Ejemplo: Uso de políticas de dos colores y listas de prefijos
Si proporciona cantidades específicas de ancho de banda a clientes internos o externos, puede usar la vigilancia para asegurarse de que los clientes no consumen más ancho de banda del que deberían recibir. Por ejemplo, puede conectar muchos clientes a una interfaz de 10 Gbps y desea asegurarse de que ninguno de ellos congestione la interfaz utilizando más ancho de banda del que se les ha asignado.
Puede lograr esto creando un aplicador de dos colores similar al siguiente para cada cliente:
firewall { policer Limit-Customer-1 { if-exceeding { bandwidth-limit 100m; burst-size-limit 150m; } then discard; }
Sin embargo, crear un aplicador de políticas para cada cliente claramente no es una solución escalable. Como alternativa, puede crear listas de prefijos que agrupen clases de clientes y, a continuación, crear políticas para cada lista de prefijos. Por ejemplo, podría crear listas de prefijos como Class-A-Customer-Prefixes, Class-B-Customer-Prefixesy Class-C-Customer-Prefixes (en el nivel de [edit policy-options]
jerarquía) y crear los siguientes aplicadores de policía correspondientes:
firewall { policer Class-A { if-exceeding { bandwidth-limit 100m; burst-size-limit 150m; } then discard; } policer Class-B { if-exceeding { bandwidth-limit 75m; burst-size-limit 100m; } then discard; } policer Class-C { if-exceeding { bandwidth-limit 50m; burst-size-limit 75m; } then discard; } }
Debe crear términos de filtro que especifiquen las listas de prefijos en sus from
instrucciones y los aplicadores de policía correspondientes en sus then
instrucciones, de manera similar a la siguiente:
firewall family inet { filter Class-A-Customers { term term-1 { from { destination-prefix-list { Class-A-Customer-Prefixes; } } then policer Class-A; } } filter Class-B-Customers { term term-1 { from { destination-prefix-list { Class-B-Customer-Prefixes; } } then policer Class-B; } } filter Class-C-Customers { term term-1 { from { destination-prefix-list { Class-C-Customer-Prefixes; } } then policer Class-C; } } }
Estos son los pasos para crear esta configuración de firewall:
Cree el primer aplicador de policía:
[edit firewall] user@switch# set policer Class-A if-exceeding bandwidth-limit 100m burst-size-limit 150m user@switch# set policer Class-A then discard
Cree el segundo aplicador de control:
[edit firewall] user@switch# set policer Class-B if-exceeding bandwidth-limit 75m burst-size-limit 100m user@switch# set policer Class-B then discard
Cree el tercer aplicador de políticas:
[edit firewall] user@switch# set policer Class-C if-exceeding bandwidth-limit 50m burst-size-limit 75m user@switch# set policer Class-C then discard
Cree un filtro para los clientes de clase A:
[edit firewall] user@switch# edit family inet filter Class-A-Customers
Configure el filtro para enviar paquetes que coincidan con la Class-A-Customer-Prefixes lista de prefijos al aplicador de políticas Class-A :
[edit firewall family inet filter Class-A-Customers] user@switch# set term term-1 from source-prefix-list Class-A-Customers user@switch# set term term-1 then policer Class-A
Cree un filtro para clientes de clase B:
[edit firewall] user@switch# edit family inet filter Class-B-Customers
Configure el filtro para enviar paquetes que coincidan con la Class-B-Customer-Prefixes lista de prefijos al aplicador de políticas Class-B :
[edit firewall family inet filter Class-B-Customers] user@switch# set term term-1 from source-prefix-list Class-B-Customers user@switch# set term term-1 then policer Class-B
Cree un filtro para clientes de clase C:
[edit firewall] user@switch# edit family inet filter Class-C-Customers
Configure el filtro para enviar paquetes que coincidan con la Class-C-Customer-Prefixes lista de prefijos al aplicador de políticas Class-C :
[edit firewall family inet filter Class-C-Customers] user@switch# set term term-1 from source-prefix-list Class-C-Customers user@switch# set term term-1 then policer Class-C
Aplique los filtros que creó a las interfaces adecuadas en la dirección de salida.
Tenga en cuenta que la instrucción de denegación implícita de este filtro bloqueará el tráfico de cualquier origen que no coincida con una de las listas de prefijos. Si desea que el filtro permita este tráfico, debe incluir un término explícito para este propósito.