Traffic Policing JUNOS
From Teknologisk videncenter
Vil man begrænse hastigheden på en forbindelse i JUNOS skal der konfigureres følgende:
- En Policer der beskriver hastigheden og exceed action
- En firewall filter der bruger policeren og beskriver conform action
Contents
Pretest
Her er sat en SRX240 op med en server på ydersiden og en klient på indersiden. Serveren er installeret med en Ubuntu 14.04 LTS, apache, PHP og Speedtest.net Mini
- Yderside
- interface Ge-0/0/0.10
- Inderside
- interface vlan.10
Som man kan se er der fuld skald igennem.
Konfiguration
Policer
Her bliver oprettet en Policer på 10Mbit med exceed action discard
Anbefalingen er at lave burst-size på hastighed * tid, hvor tid skal være imellem 5ms og 600ms[1]
[edit firewall]
root@SRX07# <input>show policer POLICER-10M</input>
if-exceeding {
bandwidth-limit <notice>10m</notice>;
burst-size-limit 500k;
}
then discard;
Firewall Filter
Her orpettes et filter uden from klausul, så alt trafik matcher, og vil blive tilladt hvis de ikke overskrider de 10Mbit/s
[edit firewall]
root@SRX07# <source lang=cli>show filter GE0/0/0.10-IN
term police {
then { policer POLICER-10M; accept; }
}
</source>
Interface Konfiguration
Her aktiveres Firewall filteret på sub-interfacet i indgående retning for IPv4 trafik.
[edit interfaces ge-0/0/0]
root@SRX07# <input>show unit 10</input>
vlan-id 10;
family inet {
<notice>filter {
input GE0/0/0.10-IN;
}</notice>
address 10.64.0.26/30;
}
Posttest
Notes
- Policers kan blades med andre firewall regler for bestemte trafik typer
- Sættes på sub-interfaces som i eksemplet her.
- Sættes på RVI(vlan.0) interfaces