Ejemplo: Uso de policías de dos colores y listas de prefijos
Si proporciona cantidades específicas de ancho de banda a clientes internos o externos, puede usar la vigilancia para asegurarse de que los clientes no consumen más ancho de banda del que deberían recibir. Por ejemplo, puede conectar a muchos clientes a una interfaz de 10 Gbps y desea asegurarse de que ninguno de ellos congestione la interfaz mediante el uso de más ancho de banda del que se les ha asignado.
Para lograrlo, cree un agente de policía de dos colores similar al siguiente para cada cliente:
firewall {
policer Limit-Customer-1 {
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 150m;
}
then discard;
}
Sin embargo, la creación de un agente de policía para cada cliente no es claramente una solución escalable. Como alternativa, puede crear listas de prefijos que agrupen clases de clientes y, luego, crear policías para cada lista de prefijos. Por ejemplo, puede crear listas de prefijos como Class-A-Customer-Prefixes, Class-B-Customer-Prefixesy Class-C-Customer-Prefixes (en el [edit policy-options] nivel de jerarquía) y crear las siguientes políticas correspondientes:
firewall {
policer Class-A {
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 150m;
}
then discard;
}
policer Class-B {
if-exceeding {
bandwidth-limit 75m;
burst-size-limit 100m;
}
then discard;
}
policer Class-C {
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 75m;
}
then discard;
}
}
Debe crear términos de filtro que especifiquen las listas de prefijos en sus from instrucciones y las policías correspondientes en sus then instrucciones de forma similar a la siguiente:
firewall
family inet {
filter Class-A-Customers {
term term-1 {
from {
destination-prefix-list {
Class-A-Customer-Prefixes;
}
}
then policer Class-A;
}
}
filter Class-B-Customers {
term term-1 {
from {
destination-prefix-list {
Class-B-Customer-Prefixes;
}
}
then policer Class-B;
}
}
filter Class-C-Customers {
term term-1 {
from {
destination-prefix-list {
Class-C-Customer-Prefixes;
}
}
then policer Class-C;
}
}
}
Estos son los pasos para crear esta configuración de firewall:
Cree el primer agente de policía:
[edit firewall] user@switch# set policer Class-A if-exceeding bandwidth-limit 100m burst-size-limit 150m user@switch# set policer Class-A then discard
Cree el segundo agente de policía:
[edit firewall] user@switch# set policer Class-B if-exceeding bandwidth-limit 75m burst-size-limit 100m user@switch# set policer Class-B then discard
Cree el tercer agente de policía:
[edit firewall] user@switch# set policer Class-C if-exceeding bandwidth-limit 50m burst-size-limit 75m user@switch# set policer Class-C then discard
Cree un filtro para los clientes de clase A:
[edit firewall] user@switch# edit family inet filter Class-A-Customers
Configure el filtro para enviar paquetes que coincidan con la lista de Class-A-Customer-Prefixes prefijos al Class-A agente de policía:
[edit firewall family inet filter Class-A-Customers] user@switch# set term term-1 from source-prefix-list Class-A-Customers user@switch# set term term-1 then policer Class-A
Cree un filtro para los clientes de clase B:
[edit firewall] user@switch# edit family inet filter Class-B-Customers
Configure el filtro para enviar paquetes que coincidan con la lista de Class-B-Customer-Prefixes prefijos al Class-B agente de policía:
[edit firewall family inet filter Class-B-Customers] user@switch# set term term-1 from source-prefix-list Class-B-Customers user@switch# set term term-1 then policer Class-B
Cree un filtro para los clientes de clase C:
[edit firewall] user@switch# edit family inet filter Class-C-Customers
Configure el filtro para enviar paquetes que coincidan con la lista de Class-C-Customer-Prefixes prefijos al Class-C agente de policía:
[edit firewall family inet filter Class-C-Customers] user@switch# set term term-1 from source-prefix-list Class-C-Customers user@switch# set term term-1 then policer Class-C
Aplique los filtros que creó a las interfaces adecuadas en la dirección de salida.
Tenga en cuenta que la instrucción deny implícita de este filtro bloqueará el tráfico de cualquier origen que no coincida con una de las listas de prefijos. Si desea que el filtro permita este tráfico, debe incluir un término explícito para este propósito.