Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:ポリサーを使用したオーバーサブスクリプションの管理

インターフェイスの加入過剰時にポリサーを使用し、輻輳が発生した場合の処理を制御できます。たとえば、次に示すように、サーバーがスイッチに接続されている 表 1場合があります。

表 1: スイッチに接続されたサーバー

サーバー タイプ

つながる

IP アドレス

ネットワーク・アプリケーション・サーバー

1ギガビット インターフェイス

10.0.0.1

認証サーバー

1ギガビット インターフェイス

10.0.0.2

データベース サーバー

10ギガビット インターフェイス

10.0.0.3

この例では、ネットワーク・アプリケーション・サーバーが提供するサービスにユーザーがアクセスし、必要に応じてデータベース・サーバーに情報を要求します。ユーザーから要求を受信すると、ネットワーク アプリケーション サーバーは最初に認証サーバーに接続してユーザーの資格情報を検証します。ユーザーが認証され、ネットワーク・アプリケーション・サーバーが要求されたサービスを提供する場合、データベース・サーバーからアプリケーション・サーバーに送信されるすべてのパケットは、アプリケーション・サーバーに接続された1ギガビット・イーサネット・インターフェースを 2 回、イングレスからアプリケーション・サーバーに 1 回、ユーザーに送信する必要があります。

ユーザー セッションのイベントのシーケンスは次のとおりです。

  1. ユーザーがアプリケーション・サーバーに接続し、サービスを要求します。

  2. アプリケーション サーバーは、ユーザーの資格情報を要求し、認証サーバーに中継します。

  3. 認証サーバーが認証情報を確認すると、アプリケーション・サーバーは要求されたサービスを開始します。

  4. アプリケーション・サーバーは、データベース・サーバーからのユーザーの要求を満たすために必要なファイルを要求します。

  5. データベース・サーバーは、要求されたファイルをアプリケーション・サーバーに送信します。

  6. アプリケーション・サーバーは、要求されたファイルをユーザーへの応答に含めます。

データベース・サーバーからアプリケーション・サーバーへのトラフィックは、アプリケーション・サーバーが接続されている 1 ギガビット・インターフェースを輻輳させる可能性があります。この輻輳により、サーバーがユーザーからの要求に応答し、新しいセッションを作成できなくなる可能性があります。ポリシングを使用して、これが発生しないことを確認できます。

このファイアウォール構成を作成するには、データベース サーバーで次の手順を実行します。

  1. 特定の制限を超えた場合に、データベース サーバーからアプリケーション サーバーにトラフィックをドロップするポリサーを作成します。

  2. データベース サーバーからアプリケーション サーバーへのトラフィックを調べるフィルターを作成します。

  3. フィルターを設定して、データベース サーバーを送信するトラフィックにポリサーを適用し、アプリケーション サーバーを宛先に設定します。

  4. 必要に応じて、データベース サーバーから他の宛先へのトラフィックを許可する条件を設定します(それ以外の場合、トラフィックは暗黙的な拒否ステートメントによって破棄されます)。

    ステートメントを from 省略すると、条件はすべてのパケットに一致します。これは望ましい動作であることに注意してください。

  5. アプリケーション・サーバーに接続されているデータベース・サーバー・インターフェースに出力フィルターとしてエグレス・フィルターをインストールします。

最終的な設定の表示方法を次に示します。