Ejemplo: Uso de politistas de dos colores y listas de prefijos
Si proporciona cantidades específicas de ancho de banda a clientes internos o externos, puede usar la vigilancia para asegurarse de que los clientes no consuman más ancho de banda del que deberían recibir. Por ejemplo, puede conectar a muchos clientes a una interfaz de 10 Gbps y desea asegurarse de que ninguno de ellos congestione la interfaz mediante el uso de más ancho de banda del que se les ha asignado.
Esto se puede lograr mediante la creación de un agente de dos colores similar al siguiente para cada cliente:
firewall {
policer Limit-Customer-1 {
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 150m;
}
then discard;
}
Sin embargo, la creación de un agente de policía para cada cliente no es una solución escalable. Como alternativa, puede crear listas de prefijos que agrupen las clases de clientes y, después, crear agentes de políticas para cada lista de prefijos. Por ejemplo, puede crear listas de prefijos como Class-A-Customer-Prefixes, Class-B-Customer-Prefixesy Class-C-Customer-Prefixes (en el [edit policy-options] nivel jerárquico) y crear los siguientes agentes de políticas correspondientes:
firewall {
policer Class-A {
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 150m;
}
then discard;
}
policer Class-B {
if-exceeding {
bandwidth-limit 75m;
burst-size-limit 100m;
}
then discard;
}
policer Class-C {
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 75m;
}
then discard;
}
}
Debe crear términos de filtro que especifiquen las listas de prefijos en sus from instrucciones y los agentes de política correspondientes en sus then instrucciones similares a los siguientes:
firewall
family inet {
filter Class-A-Customers {
term term-1 {
from {
destination-prefix-list {
Class-A-Customer-Prefixes;
}
}
then policer Class-A;
}
}
filter Class-B-Customers {
term term-1 {
from {
destination-prefix-list {
Class-B-Customer-Prefixes;
}
}
then policer Class-B;
}
}
filter Class-C-Customers {
term term-1 {
from {
destination-prefix-list {
Class-C-Customer-Prefixes;
}
}
then policer Class-C;
}
}
}
Estos son los pasos para crear esta configuración de firewall:
Cree el primer agente de policía:
[edit firewall] user@switch# set policer Class-A if-exceeding bandwidth-limit 100m burst-size-limit 150m user@switch# set policer Class-A then discard
Cree el segundo agente de policía:
[edit firewall] user@switch# set policer Class-B if-exceeding bandwidth-limit 75m burst-size-limit 100m user@switch# set policer Class-B then discard
Cree el tercer agente de policía:
[edit firewall] user@switch# set policer Class-C if-exceeding bandwidth-limit 50m burst-size-limit 75m user@switch# set policer Class-C then discard
Cree un filtro para los clientes de clase A:
[edit firewall] user@switch# edit family inet filter Class-A-Customers
Configure el filtro para enviar paquetes que coincidan con la Class-A-Customer-Prefixes lista de prefijos al agente de Class-A policía:
[edit firewall family inet filter Class-A-Customers] user@switch# set term term-1 from source-prefix-list Class-A-Customers user@switch# set term term-1 then policer Class-A
Cree un filtro para clientes de clase B:
[edit firewall] user@switch# edit family inet filter Class-B-Customers
Configure el filtro para enviar paquetes que coincidan con la Class-B-Customer-Prefixes lista de prefijos al agente de Class-B policía:
[edit firewall family inet filter Class-B-Customers] user@switch# set term term-1 from source-prefix-list Class-B-Customers user@switch# set term term-1 then policer Class-B
Cree un filtro para clientes de clase C:
[edit firewall] user@switch# edit family inet filter Class-C-Customers
Configure el filtro para enviar paquetes que coincidan con la Class-C-Customer-Prefixes lista de prefijos al agente de Class-C policía:
[edit firewall family inet filter Class-C-Customers] user@switch# set term term-1 from source-prefix-list Class-C-Customers user@switch# set term term-1 then policer Class-C
Aplique los filtros que creó a las interfaces adecuadas en la dirección de salida.
Tenga en cuenta que la instrucción deny implícita de este filtro bloqueará el tráfico de cualquier fuente que no coincida con una de las listas de prefijos. Si desea que el filtro permita este tráfico, debe incluir un término explícito para este propósito.