren Sie den Filterbegriff so, dass er mit FTP-Paketen übereinstimmt.

  5. Aktivieren Sie die Konfiguration eines Filterbegriffs zur Ratenbegrenzung von ICMP-Paketen.

  6. Konfigurieren des Filterbegriffs für ICMP-Pakete

  7. Konfigurieren Sie einen Filterbegriff so, dass alle anderen Pakete ohne Überwachung akzeptiert werden.

Ergebnisse

Bestätigen Sie die Konfiguration des Firewall-Filters, indem Sie den Befehl configuration mode eingeben.show firewall Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.

Anwenden der Schnittstellen-Policer und Firewall-Filter-Policer auf die logische Schnittstelle

Schritt-für-Schritt-Anleitung

So wenden Sie die drei Policer auf das VLAN an:

  1. Aktivieren Sie die Konfiguration von IPv4 auf der logischen Schnittstelle.

  2. Wenden Sie die Firewall-Filter-Policer auf die Schnittstelle an.

  3. Wenden Sie den Schnittstellen-Policer auf die Schnittstelle an.

    Eingabepakete werden gegen den Schnittstellen-Policer ausgewertet, bevor sie gegen die Firewall-Filter-Policer ausgewertet werden.fe-0/1/1.0 Weitere Informationen finden Sie unter .Reihenfolge der Policer- und Firewall-Filteroperationen

Ergebnisse

Bestätigen Sie die Konfiguration der Schnittstelle, indem Sie den Befehl Konfigurationsmodus eingeben.show interfaces Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Anzeigen von Richtlinien, die direkt auf die logische Schnittstelle angewendet werden

Zweck

Stellen Sie sicher, dass der Schnittstellen-Policer ausgewertet wird, wenn Pakete auf der logischen Schnittstelle empfangen werden.

Was

Verwenden Sie den Befehl Betriebsmodus für die logische Schnittstelle .show interfaces policersfe-0/1/1.1 Der Befehlsausgabeabschnitt für die Spalte und die Spalte zeigt, dass der Policer ausgewertet wird, wenn Pakete auf der logischen Schnittstelle empfangen werden.ProtoInput Policerp-all-1m-5k-discard

In diesem Beispiel wird der Schnittstellenpolicer nur auf den logischen Schnittstellendatenverkehr in Eingaberichtung angewendet.

Anzeigen von Statistiken für den Policer, der direkt auf die logische Schnittstelle angewendet wird

Zweck

Überprüfen Sie die Anzahl der Pakete, die vom Schnittstellen-Policer ausgewertet wurden.

Was

Verwenden Sie den Befehl operational mode, und geben Sie optional den Namen des Policers an.show policer Die Befehlsausgabe zeigt die Anzahl der Pakete an, die von jedem konfigurierten Policer (oder dem angegebenen Policer) in jede Richtung ausgewertet wurden.

Anzeigen der auf eine Schnittstelle angewendeten Policer- und Firewall-Filter

Zweck

Stellen Sie sicher, dass der Firewallfilter auf den IPv4-Eingabedatenverkehr an der logischen Schnittstelle angewendet wird.filter-ipv4-with-limitsfe-0/1/1.1

Was

Verwenden Sie den Befehl Betriebsmodus für die logische Schnittstelle und schließen Sie die Option ein.show interfaces statisticsfe-0/1/1.1detail Unter dem Abschnitt des Befehlsausgabeabschnitts zeigen die Zeilen und die Namen des Filters und des Policers an, die auf die logische Schnittstelle in Eingaberichtung angewendet wurden.Protocol inetInput FiltersPolicer

In diesem Beispiel werden die beiden Firewallfilter-Policer nur auf den logischen Schnittstellendatenverkehr in Eingaberichtung angewendet.

Anzeigen von Statistiken für die Firewall-Filter-Policer

Zweck

Überprüfen Sie die Anzahl der Pakete, die von den Firewall-Filter-Policern ausgewertet wurden.

Was

Verwenden Sie den Befehl Betriebsmodus für den Filter, den Sie auf die logische Schnittstelle angewendet haben.show firewall

Die Befehlsausgabe zeigt die Namen der Policer ( und ) in Kombination mit den Namen der Filterbegriffe ( bzw. , an), unter denen die Policer-Aktion angegeben ist.p-ftp-10p-500k-discardp-icmp-500k-500k-discardt-ftpt-icmp Die policerspezifischen Ausgabezeilen zeigen die Anzahl der Pakete an, die mit dem Filterbegriff übereinstimmten. Dies ist nur die Anzahl der Pakete, die außerhalb der Spezifikation (außerhalb der Spezifikationen) liegen, nicht alle Pakete, die vom Policer überwacht werden.