- play_arrow 配置防火墙过滤器
- play_arrow 了解防火墙过滤器如何保护您的网络
- play_arrow 防火墙过滤器匹配条件和操作
- 防火墙过滤器概述(OCX 系列)
- ACX 系列路由器上的防火墙过滤器配置文件概述(Junos OS 演化版)
- 了解防火墙过滤器匹配条件
- 了解防火墙过滤器规划
- 了解如何评估防火墙过滤器
- 了解防火墙过滤器匹配条件
- 防火墙过滤器灵活匹配条件
- 防火墙过滤器非终止操作
- 防火墙过滤器终止操作
- 防火墙过滤器匹配条件和操作(ACX 系列路由器)
- ACX 系列路由器中的防火墙过滤器匹配条件和操作 (Junos OS 演化版)
- 与协议无关的流量的防火墙过滤器匹配条件
- IPv4 流量的防火墙过滤器匹配条件
- IPv6 流量的防火墙过滤器匹配条件
- 基于数字或文本别名的防火墙过滤器匹配条件
- 基于位字段值的防火墙过滤器匹配条件
- 基于地址字段的防火墙过滤器匹配条件
- 基于地址类的防火墙过滤器匹配条件
- 了解 MPLS 流量的基于 IP 的过滤和选择性端口镜像
- MPLS 流量的防火墙过滤器匹配条件
- MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件
- VPLS 流量的防火墙过滤器匹配条件
- 第 2 层 CCC 流量的防火墙过滤器匹配条件
- 第 2 层桥接流量的防火墙过滤器匹配条件
- 环路接口上的防火墙过滤器支持
- play_arrow 将防火墙过滤器应用于路由引擎流量
- 在第 3 层 VPN 中的路由实例的环路接口上配置逻辑单元
- 示例:配置过滤器以根据前缀列表限制对端口的 TCP 访问
- 示例:配置无状态防火墙过滤器以接受来自可信源的流量
- 示例:配置过滤器以阻止 Telnet 和 SSH 访问
- 示例:配置过滤器以阻止 TFTP 访问
- 示例:配置过滤器以接受基于 IPv6 TCP 标志的数据包
- 示例:配置过滤器以阻止对端口的 TCP 访问(来自指定 BGP 对等方除外)
- 示例:配置无状态防火墙过滤器以防止 TCP 和 ICMP 泛滥
- 示例:使用每秒数据包数速率限制过滤器保护路由引擎
- 示例:配置过滤器以排除 LAC 订阅者的 DHCPv6 和 ICMPv6 控制流量
- DHCP 防火墙过滤器的端口号要求
- 示例:配置 DHCP 防火墙过滤器以保护路由引擎
- play_arrow 将防火墙过滤器应用于传输流量
- 示例:配置过滤器以用作入口队列过滤器
- 示例:配置过滤器以匹配 IPv6 标志
- 示例:配置过滤器以匹配端口和协议字段
- 示例:配置过滤器以计算接受和拒绝的数据包
- 示例:配置过滤器以计数和丢弃 IP 选项数据包
- 示例:配置过滤器以对 IP 选项数据包进行计数
- 示例:配置过滤器以对接受的数据包进行计数和采样
- 示例:配置过滤器以将 DSCP 位设置为零
- 示例:配置过滤器以将 DSCP 位设置为零
- 示例:将筛选器配置为匹配两个不相关的条件
- 示例:将过滤器配置为基于地址接受 DHCP 数据包
- 示例:配置过滤器以接受来自前缀的 OSPF 数据包
- 示例:配置无状态防火墙过滤器以处理片段
- 配置防火墙过滤器以防止或允许 IPv4 数据包分段
- 配置防火墙过滤器以丢弃带有移动扩展标头的入口 IPv6 数据包
- 示例:基于 IPv6 源或目标 IP 地址配置出口过滤器
- 示例:基于目标类配置速率限制过滤器
- play_arrow 在逻辑系统中配置防火墙过滤器
- play_arrow 配置防火墙过滤器记帐和日志记录
- play_arrow 将多个防火墙过滤器连接到单个接口
- play_arrow 将单个防火墙过滤器连接到多个接口
- play_arrow 配置跨 IP 网络的基于过滤器的隧道
- play_arrow 配置服务过滤器
- play_arrow 配置简单筛选器
- play_arrow 配置第 2 层防火墙过滤器
- play_arrow 为转发、分段和监管配置防火墙过滤器
- play_arrow 配置防火墙过滤器(EX 系列交换机)
- EX 系列交换机的防火墙过滤器概述
- 了解防火墙过滤器的规划
- 了解防火墙过滤器匹配条件
- 了解防火墙过滤器如何控制数据包流
- 了解如何评估防火墙过滤器
- 了解 EX 系列交换机上桥接数据包和路由数据包的防火墙过滤器处理点
- EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符
- EX 系列交换机上防火墙过滤器匹配条件、操作和操作修饰符的平台支持
- 支持交换机上环路防火墙过滤器的匹配条件和操作
- 配置防火墙过滤器(CLI 过程)
- 了解防火墙过滤器如何测试数据包的协议
- 了解 EX 系列交换机基于过滤器的转发
- 示例:为 EX 系列交换机上的端口、VLAN 和路由器流量配置防火墙过滤器
- 示例:在 EX 系列交换机的管理接口上配置防火墙过滤器
- 示例:使用基于过滤器的转发将应用程序流量路由到安全设备
- 示例:将防火墙过滤器应用于启用了 802.1X 或 MAC RADIUS 身份验证的接口上的多个请求方
- 验证监管器是否正常运行
- 防火墙过滤器故障排除
- play_arrow 配置防火墙过滤器(QFX 系列交换机、EX4600 交换机、PTX 系列路由器)
- 防火墙过滤器概述(QFX 系列)
- 了解防火墙过滤器规划
- 规划要创建的防火墙过滤器数量
- 防火墙过滤器匹配条件和操作(QFX 和 EX 系列交换机)
- 防火墙过滤器匹配条件和操作(QFX10000交换机)
- 防火墙过滤器匹配条件和操作(PTX 系列路由器)
- PTX 系列数据包传输路由器和 T 系列矩阵路由器之间的防火墙和监管差异
- 配置防火墙过滤器
- 将防火墙过滤器应用于接口
- 环路接口上的 MPLS 防火墙过滤器概述
- 在交换机上配置 MPLS 防火墙过滤器和监管器
- 在路由器上配置 MPLS 防火墙过滤器和监管器
- 配置 MPLS 防火墙过滤器和监管器
- 了解防火墙过滤器如何测试协议
- 了解桥接和路由数据包的防火墙过滤器处理点
- 了解基于过滤器的转发
- 示例:使用基于过滤器的转发将应用程序流量路由到安全设备
- 配置防火墙过滤器以解封装 GRE 或 IPIP 流量
- 验证防火墙过滤器是否正常运行
- 监控防火墙过滤器流量
- 防火墙过滤器配置疑难解答
- play_arrow 配置防火墙过滤器计费和日志记录(EX9200 交换机)
-
- play_arrow 配置流量监管器
- play_arrow 了解流量监管器
- 监管器实施概述
- ARP 监管器概述
- 示例:配置 ARP 监管器
- 了解监管器和令牌桶算法的优势
- 确定流量监管器的适当突发大小
- 使用流量监管控制网络访问概述
- 流量监管器类型
- 监管器和防火墙过滤器操作的顺序
- 了解监管数据包的帧长度
- 支持的监管标准
- 分层监管器配置概述
- 了解增强型分层监管器
- 基于每秒数据包数 (pps) 的监管器概述
- 应用流量监管器的准则
- 聚合以太网接口的监管器支持概述
- 示例:为物理接口上的聚合流量配置物理接口监管器
- PTX 系列数据包传输路由器和 T 系列矩阵路由器之间的防火墙和监管差异
- ACX 系列路由器上的分层监管器概述
- 在 ACX 系列路由器上配置分层监管器的准则
- ACX 系列路由器上的分层监管器模式
- 处理 ACX 系列路由器上的分层监管器
- 对 ACX 系列路由器上的分层监管器执行的操作
- 在 ACX 系列路由器上配置聚合父监管器和子监管器
- play_arrow 配置监管器速率限制和操作
- play_arrow 配置第 2 层监管器
- play_arrow 在第 3 层配置双色和三色流量监管器
- play_arrow 在第 3 层配置逻辑和物理接口流量监管器
- play_arrow 在交换机上配置监管器
-
- play_arrow 配置语句和操作命令
- play_arrow 故障排除
- play_arrow 知识库
-
了解动态路由策略
提交配置更改所需的验证过程可能需要大量的开销和时间。例如,更改路由策略的一行中长度为 20,000 行的前缀最多可能需要 20 秒才能提交。能够更快地提交路由策略更改会很有用。
在 Junos OS 9.5 版及更高版本中,您可以在动态数据库中配置路由策略和某些路由策略对象,而该数据库不受标准配置数据库中所需验证的相同约束。因此,将更改提交到动态数据库所需的时间比标准配置数据库短得多。然后,您可以在标准数据库中配置的路由策略中引用这些策略和策略对象。BGP 是唯一可以应用引用动态数据库中配置的策略和策略对象的路由策略的协议。根据动态数据库中配置的对象配置并提交路由策略后,可以通过更改动态数据库配置来快速更新任何现有路由策略。
由于 Junos OS 不会验证对动态数据库的配置更改,因此在使用此功能时,应在提交所有配置更改之前测试并验证这些更改。
在动态数据库中配置路由策略和策略对象
Junos OS 9.5 版及更高版本支持配置数据库,即 动态数据库,可以采用与标准配置数据库类似的方式对其进行编辑,但提交配置更改时不受相同验证过程的约束。因此,提交配置更改所需的时间要快得多。然后,可以在标准配置中配置的路由策略中引用动态数据库中定义的策略和策略对象。动态数据库存储在 /var/run/db/juniper.dyn 目录中。
要配置动态数据库,请输入 configure dynamic 命令以进入动态数据库的配置模式:
user@host> configure dynamic Entering configuration mode [edit dynamic] user@host#
在此动态配置数据库中,可以在层次结构级别配置 [edit policy-options] 以下语句:
as-path nameas-path-group group-namecommunity community-namecondition condition-nameprefix-list prefix-list-namepolicy-statement policy-statement-name
层次结构级别不支持 [edit dynamic] 其他配置。
使用该 policy-statement policy-statement-name 语句配置路由策略,就像在标准配置数据库中一样。
要退出动态数据库的配置模式,请从层次结构中的任何[edit dynamic]级别发出exit configuration-mode命令,或使用exit顶层的命令。
基于动态数据库配置配置路由策略
在标准配置模式下,您可以配置引用在动态数据库中层次结构级别配置 [edit dynamic] 的策略和策略对象的路由策略。要定义引用动态数据库配置的路由策略,请在层次结构级别包含 dynamic-db 该语句 [edit policy-options policy-statement policy-statement-name] :
[edit policy-options]
policy-statement policy-statement-name {
dynamic-db;
}
您还可以根据动态数据库中特定策略对象的配置来定义这些对象。要基于动态数据库定义策略对象, dynamic-db 请在层次结构级别包含 [edit policy-options] 具有以下语句的语句:
as-path nameas-path-group group-namecommunity community-namecondition condition-nameprefix-list prefix-list-name
在标准配置中,您还可以定义一个路由策略,该策略引用您在标准配置中配置的任何策略对象,该策略引用在动态数据库中配置的对象。
例如,在标准配置模式下,您可以配置一个前缀列表,该列表 prefix-list pl2 引用已在动态数据库中配置的前缀列表(也称为 prefix-list pl2):
[edit policy-options]
prefix-list pl2 {
dynamic-db; # Reference a prefix list configured in the dynamic database.
}
然后,您可以在标准配置中配置路由策略,其中包括 prefix-list pl2:
[edit policy-options]
policy-statement one {
term term1 {
from {
prefix-list pl2; # Include the prefix list configured in the standard configuration
# database, but which references a prefix list configured in the dynamic database.
}
then accept;
}
then reject;
}
如果需要更新 的 prefix-list pl2配置,请在使用层次结构级别的 [edit dynamic] 动态数据库配置中执行此操作。这使您能够比在标准配置数据库中更快地对前缀列表进行提交配置更改。
如果要将 Junos OS 降级到 Junos OS 9.4 或更低版本,必须先删除引用动态数据库的所有路由策略。也就是说,您必须删除使用该语句配置 dynamic-db 的所有路由策略或策略对象。
将动态路由策略应用于 BGP
BGP 是唯一可以应用引用动态数据库配置的路由策略的路由协议。您必须在标准配置中应用这些策略。动态策略可应用于 BGP 导出或导入策略。它们还可以应用于全局、组或邻居层次结构级别。
要应用 BGP 导出策略,请在 、 [edit protocols bgp group group-name]或[edit protocols bgp group group-name neighbor address]层次结构级别包含[edit protocols bgp]export [ policy-names ]语句。
[edit]
protocols
bgp {
export [ policy-names ];
}
}
要应用 BGP 导入策略,请在 、 [edit protocols bgp group group-name]或[edit protocols bgp group group-name neighbor address]层次结构级别包含[edit protocols bgp]import [ policy-names ]语句。
[edit]
protocols
bgp {
import [ policy-names ];
}
}
在引用动态数据库中配置的策略的层次结构级别包括 [edit policy-options policy-statement] 在该标准配置中配置的一个或多个策略名称。
防止在 NSR 路由引擎切换后重新建立 BGP 对等会话
如果启用了活动不间断路由 (NSR),那么动态数据库不会与备份路由引擎同步。因此,如果切换到备份路由引擎,则切换时在主路由引擎上运行的导入和导出策略可能不再可用。因此,您可能希望防止在切换发生后立即自动重新建立 BGP 对等会话。
您可以将路由器配置为在活动不间断路由切换后在指定时间段内或手动重新建立会话之前不重新建立 BGP 对等会话。idle-after-switch-over (seconds | forever)在 、 [edit protocols bgp group group-name]或[edit protocols bgp group group-name neighbor address]层次结构级别包含[edit protocols bgp]语句:
[edit]
bgp {
protocols {
idle-after-switch-over (seconds | never);
}
}
对于,请 seconds, 指定一个介于 1 到 4,294,967,295 (232 – 1) 之间的值。BGP 对等会话在指定时间段后才会重新建立。如果指定该 forever 选项,则在发出 clear bgp neighbor 命令之前不会建立 BGP 对等会话。
