- play_arrow 了解和配置 Junos 路由策略
- play_arrow 概述
- play_arrow 使用匹配条件、操作、术语和表达式评估路由策略
- play_arrow 使用策略链和子例程评估复杂案例
- play_arrow 将路由过滤器和前缀列表配置为匹配条件
- 了解用于路由策略匹配条件的路由过滤器
- 了解用于路由策略匹配条件的路由过滤器和源地址过滤器列表
- 了解仅使用源 IP 或目标 IP 的负载平衡
- 仅使用源或目标 IP 配置负载平衡
- 路由过滤器概述
- 配置路由过滤器的步行以提高运营效率
- 示例:配置路由过滤器列表
- 示例:全局配置路由过滤器的步行以提高运营效率
- 示例:在本地配置路由过滤器的步行以提高运营效率
- 示例:配置路由过滤器策略以指定通过 OSPF 获知的前缀的优先级
- 示例:使用路由过滤器配置 MED
- 示例:为路由过滤器配置第 3 层 VPN 协议系列限定符
- 了解用于路由策略匹配条件的前缀列表
- 示例:配置路由策略前缀列表
- 示例:配置 RPD 基础架构中路由前缀的优先级
- 配置 RPD 基础架构中路由前缀的优先级
- play_arrow 将 AS 路径配置为匹配条件
- play_arrow 将社区配置为匹配条件
- play_arrow 通过 BGP 路由抖动操作提高网络稳定性
- play_arrow 使用源类使用情况和目标类使用情况操作跟踪流量使用情况
- play_arrow 使用条件路由策略避免流量路由威胁
- play_arrow 通过将流量转发到丢弃接口来防范 DoS 攻击
- play_arrow 使用动态路由策略缩短提交时间
- play_arrow 应用路由策略前的测试
-
- play_arrow 配置防火墙过滤器
- play_arrow 了解防火墙过滤器如何保护您的网络
- play_arrow 防火墙过滤器匹配条件和操作
- 防火墙过滤器概述(OCX 系列)
- ACX 系列路由器上的防火墙过滤器配置文件概述(Junos OS 演化版)
- 了解防火墙过滤器匹配条件
- 了解防火墙过滤器规划
- 了解如何评估防火墙过滤器
- 了解防火墙过滤器匹配条件
- 防火墙过滤器灵活匹配条件
- 防火墙过滤器非终止操作
- 防火墙过滤器终止操作
- 防火墙过滤器匹配条件和操作(ACX 系列路由器)
- ACX 系列路由器中的防火墙过滤器匹配条件和操作 (Junos OS 演化版)
- 与协议无关的流量的防火墙过滤器匹配条件
- IPv4 流量的防火墙过滤器匹配条件
- IPv6 流量的防火墙过滤器匹配条件
- 基于数字或文本别名的防火墙过滤器匹配条件
- 基于位字段值的防火墙过滤器匹配条件
- 基于地址字段的防火墙过滤器匹配条件
- 基于地址类的防火墙过滤器匹配条件
- 了解 MPLS 流量的基于 IP 的过滤和选择性端口镜像
- MPLS 流量的防火墙过滤器匹配条件
- MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件
- VPLS 流量的防火墙过滤器匹配条件
- 第 2 层 CCC 流量的防火墙过滤器匹配条件
- 第 2 层桥接流量的防火墙过滤器匹配条件
- 环路接口上的防火墙过滤器支持
- play_arrow 将防火墙过滤器应用于路由引擎流量
- 在第 3 层 VPN 中的路由实例的环路接口上配置逻辑单元
- 示例:配置过滤器以根据前缀列表限制对端口的 TCP 访问
- 示例:配置无状态防火墙过滤器以接受来自可信源的流量
- 示例:配置过滤器以阻止 Telnet 和 SSH 访问
- 示例:配置过滤器以阻止 TFTP 访问
- 示例:配置过滤器以接受基于 IPv6 TCP 标志的数据包
- 示例:配置过滤器以阻止对端口的 TCP 访问(来自指定 BGP 对等方除外)
- 示例:配置无状态防火墙过滤器以防止 TCP 和 ICMP 泛滥
- 示例:使用每秒数据包数速率限制过滤器保护路由引擎
- 示例:配置过滤器以排除 LAC 订阅者的 DHCPv6 和 ICMPv6 控制流量
- DHCP 防火墙过滤器的端口号要求
- 示例:配置 DHCP 防火墙过滤器以保护路由引擎
- play_arrow 将防火墙过滤器应用于传输流量
- 示例:配置过滤器以用作入口队列过滤器
- 示例:配置过滤器以匹配 IPv6 标志
- 示例:配置过滤器以匹配端口和协议字段
- 示例:配置过滤器以计算接受和拒绝的数据包
- 示例:配置过滤器以计数和丢弃 IP 选项数据包
- 示例:配置过滤器以对 IP 选项数据包进行计数
- 示例:配置过滤器以对接受的数据包进行计数和采样
- 示例:配置过滤器以将 DSCP 位设置为零
- 示例:配置过滤器以将 DSCP 位设置为零
- 示例:将筛选器配置为匹配两个不相关的条件
- 示例:将过滤器配置为基于地址接受 DHCP 数据包
- 示例:配置过滤器以接受来自前缀的 OSPF 数据包
- 示例:配置无状态防火墙过滤器以处理片段
- 配置防火墙过滤器以防止或允许 IPv4 数据包分段
- 配置防火墙过滤器以丢弃带有移动扩展标头的入口 IPv6 数据包
- 示例:基于 IPv6 源或目标 IP 地址配置出口过滤器
- 示例:基于目标类配置速率限制过滤器
- play_arrow 在逻辑系统中配置防火墙过滤器
- play_arrow 配置防火墙过滤器记帐和日志记录
- play_arrow 将多个防火墙过滤器连接到单个接口
- play_arrow 将单个防火墙过滤器连接到多个接口
- play_arrow 配置跨 IP 网络的基于过滤器的隧道
- play_arrow 配置服务过滤器
- play_arrow 配置简单筛选器
- play_arrow 配置第 2 层防火墙过滤器
- play_arrow 为转发、分段和监管配置防火墙过滤器
- play_arrow 配置防火墙过滤器(EX 系列交换机)
- EX 系列交换机的防火墙过滤器概述
- 了解防火墙过滤器的规划
- 了解防火墙过滤器匹配条件
- 了解防火墙过滤器如何控制数据包流
- 了解如何评估防火墙过滤器
- 了解 EX 系列交换机上桥接数据包和路由数据包的防火墙过滤器处理点
- EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符
- EX 系列交换机上防火墙过滤器匹配条件、操作和操作修饰符的平台支持
- 支持交换机上环路防火墙过滤器的匹配条件和操作
- 配置防火墙过滤器(CLI 过程)
- 了解防火墙过滤器如何测试数据包的协议
- 了解 EX 系列交换机基于过滤器的转发
- 示例:为 EX 系列交换机上的端口、VLAN 和路由器流量配置防火墙过滤器
- 示例:在 EX 系列交换机的管理接口上配置防火墙过滤器
- 示例:使用基于过滤器的转发将应用程序流量路由到安全设备
- 示例:将防火墙过滤器应用于启用了 802.1X 或 MAC RADIUS 身份验证的接口上的多个请求方
- 验证监管器是否正常运行
- 防火墙过滤器故障排除
- play_arrow 配置防火墙过滤器(QFX 系列交换机、EX4600 交换机、PTX 系列路由器)
- 防火墙过滤器概述(QFX 系列)
- 了解防火墙过滤器规划
- 规划要创建的防火墙过滤器数量
- 防火墙过滤器匹配条件和操作(QFX 和 EX 系列交换机)
- 防火墙过滤器匹配条件和操作(QFX10000交换机)
- 防火墙过滤器匹配条件和操作(PTX 系列路由器)
- PTX 系列数据包传输路由器和 T 系列矩阵路由器之间的防火墙和监管差异
- 配置防火墙过滤器
- 将防火墙过滤器应用于接口
- 环路接口上的 MPLS 防火墙过滤器概述
- 在交换机上配置 MPLS 防火墙过滤器和监管器
- 在路由器上配置 MPLS 防火墙过滤器和监管器
- 配置 MPLS 防火墙过滤器和监管器
- 了解防火墙过滤器如何测试协议
- 了解桥接和路由数据包的防火墙过滤器处理点
- 了解基于过滤器的转发
- 示例:使用基于过滤器的转发将应用程序流量路由到安全设备
- 配置防火墙过滤器以解封装 GRE 或 IPIP 流量
- 验证防火墙过滤器是否正常运行
- 监控防火墙过滤器流量
- 防火墙过滤器配置疑难解答
- play_arrow 配置防火墙过滤器计费和日志记录(EX9200 交换机)
-
- play_arrow 配置语句和操作命令
- play_arrow 故障排除
- play_arrow 知识库
-
第 2 层的双色和三色监管器
第 2 层双色监管概述
配置第 2 层流量双色监管的准则
以下准则适用于第 2 层流量的双色管制:
您只能将双色监管器应用于千兆以太网接口 (
ge-) 或 10 千兆以太网接口 (xe-) 上托管的逻辑接口上的入口或出口第 2 层流量。单个逻辑接口支持双向第 2 层管制。
您只能将双色监管器作为逻辑接口监管器应用于第 2 层流量。您不能将双色监管器作为无状态 防火墙过滤器 操作应用于第 2 层流量。
您可以通过在逻辑单元级别(而非协议级别)的接口配置中引用监管器,将双色监管器应用于第 2 层流量。
有关配置第 2 层流量的三色管制的信息,请参见 第 2 层的三色监管概述。
用于为第 2 层流量配置双色监管器的语句层次结构
要使单速率双色监管器能够对第 2 层流量进行速率限制,请在配置中包含policer该logical-interface-policer语句。
firewall {
policer policer-name {
logical-interface-policer;
if-exceeding {
(bandwidth-limit bps | bandwidth-percent percentage);
burst-size-limit bytes;
}
then {
discard;
forwarding-class class-name;
loss-priority (high | low | medium-high | medium-low);
}
}
}
您可以在以下层次结构级别包括配置:
[edit][edit logical-systems logical-system-name]
用于将双色监管器应用于第 2 层流量的语句层次结构
要将逻辑接口监管器应用于第 2 层流量,请将语句 layer2-policer input-policer policer-name 或 layer2-policer output-policer policer-name 语句包含在受支持的逻辑接口中。使用 or input-policeroutput-policer 语句在第 2 层应用双色监管器。
interfaces {
(ge-fpc/pic/port | xe-fpc/pic/port) {
unit unit-number {
layer2-policer {
input-policer policer-name;
output-policer policer-name;
}
}
}
}
您可以在以下层次结构级别包括配置:
[edit][edit logical-systems logical-system-name]
另请参阅
第 2 层的三色监管概述
配置第 2 层流量三色监管的准则
以下准则适用于第 2 层流量的三色监管:
您只能将三色监管器应用于千兆以太网接口 (
ge-) 或 10 千兆以太网接口 (xe-) 上托管的逻辑接口上的第 2 层流量。单个逻辑接口支持双向第 2 层管制。
您只能将三色监管器作为逻辑接口监管器应用于第 2 层流量。您不能将双色监管器作为无状态 防火墙过滤器 操作应用于第 2 层流量。
您可以通过在逻辑单元级别(而非协议级别)的接口配置中引用监管器,将三色监管器应用于第 2 层流量。
您只能将颜色感知型三色监管器应用于出口方向的第 2 层流量,但可以将色盲三色监管器应用于任一方向的第 2 层流量。
有关配置第 2 层流量的双色管制的信息,请参见 第 2 层双色监管概述。
用于为第 2 层流量配置三色监管器的语句层次结构
要启用单速率或双速率三色监管器来对第 2 层流量进行速率限制,请在配置中包含three-color-policer该logical-interface-policer语句。
firewall {
three-color-policer policer-name {
action {
loss-priority high then discard;
}
logical-interface-policer;
single-rate {
(color-aware | color-blind);
committed-burst-size bytes;
committed-information-rate bps;
excess-burst-size bytes;
}
two-rate {
(color-aware | color-blind);
committed-burst-size bytes;
committed-information-rate bps;
peak-burst-size bytes;
peak-information-rate bps;
}
}
}
您可以在以下层次结构级别包括配置:
[edit][edit logical-systems logical-system-name]
用于将三色监管器应用于第 2 层流量的语句层次结构
要将逻辑接口监管器应用于第 2 层流量,请在逻辑单元级别包含 layer2-policer 受支持的逻辑接口的语句。使用 input-three-color policer-name 语句或 output-three-color policer-name 语句指定要监管的流量的方向。
interfaces {
(ge-fpc/pic/port | xe-fpc/pic/port) {
unit unit-number {
layer2-policer {
input-three-color policer-name;
output-three-color policer-name;
}
}
}
}
您可以在以下层次结构级别包括配置:
[edit][edit logical-systems logical-system-name]
另请参阅
示例:配置三色逻辑接口(聚合)监管器
此示例说明如何将双速率三色盲监管器配置为逻辑接口(聚合)监管器,并将监管器直接应用于支持的逻辑接口上的第 2 层输入流量。
要求
开始之前,请确保应用三色逻辑接口监管器的逻辑接口托管在 MX 系列路由器上的千兆以太网接口 (ge-) 或 10 千兆以太网接口 (xe-) 上。
概述
双速率三色监管器根据带宽限制和突发大小限制来计量流量,以实现有保证的流量,以及针对峰值流量的第二组带宽和突发大小限制。符合保证流量限制的流量归类为绿色,不符合流量分为两类:
不超过峰值流量的带宽和突发大小限制的不合格流量被归类为黄色。
超出峰值流量的带宽和突发大小限制的不合格流量被归类为红色。
逻辑接口监管器定义流量速率限制规则,您可以将这些规则应用于同一逻辑接口上的多个协议家族,而无需创建监管器的多个实例。
您可以将逻辑接口监管器直接应用于逻辑单元级别的逻辑接口,而不是通过在无状态防火墙过滤器中引用监管器,然后将过滤器应用于协议家族级别的逻辑接口。
拓扑学
在此示例中,您将双速率三色监管器 trTCM2-cb 配置为色盲逻辑接口监管器,并将监管器应用于逻辑接口 ge-1/3/1.0上的传入第 2 层流量。
使用三色监管器对第 2 层流量进行速率限制时,颜色感知型监管只能应用于出口流量。
监管器定义有保证的流量速率限制,以便符合 40 Mbps 带宽限制且流量突发限额为 100 KB 的流量(基于令牌桶公式)被归类为绿色。与任何监管流量一样,绿色流中的数据包被隐式设置为 low 丢失优先级,然后进行传输。
属于 60 Mbps 带宽限制和 200 KB 流量突增限额(基于令牌桶公式)峰值流量限制的不合格流量被归类为黄色。黄色流量流中的数据包被隐式设置为丢失优先级, medium-high 然后进行传输。
超过峰值流量限制的不合格流量被归类为红色。红色流量流中的数据包隐式设置为 high 丢失优先级。在此示例中,配置了针对红色流量 (loss-priority high then discard) 的可选监管器操作,因此红色流量流中的数据包将被丢弃而不是传输。
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 在配置模式下使用 CLI 编辑器。
要配置此示例,请执行以下操作:
CLI 快速配置
要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI [edit] 中。
set interfaces ge-1/3/1 vlan-tagging set interfaces ge-1/3/1 unit 0 vlan-id 100 set interfaces ge-1/3/1 unit 0 family inet address 10.10.10.1/30 set interfaces ge-1/3/1 unit 1 vlan-id 101 set interfaces ge-1/3/1 unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44 set firewall three-color-policer trTCM2-cb logical-interface-policer set firewall three-color-policer trTCM2-cb two-rate color-blind set firewall three-color-policer trTCM2-cb two-rate committed-information-rate 40m set firewall three-color-policer trTCM2-cb two-rate committed-burst-size 100k set firewall three-color-policer trTCM2-cb two-rate peak-information-rate 60m set firewall three-color-policer trTCM2-cb two-rate peak-burst-size 200k set firewall three-color-policer trTCM2-cb action loss-priority high then discard set interfaces ge-1/3/1 unit 0 layer2-policer input-three-color trTCM2-cb
配置逻辑接口
分步过程
要配置逻辑接口,请执行以下操作:
启用接口配置。
content_copy zoom_out_map[edit] user@host# edit interfaces ge-1/3/1
配置单个标记。
content_copy zoom_out_map[edit interfaces ge-1/3/1] user@host# set vlan-tagging
配置逻辑接口
ge-1/3/1.0。content_copy zoom_out_map[edit interfaces ge-1/3/1] user@host# set unit 0 vlan-id 100 user@host# set unit 0 family inet address 10.10.10.1/30
配置逻辑接口
ge-1/3/1.0。content_copy zoom_out_map[edit interfaces ge-1/3/1] user@host# set unit 1 vlan-id 101 user@host# set unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44
结果
通过输入 show interfaces 配置模式命令来确认逻辑接口的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
将双速率三色监管器配置为逻辑接口监管器
分步过程
要将双速率三色监管器配置为逻辑接口监管器:
启用三色监管器的配置。
content_copy zoom_out_map[edit] user@host# edit firewall three-color-policer trTCM2-cb
指定监管器是逻辑接口(聚合)监管器。
content_copy zoom_out_map[edit firewall three-color-policer trTCM2-cb] user@host# set logical-interface-policer
逻辑接口监管器根据应用监管器的逻辑接口底层物理接口的媒体速率的百分比来限制流量,监管器直接应用于接口,而不是由防火墙过滤器引用。
指定监管器为双速率和色盲。
content_copy zoom_out_map[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate color-blind
颜色感知型三色监管器会考虑在先前网络节点上配置的另一个流量监管器可能为数据包设置的任何着色标记,并且任何预先存在的颜色标记都用于确定数据包的适当监管操作。
由于您将此三色监管器应用于第 2 层的输入,因此您必须将监管器配置为色盲。
指定用于对绿色流量进行分类的监管器流量限制。
content_copy zoom_out_map[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate committed-information-rate 40m user@host# set two-rate committed-burst-size 100k
指定用于对黄色或红色流量进行分类的附加监管器流量限制。
content_copy zoom_out_map[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate peak-information-rate 60m user@host# set two-rate peak-burst-size 200k
(可选)为红色流量流中的数据包指定配置的监管器操作。
content_copy zoom_out_map[edit firewall three-color-policer trTCM2-cb] user@host# set action loss-priority high then discard
在颜色感知模式下,三色监管器配置的操作可以提高数据包的丢包优先级 (PLP) 级别,但绝不能降低。例如,如果颜色感知型三色监管器计量具有中等 PLP 标记的数据包,它可以将 PLP 级别提高到高,但不能将 PLP 级别降低到低。
结果
通过输入 show firewall 配置模式命令确认三色监管器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show firewall
three-color-policer trTCM2-cb {
logical-interface-policer;
action {
loss-priority high then discard;
}
two-rate {
color-blind;
committed-information-rate 40m;
committed-burst-size 100k;
peak-information-rate 60m;
peak-burst-size 200k;
}
}
将三色监管器应用于逻辑接口上的第 2 层输入
分步过程
要将三色监管器应用于逻辑接口上的第 2 层输入,请执行以下操作:
启用第 2 层逻辑接口监管器的应用。
content_copy zoom_out_map[edit] user@host# edit interfaces ge-1/3/1 unit 0
将三色逻辑接口监管器应用于逻辑接口输入。
content_copy zoom_out_map[edit interfaces ge-1/3/1 unit 0] user@host# set layer2-policerinput-three-color trTCM2-cb
结果
通过输入 show interfaces 配置模式命令来确认逻辑接口的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
layer2-policer {
input-three-color trTCM2-cb;
}
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
如果完成设备配置,请从配置模式输入 commit。
验证
确认配置工作正常。
显示逻辑接口的流量统计数据和监管器
目的
验证通过逻辑接口的信息流,以及在逻辑接口上收到数据包时是否评估监管器。
操作
show interfaces对逻辑接口ge-1/3/1.0使用操作模式命令,并包括detail或extensive选项。的 Traffic statistics 命令输出部分列出了逻辑接口上接收和传输的字节数和数据包数,该 Protocol inet 部分包含一个 Policer 字段,该字段将监管器 trTCM2-cb 列为输入或输出监管器,如下所示:
Input: trTCM2-cb-ge-1/3/1.0-log_int-i
Output: trTCM2-cb-ge-1/3/1.0-log_int-o
log_int-i后缀表示应用于输入流量的逻辑接口监管器,而log_int-o后缀表示应用于输出流量的逻辑接口监管器。在此示例中,逻辑接口监管器仅在输入方向上应用。
显示监管器的统计信息
目的
验证监管器评估的数据包数。
操作
show policer使用操作模式命令并选择性地指定监管器的名称。命令输出显示每个已配置的监管器(或指定的监管器)在每个方向上评估的数据包数。对于监管器 trTCM2-cb,输入和输出监管器名称显示如下:
trTCM2-cb-ge-1/3/1.0-log_int-i
trTCM2-cb-e-1/3/1.0-log_int-o
log_int-i后缀表示应用于输入流量的逻辑接口监管器,而log_int-o后缀表示应用于输出流量的逻辑接口监管器。在此示例中,逻辑接口监管器仅适用于输入流量。
