Difference between revisions of "Traffic Policing JUNOS"

From Teknologisk videncenter
Jump to: navigation, search
m (Posttest)
m
 
(One intermediate revision by the same user not shown)
Line 1: Line 1:
 +
{{TOCright}}
 
Vil man begrænse hastigheden på en forbindelse i JUNOS skal der konfigureres følgende:
 
Vil man begrænse hastigheden på en forbindelse i JUNOS skal der konfigureres følgende:
 
#En Policer der beskriver hastigheden og exceed action
 
#En Policer der beskriver hastigheden og exceed action
Line 58: Line 59:
 
*Sættes på RVI(vlan.0) interfaces
 
*Sættes på RVI(vlan.0) interfaces
  
 +
=Links=
 +
*[http://www.juniper.net/documentation/en_US/junos13.2/topics/task/configuration/firewall-filter-ex-series-policer-cli.html Configuring Policers to Control Traffic Rates (CLI Procedure)]
 +
*[http://www.juniper.net/documentation/en_US/junos12.2/topics/concept/policer-overview.html Traffic Policing Overview]
 
=Referencer=
 
=Referencer=
 
<references/>
 
<references/>
 
{{Source cli}}
 
{{Source cli}}
 
[[Category:Juniper]]
 
[[Category:Juniper]]

Latest revision as of 18:18, 15 January 2015

Vil man begrænse hastigheden på en forbindelse i JUNOS skal der konfigureres følgende:

  1. En Policer der beskriver hastigheden og exceed action
  2. En firewall filter der bruger policeren og beskriver conform action

Pretest

Her er sat en SRX240 op med en server på ydersiden og en klient på indersiden. Serveren er installeret med en Ubuntu 14.04 LTS, apache, PHP og Speedtest.net Mini

Yderside
interface Ge-0/0/0.10
Inderside
interface vlan.10
Speed test

Som man kan se er der fuld skald igennem.

Konfiguration

Policer

Her bliver oprettet en Policer på 10Mbit med exceed action discard
Anbefalingen er at lave burst-size på hastighed * tid, hvor tid skal være imellem 5ms og 600ms[1]

[edit firewall]
root@SRX07# <input>show policer POLICER-10M</input>
if-exceeding {
    bandwidth-limit <notice>10m</notice>;
    burst-size-limit 500k;
}
then discard;

Firewall Filter

Her orpettes et filter uden from klausul, så alt trafik matcher, og vil blive tilladt hvis de ikke overskrider de 10Mbit/s

[edit firewall]
root@SRX07# <source lang=cli>show filter GE0/0/0.10-IN

term police {

   then {
       policer POLICER-10M;
       accept;
   }

}

</source>

Interface Konfiguration

Her aktiveres Firewall filteret på sub-interfacet i indgående retning for IPv4 trafik.

[edit interfaces ge-0/0/0]
root@SRX07# <input>show unit 10</input>
vlan-id 10;
family inet {
    <notice>filter {
        input GE0/0/0.10-IN;
    }</notice>
    address 10.64.0.26/30;
}

Posttest

posttest

Notes

  • Policers kan blades med andre firewall regler for bestemte trafik typer
  • Sættes på sub-interfaces som i eksemplet her.
  • Sættes på RVI(vlan.0) interfaces

Links

Referencer