Policias de dos colores básicas de velocidad única
Descripción general del policiar de dos colores de velocidad única
La vigilancia de dos colores de velocidad única aplica una velocidad configurada de flujo de tráfico para un nivel de servicio determinado mediante la aplicación de acciones implícitas o configuradas al tráfico que no se ajuste a los límites. Cuando se aplica un policiador de dos colores de velocidad única al tráfico de entrada o salida en una interfaz, el agente de policía mida el flujo de tráfico hasta el límite de velocidad definido por los siguientes componentes:
-
Límite de ancho de banda: el número promedio de bits por segundo permitido para los paquetes recibidos o transmitidos en la interfaz. Puede especificar el límite de ancho de banda como un número absoluto de bits por segundo o como un valor de porcentaje del 1 al 100. Si se especifica un valor de porcentaje, el límite de ancho de banda efectivo se calcula como un porcentaje de la velocidad de medios de la interfaz física o de la velocidad de configuración de interfaz lógica configurada.
-
Límite de paquetes por segundo (pps) (serie MX solo con MPC): el número promedio de paquetes por segundo permitido para paquetes recibidos o transmitidos en la interfaz. El límite de pps se especifica como un número absoluto de paquetes por segundo.
-
Límite de tamaño de ráfagas: el tamaño máximo permitido para ráfagas de datos.
-
Límite de ráfaga de paquetes:
Para un flujo de tráfico que se ajuste a los límites configurados (categorizados como tráfico verde), los paquetes se marcan implícitamente con un nivel de prioridad de pérdida de paquetes (PLP) de low y se les permite pasar por la interfaz sin restricciones.
Para un flujo de tráfico que supere los límites configurados (categorizado como tráfico rojo), los paquetes se manejan de acuerdo con las acciones de control de tráfico configuradas para el agente de policía. La acción puede ser descartar el paquete o volver a marcar el paquete con una clase de reenvío especificada, un PLP especificado o ambos, y, luego, transmitir el paquete.
Para limitar la velocidad de tráfico de capa 3, puede aplicar un policia de dos colores de las siguientes maneras:
-
Directamente a una interfaz lógica, a un nivel de protocolo específico.
-
Como la acción de un filtro de firewall estándar sin estado que se aplica a una interfaz lógica, en un nivel de protocolo específico.
Para limitar la velocidad de tráfico de capa 2, puede aplicar un policiador de dos colores como solo un agente de interfaz lógica . No puede aplicar un agente de policía de dos colores al tráfico de capa 2 mediante un filtro de firewall.
En las plataformas MX, la prioridad de pérdida de paquetes (PLP) no es implícitamente baja (verde) cuando el flujo de tráfico confirma el límite configurado del agente de policía. En su lugar, se toman los valores PLP configurados por el usuario como alto, medio-alto, medio-bajo. Use dp-rewrite en edit firewall policer <policer-name> para habilitar este comportamiento en plataformas MX. Si el botón no está habilitado, los paquetes pueden tener su color original y prioridad de pérdida.
Consulte también
Ejemplo: Limitar el tráfico entrante en el borde de la red mediante la configuración de un agente de policía de dos colores de entrada de velocidad única
En este ejemplo, se muestra cómo configurar un policiador de dos colores de entrada de velocidad única para filtrar el tráfico entrante. El agente de policía aplica la estrategia de clase de servicio (CoS) para el tráfico dentro y fuera de contrato. Puede aplicar un agente de policía de dos colores de velocidad única a los paquetes entrantes, los paquetes salientes o ambos. En este ejemplo, se aplica el agente de policía como agente de policía de entrada (entrada). El objetivo de este tema es darle una introducción a la vigilancia mediante un ejemplo que muestra la vigilancia del tráfico en acción.
Los agentes de policía usan un concepto conocido como bucket de token para asignar recursos del sistema en función de los parámetros definidos para el agente de políticas. Una explicación completa del concepto de bucket de token y sus algoritmos subyacentes está más allá del alcance de este documento. Para obtener más información sobre la vigilancia de tráfico y el CoS en general, consulte Redes habilitadas para QOS: herramientas y fundamentos , de Miguel Barreiros y Peter Lundqvist. Este libro está disponible en muchos libreros en línea y en www.juniper.net/books.
Requisitos
Para comprobar este procedimiento, en este ejemplo se utiliza un generador de tráfico. El generador de tráfico puede estar basado en hardware o puede ser software que se ejecuta en un servidor o máquina host.
La funcionalidad de este procedimiento es ampliamente compatible con dispositivos que ejecutan Junos OS. El ejemplo que se muestra aquí fue probado y verificado en enrutadores serie MX que ejecutan Junos OS versión 10.4.
Descripción general
La vigilancia de dos colores de velocidad única aplica una velocidad configurada de flujo de tráfico para un nivel de servicio determinado mediante la aplicación de acciones implícitas o configuradas al tráfico que no se ajuste a los límites. Cuando se aplica un policiador de dos colores de velocidad única al tráfico de entrada o salida en una interfaz, el agente de policía mida el flujo de tráfico hasta el límite de velocidad definido por los siguientes componentes:
Límite de ancho de banda: el número promedio de bits por segundo permitido para los paquetes recibidos o transmitidos en la interfaz. Puede especificar el límite de ancho de banda como un número absoluto de bits por segundo o como un valor de porcentaje del 1 al 100. Si se especifica un valor de porcentaje, el límite de ancho de banda efectivo se calcula como un porcentaje de la velocidad de medios de la interfaz física o de la velocidad de configuración de interfaz lógica configurada.
Límite de tamaño de ráfagas: el tamaño máximo permitido para ráfagas de datos. Los tamaños de ráfaga se miden en bytes. Recomendamos dos fórmulas para calcular el tamaño de la ráfaga:
Tamaño de la ráfaga = ancho de banda x tiempo permitido para el tráfico de ráfagas / 8
O
Tamaño de ráfaga = interfaz mtu x 10
Para obtener más información acerca de cómo configurar el tamaño de la ráfaga, consulte Determinar el tamaño adecuado de la ráfaga para los policías de tráfico.
Nota:Hay un espacio de memoria intermedia finito para una interfaz. En general, la profundidad total estimada de búfer para una interfaz es de unos 125 ms.
Para un flujo de tráfico que se ajuste a los límites configurados (categorizados como tráfico verde), los paquetes se marcan implícitamente con un nivel bajo de prioridad de pérdida de paquetes (PLP) y se les permite pasar por la interfaz sin restricciones.
Para un flujo de tráfico que supere los límites configurados (categorizado como tráfico rojo), los paquetes se manejan de acuerdo con las acciones de control de tráfico configuradas para el agente de policía. En este ejemplo, se descartan paquetes que revientan sobre el límite de 15 KBps.
Para limitar la velocidad de tráfico de capa 3, puede aplicar un policia de dos colores de las siguientes maneras:
Directamente a una interfaz lógica, a un nivel de protocolo específico.
Como la acción de un filtro de firewall estándar sin estado que se aplica a una interfaz lógica, en un nivel de protocolo específico. Esta es la técnica utilizada en este ejemplo.
Para limitar la velocidad de tráfico de capa 2, puede aplicar un policiador de dos colores como solo un agente de interfaz lógica. No puede aplicar un agente de policía de dos colores al tráfico de capa 2 mediante un filtro de firewall.
Puede elegir entre el límite de ancho de banda o el porcentaje de ancho de banda dentro de la política, ya que son mutuamente excluyentes. No puede configurar un agente de política para usar porcentaje de ancho de banda para interfaces de agregado, túnel e software.
En este ejemplo, el host es un generador de tráfico que emula un servidor web. Los dispositivos R1 y R2 son propiedad de un proveedor de servicios. Los usuarios del dispositivo Host2 acceden al servidor web. El dispositivo Host1 enviará tráfico con un puerto TCP HTTP de origen de 80 a los usuarios. Un policiador de dos colores de velocidad única se configura y se aplica a la interfaz en el dispositivo R1 que se conecta al host del dispositivo 1. El agente de policía hace cumplir la disponibilidad contractual de ancho de banda realizada entre el propietario del servidor web y el proveedor de servicios que posee el dispositivo R1 para el tráfico web que fluye a través del vínculo que conecta el host del dispositivo 1 con el dispositivo R1.
De acuerdo con la disponibilidad contractual de ancho de banda entre el propietario del servidor web y el proveedor de servicios propietario de los dispositivos R1 y R2, el agente de policía limitará el tráfico del puerto HTTP 80 que se origina en el dispositivo Host1 a usar 700 Mbps (70 %) del ancho de banda disponible con una velocidad de ráfaga permitida de 10 veces el tamaño de MTU de la interfaz de Gigabit Ethernet entre el host del dispositivo Host1 y el dispositivo R1.
En un escenario real, es probable que también califique el tráfico de límite para una variedad de otros puertos, como FTP, SFTP, SSH, TELNET, SMTP, IMAP y POP3, ya que a menudo se incluyen como servicios adicionales con servicios de alojamiento web.
Debe dejar disponible algo de ancho de banda adicional que no esté limitado para protocolos de control de red, como protocolos de enrutamiento, DNS y cualquier otro protocolo necesario para mantener operativa la conectividad de red. Esta es la razón por la que el filtro de firewall tiene una condición de aceptación final.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.
Dispositivo R1
set interfaces ge-2/0/5 description to-Host set interfaces ge-2/0/5 unit 0 family inet address 172.16.70.2/30 set interfaces ge-2/0/5 unit 0 family inet filter input mf-classifier set interfaces ge-2/0/8 description to-R2 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.1/30 set interfaces lo0 unit 0 description looback-interface set interfaces lo0 unit 0 family inet address 192.168.13.1/32 set firewall policer discard if-exceeding bandwidth-limit 700m set firewall policer discard if-exceeding burst-size-limit 15k set firewall policer discard then discard set firewall family inet filter mf-classifier term t1 from protocol tcp set firewall family inet filter mf-classifier term t1 from port 80 set firewall family inet filter mf-classifier term t1 then policer discard set firewall family inet filter mf-classifier term t2 then accept set protocols ospf area 0.0.0.0 interface ge-2/0/5.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Dispositivo R2
set interfaces ge-2/0/8 description to-R1 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.2/30 set interfaces ge-2/0/7 description to-Host set interfaces ge-2/0/7 unit 0 family inet address 172.16.80.2/30 set interfaces lo0 unit 0 description looback-interface set interfaces lo0 unit 0 family inet address 192.168.14.1/32 set protocols ospf area 0.0.0.0 interface ge-2/0/7.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.
Para configurar el dispositivo R1:
Configure las interfaces del dispositivo.
[edit interfaces] user@R1# set ge-2/0/5 description to-Host user@R1# set ge-2/0/5 unit 0 family inet address 172.16.70.2/30 user@R1# set ge-2/0/8 description to-R2 user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.1/30 user@R1# set lo0 unit 0 description looback-interface user@R1# set lo0 unit 0 family inet address 192.168.13.1/32
Aplique el filtro de firewall a la interfaz ge-2/0/5 como filtro de entrada.
[edit interfaces ge-2/0/5 unit 0 family inet] user@R1# set filter input mf-classifier
Configure el agente de política para que limite la velocidad a un ancho de banda de 700 Mbps y un tamaño de ráfaga de 15000 KBps para tráfico HTTP (puerto TCP 80).
[edit firewall policer discard] user@R1# set if-exceeding bandwidth-limit 700m user@R1# set if-exceeding burst-size-limit 15k
Configure el agente de policía para descartar paquetes en el flujo de tráfico rojo.
[edit firewall policer discard] user@R1# set then discard
Configure las dos condiciones del firewall para aceptar todo el tráfico TCP al puerto HTTP (puerto 80).
[edit firewall family inet filter mf-classifier] user@R1# set term t1 from protocol tcp user@R1# set term t1 from port 80
Configure la acción del firewall para limitar la velocidad del tráfico TCP HTTP mediante el agente de policía.
[edit firewall family inet filter mf-classifier] user@R1# set term t1 then policer discard
Al final del filtro de firewall, configure una acción predeterminada que acepte todo el resto del tráfico.
De lo contrario, se descarta todo el tráfico que llega a la interfaz y que el firewall no acepta explícitamente.
[edit firewall family inet filter mf-classifier] user@R1# set term t2 then accept
Configure OSPF.
[edit protocols ospf] user@R1# set area 0.0.0.0 interface ge-2/0/5.0 passive user@R1# set area 0.0.0.0 interface lo0.0 passive user@R1# set area 0.0.0.0 interface ge-2/0/8.0
Procedimiento paso a paso
Para configurar el dispositivo R2:
Configure las interfaces del dispositivo.
[edit interfaces] user@R1# set ge-2/0/8 description to-R1 user@R1# set ge-2/0/7 description to-Host user@R1# set lo0 unit 0 description looback-interface user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.2/30 user@R1# set ge-2/0/7 unit 0 family inet address 172.16.80.2/30 user@R1# set lo0 unit 0 family inet address 192.168.14.1/32
Configure OSPF.
[edit protocols ospf] user@R1# set area 0.0.0.0 interface ge-2/0/7.0 passive user@R1# set area 0.0.0.0 interface lo0.0 passive user@R1# set area 0.0.0.0 interface ge-2/0/8.0
Resultados
Desde el modo de configuración, ingrese los comandos , show firewally show protocols ospf para confirmar la show interfaces configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@R1# show interfaces
ge-2/0/5 {
description to-Host;
unit 0 {
family inet {
filter {
input mf-classifier;
}
address 172.16.70.2/30;
}
}
}
ge-2/0/8 {
description to-R2;
unit 0 {
family inet {
address 10.50.0.1/30;
}
}
}
lo0 {
unit 0 {
description looback-interface;
family inet {
address 192.168.13.1/32;
}
}
}
user@R1# show firewall
family inet {
filter mf-classifier {
term t1 {
from {
protocol tcp;
port 80;
}
then policer discard;
}
term t2 {
then accept;
}
}
}
policer discard {
if-exceeding {
bandwidth-limit 700m;
burst-size-limit 15k;
}
then discard;
}
user@R1# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/5.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-2/0/8.0;
}
Si ha terminado de configurar el dispositivo R1, ingrese commit desde el modo de configuración.
user@R2# show interfaces
ge-2/0/7 {
description to-Host;
unit 0 {
family inet {
address 172.16.80.2/30;
}
}
}
ge-2/0/8 {
description to-R1;
unit 0 {
family inet {
address 10.50.0.2/30;
}
}
}
lo0 {
unit 0 {
description looback-interface;
family inet {
address 192.168.14.1/32;
}
}
}
user@R2# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/7.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-2/0/8.0;
}
Si ha terminado de configurar el dispositivo R2, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
Borrar los contadores
Propósito
Confirme que los contadores de firewall están borrados.
Acción
En el dispositivo R1, ejecute el clear firewall all comando para restablecer los contadores de firewall a 0.
user@R1> clear firewall all
Envío de tráfico TCP a la red y monitoreo de los descartes
Propósito
Asegúrese de que el tráfico de interés que se envía tiene una velocidad limitada en la interfaz de entrada (ge-2/0/5).
Acción
Utilice un generador de tráfico para enviar 10 paquetes TCP con un puerto de origen de 80.
La marca -s establece el puerto de origen. La marca -k hace que el puerto de origen permanezca estable en 80 en lugar de incrementarse. La marca -c establece el número de paquetes en 10. La marca -d establece el tamaño del paquete.
La dirección IP de destino de 172.16.80.1 pertenece al dispositivo host 2 que está conectado al dispositivo R2. El usuario del host del dispositivo 2 ha solicitado una página web al host del dispositivo 1 (el servidor web emulado por el generador de tráfico en el host del dispositivo 1). Los paquetes con velocidad limitada se envían desde el host del dispositivo 1 en respuesta a la solicitud del host del dispositivo 2.
Nota:En este ejemplo, los números de policía se reducen a un límite de ancho de banda de 8 Kbps y un límite de tamaño de ráfaga de 1500 KBps para garantizar que algunos paquetes se caigan durante esta prueba.
[root@host]# hping 172.16.80.1 -c 10 -s 80 -k -d 300 [User@Host]# hping 172.16.80.1 -c 10 -s 80 -k -d 350 HPING 172.16.80.1 (eth1 172.16.80.1): NO FLAGS are set, 40 headers + 350 data bytes len=46 ip=172.16.80.1 ttl=62 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=0.5 ms . . . --- 172.16.80.1 hping statistic --- 10 packets transmitted, 6 packets received, 40% packet loss round-trip min/avg/max = 0.5/3000.8/7001.3 ms
En el dispositivo R1, compruebe los contadores de firewall mediante el
show firewallcomando.user@R1> show firewall User@R1# run show firewall Filter: __default_bpdu_filter__ Filter: mf-classifier Policers: Name Bytes Packets discard-t1 1560 4
Significado
En los pasos 1 y 2, el resultado de ambos dispositivos muestra que se descartaron 4 paquetes Lo que significa que había al menos 8 Kbps de tráfico verde (puerto HTTP en contrato 80) y que se superó la opción de ráfaga de 1500 KBps para el tráfico rojo del puerto HTTP 80 fuera de contrato.
Ejemplo: Configuración de policías de filtro de interfaz y firewall en la misma interfaz
En este ejemplo, se muestra cómo configurar tres politiqueros de dos colores de velocidad única y aplicar los politiqueros al tráfico de entrada IPv4 en la misma interfaz lógica DE LAN virtual (VLAN) de etiqueta única.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, configure tres politiqueros de dos colores de velocidad única y los aplique al tráfico de entrada IPv4 en la misma interfaz lógica VLAN de etiqueta única. Se aplican dos policias a la interfaz mediante un filtro de firewall y un agente de políticas se aplica directamente a la interfaz.
Configure un agente de policía, denominado p-all-1m-5k-discard, para limitar la velocidad del tráfico a 1 Mbps con un tamaño de ráfaga de 5000 bytes. Puede aplicar este agente de policía directamente al tráfico de entrada IPv4 en la interfaz lógica. Cuando se aplica un agente de policía directamente al tráfico específico del protocolo en una interfaz lógica, se dice que el agente de policía se aplica como un agente de policía de interfaz.
Puede configurar los otros dos policiadores para permitir tamaños de ráfaga de 500 KB y aplicar estos policias al tráfico de entrada IPv4 en la interfaz lógica mediante un filtro de firewall sin estado estándar IPv4. Cuando se aplica un agente de policía al tráfico específico del protocolo en una interfaz lógica mediante una acción de filtro de firewall, se dice que el agente de policía se aplica como un agente de policía de filtro de firewall.
Puede configurar el agente de policía denominado
p-icmp-500k-500k-discardpara limitar la velocidad de tráfico a 500 Kbps con un tamaño de ráfaga de 500 K bytes mediante el descarte de paquetes que no se ajusten a estos límites. Configure uno de los términos del filtro de firewall para aplicar este agente de políticas a los paquetes del Protocolo de mensajes de control de Internet (ICMP).Puede configurar el agente de política denominado
p-ftp-10p-500k-discardpara limitar la velocidad de tráfico a un ancho de banda del 10 por ciento con un tamaño de ráfaga de 500 KB mediante el descarte de paquetes que no se ajusten a estos límites. Configure otro término de filtro de firewall para aplicar este agente de policía a los paquetes de Protocolo de transferencia de archivos (FTP).
Un agente de policía que configure con un límite de ancho de banda expresado como valor de porcentaje (en lugar de como valor absoluto de ancho de banda) se denomina policiar de ancho de banda. Solo los policiadores de dos colores de velocidad única se pueden configurar con una especificación de porcentaje de ancho de banda. De forma predeterminada, un agente de policía de ancho de banda limita el tráfico al porcentaje especificado de la velocidad de línea de la interfaz física subyacente a la interfaz lógica de destino.
Topología
Configure la interfaz lógica de destino como una interfaz lógica VLAN de etiqueta única en una interfaz Fast Ethernet que funcione a 100 Mbps. Esto significa que el agente de política que configure con el límite del 10 por ciento de ancho de banda (el agente de política que aplica a los paquetes FTP) limita el tráfico FTP en esta interfaz a 10 Mbps.
En este ejemplo, no configure el agente de policía de ancho de banda como un policiador de ancho de banda lógico. Por lo tanto, el porcentaje se basa en la velocidad de medios físicos en lugar de en la velocidad de configuración configurada de la interfaz lógica.
El filtro de firewall que configure para hacer referencia a dos de los agentes de políticas debe configurarse como un filtro específico de la interfaz. Dado que el agente de política que se usa para limitar la velocidad de los paquetes FTP especifica el límite de ancho de banda como un valor de porcentaje, el filtro de firewall que hace referencia a este agente de política debe configurarse como un filtro específico de la interfaz. Por lo tanto, si este filtro de firewall se aplicara a varias interfaces en lugar de solo a la interfaz Fast Ethernet en este ejemplo, se crearían policias y contadores únicos para cada interfaz a la que se aplica el filtro.
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configuración de la interfaz lógica de VLAN de etiqueta única
- Configuración de los tres policías
- Configuración del filtro de firewall IPv4
- Aplicación de los policiares de interfaz y filtros de firewall a la interfaz lógica
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set interfaces fe-0/1/1 vlan-tagging set interfaces fe-0/1/1 unit 0 vlan-id 100 set interfaces fe-0/1/1 unit 0 family inet address 10.20.15.1/24 set interfaces fe-0/1/1 unit 1 vlan-id 101 set interfaces fe-0/1/1 unit 1 family inet address 10.20.240.1/24 set firewall policer p-all-1m-5k-discard if-exceeding bandwidth-limit 1m set firewall policer p-all-1m-5k-discard if-exceeding burst-size-limit 5k set firewall policer p-all-1m-5k-discard then discard set firewall policer p-ftp-10p-500k-discard if-exceeding bandwidth-percent 10 set firewall policer p-ftp-10p-500k-discard if-exceeding burst-size-limit 500k set firewall policer p-ftp-10p-500k-discard then discard set firewall policer p-icmp-500k-500k-discard if-exceeding bandwidth-limit 500k set firewall policer p-icmp-500k-500k-discard if-exceeding burst-size-limit 500k set firewall policer p-icmp-500k-500k-discard then discard set firewall family inet filter filter-ipv4-with-limits interface-specific set firewall family inet filter filter-ipv4-with-limits term t-ftp from protocol tcp set firewall family inet filter filter-ipv4-with-limits term t-ftp from port ftp set firewall family inet filter filter-ipv4-with-limits term t-ftp from port ftp-data set firewall family inet filter filter-ipv4-with-limits term t-ftp then policer p-ftp-10p-500k-discard set firewall family inet filter filter-ipv4-with-limits term t-icmp from protocol icmp set firewall family inet filter filter-ipv4-with-limits term t-icmp then policer p-icmp-500k-500k-discard set firewall family inet filter filter-ipv4-with-limits term catch-all then accept set interfaces fe-0/1/1 unit 1 family inet filter input filter-ipv4-with-limits set interfaces fe-0/1/1 unit 1 family inet policer input p-all-1m-5k-discard
Configuración de la interfaz lógica de VLAN de etiqueta única
Procedimiento paso a paso
Para configurar la interfaz lógica de VLAN de etiqueta única:
Habilite la configuración de la interfaz Fast Ethernet.
[edit] user@host# edit interfaces fe-0/1/1
Habilite el marco de VLAN de etiqueta única.
[edit interfaces fe-0/1/1] user@host# set vlan-tagging
Vincule los IDENTIFICADORes de VLAN a las interfaces lógicas.
[edit interfaces fe-0/1/1] user@host# set unit 0 vlan-id 100 user@host# set unit 1 vlan-id 101
Configure IPv4 en las interfaces lógicas de VLAN de etiqueta única.
[edit interfaces fe-0/1/1] user@host# set unit 0 family inet address 10.20.15.1/24 user@host# set unit 1 family inet address 10.20.240.1/24
Resultados
Confirme la configuración de la VLAN ingresando el comando de modo de show interfaces configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show interfaces
fe-0/1/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.20.15.1/24;
}
}
unit 1 {
vlan-id 101;
family inet {
address 10.20.240.1/24;
}
}
}
Configuración de los tres policías
Procedimiento paso a paso
Para configurar los tres agentes de políticas:
Habilite la configuración de un policiador de dos colores que descarta paquetes que no se ajustan a un ancho de banda de 1 Mbps y un tamaño de ráfaga de 5000 bytes.
Nota:Se aplica este agente de policía directamente a todo el tráfico de entrada IPv4 en la interfaz lógica de VLAN de etiqueta única, de modo que los paquetes no se filtrarán antes de ser sometidos a una limitación de velocidad.
[edit] user@host# edit firewall policer p-all-1m-5k-discard
Configure el primer agente de policía.
[edit firewall policer p-all-1m-5k-discard] user@host# set if-exceeding bandwidth-limit 1m user@host# set if-exceeding burst-size-limit 5k user@host# set then discard
Habilite la configuración de un policiador de dos colores que descarta paquetes que no se ajustan a un ancho de banda especificado como "10 por ciento" y un tamaño de ráfaga de 500 000 bytes.
Este agente de policía solo se aplica al tráfico FTP en la interfaz lógica VLAN de etiqueta única.
Se aplica este agente de policía como la acción de un término de filtro de firewall IPv4 que coincide con paquetes FTP de TCP.
[edit firewall policer p-all-1m-5k-discard] user@host# up [edit] user@host# edit firewall policer p-ftp-10p-500k-discard
Configure límites y acciones de policía.
[edit firewall policer p-ftp-10p-500k-discard] user@host# set if-exceeding bandwidth-percent 10 user@host# set if-exceeding burst-size-limit 500k user@host# set then discard
Dado que el límite de ancho de banda se especifica como un porcentaje, el filtro de firewall que hace referencia a este agente de política debe configurarse como un filtro específico de la interfaz.
Nota:Si desea que este agente de control limite la velocidad al 10 % de la velocidad de modelado de la interfaz lógica configurada (en lugar del 10 % de la velocidad de medios de la interfaz física), debería incluir la instrucción en el
logical-bandwidth-policer[edit firewall policer p-all-1m-5k-discard]nivel de jerarquía. Este tipo de agente de policía se denomina policía de ancho de banda lógica.Habilite la configuración del agente de policía de filtros de firewall IPv4 para paquetes ICMP.
[edit firewall policer p-ftp-10p-500k-discard] user@host# up [edit] user@host# edit firewall policer p-icmp-500k-500k-discard
Configure límites y acciones de policía.
[edit firewall policer p-icmp-500k-500k-discard] user@host# set if-exceeding bandwidth-limit 500k user@host# set if-exceeding burst-size-limit 500k user@host# set then discard
Resultados
Para confirmar la configuración de los policías, ingrese el comando del modo de show firewall configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit] user@host# show firewall policer p-all-1m-5k-discard { if-exceeding { bandwidth-limit 1m; burst-size-limit 5k; } then discard; } policer p-ftp-10p-500k-discard { if-exceeding { bandwidth-percent 10; burst-size-limit 500k; } then discard; } policer p-icmp-500k-500k-discard { if-exceeding { bandwidth-limit 500k; burst-size-limit 500k; } then discard; }
Configuración del filtro de firewall IPv4
Procedimiento paso a paso
Para configurar el filtro de firewall IPv4:
Habilite la configuración del filtro de firewall IPv4.
[edit] user@host# edit firewall family inet filter filter-ipv4-with-limits
Configure el filtro de firewall como específico de la interfaz.
[edit firewall family inet filter filter-ipv4-with-limits] user@host# set interface-specific
El filtro de firewall debe ser específico de la interfaz, ya que uno de los agentes de política a los que se hace referencia está configurado con un límite de ancho de banda expresado como valor de porcentaje.
Habilite la configuración de un término de filtro para limitar la velocidad de los paquetes FTP.
[edit firewall family inet filter filter-ipv4-with-limits] user@host# edit term t-ftp [edit firewall family inet filter filter-ipv4-with-limits term t-ftp] user@host# set from protocol tcp user@host# set from port [ ftp ftp-data ]
Los mensajes FTP se envían a través del puerto TCP 20 (
ftp) y se reciben a través del puerto TCP 21 (ftp-data).Configure el término de filtro para que coincida con los paquetes FTP.
[edit firewall family inet filter filter-ipv4-with-limits term t-ftp] user@host# set then policer p-ftp-10p-500k-discard
Habilite la configuración de un término de filtro para limitar la velocidad de los paquetes ICMP.
[edit firewall family inet filter filter-ipv4-with-limits term t-ftp] user@host# up [edit firewall family inet filter filter-ipv4-with-limits] user@host# edit term t-icmp
Configure el término de filtro para paquetes ICMP
[edit firewall family inet filter filter-ipv4-with-limits term t-icmp] user@host# set from protocol icmp user@host# set then policer p-icmp-500k-500k-discard
Configure un término de filtro para aceptar todos los demás paquetes sin tener que vigilar.
[edit firewall family inet filter filter-ipv4-with-limits term t-icmp] user@host# up [edit firewall family inet filter filter-ipv4-with-limits] user@host# set term catch-all then accept
Resultados
Para confirmar la configuración del filtro de firewall, ingrese el comando del modo de show firewall configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit] user@host# show firewall family inet { filter filter-ipv4-with-limits { interface-specific; term t-ftp { from { protocol tcp; port [ ftp ftp-data ]; } then policer p-ftp-10p-500k-discard; } term t-icmp { from { protocol icmp; } then policer p-icmp-500k-500k-discard; } term catch-all { then accept; } } } policer p-all-1m-5k-discard { if-exceeding { bandwidth-limit 1m; burst-size-limit 5k; } then discard; } policer p-ftp-10p-500k-discard { if-exceeding { bandwidth-percent 10; burst-size-limit 500k; } then discard; } policer p-icmp-500k-500k-discard { if-exceeding { bandwidth-limit 500k; burst-size-limit 500k; } then discard; }
Aplicación de los policiares de interfaz y filtros de firewall a la interfaz lógica
Procedimiento paso a paso
Para aplicar los tres agentes de policía a la VLAN:
Habilite la configuración de IPv4 en la interfaz lógica.
[edit] user@host# edit interfaces fe-0/1/1 unit 1 family inet
Aplique los policiadores de filtro de firewall a la interfaz.
[edit interfaces fe-0/1/1 unit 1 family inet] user@host# set filter input filter-ipv4-with-limits
Aplique el agente de policía de interfaz a la interfaz.
[edit interfaces fe-0/1/1 unit 1 family inet] user@host# set policer input p-all-1m-5k-discard
Los paquetes de entrada en
fe-0/1/1.0se evalúan en el agente de políticas de interfaz antes de que se evalúen con los policiadores de filtro de firewall. Para obtener más información, consulte Orden de operaciones de agente de policía y filtro de firewall.
Resultados
Confirme la configuración de la interfaz ingresando el comando de modo de show interfaces configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show interfaces
fe-0/1/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.20.15.1/24;
}
}
unit 1 {
vlan-id 101;
family inet {
filter {
input filter-ipv4-with-limits;
}
policer {
input p-all-1m-5k-discard;
}
address 10.20.240.1/24;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Visualización de policias aplicados directamente a la interfaz lógica
- Visualización de estadísticas para el agente de policía aplicado directamente a la interfaz lógica
- Mostrar los agentes de policía y los filtros de firewall aplicados a una interfaz
- Mostrar estadísticas para los policiadores de filtro de firewall
Visualización de policias aplicados directamente a la interfaz lógica
Propósito
Compruebe que el agente de policía de interfaz se evalúa cuando se reciben paquetes en la interfaz lógica.
Acción
Utilice el show interfaces policers comando de modo operativo para la interfaz fe-0/1/1.1lógica . La sección de salida de comandos para la Proto columna y Input Policer la columna muestra que el agente p-all-1m-5k-discard de policía se evalúa cuando se reciben paquetes en la interfaz lógica.
user@host> show interfaces policers fe-0/1/1.1
Interface Admin Link Proto Input Policer Output Policer
fe-0/1/1.1 up up
inet p-all-1m-5k-discard-fe-0/1/1.1-inet-i
En este ejemplo, el agente de policía de interfaz se aplica al tráfico de interfaz lógica solo en la dirección de entrada.
Visualización de estadísticas para el agente de policía aplicado directamente a la interfaz lógica
Propósito
Compruebe el número de paquetes evaluados por el agente de policía de interfaz.
Acción
Utilice el comando de show policer modo operativo y, opcionalmente, especifique el nombre del agente de policía. El resultado del comando muestra el número de paquetes evaluados por cada agente de policía configurado (o el policiar especificado), en cada dirección.
user@host> show policer p-all-1m-5k-discard-fe-0/1/1.1-inet-i Policers: Name Bytes Packets p-all-1m-5k-discard-fe-0/1/1.1-inet-i 200 5
Mostrar los agentes de policía y los filtros de firewall aplicados a una interfaz
Propósito
Compruebe que el filtro filter-ipv4-with-limits de firewall se aplica al tráfico de entrada IPv4 en la interfaz fe-0/1/1.1lógica.
Acción
Utilice el show interfaces statistics comando de modo operativo para la interfaz fe-0/1/1.1lógica e incluya la detail opción. En la Protocol inet sección de la sección salida de comandos, las Input Filters líneas y Policer muestran los nombres del filtro y el agente de policía aplicados a la interfaz lógica en la dirección de entrada.
user@host> show interfaces statistics fe-0/1/1.1 detail
Logical interface fe-0/1/1.1 (Index 83) (SNMP ifIndex 545) (Generation 153)
Flags: SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.100 ] Encapsulation: ENET2
Traffic statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Local statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Protocol inet, MTU: 1500, Generation: 176, Route table: 0
Flags: Sendbcast-pkt-to-re
Input Filters: filter-ipv4-with-limits-fe-0/1/1.1-i
Policer: Input: p-all-1m-5k-discard-fe-0/1/1.1-inet-i
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255,
Generation: 169
En este ejemplo, los dos policiadores de filtro de firewall se aplican al tráfico de interfaz lógica solo en la dirección de entrada.
Mostrar estadísticas para los policiadores de filtro de firewall
Propósito
Verifique la cantidad de paquetes evaluados por los agentes de filtrado de firewall.
Acción
Utilice el show firewall comando de modo operativo para el filtro que aplicó a la interfaz lógica.
[edit] user@host> show firewall filter filter-ipv4-with-limits-fe-0/1/1.1-i Filter: filter-ipv4-with-limits-fe-0/1/1.1-i Policers: Name Bytes Packets p-ftp-10p-500k-discard-t-ftp-fe-0/1/1.1-i 0 0 p-icmp-500k-500k-discard-t-icmp-fe-0/1/1.1-i 0 0
La salida del comando muestra los nombres de los agentes de política (p-ftp-10p-500k-discard y p-icmp-500k-500k-discard), combinados con los nombres de los términos de filtro (t-ftp y t-icmp, respectivamente) bajo los cuales se especifica la acción de policía. Las líneas de salida específicas del agente de policía muestran la cantidad de paquetes que coinciden con el término de filtro. Este es solo el número de recuentos de paquetes fuera de especificación (fuera de especificación), no todos los paquetes vigilados por el agente de policía.