Exemple : Configuration d’un filtre de limitation de débit en fonction de la classe de destination
Cet exemple montre comment configurer un filtre de pare-feu sans état avec limitation de débit.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Avant de commencer, configurez la classe class1
de destination .
Présentation
Dans cet exemple, vous utilisez un filtre de pare-feu sans état pour définir des limites de débit en fonction d’une classe de destination.
Pour activer un mécanisme de contrôle à partir d’une configuration de filtre de pare-feu sans état :
Créez un modèle pour le mécanisme de contrôle en incluant l’instruction
policer policer-name
.Référencez le mécanisme de contrôle dans un terme de filtre qui spécifie le mécanisme de contrôle dans l’action
policer policer-name
non terminée.
Vous pouvez également activer un mécanisme de contrôle en incluant l’instruction policer (input | output) policer-template-name
dans une interface logique.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
- Configuration rapide de l’interface de ligne de commande
- Configurer le filtre de pare-feu sans état
- Application du filtre de pare-feu sans état à une interface logique
- Confirmez et validez la configuration de votre candidat
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie.
set firewall policer police_class1 if-exceeding bandwidth-limit 25m set firewall policer police_class1 if-exceeding burst-size-limit 25m set firewall policer police_class1 then discard set firewall filter rl_dclass1 term term1 from destination-class class1 set firewall filter rl_dclass1 term term1 then policer police_class1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.1/30 set interfaces ge-0/0/1 unit 0 family inet filter input rl_dclass1
Configurer le filtre de pare-feu sans état
Procédure étape par étape
Pour configurer le filtre rl_dclass1
de pare-feu sans état avec un mécanisme de police_class1
contrôle pour la classe class1
de destination :
Créez le modèle
police_class1
de mécanisme de contrôle .[edit] user@host# edit firewall policer police_class1
Configurez le modèle
police_class1
de mécanisme de contrôle .[edit firewall policer police_class1] user@host# set if-exceeding bandwidth-limit 25m user@host# set if-exceeding burst-size-limit 25m user@host# set then discard
Créez le filtre
rl_dclass1
de pare-feu sans état .[edit] user@host# edit firewall filter rl_dclass1
Configurez un terme de filtre qui utilise le mécanisme de contrôle
police_class1
pour limiter le débit du trafic pour la classeclass1
de destination.[edit firewall filter rl_dclass1] user@host# set term term1 from destination-class class1 user@host# set term term1 then policer police_class1
Application du filtre de pare-feu sans état à une interface logique
Procédure étape par étape
Pour appliquer le filtre rl_dclass1
à une interface logique :
Configurez l’interface logique à laquelle vous allez appliquer le filtre de pare-feu sans état.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
Configurez l’adresse de l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.1/30
Appliquez le filtre de pare-feu sans état à l’interface logique.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input rl_dclass1
Confirmez et validez la configuration de votre candidat
Procédure étape par étape
Pour confirmer, puis valider la configuration de votre candidat :
Confirmez la configuration du filtre de pare-feu sans état en entrant la commande configuration
show firewall
mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show firewall policer police_class1 { if-exceeding { bandwidth-limit 25m; burst-size-limit 25m; } then discard; } filter rl_dclass1 { term term1 { from { destination-class class1; } then policer police_class1; } }
Confirmez la configuration de l’interface en entrant la commande configuration
show interfaces
mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { filter { input rl_dclass1; } address 10.1.2.1/30; } } }
Si vous avez terminé de configurer l’appareil, validez votre configuration candidate.
[edit] user@host# commit
Vérification
Pour vérifier que la configuration fonctionne correctement, entrez la commande de show class-of-service ge-0/0/1
mode opérationnel.