- play_arrow 了解和配置 Junos 路由策略
- play_arrow 概述
- play_arrow 使用匹配条件、操作、术语和表达式评估路由策略
- play_arrow 使用策略链和子例程评估复杂案例
- play_arrow 将路由过滤器和前缀列表配置为匹配条件
- 了解用于路由策略匹配条件的路由过滤器
- 了解用于路由策略匹配条件的路由过滤器和源地址过滤器列表
- 了解仅使用源 IP 或目标 IP 的负载平衡
- 仅使用源或目标 IP 配置负载平衡
- 路由过滤器概述
- 配置路由过滤器的步行以提高运营效率
- 示例:配置路由过滤器列表
- 示例:全局配置路由过滤器的步行以提高运营效率
- 示例:在本地配置路由过滤器的步行以提高运营效率
- 示例:配置路由过滤器策略以指定通过 OSPF 获知的前缀的优先级
- 示例:使用路由过滤器配置 MED
- 示例:为路由过滤器配置第 3 层 VPN 协议系列限定符
- 了解用于路由策略匹配条件的前缀列表
- 示例:配置路由策略前缀列表
- 示例:配置 RPD 基础架构中路由前缀的优先级
- 配置 RPD 基础架构中路由前缀的优先级
- play_arrow 将 AS 路径配置为匹配条件
- play_arrow 将社区配置为匹配条件
- play_arrow 通过 BGP 路由抖动操作提高网络稳定性
- play_arrow 使用源类使用情况和目标类使用情况操作跟踪流量使用情况
- play_arrow 使用条件路由策略避免流量路由威胁
- play_arrow 通过将流量转发到丢弃接口来防范 DoS 攻击
- play_arrow 使用动态路由策略缩短提交时间
- play_arrow 应用路由策略前的测试
-
- play_arrow 配置防火墙过滤器
- play_arrow 了解防火墙过滤器如何保护您的网络
- play_arrow 防火墙过滤器匹配条件和操作
- 防火墙过滤器概述(OCX 系列)
- ACX 系列路由器上的防火墙过滤器配置文件概述(Junos OS 演化版)
- 了解防火墙过滤器匹配条件
- 了解防火墙过滤器规划
- 了解如何评估防火墙过滤器
- 了解防火墙过滤器匹配条件
- 防火墙过滤器灵活匹配条件
- 防火墙过滤器非终止操作
- 防火墙过滤器终止操作
- 防火墙过滤器匹配条件和操作(ACX 系列路由器)
- ACX 系列路由器中的防火墙过滤器匹配条件和操作 (Junos OS 演化版)
- 与协议无关的流量的防火墙过滤器匹配条件
- IPv4 流量的防火墙过滤器匹配条件
- IPv6 流量的防火墙过滤器匹配条件
- 基于数字或文本别名的防火墙过滤器匹配条件
- 基于位字段值的防火墙过滤器匹配条件
- 基于地址字段的防火墙过滤器匹配条件
- 基于地址类的防火墙过滤器匹配条件
- 了解 MPLS 流量的基于 IP 的过滤和选择性端口镜像
- MPLS 流量的防火墙过滤器匹配条件
- MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件
- VPLS 流量的防火墙过滤器匹配条件
- 第 2 层 CCC 流量的防火墙过滤器匹配条件
- 第 2 层桥接流量的防火墙过滤器匹配条件
- 环路接口上的防火墙过滤器支持
- play_arrow 将防火墙过滤器应用于路由引擎流量
- 在第 3 层 VPN 中的路由实例的环路接口上配置逻辑单元
- 示例:配置过滤器以根据前缀列表限制对端口的 TCP 访问
- 示例:配置无状态防火墙过滤器以接受来自可信源的流量
- 示例:配置过滤器以阻止 Telnet 和 SSH 访问
- 示例:配置过滤器以阻止 TFTP 访问
- 示例:配置过滤器以接受基于 IPv6 TCP 标志的数据包
- 示例:配置过滤器以阻止对端口的 TCP 访问(来自指定 BGP 对等方除外)
- 示例:配置无状态防火墙过滤器以防止 TCP 和 ICMP 泛滥
- 示例:使用每秒数据包数速率限制过滤器保护路由引擎
- 示例:配置过滤器以排除 LAC 订阅者的 DHCPv6 和 ICMPv6 控制流量
- DHCP 防火墙过滤器的端口号要求
- 示例:配置 DHCP 防火墙过滤器以保护路由引擎
- play_arrow 将防火墙过滤器应用于传输流量
- 示例:配置过滤器以用作入口队列过滤器
- 示例:配置过滤器以匹配 IPv6 标志
- 示例:配置过滤器以匹配端口和协议字段
- 示例:配置过滤器以计算接受和拒绝的数据包
- 示例:配置过滤器以计数和丢弃 IP 选项数据包
- 示例:配置过滤器以对 IP 选项数据包进行计数
- 示例:配置过滤器以对接受的数据包进行计数和采样
- 示例:配置过滤器以将 DSCP 位设置为零
- 示例:配置过滤器以将 DSCP 位设置为零
- 示例:将筛选器配置为匹配两个不相关的条件
- 示例:将过滤器配置为基于地址接受 DHCP 数据包
- 示例:配置过滤器以接受来自前缀的 OSPF 数据包
- 示例:配置无状态防火墙过滤器以处理片段
- 配置防火墙过滤器以防止或允许 IPv4 数据包分段
- 配置防火墙过滤器以丢弃带有移动扩展标头的入口 IPv6 数据包
- 示例:基于 IPv6 源或目标 IP 地址配置出口过滤器
- 示例:基于目标类配置速率限制过滤器
- play_arrow 在逻辑系统中配置防火墙过滤器
- play_arrow 配置防火墙过滤器记帐和日志记录
- play_arrow 将多个防火墙过滤器连接到单个接口
- play_arrow 将单个防火墙过滤器连接到多个接口
- play_arrow 配置跨 IP 网络的基于过滤器的隧道
- play_arrow 配置服务过滤器
- play_arrow 配置简单筛选器
- play_arrow 配置第 2 层防火墙过滤器
- play_arrow 为转发、分段和监管配置防火墙过滤器
- play_arrow 配置防火墙过滤器(EX 系列交换机)
- EX 系列交换机的防火墙过滤器概述
- 了解防火墙过滤器的规划
- 了解防火墙过滤器匹配条件
- 了解防火墙过滤器如何控制数据包流
- 了解如何评估防火墙过滤器
- 了解 EX 系列交换机上桥接数据包和路由数据包的防火墙过滤器处理点
- EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符
- EX 系列交换机上防火墙过滤器匹配条件、操作和操作修饰符的平台支持
- 支持交换机上环路防火墙过滤器的匹配条件和操作
- 配置防火墙过滤器(CLI 过程)
- 了解防火墙过滤器如何测试数据包的协议
- 了解 EX 系列交换机基于过滤器的转发
- 示例:为 EX 系列交换机上的端口、VLAN 和路由器流量配置防火墙过滤器
- 示例:在 EX 系列交换机的管理接口上配置防火墙过滤器
- 示例:使用基于过滤器的转发将应用程序流量路由到安全设备
- 示例:将防火墙过滤器应用于启用了 802.1X 或 MAC RADIUS 身份验证的接口上的多个请求方
- 验证监管器是否正常运行
- 防火墙过滤器故障排除
- play_arrow 配置防火墙过滤器(QFX 系列交换机、EX4600 交换机、PTX 系列路由器)
- 防火墙过滤器概述(QFX 系列)
- 了解防火墙过滤器规划
- 规划要创建的防火墙过滤器数量
- 防火墙过滤器匹配条件和操作(QFX 和 EX 系列交换机)
- 防火墙过滤器匹配条件和操作(QFX10000交换机)
- 防火墙过滤器匹配条件和操作(PTX 系列路由器)
- PTX 系列数据包传输路由器和 T 系列矩阵路由器之间的防火墙和监管差异
- 配置防火墙过滤器
- 将防火墙过滤器应用于接口
- 环路接口上的 MPLS 防火墙过滤器概述
- 在交换机上配置 MPLS 防火墙过滤器和监管器
- 在路由器上配置 MPLS 防火墙过滤器和监管器
- 配置 MPLS 防火墙过滤器和监管器
- 了解防火墙过滤器如何测试协议
- 了解桥接和路由数据包的防火墙过滤器处理点
- 了解基于过滤器的转发
- 示例:使用基于过滤器的转发将应用程序流量路由到安全设备
- 配置防火墙过滤器以解封装 GRE 或 IPIP 流量
- 验证防火墙过滤器是否正常运行
- 监控防火墙过滤器流量
- 防火墙过滤器配置疑难解答
- play_arrow 配置防火墙过滤器计费和日志记录(EX9200 交换机)
-
- play_arrow 配置语句和操作命令
- play_arrow 故障排除
- play_arrow 知识库
-
监管器概述
交换机根据用户定义的标准限制一类流量的输入或输出传输速率,从而监管流量。监管(或速率限制)流量允许您控制接口上发送或接收的最大流量速率,并提供多个优先级或服务等级。
管制也是防火墙过滤器的重要组成部分。您可以通过在 防火墙过滤器 配置中包含监管器来实现监管。
监管器概述
您可以使用监管器对流量应用限制,并为超出这些限制的数据包设置后果(通常应用更高的丢失优先级),以便在数据包遇到下游拥塞时可以先丢弃它们。监管器仅适用于单播数据包。
监管器提供两种功能:计量和标记。监管器根据您配置的流量速率和突发大小计量(测量)每个数据包。然后,它将数据包和计量结果传递给标记器,标记器分配与计量结果相对应的丢包优先级。 图 1 说明了此过程。
监管器以配置的每个 PFE 传输速率限制流量。在 QFX10016、QFX10002、QFX10002-60C 和 QFX10008 交换机中,当聚合以太网 (AE) 接口束跨越多个 PFE 时,用户监管器的总体传输速率可能会超过监管器配置的传输速率(取决于所涉及的 PFE 数量)。
举个例子:
在具有成员链路 xe-1/0/0 (fpc1-pfe0) 和 xe-1/0/30 (fpc1-pfe1) 的 AE 接口上配置带宽限制为 100 Mbps 的监管器。此处,两个成员链路属于 FPC1,但位于不同的 PFE 上。当监管器应用于 AE 接口时,这将导致总带宽为 200 Mbps,因为监管器配置为两个 PFE。
在具有成员链路 xe-1/0/0 (fpc1-pfe0)、et-2/0/1 (fpc2-pfe1) 和 xe-2/0/18:0 (fpc2-pfe2) 的 AE 接口上配置带宽限制为 100 Mbps 的监管器。此处,一个成员链路属于此 FPC 上的 FPC1 和 PFE0。其余两个成员链路属于 FPC2,但 PFE 不同。当监管器应用于 AE 接口时,这将导致总带宽为 300 Mbps,因为监管器配置为三个 PFE。
在单个 PFE (fpc1-pfe0) 上具有成员链路 xe-1/0/0 和 xe-1/0/1 的 AE 接口上配置带宽限制为 100 Mbps 的监管器。此处,成员链路属于 FPC1 和同一 PFE。当监管器应用于 AE 接口时,这将导致总带宽为 100 Mbps,因为监管器是基于每个 PFE 配置的。
命名并配置监管器后,可以通过在一个或多个防火墙过滤器中将其指定为操作来使用它。
监管器类型
交换机支持三种类型的监管器:
单速率双色标记 — 双色监管器(未经限定使用时称为“监管器”)计量流量,并根据配置的带宽和突发大小限制将数据包分为两类数据包丢失优先级 (PLP)。您可以使用指定的 PLP 标记超过带宽和突发大小限制的数据包,也可以直接丢弃它们。
您可以在入口或出口防火墙中指定此类型的监管器。
注:双色监管器对于在端口(物理接口)级别计量流量最有用。
单速率三色标记 — 这种类型的监管器在 RFC 2697“ 单速率三色标记器”中定义,作为差异服务 (DiffServ) 环境的保证转发 (AF) 每跳行为 (PHB) 分类系统的一部分。这种类型的监管器基于一种速率计量流量:配置的承诺信息速率 (CIR) 以及承诺突发大小 (CBS) 和超额突发大小 (EBS)。CIR 指定允许位进入交换机的平均速率。CBS 以字节为单位指定通常的突发大小,EBS 以字节为单位指定最大突发大小。EBS 必须大于或等于 CBS,并且两者都不能为 0。
您可以在入口或出口防火墙中指定此类型的监管器。
注:当服务根据数据包长度而不是峰值到达率构建时,单速率三色标记 (TCM) 最有用。
双速率三色标记 — 这种类型的监管器在 RFC 2698( 双速率三色标记器)中定义,作为差异服务环境的有保证的转发每跃点行为分类系统的一部分。这种类型的监管器基于两种速率来计量流量:CIR 和峰值信息速率 (PIR) 及其关联的突发大小,即 CBS 和峰值突发大小 (PBS)。PIR 指定允许比特进入网络的最大速率,并且必须大于或等于 CIR。
您可以在入口或出口防火墙中指定此类型的监管器。
注:当服务根据到达率(不一定是数据包长度)构建时,双速率三色监管器最有用。
有关如何对每种监管器类型应用计量结果的信息,请参阅 表 1 。
监管器操作
监管器操作有隐式或显式,并且因监管器类型而异。隐式 表示 Junos OS 会自动分配丢失优先级。 表 1 描述了监管器操作。
监管器 | 标记 | 隐式操作 | 可配置操作 |
|---|---|---|---|
单速率双色 | 绿色(符合) | 分配低丢失优先级 | 无 |
红色(不合格) | 无 | 丢弃 | |
单速率三色 | 绿色(符合) | 分配低丢失优先级 | 无 |
黄色(在 CIR 和 CBS 上方) | 分配中高丢失优先级 | 无 | |
红色(EBS 上方) | 分配高丢失优先级 | 丢弃 | |
二率三色 | 绿色(符合) | 分配低丢失优先级 | 无 |
黄色(在 CIR 和 CBS 上方) | 分配中高丢失优先级 | 无 | |
红色(在 PIR 和 PBS 上方) | 分配高丢失优先级 | 丢弃 |
如果在出口 防火墙过滤器中指定监管器,则唯一支持的操作是 discard。
监管器颜色
单速率和双速率三色监管器可以在两种模式下工作:
色盲 — 在色盲模式下,三色监管器假定检查的所有数据包之前未进行标记或计量。换句话说,三色监管器对数据包之前可能具有的任何着色都是“盲目的”。
颜色感知 — 在颜色感知模式下,三色监管器假定检查的所有数据包之前都已标记或计量。换句话说,三色监管器“知道”数据包可能具有的先前着色。在颜色感知模式下,三色监管器可以增加数据包的 PLP,但不能降低它。例如,如果颜色感知型三色监管器计量具有中等 PLP 标记的数据包,则可以将 PLP 级别提高到高,但不能将 PLP 级别降低到低。
特定于过滤器的监管器
您可以将监管器配置为特定于过滤器,这意味着无论引用监管器的次数如何,Junos OS 都只会创建一个监管器实例。在某些 QFX 交换机上执行此操作时,将聚合应用速率限制,因此,如果您将监管器配置为丢弃超过 1 Gbps 的流量并以三个不同的术语引用该监管器,则过滤器允许的总带宽为 1 Gbps。但是,特定于过滤器的监管器的行为受引用监管器的防火墙过滤器术语在 TCAM 中的存储方式的影响。如果创建特定于过滤器的监管器并以多个防火墙过滤器术语引用该监管器,则当这些术语存储在不同的 TCAM 切片中时,监管器允许的流量多于预期。例如,如果将监管器配置为丢弃超过 1 Gbps 的流量,并以存储在三个单独内存片中的三个不同术语引用该监管器,则过滤器允许的总带宽为 3 Gbps,而不是 1 Gbps。(QFX10000交换机中不会发生此行为。
为防止发生此意外行为,请使用 规划要创建的防火墙过滤器数量中 提供的有关 TCAM 切片的信息来组织配置文件,以便引用给定过滤器特定监管器的所有防火墙过滤器术语都存储在同一个 TCAM 切片中。
建议的监管器命名约定
我们建议您在配置三色监管器和policer#配置双色监管器时使用命名约定policertypeTCM#-color type。TCM 代表 三色标记。由于监管器可能很多,并且必须正确应用才能工作,因此简单的命名约定可以更轻松地正确应用监管器。例如,配置的第一个单速率、颜色感知型三色监管器将被命名为 srTCM1-ca。第二个双速率、色盲三色配置将被命名为 trTCM2-cb。下面介绍了此命名约定的元素:
SR(单速率)
TR(双费率)
中药(三色标记)
1 或 2(标记数)
CA(颜色感知型)
CB(色盲)
监管器计数器
在某些 QFX 交换机上,您配置的每个监管器都包含一个隐式计数器,用于计算超过为监管器指定的速率限制的数据包数。如果您在多个术语中使用同一监管器(在同一过滤器内或在不同过滤器中),隐式计数器将计算以所有这些术语监管的所有数据包,并提供总量。(这不适用于QFX10000交换机。如果要为受影响的交换机上每个术语获取单独的数据包计数,请使用以下选项:
为每个术语配置唯一的监管器。
仅配置一个监管器,但在每个术语中使用唯一的显式计数器。
监管器算法
监管使用 令牌桶算法,该算法对平均带宽实施限制,同时允许突发达到指定的最大值。与 泄漏存储桶算法 相比,它提供了更大的灵活性,可以在开始丢弃数据包之前允许一定数量的突发流量。
在突发流量较少的环境中,QFX5200可能不会将所有组播数据包复制到两个或更多下游接口。这仅在线速突发时发生 - 如果流量一致,则不会发生问题。此外,仅当 1 千兆位流量中的数据包大小增加到 6k 以上时,才会出现此问题。
支持多少个监管器?
QFX10000交换机支持 8K 监管器(所有监管器类型)。QFX5100 和 QFX5200 交换机支持 1535 个入口监管器和 1024 个出口监管器(假设每个防火墙过滤器术语一个监管器)。QFX5110 交换机支持 6144 个入口监管器和 1024 个出口监管器(假设每个防火墙过滤器术语一个监管器)。
QFX3500和QFX3600独立交换机和 QFabric 节点设备支持以下数量的监管器(假设每个防火墙过滤器术语一个监管器):
入口防火墙过滤器中使用的双色监管器:767
入口防火墙过滤器中使用的三色监管器:767
出口防火墙过滤器中使用的双色监管器:1022
出口防火墙过滤器中使用的三色监管器:512
监管器可以限制出口防火墙过滤器
在某些交换机上,您配置的出口监管器数量可能会影响允许的出口防火墙过滤器总数。每个监管器都有两个隐式计数器,它们在 1024 条目的 TCAM 中占用两个条目。这些用于计数器,包括在防火墙过滤器术语中配置为操作修饰符的计数器。(监管器使用两个条目,因为一个用于绿色数据包,另一个用于非绿色数据包,而不考虑监管器类型。如果 TCAM 已满,您将无法再提交任何与计数器有条款的出口防火墙过滤器。例如,如果配置并提交 512 出口监管器(双色、三色或两种监管器类型的组合),计数器的所有内存条目都将用完。如果稍后在配置文件中插入了其他出口防火墙 过滤器,其中 的术语也包括计数器,则不会提交这些过滤器中的任何术语,因为计数器没有可用的内存空间。
以下是一些其他示例:
假设您配置的出口过滤器总共包括 512 个监管器,并且没有计数器。稍后在配置文件中,您将包含另一个包含 10 个术语的出口过滤器,其中 1 个具有计数器操作修饰符。此筛选器中的任何术语均未提交,因为没有足够的 TCAM 空间用于计数器。
假设您配置的出口过滤器总共包含 500 个监管器,因此占用 1000 个 TCAM 条目。稍后在配置文件中,您将包含以下两个出口过滤器:
具有 20 个术语和 20 个计数器的过滤器 A。将提交此筛选器中的所有术语,因为有足够的 TCAM 空间供所有计数器使用。
筛选器 B 位于筛选器 A 之后,具有五个术语和五个计数器。此筛选器中的任何术语均未提交,因为没有足够的内存空间供所有计数器使用。(需要五个 TCAM 条目,但只有四个可用。
可以通过确保在配置文件中放置带有计数器操作的出口防火墙过滤器术语比包含监管器的术语更早来防止此问题。在这种情况下,即使没有足够的 TCAM 空间用于隐式计数器,Junos OS 也会提交监管程序。例如,假设以下情况:
您有 1024 个出口防火墙过滤器术语和计数器操作。
稍后在配置文件中,您将有一个包含 10 个术语的出口过滤器。没有一个术语有计数器,但有一个术语有一个监管器操作修饰符。
即使没有足够的 TCAM 空间用于监管器的隐式计数器,您也可以使用 10 个术语成功提交过滤器。监管器在没有计数器的情况下提交。
