- play_arrow 了解和配置 Junos 路由策略
- play_arrow 概述
- play_arrow 使用匹配条件、操作、术语和表达式评估路由策略
- play_arrow 使用策略链和子例程评估复杂案例
- play_arrow 将路由过滤器和前缀列表配置为匹配条件
- 了解用于路由策略匹配条件的路由过滤器
- 了解用于路由策略匹配条件的路由过滤器和源地址过滤器列表
- 了解仅使用源 IP 或目标 IP 的负载平衡
- 仅使用源或目标 IP 配置负载平衡
- 路由过滤器概述
- 配置路由过滤器的步行以提高运营效率
- 示例:配置路由过滤器列表
- 示例:全局配置路由过滤器的步行以提高运营效率
- 示例:在本地配置路由过滤器的步行以提高运营效率
- 示例:配置路由过滤器策略以指定通过 OSPF 获知的前缀的优先级
- 示例:使用路由过滤器配置 MED
- 示例:为路由过滤器配置第 3 层 VPN 协议系列限定符
- 了解用于路由策略匹配条件的前缀列表
- 示例:配置路由策略前缀列表
- 示例:配置 RPD 基础架构中路由前缀的优先级
- 配置 RPD 基础架构中路由前缀的优先级
- play_arrow 将 AS 路径配置为匹配条件
- play_arrow 将社区配置为匹配条件
- play_arrow 通过 BGP 路由抖动操作提高网络稳定性
- play_arrow 使用源类使用情况和目标类使用情况操作跟踪流量使用情况
- play_arrow 使用条件路由策略避免流量路由威胁
- play_arrow 通过将流量转发到丢弃接口来防范 DoS 攻击
- play_arrow 使用动态路由策略缩短提交时间
- play_arrow 应用路由策略前的测试
-
- play_arrow 配置防火墙过滤器
- play_arrow 了解防火墙过滤器如何保护您的网络
- play_arrow 防火墙过滤器匹配条件和操作
- 防火墙过滤器概述(OCX 系列)
- ACX 系列路由器上的防火墙过滤器配置文件概述(Junos OS 演化版)
- 了解防火墙过滤器匹配条件
- 了解防火墙过滤器规划
- 了解如何评估防火墙过滤器
- 了解防火墙过滤器匹配条件
- 防火墙过滤器灵活匹配条件
- 防火墙过滤器非终止操作
- 防火墙过滤器终止操作
- 防火墙过滤器匹配条件和操作(ACX 系列路由器)
- ACX 系列路由器中的防火墙过滤器匹配条件和操作 (Junos OS 演化版)
- 与协议无关的流量的防火墙过滤器匹配条件
- IPv4 流量的防火墙过滤器匹配条件
- IPv6 流量的防火墙过滤器匹配条件
- 基于数字或文本别名的防火墙过滤器匹配条件
- 基于位字段值的防火墙过滤器匹配条件
- 基于地址字段的防火墙过滤器匹配条件
- 基于地址类的防火墙过滤器匹配条件
- 了解 MPLS 流量的基于 IP 的过滤和选择性端口镜像
- MPLS 流量的防火墙过滤器匹配条件
- MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件
- VPLS 流量的防火墙过滤器匹配条件
- 第 2 层 CCC 流量的防火墙过滤器匹配条件
- 第 2 层桥接流量的防火墙过滤器匹配条件
- 环路接口上的防火墙过滤器支持
- play_arrow 将防火墙过滤器应用于路由引擎流量
- 在第 3 层 VPN 中的路由实例的环路接口上配置逻辑单元
- 示例:配置过滤器以根据前缀列表限制对端口的 TCP 访问
- 示例:配置无状态防火墙过滤器以接受来自可信源的流量
- 示例:配置过滤器以阻止 Telnet 和 SSH 访问
- 示例:配置过滤器以阻止 TFTP 访问
- 示例:配置过滤器以接受基于 IPv6 TCP 标志的数据包
- 示例:配置过滤器以阻止对端口的 TCP 访问(来自指定 BGP 对等方除外)
- 示例:配置无状态防火墙过滤器以防止 TCP 和 ICMP 泛滥
- 示例:使用每秒数据包数速率限制过滤器保护路由引擎
- 示例:配置过滤器以排除 LAC 订阅者的 DHCPv6 和 ICMPv6 控制流量
- DHCP 防火墙过滤器的端口号要求
- 示例:配置 DHCP 防火墙过滤器以保护路由引擎
- play_arrow 将防火墙过滤器应用于传输流量
- 示例:配置过滤器以用作入口队列过滤器
- 示例:配置过滤器以匹配 IPv6 标志
- 示例:配置过滤器以匹配端口和协议字段
- 示例:配置过滤器以计算接受和拒绝的数据包
- 示例:配置过滤器以计数和丢弃 IP 选项数据包
- 示例:配置过滤器以对 IP 选项数据包进行计数
- 示例:配置过滤器以对接受的数据包进行计数和采样
- 示例:配置过滤器以将 DSCP 位设置为零
- 示例:配置过滤器以将 DSCP 位设置为零
- 示例:将筛选器配置为匹配两个不相关的条件
- 示例:将过滤器配置为基于地址接受 DHCP 数据包
- 示例:配置过滤器以接受来自前缀的 OSPF 数据包
- 示例:配置无状态防火墙过滤器以处理片段
- 配置防火墙过滤器以防止或允许 IPv4 数据包分段
- 配置防火墙过滤器以丢弃带有移动扩展标头的入口 IPv6 数据包
- 示例:基于 IPv6 源或目标 IP 地址配置出口过滤器
- 示例:基于目标类配置速率限制过滤器
- play_arrow 在逻辑系统中配置防火墙过滤器
- play_arrow 配置防火墙过滤器记帐和日志记录
- play_arrow 将多个防火墙过滤器连接到单个接口
- play_arrow 将单个防火墙过滤器连接到多个接口
- play_arrow 配置跨 IP 网络的基于过滤器的隧道
- play_arrow 配置服务过滤器
- play_arrow 配置简单筛选器
- play_arrow 配置第 2 层防火墙过滤器
- play_arrow 为转发、分段和监管配置防火墙过滤器
- play_arrow 配置防火墙过滤器(EX 系列交换机)
- EX 系列交换机的防火墙过滤器概述
- 了解防火墙过滤器的规划
- 了解防火墙过滤器匹配条件
- 了解防火墙过滤器如何控制数据包流
- 了解如何评估防火墙过滤器
- 了解 EX 系列交换机上桥接数据包和路由数据包的防火墙过滤器处理点
- EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符
- EX 系列交换机上防火墙过滤器匹配条件、操作和操作修饰符的平台支持
- 支持交换机上环路防火墙过滤器的匹配条件和操作
- 配置防火墙过滤器(CLI 过程)
- 了解防火墙过滤器如何测试数据包的协议
- 了解 EX 系列交换机基于过滤器的转发
- 示例:为 EX 系列交换机上的端口、VLAN 和路由器流量配置防火墙过滤器
- 示例:在 EX 系列交换机的管理接口上配置防火墙过滤器
- 示例:使用基于过滤器的转发将应用程序流量路由到安全设备
- 示例:将防火墙过滤器应用于启用了 802.1X 或 MAC RADIUS 身份验证的接口上的多个请求方
- 验证监管器是否正常运行
- 防火墙过滤器故障排除
- play_arrow 配置防火墙过滤器(QFX 系列交换机、EX4600 交换机、PTX 系列路由器)
- 防火墙过滤器概述(QFX 系列)
- 了解防火墙过滤器规划
- 规划要创建的防火墙过滤器数量
- 防火墙过滤器匹配条件和操作(QFX 和 EX 系列交换机)
- 防火墙过滤器匹配条件和操作(QFX10000交换机)
- 防火墙过滤器匹配条件和操作(PTX 系列路由器)
- PTX 系列数据包传输路由器和 T 系列矩阵路由器之间的防火墙和监管差异
- 配置防火墙过滤器
- 将防火墙过滤器应用于接口
- 环路接口上的 MPLS 防火墙过滤器概述
- 在交换机上配置 MPLS 防火墙过滤器和监管器
- 在路由器上配置 MPLS 防火墙过滤器和监管器
- 配置 MPLS 防火墙过滤器和监管器
- 了解防火墙过滤器如何测试协议
- 了解桥接和路由数据包的防火墙过滤器处理点
- 了解基于过滤器的转发
- 示例:使用基于过滤器的转发将应用程序流量路由到安全设备
- 配置防火墙过滤器以解封装 GRE 或 IPIP 流量
- 验证防火墙过滤器是否正常运行
- 监控防火墙过滤器流量
- 防火墙过滤器配置疑难解答
- play_arrow 配置防火墙过滤器计费和日志记录(EX9200 交换机)
-
- play_arrow 配置语句和操作命令
- play_arrow 故障排除
- play_arrow 知识库
-
应用监管器
应用监管器概述
监管器允许您在特定接口或第 2 层虚拟专用网络 (VPN) 上执行简单的流量监管,而无需配置防火墙过滤器。要应用监管器,请包含以下 policer 语句:
policer { arp policer-template-name; input policer-template-name; output policer-template-name; }
您可以在以下层次结构级别包含这些语句:
[edit interfaces interface-name unit logical-unit-number family family][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
在语句中family,协议族可以是 ccc、 inet、 inet6mpls、 tcc或 vpls。
在语句中 arp ,列出接口上收到地址解析协议 (ARP) 数据包时要评估的一个监管器模板的名称。缺省情况下,将安装一个 ARP 监管器,该监管器在您配置 family inet 语句的所有以太网接口之间共享。如果您希望对 ARP 数据包进行更严格或更宽松的监管,可以配置特定于接口的监管器并将其应用于接口。您可以像在层次结构级别配置 [edit firewall policer] 任何其他监管器一样配置 ARP 监管器。如果将此监管器应用于接口,则会覆盖默认 ARP 数据包监管器。如果删除此监管器,默认监管器将再次生效。
您可以在接口上的每个协议家族上配置不同的监管器,每个家族有一个输入监管器和一个输出监管器。应用监管器时,您可以仅为家族协议配置家族
ccc、inetinet6tccmplsvpls或,以及一个 ARP 监管器。inet每次引用监管器时,都会在该接口的数据包转发组件上安装监管器的单独副本。如果同时对接口应用监管器和防火墙过滤器,则在输入防火墙过滤器之前评估输入监管器,在输出防火墙过滤器之后评估输出监管器。在语句中
input,列出接口上接收数据包时要评估的一个监管器模板的名称。在语句中output,列出在接口上传输数据包时要评估的一个监管器模板的名称。对于通过跨多个 FPC 的聚合以太网 (AE) 接口在 MX 系列路由器上终止的用户,总体用户速率可能会超过配置的速率,因为在监管器中配置的限制单独应用于 AE 捆绑包中的每个接口。因此,例如,如果您打算让三成员 AE 接口上的监管器强制执行 a
bandwidth-limitof 600m,则需要在监管器中配置 ,bandwidth-limit200m以考虑 AE 中的三个接口(即,每个接口 200 Mbps,总计 600Mbps)。如果将监管器应用于接口
lo0,它将应用于路由引擎接收或传输的数据包。在 T 系列、M120 和 M320 平台上,如果接口位于同一 FPC 上,则过滤器或监管器不会对进出接口的流量总和进行操作。
应用聚合监管器
应用聚合监管器
默认情况下,如果将监管器应用于同一逻辑接口上的多个协议家族,则监管器会单独限制每个协议家族的流量。例如,同时对 IPv4 和 IPv6 流量应用了 50 Mbps 带宽限制的监管器将允许接口接受 50 Mbps 的 IPv4 流量和 50 Mbps 的 IPv6 流量。如果应用聚合监管器,则监管器将只允许接口接收 50 Mbps 的 IPv4 和 IPv6 流量组合。
要配置聚合监管器,请在层次结构级别包含 logical-interface-policer 语句 [edit firewall policer policer-template-name] :
[edit firewall policer policer-template-name] logical-interface-policer;
要将监管器视为聚合,必须包含以下语句,将其 policer 应用于单个逻辑接口上的多个协议家族:
policer { arp policer-template-name; input policer-template-name; output policer-template-name; }
您可以在以下层次结构级别包含这些语句:
[edit interfaces interface-name unit logical-unit-number family family][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
在语句中family,协议族可以是 ccc、 inet、 inet6mpls、 tcc或 vpls。
您未应用监管器的协议家族不受监管器的影响。例如,如果将单个逻辑接口配置为接受 MPLS、IPv4 和 IPv6 流量,并且仅将逻辑接口监管器 policer1 应用于 IPv4 和 IPv6 协议家族,则 MPLS 流量不受 约束 policer1。
如果应用于 policer1 其他逻辑接口,则监管器有两个实例。这意味着,即使同一逻辑接口监管器应用于同一物理接口端口上的多个逻辑接口,Junos OS 也会单独监管不同逻辑接口上的流量,而不是作为聚合进行监管。
示例:应用聚合监管器
配置两个逻辑接口监管器:aggregate_police1 和 aggregate_police2。应用于 aggregate_police1 逻辑接口 fe-0/0/0.0上接收的 IPv4 和 IPv6 流量。应用于 aggregate_police2 在逻辑接口 fe-0/0/0.0 上接收的 CCC 和 MPLS 流量。此配置会导致软件仅创建 的一个 aggregate_police1 实例和一个实例 aggregate_police2。
应用于 aggregate_police1 在另一个逻辑接口 fe-0/0/0.1上接收的 IPv4 和 IPv6 流量。此配置会导致软件创建 的新 aggregate_police1实例 ,一个实例应用于单元 0,另一个实例应用于单元 1。
[edit firewall]
policer aggregate_police1 {
logical-interface-policer;
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 500k;
}
then {
discard;
}
}
policer aggregate_police2 {
logical-interface-policer;
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 200k;
}
then {
discard;
}
}
[edit interfaces fe-0/0/0]
unit 0 {
family inet {
policer {
input aggregate_police1;
}
}
family inet6 {
policer {
input aggregate_police1;
}
}
family ccc {
policer {
input aggregate_police2;
}
}
family mpls {
policer {
input aggregate_police2;
}
}
}
unit 1 {
family inet {
policer {
input aggregate_police1;
}
}
family inet6 {
policer {
input aggregate_police1;
}
}
}
在增强型智能排队 PIC 上应用分层监管器
在增强型智能排队 PIC 上应用分层监管器
带有增强型智能排队 (IQE) PIC 的 M40e、M120 和 M320 边缘路由器以及 T 系列核心路由器支持入口方向的分层监管器,并允许您将高级和聚合(高级加正常)流量级别的分层监管器应用于接口。分层监管器在配置的物理接口和数据包转发引擎之间提供交叉功能。
在开始之前,有一些适用于分层监管器的常规限制:
只能为逻辑接口或物理接口配置一种类型的监管器。例如,不允许同一逻辑接口的同一方向的分层监管器和常规监管器。
不允许对监管器进行链接,即将监管器同时应用于端口和该端口的逻辑接口。
如果没有 BA 分类,则每个接口限制为 64 个监管器,为每个 DLCI 提供一个监管器。
只能在物理或逻辑接口上应用一种监管器。
监管器应独立于 BA 分类。如果没有 BA 分类,则接口上的所有流量都将根据配置被视为 EF 或非 EF。采用 BA 分类时,一个接口最多可支持 64 个监管器。同样,此处的接口可以是物理接口或逻辑接口(例如 DLCI)。
使用 BA 分类时,杂项流量(与任何 BA 分类 DSCP/EXP 位 不匹配 的流量)将作为非 EF 流量进行监管。不会为此流量安装单独的监管器。
分层监管器概述
分层监管使用两个令牌存储桶,一个用于聚合(非 EF)流量,另一个用于高级 (EF) 流量。哪些流量是 EF,哪些是非 EF 由服务等级配置决定。从逻辑上讲,分层监管是通过链接两个监管器来实现的。
在 的 图 1示例中,EF 流量由高级监管器监管,非 EF 流量由聚合监管器监管。这意味着,对于 EF 流量,超出规格的操作将为高级监管器配置的操作,但规范内 EF 流量仍将使用聚合监管器中的令牌。
但 EF 流量永远不会提交到聚合监管器的不规范操作。此外,如果高级监管器的超出规格操作未设置为丢弃,则这些超出规格的数据包将不会使用聚合监管器中的令牌。聚合监管器仅对非 EF 流量进行策略处理。如您所见,如果所有令牌都被非 EF 流量使用,然后您获得突发 EF 流量,则聚合监管器令牌存储桶可能会变为负数。但这将是很短的时间,在一段时间内它会平均化。例如:
高级监管器: 带宽 2 Mbps,OOS 操作:丢弃
聚合监管器: 带宽 10 Mbps,OOS 操作:丢弃
在上述情况下,EF 流量保证为 2 Mbps,非 EF 流量将从 8 Mbps 获取到 10 Mbps,具体取决于 EF 流量的输入速率。
分层监管特征
分层令牌存储桶功能包括:
在应用监管器之前,首先将入口流量分类为 EF 流量和非 EF 流量:
通过 Q 树查找进行分类
通道号选择共享令牌桶监管器:
双令牌存储桶监管器分为两个单存储桶监管器:
监管器 1 — EF 流量
监管器 2 — 非 EF 流量
共享令牌存储桶用于监管流量,如下所示:
监管器1 设置为 EF 速率(例如,2 Mbps)
监管器2 设置为聚合接口监管速率(例如,10 Mbps)。
EF 流量将应用于监管器1。
如果流量符合规范,则允许从监管者 1 和监管者 2 通过和减少流量。
如果流量超出规格,则可以将其丢弃或标记为新的 FC 或丢失优先级。Policer2 不会对超出规格的 EF 流量执行任何操作。
非 EF 流量仅应用于监管器2。
如果流量符合规范,则允许其通过并减少 Policer2。
如果流量超出规格,则会将其丢弃或标有新的 FC 或设置新的丢弃优先级。
在第 2 层将端口速度速率限制为所需速率
对 EF 流量进行速率限制
对非 EF 流量进行速率限制
按颜色计数的警务掉落数
另请参阅
配置分层监管器
要配置分层监管器,请将语句应用于 policing-priority 正确的转发类,并为聚合和高级配置分层监管器。有关服务等级的详细信息,请参阅《 适用于路由设备的 Junos OS 服务等级用户指南》。
只能在 IQE PIC 上托管的 SONET 物理接口上配置分层监管器。仅支持聚合级别和高级级别。
分层监管器转发类的 CoS 配置
[edit class-of-service forwarding-classes] class fc1 queue-num 0 priority high policing-priority premium; class fc2 queue-num 1 priority low policing-priority normal; class fc3 queue-num 2 priority low policing-priority normal; class fc4 queue-num 3 priority low policing-priority normal;
有关服务等级配置和语句的详细信息,请参阅《 Junos OS 路由设备服务等级用户指南》。
分层监管器的防火墙配置
[edit firewall hierarchical-policer foo]
aggregate {
if-exceeding {
bandwidth-limit 70m;
burst-size-limit 1500;
}
then {
discard;
}
premium {
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 1500;
}
then {
discard;
}
}
您可以按如下方式应用分层监管器:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-hierarchical-policer foo;
您还可以选择在物理端口级别应用监管器,如下所示:
[edit interfaces so-0/1/0 layer2-policer] input-hierarchical-policer foo;
配置单速率双色监管器
您可以按如下方式配置单速率双色监管器:
[edit firewall policer foo]
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 1500;
}
then {
discard;
}
您可以按如下方式应用监管器:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-policer foo;
您还可以选择在物理端口级别应用监管器,如下所示:
[edit interfaces so-0/1/0 layer2-policer] input-policer foo;
配置单速率色盲监管器
本节介绍单速率色盲和颜色感知监管器。
您可以按如下方式配置单速率色盲监管器:
[edit firewall three-color-policer foo]
single-rate {
color-blind;
committed-information-rate 50m;
committed-burst-size 1500;
excess-burst-size 1500;
}
您可以按如下方式应用单速率色盲监管器:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
您可以按如下方式配置单速率颜色感知监管器:
[edit firewall three-color-policer bar]
single-rate {
color-aware;
committed-information-rate 50m;
committed-burst-size 1500;
excess-burst-size 1500;
}
您可以按如下方式应用单速率颜色感知监管器:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
您还可以选择在物理端口级别应用监管器,如下所示:
[edit interfaces so-0/1/0 layer2-policer] input-three-color bar;
配置双速率三色标记监管器
入口管制是使用双速率三色标记 (trTCM) 实现的。这是通过双令牌存储桶 (DTB) 完成的,该存储桶保持两个速率(已提交速率和一个峰值)。出口静态监管也使用令牌桶。
令牌桶执行以下入口监管功能:
(1K) trTCM - 双令牌桶(红色、黄色和绿色标记)
管制基于第 2 层数据包大小:
+/- 字节调整偏移后
标记是颜色感知和色盲的:
颜色感知需要根据以下条件通过 q 树查找设置颜色:
ToS
经验丰富
可编程打标动作:
颜色(红色、 黄色、 绿色)
基于颜色和拥塞配置文件的丢弃
根据到达的通道号选择监管器:
通道号 LUT 产生监管器索引和队列索引
多个通道可以共享同一个监管器(LUT产生相同的监管器索引)
在以下级别支持入口监管和 trTCM:
队列
逻辑接口 (ifl/DLCI)
物理接口 (ifd)
物理端口(控制器 ifd)
逻辑接口、物理接口和端口的任意组合
接口速度和每秒位数的支持百分比
速率限制可以应用于入口处的选定队列和出口处的预定义队列。令牌桶在颜色感知和色盲模式下运行(由 RFC 2698 指定)。
配置色盲 trTCM
[edit firewall three-color-policer foo]
two-rate {
color-blind;
committed-information-rate 50m;
committed-burst-size 1500;
peak-information-rate 100m;
peak-burst-size 3k;
}
您可以按如下方式应用三色双速率盲监管器:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
您还可以选择在物理端口级别应用监管器,如下所示:
[edit interfaces so-0/1/0 layer2-policer] input-three-color foo;
配置颜色感知 trTCM
[edit firewall three-color-policer bar]
two-rate {
color-aware;
committed-information-rate 50m;
committed-burst-size 1500;
peak-information-rate 100m;
peak-burst-size 3k;
}
您可以按如下方式应用三色双速率颜色感知监管器:
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color bar;
您还可以选择在物理端口级别应用监管器,如下所示:
[edit interfaces so-0/1/0 layer2-policer] input-three-color bar;
