帮助我们改善您的体验。

让我们了解您的想法。

您是否能抽出两分钟的时间完成一份问卷调查?

Announcement: Try the Ask AI chatbot for answers to your technical questions about Juniper products and solutions.

close
header-navigation

Solutions

Featured solutions AI Campus and branch Data center WAN Security Service provider Cloud operator Industries
Campus and Branch

Welcome to the NOW Way to Wi-Fi

Take your networking performance to new heights with a modern, cloud-native, AI-Native architecture. Only Juniper can help you unleash the full potential of Wi-Fi 7 with our AI-Native platform for innovation.
Prepare for liftoff
Business intelligence analyst dashboard on virtual screen. Big data Graphs Charts.

AI Data Center Networking

Juniper’s AI data center solution is a quick way to deploy high performing AI training and inference networks that are the most flexible to design and easiest to manage with limited IT resources.
Find out more
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Zero trust security

Ops4AI Lab

Visit our lab in Sunnyvale, CA and see our AI data center solution for yourself. You can try out your own model’s functionality and performance, too.
Visit the lab
Enterprise AI-Native Networking

Enterprise AI‑Native Routing

Juniper's Ai-Native routing solution delivers robust 400GbE and 800GbE capabilities for unmatched performance, reliability, and sustainability at scale.
Explore enterprise routing
Higher Education

Shaping Student Experiences: The NOW Way to Build Higher Education Networks

Juniper Networks CIO Sharon Mandell and a virtual summit of C-level IT leaders from prestigious institutions discuss ongoing efforts to support digital transformation on campus.
Watch now
Hand on tablet with healthcare overlay of graphics

Security in healthcare

In this IDC Spotlight report, discover how AI networking can automate and strengthen a healthcare ecosystem to defeat criminals and prevent loss. 
Gain insights into ecosystem security
Retail

The Future of In-Store Technologies

Retail experts Kevin McCartan, Senior IT Service Delivery Engineer at Musgrave; Jack Stratten of Insider Trends; and Christian Gilby, Senior Director of Product Marketing at Juniper Networks, discuss customer experiences.
See the future

Products

Wireless access Wired access SD-WAN / SASE Routing and switching Security Mist AI™ Management software Network operating system Blueprint for AI-Native Acceleration Optics
  • Operations
ACX7020 router

Juniper ACX7020 Cloud Metro Access Router

Legacy networks simply cannot meet the demands of today’s rapidly evolving metro landscape. Unlock a new generation of highly scalable architectures and automated operations with the Juniper ACX7020. 
Learn more
EX4000 Ethernet Switch

Next-gen AI-Native EX4000 line of switches

Lack of AI innovation from your current networking vendor slowing you down? Embrace Juniper’s cloud-native, AI-Native access switches that support every level and layer, across nearly every deployment.
Discover how
The Q and AI text with an image of Bob Friday and Kedar Dhuru.

The Q&AI Podcast

Delivering practical solutions and enriching discussions, this podcast series is a vital resource for those seeking an in-depth exploration of AI's transformative potential.
Catch the latest episode

Services

Services
Services AI Care

Juniper AI Care Services Revolutionize Your Service Experience

Our industry-first AI-Native services couple AIOps with our deep expertise across the full network life cycle. You can move from reactive response to proactive insight and action.
Explore AI Care Services
Services AI Data Center

Juniper AI Data Center Deployment Services Optimize Your AI Model Runs

We use our expertise and validated designs to help design, deploy, validate and tune networks, including GPUs and storage, to get the most from your AI infrastructure operation.
Learn about AI Data Center Deployment Services

Partners

Partners

Support and Documentation

Support and Documentation

Learn

About Juniper Training Events The Feed Resources Technology learning topics Thought leadership and insights
Audience raising hands up while businessman is speaking in training at the office.

Juniper certification and training news

See the latest
Ringing of the bell

All global events

See the latest
AI-native-now

AI-Native NOW event series

Explore events
AINN AI Innovation Impact Virtual Event

AI-Native NOW: AI Innovation and Impact

Register NOW
Juniper's Christina Hendrix at the head of a conference table. With the text "The NOW Way to Network" overlayed, with "NOW" emphasizing the "O" in green color.

The NOW Way to Network

Watch the video series
AI Native Now

Executive insights

Dive deep with leading experts and thought leaders on all the topics that matter most to your business, from AI to network security to driving rapid, relevant transformation for your business.
Learn more
A keynote speaker giving a presentation at a conference. There are dozens of people sitting around them. The presentation is displayed via projector on all the walls in the room.

Leadership voices

Juniper Networks’ leaders operate on the front lines of creating the network of the future. Take a look around to see what’s on their minds.
Watch now
Bob Friday and Jessica Garrison speaking

Bob Friday Talks

Join Bob as he ventures into all the knowns -- and -- unknowns -- of AI.
Catch the latest episode
Documentation
Menu
License Guide
Quick Starts
Validated Designs
Explore Pathfinder Apps
CLI Explorer
Feature Explorer
Hardware Compatibility Tool
Port Checker
Browse All
Collapse

Pathfinder Apps

All

By Software

By Hardware

Learn More
Pathfinder HomeCLI ExplorerCompliance AdvisorFeature ExplorerHardware Compatibility ToolJunos XML API ExplorerJunos YANG Data Model ExplorerPort CheckerPower CalculatorSNMP MIB ExplorerSystem Log Explorer
CLI ExplorerFeature ExplorerJunos XML API ExplorerJunos YANG Data Model ExplorerSNMP MIB ExplorerSystem Log Explorer
Compliance AdvisorFeature ExplorerHardware Compatibility ToolPort CheckerPower Calculator
Home Documentation Junos OS 路由策略、防火墙过滤器和流量监管器用户指南 配置流量监管器 在第 3 层配置双色和三色流量监管器

路由策略、防火墙过滤器和流量监管器用户指南

keyboard_arrow_up
close
keyboard_arrow_left
路由策略、防火墙过滤器和流量监管器用户指南
Table of Contents Expand all
list Table of Contents
在本页
keyboard_arrow_right

机器翻译对您有帮助吗?

starstarstarstarstar
Go to English page
免责声明:

我们将使用第三方机器翻译软件翻译本页面。瞻博网络虽已做出相当大的努力提供高质量译文,但无法保证其准确性。如果对译文信息的准确性有任何疑问,请参阅英文版本. 可下载的 PDF 仅提供英文版.

特定于前缀的计数和监管操作

date_range 18-Jan-25
arrow_backward
arrow_forward

特定于前缀的计数和监管概述

每个 IPv4 地址范围单独计数和监管

通过特定于前缀的计数和监管,您可以配置 IPv4 防火墙过滤器 术语,该术语与源地址或目标地址匹配,应用单速率双色监管器作为术语操作,但根据数据包标头中的源或目标将匹配的数据包与特定的计数器和监管器实例相关联。您可以为单个地址或一组地址隐式创建单独的计数器或监管器实例。

特定于前缀的计数和监管使用 特定于前缀 的操作配置,该配置指定要应用的监管器的名称、是否启用特定于前缀的计数以及源地址或目标地址前缀范围。

前缀范围指定 IPv4 地址掩码的 1 到 16 个连续集位。前缀范围的长度决定了计数器和监管 器集的大小,它由少至 2 个或多达 65,536 个计数器和监管器实例组成。前缀范围中位的位置决定了将过滤器匹配的数据包索引到实例集中。

注:

特定于前缀的操作特定于源或目标 前缀范围,但它不特定于特定的源或目标 地址范围,也不特定于特定接口。

要将特定于前缀的操作应用于接口上的流量,请配置与源地址或目标地址匹配的防火墙过滤器术语,然后将防火墙过滤器应用于接口。使用特定于前缀的计数器和监管器实例(根据过滤数据包标头中的源地址或目标地址为每个数据包选择)来限制已过滤流量的流的速率。

特定于前缀的操作配置

要配置特定于前缀的操作,请指定以下信息:

  • 特定于前缀的操作名称 — 可作为与源地址或目标地址上的数据包匹配的 IPv4 标准防火墙过滤器术语的操作引用的名称。

  • 监管器名称 — 要为其隐式创建特定于前缀的实例的单速率双色监管器的名称。

    注:

    对于聚合以太网接口,您可以配置引用逻辑接口监管器(也称为聚合监管器)的特定于前缀的操作。您可以从 IPv4 标准防火墙过滤器引用此类特定于前缀的操作,然后在接口的聚合级别应用过滤器。

  • 计数选项 - 如果要启用特定于前缀的计数器,则包含的选项。

  • 特定于过滤器的选项 — 如果您希望在防火墙过滤器中的所有术语之间共享单个计数器和监管器集,则可选择包括该选项。以这种方式运行的特定于前缀的操作称为在 特定于筛选器的模式下运行。如果不启用此选项,则特定于前缀的操作将在 特定于术语 的模式下运行,这意味着将为引用特定于前缀的操作的每个过滤器术语创建一个单独的计数器和监管器集。

  • 源地址前缀长度 — 地址前缀的长度,从 0 到 32,用于源地址上匹配的数据包。

  • 目标地址前缀长度 — 地址前缀的长度,从 0 到 32,用于与目标地址匹配的数据包一起使用。

  • 子网前缀长度 — 子网前缀的长度,从 0 到 32,用于与源地址或目标地址匹配的数据包一起使用。

您必须将源地址和目标地址前缀长度配置为比子网前缀长度长 1 到 16 位。如果将源地址或目标地址前缀长度配置为比配置的子网前缀长度高 16 位以上,则在尝试提交配置时会发生错误。

计数器和监管器集大小和索引

为特定于前缀的操作隐式创建的特定于前缀的操作(计数器或监管器)的数量由地址前缀的长度和子网前缀的长度决定:

  1. Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)

表 1 显示了计数器和监管器集大小和索引的示例。

表 1: 计数器和监管器集大小和索引的示例

前缀特定操作中指定的前缀长度示例

计算计数器或监管器组大小

实例索引

source-prefix-length = 32 subnet-prefix-length = 16

Size = 2^(32 - 16) = 2^16 = 65,536 instances

注:

此计算显示支持的最大计数器或监管器集大小。

实例 0:

x.x.0.0

实例 1:

x.x.0.1

实例 65535:

x.x.255.255

source-prefix-length = 32 subnet-prefix-length = 24

Size = 2^(32 - 24) = 2^8 = 256 instances

实例 0:

x.x.x.0

实例 1:

x.x.x.1

实例 255:

x.x.x.255

source-prefix-length = 32 subnet-prefix-length = 25

Size = 2^(32 - 25) = 2^7 = 128 instances

实例 0:

x.x.x.0

实例 1:

x.x.x.1

实例 127:

x.x.x.127

source-prefix-length = 24 subnet-prefix-length = 20

Size = 2^(24 - 20) = 2^4 = 16 instances

实例 0:

x.x.0.x

实例 1:

x.x.1.x

实例 15:

x.x.15.x

另请参阅

过滤器专用计数器和监管器组概述

默认情况下,特定于前缀的监管器集在特定 术语模式下 运行,因此,对于给定 的防火墙过滤器,Junos OS 会为每个引用前缀特定操作的过滤器术语创建一个单独的计数器和监管器集。作为一个选项,您可以将特定于前缀的监管器集配置为在 特定于过滤器的 模式下运行,以便引用监管器的所有术语(在同一防火墙过滤器内)都使用单个前缀特定的监管器集。

对于具有引用同一前缀特定监管器集的多个术语的 IPv4 防火墙过滤器,将监管器集配置为在特定于过滤器的模式下运行,使您能够在防火墙过滤器级别计算和监控监管器集的活动。

注:

术语特定模式和过滤器特定模式也适用于监管器。请参阅 过滤器特定监管器概述

要使特定于前缀的监管器集能够在特定于过滤器的模式下运行,可以在 filter-specific 以下层次结构级别包含该语句:

  • [edit firewall family inet prefix-action prefix-action-name]

  • [edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]

您只能从 IPv4 (family inet) 防火墙过滤器引用特定于过滤器、特定于前缀的监管器集。

另请参阅

过滤器特定监管器概述

默认情况下,监管器在特定 术语 模式下运行,因此,对于给定 的防火墙过滤器,Junos OS 会为每个引用监管器的过滤器术语创建一个单独的监管器实例。您可以选择将监管器配置为在 特定于过滤器的 模式下运行,以便引用监管器的所有术语(在同一防火墙过滤器内)使用单个监管器实例。

对于具有引用同一监管器的多个术语的 IPv4 防火墙过滤器,将监管器配置为在特定过滤器模式下运行使您能够在防火墙过滤器级别计算和监控监管器的活动。

注:

特定于术语的模式和特定于过滤器的模式也适用于特定于前缀的监管器集。

要使单速率双色监管器能够在特定于过滤器的模式下运行,可以在以下层次结构级别包含该 filter-specific 语句:

  • [edit firewall policer policer-name]

  • [edit logical-systems logical-system-name firewall policer policer-name]

只能从 IPv4 (family inet) 防火墙过滤器引用特定于过滤器的监管器。

示例:配置特定于前缀的计数和监管

此示例说明如何配置特定于前缀的计数和监管。

要求

配置此示例之前,不需要除设备初始化之外的特殊配置。

概述

在此示例中,您将根据与 IPv4 防火墙过滤器匹配的数据包中源地址字段的最后一个八位字节配置特定于前缀的计数和监管。

名为 rate 的 1Mbps-policer 单速率双色监管器将流量限制为 1,000,000 bps 的带宽和 63,000 字节的突发大小限制,丢弃流量流中超出流量限制的任何数据包。

与从防火墙过滤器传递的任何数据包中包含的 IPv4 地址无关,名为 psa-1Mbps-per-source-24-32-256 前缀的特定操作指定一组 256 个计数器和监管器,编号从 0 到 255。对于每个数据包,源地址字段的最后一个八位字节用于索引到集合中关联的前缀特定计数器和监管器:

  • 源地址以八位字节 0x0000 00000 索引结尾的数据包是集合中的第一个计数器和监管器。

  • 源地址以八位 0x0000 0001 字节索引结尾的数据包是集合中的第二个计数器和监管器。

  • 源地址以八位字节 0x1111 1111 索引的数据包是集合中的最后一个计数器和监管器。

limit-source-one-24防火墙过滤器包含一个术语,该术语匹配来自源地址10.10.10.0子网的所有/24数据包,将这些数据包传递给特定于psa-1Mbps-per-source-24-32-256前缀的操作。

拓扑学

在此示例中,由于筛选术语与单个源地址的子网匹配 /24 ,因此特定于前缀的集中的每个计数和监管实例仅用于一个源地址。

  • 具有源地址 10.10.10.0 的数据包索引集合中的第一个计数器和监管器。

  • 具有源地址 10.10.10.1 的数据包为集合中的第二个计数器和监管器编制索引。

  • 具有源地址 10.10.10.255 的数据包为集合中的最后一个计数器和监管器编制索引。

此示例显示了特定于前缀的操作的最简单情况,其中筛选器术语在一个地址上进行匹配,其前缀长度与前缀特定操作中指定的前缀长度相同,用于索引到一组特定于前缀的计数器和监管器中。

有关特定于前缀的计数和监管的其他配置的说明,请参见 特定于前缀的计数和监管配置方案

配置

下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 在配置模式下使用 CLI 编辑器

要配置此示例,请执行以下操作:

CLI 快速配置

要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI [edit] 中。

content_copy zoom_out_map
set firewall policer 1Mbps-policer if-exceeding bandwidth-limit 1m
set firewall policer 1Mbps-policer if-exceeding burst-size-limit 63k
set firewall policer 1Mbps-policer then discard
set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 policer 1Mbps-policer
set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 count
set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 subnet-prefix-length 24
set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 source-prefix-length 32
set firewall family inet filter limit-source-one-24 term one from source-address 10.10.10.0/24
set firewall family inet filter limit-source-one-24 term one then prefix-action psa-1Mbps-per-source-24-32-256
set interfaces so-0/0/2 unit 0 family inet filter input limit-source-one-24
set interfaces so-0/0/2 unit 0 family inet address 10.39.1.1/16

为特定于前缀的计数和监管配置监管器

分步过程

要配置用于前缀特定计数和监管的监管器,请执行以下操作:

  1. 启用单速率双色监管器的配置。

    content_copy zoom_out_map
    [edit]
user@host# edit firewall policer 1Mbps-policer

  2. 定义流量限制。

    content_copy zoom_out_map
    [edit firewall policer 1Mbps-policer]
user@host# set if-exceeding bandwidth-limit 1m
user@host# set if-exceeding burst-size-limit 63k

    在传递时,通信流中符合此限制的数据包的 PLP 设置为 low

  3. 定义针对不符合流量的操作。

    content_copy zoom_out_map
    [edit firewall policer 1Mbps-policer]
user@host# set then discard

    流量中超过此限制的数据包将被丢弃。单速率双色监管器的其他可配置操作包括设置转发类和设置 PLP 级别。

结果

通过输入 show firewall 配置模式命令确认监管器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。

content_copy zoom_out_map
[edit]
user@host# show firewall
policer 1Mbps-policer {
    if-exceeding {
        bandwidth-limit 1m;
        burst-size-limit 63k;
    }
    then discard;
}

基于监管器配置特定于前缀的操作

分步过程

要配置引用监管器并指定源地址前缀的一部分的特定于前缀的操作,请执行以下操作:

  1. 启用特定于前缀的操作的配置。

    content_copy zoom_out_map
    [edit]
user@host# edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256

    只能为 IPv4 流量定义特定于前缀的计数和监管。

  2. 引用要为其创建前缀特定集的监管器。

    content_copy zoom_out_map
    [edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256]
user@host# set policer 1Mbps-policer
user@host# set count
    注:

    对于聚合以太网接口,您可以配置引用逻辑接口监管器(也称为聚合监管器)的特定于前缀的操作。您可以从 IPv4 标准防火墙过滤器引用此类特定于前缀的操作,然后在接口的聚合级别应用过滤器。

  3. 指定要将 IPv4 地址索引到计数器和监管器集的前缀范围。

    content_copy zoom_out_map
    [edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256]
user@host# set source-prefix-length 32
user@host# set subnet-prefix-length 24
结果

通过输入 show firewall 配置模式命令确认前缀特定操作的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。

content_copy zoom_out_map
[edit]
user@host# show firewall
policer 1Mbps-policer {
    if-exceeding {
        bandwidth-limit 1m;
        burst-size-limit 63k;
    }
    then discard;
}
family inet {
    prefix-action psa-1Mbps-per-source-24-32-256 {
        policer 1Mbps-policer;
        subnet-prefix-length 24;
        source-prefix-length 32;
    }
}

配置引用前缀特定操作的 IPv4 过滤器

分步过程

要配置引用前缀特定操作的 IPv4 标准防火墙过滤器,请执行以下操作:

  1. 启用 IPv4 标准防火墙过滤器的配置。

    content_copy zoom_out_map
    [edit]
user@host# edit firewall family inet filter limit-source-one-24

    只能为 IPv4 流量定义特定于前缀的计数和监管。

  2. 配置过滤器术语以匹配数据包源地址或目标地址。

    content_copy zoom_out_map
    [edit firewall family inet filter limit-source-one-24]
user@host# set term one from source-address 10.10.10.0/24

  3. 配置过滤器术语以引用特定于前缀的操作。

    content_copy zoom_out_map
    [edit firewall family inet filter limit-source-one-24]
user@host# set term one then prefix-action psa-1Mbps-per-source-24-32-256

    您还可以使用该 next term 操作将到每个主机的所有超文本传输协议 (HTTP) 流量配置为以 500 Kbps 的速度传输,并将总 HTTP 流量限制为 1 Mbps。

结果

通过输入 show firewall 配置模式命令确认前缀特定操作的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。

content_copy zoom_out_map
[edit]
user@host# show firewall
policer 1Mbps-policer {
    if-exceeding {
        bandwidth-limit 1m;
        burst-size-limit 63k;
    }
    then discard;
}
family inet {
    prefix-action psa-1Mbps-per-source-24-32-256 {
        policer 1Mbps-policer;
        subnet-prefix-length 24;
        source-prefix-length 32;
    }
    filter limit-source-one-24 {
        term one {
            from {
                source-address {
                    10.10.10.0/24;
                }
            }
            then prefix-action psa-1Mbps-per-source-24-32-256;
        }
    }
}

将防火墙过滤器应用于逻辑接口上的 IPv4 输入流量

分步过程

要将防火墙过滤器应用于逻辑接口上的 IPv4 输入流量,请执行以下操作:

  1. 在逻辑接口上启用 IPv4 配置。

    content_copy zoom_out_map
    [edit]
user@host# edit interfaces so-0/0/2 unit 0 family inet

  2. 配置 IP 地址。

    content_copy zoom_out_map
    [edit interfaces so-0/0/2 unit 0 family inet]
user@host# set address 10.39.1.1/16

  3. 应用 IPv4 标准无状态防火墙过滤器。

    content_copy zoom_out_map
    [edit interfaces so-0/0/2 unit 0 family inet]
user@host# set filter input limit-source-one-24
结果

通过输入 show interfaces 配置模式命令确认前缀特定操作的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。

content_copy zoom_out_map
[edit]
user@host# show interfaces
so-0/0/2 {
    unit 0 {
        family inet {
            filter {
                input limit-source-one-24;
            }
            address 10.39.1.1/16;
        }
    }
}

如果完成设备配置,请从配置模式输入 commit

验证

确认配置工作正常。

显示应用于接口的防火墙过滤器

目的

验证防火墙过滤器 limit-source-one-24 是否已应用于逻辑接口 so-0/0/2.0上的 IPv4 输入流量。

操作

show interfaces statistics对逻辑接口 so-0/0/2.0使用操作模式命令,并包括该detail选项。在 的 Protocol inet命令输出部分中,该 Input Filters 字段将显示 limit-source-one-24,表示过滤器已应用于输入方向上的 IPv4 流量:

content_copy zoom_out_map
user@host> show interfaces statistics so-0/0/2.0 detail
  Logical interface so-0/0/2.0 (Index 79) (SNMP ifIndex 510) (Generation 149)
    Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP
    Protocol inet, MTU: 4470, Generation: 173, Route table: 0
      Flags: Sendbcast-pkt-to-re, Protocol-Down
      Input Filters: limit-source-one-24
      Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
        Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163

显示防火墙过滤器的前缀特定操作统计信息

目的

验证监管器评估的数据包数。

操作

使用 show firewall prefix-action-stats filter filter-name prefix-action name 操作模式命令可显示有关在防火墙过滤器上配置的特定于前缀的操作的统计信息。

作为一个选项,您可以使用 from set-index to set-index 命令选项指定要显示的开始和结束计数器或监管器。监管器集的索引范围为 0 到 65535。

命令输出显示指定的过滤器名称,后跟监管器集中每个监管器处理的字节数和数据包数列表。

对于特定于术语的监管器,集合中的每个监管器标识如下:

content_copy zoom_out_map
prefix-specific-action-name-term-name-set-index

对于特定于过滤器的监管器,每个监管器在命令输出中标识,如下所示:

content_copy zoom_out_map
prefix-specific-action-name-set-index

由于示例前缀特定的操作 psa-1Mbps-per-source-24-32-256 仅由示例过滤器 limit-source-one-24的一个术语引用,因此示例监管器 1Mbps-policer 被配置为特定于术语。在命令输出中show firewall prefix-action-stats,监管器统计信息显示为 psa-1Mbps-per-source-24-32-256-one-0psa-1Mbps-per-source-24-32-256-one-1等等。psa-1Mbps-per-source-24-32-256-one-255

content_copy zoom_out_map
user@host> show firewall prefix-action-stats filter limit-source-one-24 prefix-action psa-1Mbps-per-source-24-32-256 from 0 to 9
Filter: limit-source-one-24
Counters:
Name                                                Bytes   Packets
psa-1Mbps-per-source-24-32-256-one-0                    0         0
psa-1Mbps-per-source-24-32-256-one-1                    0         0
psa-1Mbps-per-source-24-32-256-one-2                    0         0
psa-1Mbps-per-source-24-32-256-one-3                    0         0
psa-1Mbps-per-source-24-32-256-one-4                    0         0
psa-1Mbps-per-source-24-32-256-one-5                    0         0
psa-1Mbps-per-source-24-32-256-one-6                    0         0
psa-1Mbps-per-source-24-32-256-one-7                    0         0
psa-1Mbps-per-source-24-32-256-one-8                    0         0
psa-1Mbps-per-source-24-32-256-one-9                    0         0

另请参阅

特定于前缀的计数和监管配置方案

操作的前缀长度和过滤数据包中地址的前缀长度

表 2 描述在特定于前缀的操作中指定的前缀长度与引用特定于前缀的操作的防火墙过滤器术语匹配的地址的前缀长度之间的关系。

表 2: 特定于前缀的操作方案摘要

计数器和监管器套件

数据包过滤条件

实例索引

特定于前缀的操作方案: 示例:配置特定于前缀的计数和监管

 

source-prefix-length = 32  subnet-prefix-length = 24

套装尺寸:2^8 = 256实例编号:0 - 255

source-address = 10.10.10.0/24

实例 0

10.10.10.0

实例 1:

10.10.10.1

...

...

实例 255:

10.10.10.255

特定于前缀的操作方案: 场景 1:防火墙过滤器术语匹配多个地址

source-prefix-length = 32  subnet-prefix-length = 24

套装尺寸:2^8 = 256实例编号:0 - 255

source-address = 10.10.10.0/24

source-address = 10.11.0.0/16

实例 0

10.10.10.0,10.11.x.0

实例 1:

10.10.10.1,10.11.x.1

...

...

实例 255:

10.10.10.255,10.11.x.255

对于 /16 子网中的地址, x 范围为 0 到 255。

特定于前缀的操作方案: 场景 2:子网前缀比筛选器匹配条件中的前缀长

source-prefix-length = 32  subnet-prefix-length = 25

套装尺寸:2^7 = 128实例编号:0 - 127

source-address = 10.10.10.0/24

实例 0

10.10.10.0,10.10.10.128

实例 1:

10.10.10.1,10.10.10.120

...

...

实例 127:

10.10.10.255,10.10.10.127

特定于前缀的操作方案: 场景 3:子网第 128 个计数器和监管器前缀短于防火墙过滤器匹配条件中的前缀

source-prefix-length = 32  subnet-prefix-length = 24

套装尺寸:2^8 = 256实例编号:0 - 255

source-address = 10.10.10.0/25

注:

只有源地址范围从 到 的10.10.10.010.10.10.127数据包才会传递到特定于前缀的操作。

实例 0

10.10.10.0

实例 1:

10.10.10.1

...

...

实例 127:

10.10.10.127

实例 128 – 255:闲置

场景 1:防火墙过滤器术语匹配多个地址

完整的示例 示例:配置特定于前缀的计数和监管显示了特定于前缀的操作的最简单情况,其中单术语 防火墙过滤器 在一个地址上进行匹配,其前缀长度与前缀特定操作中指定的子网前缀长度相同。与示例不同,此方案描述的配置中,单期限防火墙过滤器在两个 IPv4 源地址上匹配。此外,附加条件在前缀长度不同于特定于前缀的操作中定义的子网前缀长度的源地址上进行匹配。在这种情况下,附加条件在源地址10.11.0.0的子网上/16匹配。

注:

与源地址匹配的数据包不同,与源地址10.10.10.0/2410.11.0.0/16匹配的数据包与计数器和监管器集中的实例处于多对一对应关系中。

传递到计数器和监管器集中的特定于前缀的操作索引的过滤器匹配数据包,以便计数和监管实例由包含跨和10.10.10.0/2410.11.0.0/16子网的源地址的数据包共享,如下所示:

  • 集合中的第一个计数器和监管器按具有源地址 10.10.10.010.11.x.0的数据包编制索引,其中 x 范围从 0255

  • 集合中的第二个计数器和监管器按具有源地址 10.10.10.110.11.x.1的数据包编制索引,其中 x 范围从 0255

  • 集合中的第 256 个(最后一个)计数器和监管器按具有源地址 10.10.10.25510.11.x.255的数据包编制索引,其中 x 范围从 0255

以下配置显示了用于配置单速率双色监管器、引用监管器的前缀特定操作以及引用前缀特定操作的 IPv4 标准无状态防火墙过滤器的语句:

content_copy zoom_out_map
[edit]
firewall {
    policer 1Mbps-policer {
        if-exceeding {
            bandwidth-limit 1m;
            burst-size-limit 63k;
        }
        then discard;
    }
    family inet {
        prefix-action psa-1Mbps-per-source-24-32-256 {
            policer 1Mbps-policer;
            subnet-prefix-length 24;
            source-prefix-length 32;
        }
        filter limit-source-two-24-16 {
            term one {
                from {
                    source-address {
                        10.10.10.0/24;
                        10.11.0.0/16;
                    }
                }
                then prefix-action psa-1Mbps-per-source-24-32-256;
            }
        }
    }
}
interfaces {
    so-0/0/2 {
        unit 0 {
            family inet {
                filter {
                    input limit-source-two-24-16;
                }
                address 10.39.1.1/16;
            }
        }
    }
}

场景 2:子网前缀比筛选器匹配条件中的前缀长

完整示例 显示了 示例:配置特定于前缀的计数和监管特定于前缀的操作的最简单情况,其中单术语防火墙过滤器在一个地址上进行匹配,其前缀长度与前缀特定操作中指定的子网前缀长度相同。与示例不同,此方案描述的配置中,特定于前缀的操作定义的子网前缀长度长于防火墙过滤器匹配的源地址的前缀。在这种情况下,特定于前缀的操作将定义子网前缀值 25,而防火墙过滤器会匹配子网中的 /24 源地址。

注:

防火墙过滤器传递源地址 10.10.10.0 范围从 到 10.10.10.255的特定于前缀的操作数据包,而特定于前缀的操作则指定一组仅包含 128 个计数器和监管器,编号从 0 到 127。

传递到特定于前缀的操作索引到计数器和监管器集中的过滤器匹配数据包,以便计数和监管实例由子网中包含 10.10.10.0/24 两个源地址之一的数据包共享:

  • 集合中的第一个计数器和监管器按具有源地址 10.10.10.0 和 的 10.10.10.128数据包编制索引。

  • 集合中的第二个计数器和监管器由具有源地址 10.10.10.110.10.10.129的数据包编制索引。

  • 集合中的第 128 个(最后一个)计数器和监管器按具有源地址 10.10.10.12710.10.10.255的数据包编制索引。

以下配置显示了用于配置单速率双色监管器、引用监管器的前缀特定操作以及引用前缀特定操作的 IPv4 标准无状态防火墙过滤器的语句:

content_copy zoom_out_map
[edit]
firewall {
    policer 1Mbps-policer {
        if-exceeding {
            bandwidth-limit 1m;
            burst-size-limit 63k;
        }
        then discard;
    }
    family inet {
        prefix-action psa-1Mbps-per-source-25-32-128 {
            policer 1Mbps-policer;
            subnet-prefix-length 25;
            source-prefix-length 32;
        }
        filter limit-source-one-24 {
            term one {
                from {
                    source-address {
                        10.10.10.0/24;
                    }
                }
                then prefix-action psa-1Mbps-per-source-25-32-128;
            }
        }
    }
}
interfaces {
    so-0/0/2 {
        unit 0 {
            family inet {
                filter {
                    input limit-source-one-24;
                }
                address 10.39.1.1/16;
            }
        }
    }
}

场景 3:子网第 128 个计数器和监管器前缀短于防火墙过滤器匹配条件中的前缀

完整示例 显示了 示例:配置特定于前缀的计数和监管特定于前缀的操作的最简单情况,其中单术语防火墙过滤器在一个地址上进行匹配,其前缀长度与前缀特定操作中指定的子网前缀长度相同。与示例不同,此方案描述的配置中,特定于前缀的操作定义的子网前缀长度短于防火墙过滤器匹配的源地址的前缀。在这种情况下,过滤器术语在源地址10.10.10.0的子网上/25匹配。

注:

防火墙过滤器仅传递源地址范围从 10.10.10.010.10.10.127的特定于前缀的操作的数据包,而特定于前缀的操作指定一组 256 个计数器和监管器,编号从 0 到 255。

传递到特定于前缀的操作索引的匹配数据包仅进入计数器和监管器集的下半部分:

  • 集合中的第一个计数器和监管器按具有源地址 10.10.10.0的数据包编制索引。

  • 集合中的第二个计数器和监管器按具有源地址 10.10.10.110.10.10.129的数据包编制索引。

  • 集合中的第 128 个计数器和监管器按具有源地址 10.10.10.127的数据包进行索引。

  • 集合的上半部分(编号为 128 到 255 的实例)不会由从此特定防火墙过滤器传递到特定于前缀的操作的数据包编制索引。

以下配置显示了用于配置单速率双色监管器、引用监管器的前缀特定操作以及引用前缀特定操作的 IPv4 标准无状态防火墙过滤器的语句:

content_copy zoom_out_map
[edit]
firewall {
    policer 1Mbps-policer {
        if-exceeding {
            bandwidth-limit 1m;
            burst-size-limit 63k;
        }
        then discard;
    }
    family inet {
        prefix-action psa-1Mbps-per-source-24-32-256 {
            policer 1Mbps-policer;
            subnet-prefix-length 24;
            source-prefix-length 32;
        }
        filter limit-source-one-25 {
            term one {
                from {
                    source-address {
                        10.10.10.0/25;
                    }
                }
                then prefix-action psa-1Mbps-per-source-24-32-256;
            }
        }
    }
}
interfaces {
    so-0/0/2 {
        unit 0 {
            family inet {
                filter {
                    input limit-source-one-25;
                }
                address 10.39.1.1/16;
            }
        }
    }
}

另请参阅

相关主题

arrow_backward PREVIOUS 带宽监管器
NEXT arrow_forward 监管器开销,用于考虑流量管理器中的速率整形
footer-navigation

© 1999 - 2025 Juniper Networks, Inc. All rights reserved.

Scroll to top