Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:ポリサーを使用したオーバーサブスクリプションの管理

インターフェイスがオーバーサブスクライブしているときにポリサーを使用し、輻輳が発生した場合に何が起こるかを制御することができます。例えば、 に示すように、サーバーがスイッチに 表 1接続されている場合があります。

表 1: スイッチに接続されたサーバー

サーバー タイプ

つながる

IP アドレス

ネットワーク・アプリケーション・サーバー

1 ギガビット インターフェイス

10.0.0.1

認証サーバー

1 ギガビット インターフェイス

10.0.0.2

データベース サーバー

10 ギガビット インターフェイス

10.0.0.3

この例では、ネットワーク・アプリケーション・サーバーが提供するサービスにユーザーがアクセスし、必要に応じてデータベース・サーバーに情報を要求します。ユーザーから要求を受信すると、ネットワーク アプリケーション サーバーは最初に認証サーバーに接続してユーザーの資格情報を確認します。ユーザーが認証され、ネットワーク アプリケーション サーバーが要求したサービスを提供する場合、データベース サーバーからアプリケーション サーバーに送信されるすべてのパケットは、アプリケーション サーバーに接続された 1 ギガビット イーサネット インターフェイスを 2 回(イングレスからアプリケーション サーバーに 1 回、ユーザーへのエグレス時に)2 回転送する必要があります。

ユーザーセッションのイベントのシーケンスは次のとおりです。

  1. ユーザーはアプリケーション サーバーに接続し、サービスを要求します。

  2. アプリケーション・サーバーはユーザーの資格情報を要求し、それらを認証サーバーにリレーします。

  3. 認証サーバーが認証情報を検証する場合、アプリケーション・サーバーは要求されたサービスを開始します。

  4. アプリケーション・サーバーは、ユーザーの要求を満たすために必要なファイルをデータベース・サーバーから要求します。

  5. データベース サーバーは、要求されたファイルをアプリケーション サーバーに送信します。

  6. アプリケーション・サーバーは、ユーザーに対する応答として要求されたファイルを含みます。

データベース・サーバーからアプリケーション・サーバーへのトラフィックは、アプリケーション・サーバーが接続されている 1 ギガビット・インターフェースを輻輳させる可能性があります。この輻輳により、サーバーはユーザーからのリクエストに応答し、ユーザーに対する新しいセッションを作成できなくなる可能性があります。ポリシー実行を使用して、このようなことが起こらないようにすることができます。

このファイアウォール構成を作成するには、データベース サーバーで次の手順を実行します。

  1. 特定の制限を超えた場合、データベース サーバーからアプリケーション サーバーにトラフィックをドロップするポリサーを作成します。

  2. データベース サーバーからアプリケーション サーバーへのトラフィックを調べるフィルターを作成します。

  3. フィルターを構成して、データベース サーバーから出るトラフィックとアプリケーション サーバー宛てのトラフィックにポリサーを適用します。

  4. 必要に応じて、データベースサーバーから他の宛先へのトラフィックを許可する条件を設定します(そうでない場合、トラフィックは暗黙の拒否ステートメントで破棄されます)。

    ステートメントを from 省略すると、条件はすべてのパケットに一致し、これが望ましい動作であることに注意してください。

  5. アプリケーション サーバーに接続されたデータベース サーバー インターフェイスに、出力フィルターとしてエグレス フィルターをインストールします。

これが最終設定の表示方法です。