Traffic Policing JUNOS

From Teknologisk videncenter
Jump to: navigation, search

Vil man begrænse hastigheden på en forbindelse i JUNOS skal der konfigureres følgende:

  1. En Policer der beskriver hastigheden og exceed action
  2. En firewall filter der bruger policeren og beskriver conform action

Pretest

Her er sat en SRX240 op med en server på ydersiden og en klient på indersiden. Serveren er installeret med en Ubuntu 14.04 LTS, apache, PHP og Speedtest.net Mini

Yderside
interface Ge-0/0/0.10
Inderside
interface vlan.10
Speed test

Som man kan se er der fuld skald igennem.

Konfiguration

Policer

Her bliver oprettet en Policer på 10Mbit med exceed action discard
Anbefalingen er at lave burst-size på hastighed * tid, hvor tid skal være imellem 5ms og 600ms[1]

[edit firewall]
root@SRX07# <input>show policer POLICER-10M</input>
if-exceeding {
    bandwidth-limit <notice>10m</notice>;
    burst-size-limit 500k;
}
then discard;

Firewall Filter

Her orpettes et filter uden from klausul, så alt trafik matcher, og vil blive tilladt hvis de ikke overskrider de 10Mbit/s

[edit firewall]
root@SRX07# <source lang=cli>show filter GE0/0/0.10-IN

term police {

   then {
       policer POLICER-10M;
       accept;
   }

}

</source>

Interface Konfiguration

Her aktiveres Firewall filteret på sub-interfacet i indgående retning for IPv4 trafik.

[edit interfaces ge-0/0/0]
root@SRX07# <input>show unit 10</input>
vlan-id 10;
family inet {
    <notice>filter {
        input GE0/0/0.10-IN;
    }</notice>
    address 10.64.0.26/30;
}

Posttest

posttest

Notes

  • Policers kan blades med andre firewall regler for bestemte trafik typer
  • Sættes på sub-interfaces som i eksemplet her.
  • Sættes på RVI(vlan.0) interfaces

Links

Referencer