Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Uso de policías para administrar la suscripción excesiva

Es posible que desee usar un agente de políticas cuando se sobresuscribe una interfaz y desea controlar lo que sucederá si se produce congestión. Por ejemplo, es posible que tenga servidores conectados a un conmutador como se muestra en Tabla 1.

Tabla 1: Servidores conectados al conmutador

Tipo de servidor

Conexión

Dirección IP

Servidor de aplicaciones de red

Interfaz de 1 gigabit

10.0.0.1

Servidor de autenticación

Interfaz de 1 gigabit

10.0.0.2

Servidor de base de datos

Interfaz de 10 Gigabit

10.0.0.3

En este ejemplo, los usuarios acceden a los servicios proporcionados por el servidor de aplicaciones de red, que solicita información al servidor de base de datos según corresponda. Cuando recibe una solicitud de un usuario, el servidor de aplicaciones de red primero se pone en contacto con el servidor de autenticación para comprobar las credenciales del usuario. Cuando se autentifica un usuario y el servidor de aplicaciones de red proporciona el servicio solicitado, todos los paquetes enviados desde el servidor de base de datos al servidor de aplicaciones deben transitar por la interfaz de 1 Gigabit Ethernet conectada al servidor de aplicaciones dos veces, una vez al ingreso al servidor de aplicaciones y, de nuevo, a la salida al usuario.

La secuencia de eventos de una sesión de usuario es la siguiente:

  1. Un usuario se conecta al servidor de aplicaciones y solicita un servicio.

  2. El servidor de aplicaciones solicita las credenciales del usuario y las transmite al servidor de autenticación.

  3. Si el servidor de autenticación verifica las credenciales, el servidor de aplicaciones inicia el servicio solicitado.

  4. El servidor de aplicaciones solicita los archivos necesarios para satisfacer la solicitud del usuario al servidor de base de datos.

  5. El servidor de base de datos envía los archivos solicitados al servidor de aplicaciones.

  6. El servidor de aplicaciones incluye los archivos solicitados en su respuesta al usuario.

El tráfico desde el servidor de base de datos al servidor de aplicaciones puede congestionar la interfaz de 1 gigabit a la que está conectado el servidor de aplicaciones. Esta congestión podría impedir que el servidor responda a las solicitudes de los usuarios y cree nuevas sesiones para ellos. Puede usar la policía para asegurarse de que esto no ocurra.

Para crear esta configuración de firewall, realice los siguientes pasos en el servidor de base de datos:

  1. Cree un agente de policía para soltar tráfico desde el servidor de base de datos al servidor de aplicaciones si supera ciertos límites:

  2. Cree un filtro para examinar el tráfico desde el servidor de base de datos al servidor de aplicaciones:

  3. Configure el filtro para aplicar el agente de policía al tráfico que salida del servidor de base de datos y destinado al servidor de aplicaciones:

  4. Si es necesario, configure un término para permitir el tráfico desde el servidor de base de datos a otros destinos (de lo contrario, el tráfico se eliminará mediante la instrucción implícita deny):

    Tenga en cuenta que omitir una from instrucción hace que el término coincida con todos los paquetes, que es el comportamiento deseado.

  5. Instale el filtro de salida como un filtro de salida en la interfaz del servidor de base de datos que está conectado al servidor de aplicaciones:

Así es como aparecerá la configuración final:

Temas relacionados