- play_arrow 了解和配置 Junos 路由策略
- play_arrow 概述
- play_arrow 使用匹配条件、操作、术语和表达式评估路由策略
- play_arrow 使用策略链和子例程评估复杂案例
- play_arrow 将路由过滤器和前缀列表配置为匹配条件
- 了解用于路由策略匹配条件的路由过滤器
- 了解用于路由策略匹配条件的路由过滤器和源地址过滤器列表
- 了解仅使用源 IP 或目标 IP 的负载平衡
- 仅使用源或目标 IP 配置负载平衡
- 路由过滤器概述
- 配置路由过滤器的步行以提高运营效率
- 示例:配置路由过滤器列表
- 示例:全局配置路由过滤器的步行以提高运营效率
- 示例:在本地配置路由过滤器的步行以提高运营效率
- 示例:配置路由过滤器策略以指定通过 OSPF 获知的前缀的优先级
- 示例:使用路由过滤器配置 MED
- 示例:为路由过滤器配置第 3 层 VPN 协议系列限定符
- 了解用于路由策略匹配条件的前缀列表
- 示例:配置路由策略前缀列表
- 示例:配置 RPD 基础架构中路由前缀的优先级
- 配置 RPD 基础架构中路由前缀的优先级
- play_arrow 将 AS 路径配置为匹配条件
- play_arrow 将社区配置为匹配条件
- play_arrow 通过 BGP 路由抖动操作提高网络稳定性
- play_arrow 使用源类使用情况和目标类使用情况操作跟踪流量使用情况
- play_arrow 使用条件路由策略避免流量路由威胁
- play_arrow 通过将流量转发到丢弃接口来防范 DoS 攻击
- play_arrow 使用动态路由策略缩短提交时间
- play_arrow 应用路由策略前的测试
-
- play_arrow 配置防火墙过滤器
- play_arrow 了解防火墙过滤器如何保护您的网络
- play_arrow 防火墙过滤器匹配条件和操作
- 防火墙过滤器概述(OCX 系列)
- ACX 系列路由器上的防火墙过滤器配置文件概述(Junos OS 演化版)
- 了解防火墙过滤器匹配条件
- 了解防火墙过滤器规划
- 了解如何评估防火墙过滤器
- 了解防火墙过滤器匹配条件
- 防火墙过滤器灵活匹配条件
- 防火墙过滤器非终止操作
- 防火墙过滤器终止操作
- 防火墙过滤器匹配条件和操作(ACX 系列路由器)
- ACX 系列路由器中的防火墙过滤器匹配条件和操作 (Junos OS 演化版)
- 与协议无关的流量的防火墙过滤器匹配条件
- IPv4 流量的防火墙过滤器匹配条件
- IPv6 流量的防火墙过滤器匹配条件
- 基于数字或文本别名的防火墙过滤器匹配条件
- 基于位字段值的防火墙过滤器匹配条件
- 基于地址字段的防火墙过滤器匹配条件
- 基于地址类的防火墙过滤器匹配条件
- 了解 MPLS 流量的基于 IP 的过滤和选择性端口镜像
- MPLS 流量的防火墙过滤器匹配条件
- MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件
- VPLS 流量的防火墙过滤器匹配条件
- 第 2 层 CCC 流量的防火墙过滤器匹配条件
- 第 2 层桥接流量的防火墙过滤器匹配条件
- 环路接口上的防火墙过滤器支持
- play_arrow 将防火墙过滤器应用于路由引擎流量
- 在第 3 层 VPN 中的路由实例的环路接口上配置逻辑单元
- 示例:配置过滤器以根据前缀列表限制对端口的 TCP 访问
- 示例:配置无状态防火墙过滤器以接受来自可信源的流量
- 示例:配置过滤器以阻止 Telnet 和 SSH 访问
- 示例:配置过滤器以阻止 TFTP 访问
- 示例:配置过滤器以接受基于 IPv6 TCP 标志的数据包
- 示例:配置过滤器以阻止对端口的 TCP 访问(来自指定 BGP 对等方除外)
- 示例:配置无状态防火墙过滤器以防止 TCP 和 ICMP 泛滥
- 示例:使用每秒数据包数速率限制过滤器保护路由引擎
- 示例:配置过滤器以排除 LAC 订阅者的 DHCPv6 和 ICMPv6 控制流量
- DHCP 防火墙过滤器的端口号要求
- 示例:配置 DHCP 防火墙过滤器以保护路由引擎
- play_arrow 将防火墙过滤器应用于传输流量
- 示例:配置过滤器以用作入口队列过滤器
- 示例:配置过滤器以匹配 IPv6 标志
- 示例:配置过滤器以匹配端口和协议字段
- 示例:配置过滤器以计算接受和拒绝的数据包
- 示例:配置过滤器以计数和丢弃 IP 选项数据包
- 示例:配置过滤器以对 IP 选项数据包进行计数
- 示例:配置过滤器以对接受的数据包进行计数和采样
- 示例:配置过滤器以将 DSCP 位设置为零
- 示例:配置过滤器以将 DSCP 位设置为零
- 示例:将筛选器配置为匹配两个不相关的条件
- 示例:将过滤器配置为基于地址接受 DHCP 数据包
- 示例:配置过滤器以接受来自前缀的 OSPF 数据包
- 示例:配置无状态防火墙过滤器以处理片段
- 配置防火墙过滤器以防止或允许 IPv4 数据包分段
- 配置防火墙过滤器以丢弃带有移动扩展标头的入口 IPv6 数据包
- 示例:基于 IPv6 源或目标 IP 地址配置出口过滤器
- 示例:基于目标类配置速率限制过滤器
- play_arrow 在逻辑系统中配置防火墙过滤器
- play_arrow 配置防火墙过滤器记帐和日志记录
- play_arrow 将多个防火墙过滤器连接到单个接口
- play_arrow 将单个防火墙过滤器连接到多个接口
- play_arrow 配置跨 IP 网络的基于过滤器的隧道
- play_arrow 配置服务过滤器
- play_arrow 配置简单筛选器
- play_arrow 配置第 2 层防火墙过滤器
- play_arrow 为转发、分段和监管配置防火墙过滤器
- play_arrow 配置防火墙过滤器(EX 系列交换机)
- EX 系列交换机的防火墙过滤器概述
- 了解防火墙过滤器的规划
- 了解防火墙过滤器匹配条件
- 了解防火墙过滤器如何控制数据包流
- 了解如何评估防火墙过滤器
- 了解 EX 系列交换机上桥接数据包和路由数据包的防火墙过滤器处理点
- EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符
- EX 系列交换机上防火墙过滤器匹配条件、操作和操作修饰符的平台支持
- 支持交换机上环路防火墙过滤器的匹配条件和操作
- 配置防火墙过滤器(CLI 过程)
- 了解防火墙过滤器如何测试数据包的协议
- 了解 EX 系列交换机基于过滤器的转发
- 示例:为 EX 系列交换机上的端口、VLAN 和路由器流量配置防火墙过滤器
- 示例:在 EX 系列交换机的管理接口上配置防火墙过滤器
- 示例:使用基于过滤器的转发将应用程序流量路由到安全设备
- 示例:将防火墙过滤器应用于启用了 802.1X 或 MAC RADIUS 身份验证的接口上的多个请求方
- 验证监管器是否正常运行
- 防火墙过滤器故障排除
- play_arrow 配置防火墙过滤器(QFX 系列交换机、EX4600 交换机、PTX 系列路由器)
- 防火墙过滤器概述(QFX 系列)
- 了解防火墙过滤器规划
- 规划要创建的防火墙过滤器数量
- 防火墙过滤器匹配条件和操作(QFX 和 EX 系列交换机)
- 防火墙过滤器匹配条件和操作(QFX10000交换机)
- 防火墙过滤器匹配条件和操作(PTX 系列路由器)
- PTX 系列数据包传输路由器和 T 系列矩阵路由器之间的防火墙和监管差异
- 配置防火墙过滤器
- 将防火墙过滤器应用于接口
- 环路接口上的 MPLS 防火墙过滤器概述
- 在交换机上配置 MPLS 防火墙过滤器和监管器
- 在路由器上配置 MPLS 防火墙过滤器和监管器
- 配置 MPLS 防火墙过滤器和监管器
- 了解防火墙过滤器如何测试协议
- 了解桥接和路由数据包的防火墙过滤器处理点
- 了解基于过滤器的转发
- 示例:使用基于过滤器的转发将应用程序流量路由到安全设备
- 配置防火墙过滤器以解封装 GRE 或 IPIP 流量
- 验证防火墙过滤器是否正常运行
- 监控防火墙过滤器流量
- 防火墙过滤器配置疑难解答
- play_arrow 配置防火墙过滤器计费和日志记录(EX9200 交换机)
-
- play_arrow 配置语句和操作命令
- play_arrow 故障排除
- play_arrow 知识库
-
ACX 系列路由器上的分层监管器模式
微流监管器确定和管理微流聚合带宽份额的方法由分层监管器模式定义。ACX 路由器支持以下三种分层监管器模式。您可以为每个分层监管器实例配置监管器的模式或类型。
分层监管器不适用于 ACX5048 和 ACX5096 路由器。
保证模式
此模式也称为带宽保证模式,用于微流监管器指定为其微流保证聚合父监管器带宽的一部分。当此微流不包含流量时,从聚合带宽中为此微流分配的量将由其他微流使用,这些微流传输流量的大小限制或带宽高于其各自的保证带宽速率。
考虑一个示例场景,其中用户的最大允许速率或峰值信息速率 (PIR) 为 140 Mbps。监管器的保证带宽模式共定义了四种服务或应用,分别称为加速转发 (EF)、金牌、银牌和铜牌,CIR 分别为 50 Mbps、40 Mbps、30 Mbps 和 20 Mbps。例如,如果为这四种服务中的每一项接收 140 Mbps 的流量,则允许的流量速率分别为 50、40、30 和 20 Mbps。如果收到 150 Mbps 的黄金流量,则金牌流量仅允许使用 140 Mbps。
所有子监管器必须为单速率、单桶和双色模式,才能实现分层监管器的带宽保证模式。这种属性组合也称为楼层模式。微流监管器值指定微流的最小保证带宽 (CIR)。巨集流监管器值指定所有流的最大允许带宽 (PIR)。配置的微流的所有 CIR 值的总和或累积值必须小于或等于巨集流 PIR。巨集-Flow 的突发大小必须大于子监管器所连接的逻辑接口或接口家族的所有物理接口中所有子监管器的突发大小和物理接口最大 MTU 的总和。
考虑一个示例配置,该配置具有两个子监管器,由在带宽保证模式下由父 PIR 聚合。配置了子监管器和父监管器的 PIR。当两个流(流 1 和流 2)以超过配置的 PIR 值的速率传输流量时,将根据子监管器为流定义的优先级调整父 PIR 的份额,以允许子监管器的流量,同时保持带宽。
监管器使用令牌桶算法对接口上流量的平均传输或接收速率实施限制,同时根据配置的带宽限制和配置的突发大小允许流量突发达到最大值。令牌桶算法比泄漏桶算法提供了更大的灵活性,因为您可以在开始丢弃数据包之前允许指定的流量突发,或者应用数据包输出队列优先级或数据包丢弃优先级等惩罚。以下是令牌桶算法的主要组件:
存储桶表示监管器对接口输入或输出流量的速率限制功能。
存储桶中的每个令牌代表一定数量的位的“信用”,存储桶中的令牌被“兑现”,以便能够接收或传输符合为监管器配置的速率限制的流量。
令牌到达速率是根据配置的带宽限制计算的定期将令牌分配到令牌存储桶中的。
令牌存储桶深度定义存储桶的容量(以字节为单位)。存储桶达到容量后分配的令牌无法存储和使用。
如果父监管器的峰值突发大小 (PBS) 或子监管器的确认突发大小 (CBS) 中存在令牌,则到达数据包符合带宽保证模式。如果父监管器或子监管器的 PBS 或 CBS 中分别不存在足够的令牌,则数据包不符合分层监管器的保证模式。在这种情况下,可以保证成员流的子监管器速率。下表描述了微流和巨集流监管器的颜色编码的不同方案,以及分配的结果颜色或优先级:
微彩色 | 微距颜色 | 结果 |
|---|---|---|
绿色 | 绿色 | 绿色 |
绿色 | 红 | 绿色 |
红 | 绿色 | 绿色 |
红 | 红 | 红 |
峰值模式
此模式也称为带宽保护模式,用于使用微流监管器指定微流可以使用的聚合父监管器带宽的最大量。此模式用于保护给定的微流不会使其他流匮乏。即使其他微流不包含流量(可用聚合带宽速率大于特定微流的速率),微流也不能使用超过其微流监管器上配置的速率。
考虑一个示例方案,其中用户的总最大允许速率 (PIR) 为 100 Mbps。监管器的峰值或带宽限制模式共定义了四种服务或应用,称为加速转发 (EF)、金牌、银牌和铜牌,PIR 值分别为 50 Mbps、40 Mbps、30 Mbps 和 20 Mbps。此类设置用于您希望阻止特定订阅者或用户将增加的 巨集 流或父 CIR 份额用于实时应用程序(如视频点播 (VoD) 或 IP 语音 (VoIP))的拓扑。例如,如果仅收到 100 Mbps 的 EF 数据包,则流量允许的带宽速率为 50 Mbps。当四个服务中的每一个都收到 100 Mbps 的流量时,允许的总流量为 100 Mbps,其中不同服务的速率如下:
EF 流量小于或等于 50 Mbps
金牌流量小于或等于 40 Mbps
银色流量小于或等于 30 Mbps
铜牌流量小于或等于 20 Mbps
所有子监管器都必须是单速率、单桶和双色类型,用于分层监管器的带宽保护或峰值模式。微流监管器值指定微流的最大允许带宽 (PIR)。巨集流监管器值指定所有流的最大允许带宽 (PIR)。微流量 PIR 值的总和必须大于或等于宏流量 PIR。宏流的 PIR 值必须大于或等于其任何微流的 PIR 值。巨集流突发大小必须大于或等于具有最大突发大小的微流的大小。
考虑一个示例配置,该配置具有两个子监管器,由在带宽保证模式下由父 PIR 聚合。配置了子监管器和父监管器的 PIR。当两个流(流 1 和流 2)以超过配置的 PIR 值的速率传输流量时,将根据为流定义的优先级调整父 PIR 的份额以允许子监管器的流量,同时限制带宽以保持最小或承诺的流量速率。
如果子监管器和父监管器的峰值突发大小 (PBS) 中都存在令牌,则到达数据包符合带宽保证模式。如果两个监管器的 PBS 中都没有足够的令牌,则数据包不符合分层监管器工作的峰值模式。在这种情况下,子监管器速率是成员流的最大允许速率或 PIR。下表描述了微流和巨集流监管器的颜色编码的不同方案,以及分配的结果颜色或优先级:
微彩色 | 微距颜色 | 结果 |
|---|---|---|
绿色 | 绿色 | 绿色 |
绿色 | 红 | 红 |
红 | 绿色 | 红 |
红 | 红 | 红 |
混合模式
该模式是带宽保证模式和带宽保护模式的组合,可以同时完成带宽限制和每流带宽调节的功能。带宽保证或带宽限制模式控制给定微流的保证速率。但是,它不会管理在微流之间共享超额聚合带宽的方式。某个微流可能会使用所有多余的聚合带宽,从而使其他微流缺乏任何多余的带宽。
带宽保护或峰值模式控制特定微流可以消耗的带宽量,从而保护其他流免于资源不足。但是,它没有为微流量指定任何保证费率。例如,如果流 f1、f2 和 f3 的微流速率分别为 50 Mbps、60 Mbps、50 Mbps,并且聚合速率为 70 Mbps,则 f1 和 f2 流可能分别提供 50 Mbps 和 20 Mbps,而不为 f3 分配带宽。
混合模式实现了峰值模式和保证模式的优势,以克服其各自的限制。在 hybird 模式下,微流监管器为微流指定两个速率,CIR 和 EIR。CIR 指定微流总 巨集 流带宽中的保证部分,PIR 指定微流总 巨集 流带宽的最大部分。这种机制类似于在保证模式下运行的CIR和在峰值模式下运行的EIR,从而结合了两种模型的优点。在催眠模式下,儿童监管器同时支持颜色感知模式和色盲模式。
儿童监管器按照 RFC 4115 模式的双速率三色标记运行。ACX 路由器上的正常双速率三色标记按照RFC2698模式运行。
考虑一个示例配置,其中用户允许的最大速率为 140 Mbps。监管器的混合模式共定义了四种服务或应用,分别称为加速转发 (EF)、金牌、银牌和铜牌,PIR 值分别为 55Mbps、60 Mbps、130 Mbps 和 140 Mbps。对于 EF、黄金、白银和青铜服务,定义的 CIR 值分别为 50 Mbps、40 Mbps、30 Mbps 和 20 Mbps。例如,当四个服务中的每个服务都收到 140 Mbps 的流量时,四个服务允许的绿色流量分别为 50、40、30 和 20 Mbps。如果仅收到 140 Mbps 的 EF 流量,则允许将 50 Mbps 的 EF 流量设置为绿色,5 Mbps 的 EF 流量为黄色。在同一方案中,假设巨集监管器速率为 26 Mbps。此外,假设两个处于颜色感知模式的子监管器,即 CIR 为 10 Mbps 且 EIR 为 10 Mbps 的子监管器-1。子级监管器 2 的 CIR 为 15 Mbps,EIR 为 5 Mbps。当 flow-1 是 100 Mbps 的黄色流量流,而 flow-2 是 100 Mbps 的绿色流量流时,此监管器层次结构的输出如下所示:
Flow-1 具有 0 Mbps 的绿色流量,并且具有小于或等于 5 Mbps 的黄色流量。
Flow-2 具有 10 Mbps 的绿色流量,并且具有大于或等于 10 Mbps 的黄色流量。
黄色流量的总和小于或等于 11 Mbps 。
考虑一个示例配置,该配置具有两个子监管器,由混合模式下的父 PIR 聚合。配置了子监管器和父监管器的 PIR。当两个流(流 1 和流 2)以超过配置的 PIR 值的速率传输流量时,将调整父 PIR 的份额以允许子监管器的流量,同时为这两个流保留子 PIR 值。
聚合或分层监管器的混合工作模式支持两种速率(CIR 和 PIR)和三种微流颜色。在 ACX 路由器上,对于混合类型的监管器,微监管器的类型必须为 RFC 4115 中定义的 modified-trtcm。儿童监管器支持色盲和颜色感知模式。宏监管器必须是单速率、单桶、双色监管器,微流的CIR值之和小于巨集流的PIR值,并且微流的所有PIR值的累积值大于巨集流的PIR值。当微流流量小于微流 CIR 的 CIR 值时,监管器会导致保持微流 CIR 或实现 PIR。当微流流量大于微流的CIR值时,微流CIR得到保证。微流超额速率基于可用的巨集流带宽共享,但限制为微流PIR实现的微流分配的超额信息速率。巨集流的CBS必须大于或等于微流CBS的总和。巨集流的超额突发大小 (EBS) 必须大于或等于具有最大 EBS 的微流的突发大小。
如果子监管器的提交突发大小 (CBS) 中存在令牌,则到达数据包符合混合模式。如果子监管器的 EBS 和父监管器的 PBS 中都存在令牌,则数据包不符合混合模式。当数据包不满足监管器的混合工作模式时,将保证成员流量的子监管器的 CIR,子监管器的 PIR 值是成员流允许的最大速率。下表描述了微流和巨集流监管器的颜色编码的不同方案,以及分配的结果颜色或优先级:
微彩色 | 微距颜色 | 结果 |
|---|---|---|
绿色 | 绿色 | 绿色 |
红 | 绿色 | 绿色 |
黄色 | 绿色 | 黄色 |
黄色 | 红 | 红 |
红 | 绿色 | 红 |
红 | 红 | 红 |
