понедельник, 4 апреля 2011 г.

Настройка шейпера в Juniper

Настройка разбивается на 2 этапа: фаерволл и полисер.
Фаерволл ловит нужные пакеты и запускает их в полисер, который и ограничивает скорость:

[edit firewall]
root@juniper# show
family inet {
    filter lan-to-inet { ## Здесь указываем правила срабатывания
        term 1 { ## Это правило отключает шейп на VPN-сети
            from {
                source-address {
                    10.1.1.0/24;
                }
                destination-address {
                    10.10.20.0/24;
                    10.10.21.0/24;
                }
            }
            then accept;
        }
        term 2 { ## А вот это правило направляет оставшийся трафик в полисер shape-users-to-inet
            from {
                source-address {
                    10.1.1.0/24;
                }
                destination-address {
                    0.0.0.0/0;
                }
            }
            then policer shape-users-to-inet;
        }
    }
    filter inet-to-lan {
        term 1 {  ## Это правило отключает шейп с VPN-сетей                      
            from {
                source-address {
                    10.10.20.0/24;
                    10.10.21.0/24;
                }
                destination-address {
                    10.1.1.0/24;
                }
            }
            then accept;
        }
        term 2 { ## А это правило направляет весь оставшийся трафик в полисер
            from {
                source-address {
                    0.0.0.0/0;
                }
                destination-address {
                    10.1.1.0/24;
                }
            }
            then policer shape-users-to-inet;
        }
    }
}
policer shape-users-to-inet { ## Собственно полисер. Лимит - 7 мбит
    if-exceeding {
        bandwidth-limit 7m;            
        burst-size-limit 1500;
    }
    then discard;
}

Комментариев нет: