特定于前缀的计数和监管操作
特定于前缀的计数和监管概述
每个 IPv4 地址范围单独计数和监管
通过特定于前缀的计数和监管,您可以配置 IPv4 防火墙过滤器 术语,该术语与源地址或目标地址匹配,应用单速率双色监管器作为术语操作,但根据数据包标头中的源或目标将匹配的数据包与特定的计数器和监管器实例相关联。您可以为单个地址或一组地址隐式创建单独的计数器或监管器实例。
特定于前缀的计数和监管使用 特定于前缀 的操作配置,该配置指定要应用的监管器的名称、是否启用特定于前缀的计数以及源地址或目标地址前缀范围。
前缀范围指定 IPv4 地址掩码的 1 到 16 个连续集位。前缀范围的长度决定了计数器和监管 器集的大小,它由少至 2 个或多达 65,536 个计数器和监管器实例组成。前缀范围中位的位置决定了将过滤器匹配的数据包索引到实例集中。
特定于前缀的操作特定于源或目标 前缀范围,但它不特定于特定的源或目标 地址范围,也不特定于特定接口。
要将特定于前缀的操作应用于接口上的流量,请配置与源地址或目标地址匹配的防火墙过滤器术语,然后将防火墙过滤器应用于接口。使用特定于前缀的计数器和监管器实例(根据过滤数据包标头中的源地址或目标地址为每个数据包选择)来限制已过滤流量的流的速率。
特定于前缀的操作配置
要配置特定于前缀的操作,请指定以下信息:
特定于前缀的操作名称 — 可作为与源地址或目标地址上的数据包匹配的 IPv4 标准防火墙过滤器术语的操作引用的名称。
监管器名称 — 要为其隐式创建特定于前缀的实例的单速率双色监管器的名称。
注:对于聚合以太网接口,您可以配置引用逻辑接口监管器(也称为聚合监管器)的特定于前缀的操作。您可以从 IPv4 标准防火墙过滤器引用此类特定于前缀的操作,然后在接口的聚合级别应用过滤器。
计数选项 - 如果要启用特定于前缀的计数器,则包含的选项。
特定于过滤器的选项 — 如果您希望在防火墙过滤器中的所有术语之间共享单个计数器和监管器集,则可选择包括该选项。以这种方式运行的特定于前缀的操作称为在 特定于筛选器的模式下运行。如果不启用此选项,则特定于前缀的操作将在 特定于术语 的模式下运行,这意味着将为引用特定于前缀的操作的每个过滤器术语创建一个单独的计数器和监管器集。
源地址前缀长度 — 地址前缀的长度,从 0 到 32,用于源地址上匹配的数据包。
目标地址前缀长度 — 地址前缀的长度,从 0 到 32,用于与目标地址匹配的数据包一起使用。
子网前缀长度 — 子网前缀的长度,从 0 到 32,用于与源地址或目标地址匹配的数据包一起使用。
您必须将源地址和目标地址前缀长度配置为比子网前缀长度长 1 到 16 位。如果将源地址或目标地址前缀长度配置为比配置的子网前缀长度高 16 位以上,则在尝试提交配置时会发生错误。
计数器和监管器集大小和索引
为特定于前缀的操作隐式创建的特定于前缀的操作(计数器或监管器)的数量由地址前缀的长度和子网前缀的长度决定:
Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)
表 1 显示了计数器和监管器集大小和索引的示例。
前缀特定操作中指定的前缀长度示例 |
计算计数器或监管器组大小 |
实例索引 |
|
|---|---|---|---|
source-prefix-length = 32 subnet-prefix-length = 16 |
Size = 2^(32 - 16) = 2^16 = 65,536 instances 注:
此计算显示支持的最大计数器或监管器集大小。 |
实例 0: |
x.x.0.0 |
实例 1: |
x.x.0.1 |
||
实例 65535: |
x.x.255.255 |
||
source-prefix-length = 32 subnet-prefix-length = 24 |
Size = 2^(32 - 24) = 2^8 = 256 instances |
实例 0: |
x.x.x.0 |
实例 1: |
x.x.x.1 |
||
实例 255: |
x.x.x.255 |
||
source-prefix-length = 32 subnet-prefix-length = 25 |
Size = 2^(32 - 25) = 2^7 = 128 instances |
实例 0: |
x.x.x.0 |
实例 1: |
x.x.x.1 |
||
实例 127: |
x.x.x.127 |
||
source-prefix-length = 24 subnet-prefix-length = 20 |
Size = 2^(24 - 20) = 2^4 = 16 instances |
实例 0: |
x.x.0.x |
实例 1: |
x.x.1.x |
||
实例 15: |
x.x.15.x |
||
另请参阅
过滤器专用计数器和监管器组概述
默认情况下,特定于前缀的监管器集在特定 术语模式下 运行,因此,对于给定 的防火墙过滤器,Junos OS 会为每个引用前缀特定操作的过滤器术语创建一个单独的计数器和监管器集。作为一个选项,您可以将特定于前缀的监管器集配置为在 特定于过滤器的 模式下运行,以便引用监管器的所有术语(在同一防火墙过滤器内)都使用单个前缀特定的监管器集。
对于具有引用同一前缀特定监管器集的多个术语的 IPv4 防火墙过滤器,将监管器集配置为在特定于过滤器的模式下运行,使您能够在防火墙过滤器级别计算和监控监管器集的活动。
术语特定模式和过滤器特定模式也适用于监管器。请参阅 过滤器特定监管器概述。
要使特定于前缀的监管器集能够在特定于过滤器的模式下运行,可以在 filter-specific 以下层次结构级别包含该语句:
[edit firewall family inet prefix-action prefix-action-name][edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]
您只能从 IPv4 (family inet) 防火墙过滤器引用特定于过滤器、特定于前缀的监管器集。
另请参阅
过滤器特定监管器概述
默认情况下,监管器在特定 术语 模式下运行,因此,对于给定 的防火墙过滤器,Junos OS 会为每个引用监管器的过滤器术语创建一个单独的监管器实例。您可以选择将监管器配置为在 特定于过滤器的 模式下运行,以便引用监管器的所有术语(在同一防火墙过滤器内)使用单个监管器实例。
对于具有引用同一监管器的多个术语的 IPv4 防火墙过滤器,将监管器配置为在特定过滤器模式下运行使您能够在防火墙过滤器级别计算和监控监管器的活动。
特定于术语的模式和特定于过滤器的模式也适用于特定于前缀的监管器集。
要使单速率双色监管器能够在特定于过滤器的模式下运行,可以在以下层次结构级别包含该 filter-specific 语句:
[edit firewall policer policer-name][edit logical-systems logical-system-name firewall policer policer-name]
只能从 IPv4 (family inet) 防火墙过滤器引用特定于过滤器的监管器。
示例:配置特定于前缀的计数和监管
此示例说明如何配置特定于前缀的计数和监管。
要求
配置此示例之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将根据与 IPv4 防火墙过滤器匹配的数据包中源地址字段的最后一个八位字节配置特定于前缀的计数和监管。
名为 rate 的 1Mbps-policer 单速率双色监管器将流量限制为 1,000,000 bps 的带宽和 63,000 字节的突发大小限制,丢弃流量流中超出流量限制的任何数据包。
与从防火墙过滤器传递的任何数据包中包含的 IPv4 地址无关,名为 psa-1Mbps-per-source-24-32-256 前缀的特定操作指定一组 256 个计数器和监管器,编号从 0 到 255。对于每个数据包,源地址字段的最后一个八位字节用于索引到集合中关联的前缀特定计数器和监管器:
源地址以八位字节 0x0000 00000 索引结尾的数据包是集合中的第一个计数器和监管器。
源地址以八位 0x0000 0001 字节索引结尾的数据包是集合中的第二个计数器和监管器。
源地址以八位字节 0x1111 1111 索引的数据包是集合中的最后一个计数器和监管器。
limit-source-one-24防火墙过滤器包含一个术语,该术语匹配来自源地址10.10.10.0子网的所有/24数据包,将这些数据包传递给特定于psa-1Mbps-per-source-24-32-256前缀的操作。
拓扑学
在此示例中,由于筛选术语与单个源地址的子网匹配 /24 ,因此特定于前缀的集中的每个计数和监管实例仅用于一个源地址。
具有源地址
10.10.10.0的数据包索引集合中的第一个计数器和监管器。具有源地址
10.10.10.1的数据包为集合中的第二个计数器和监管器编制索引。具有源地址
10.10.10.255的数据包为集合中的最后一个计数器和监管器编制索引。
此示例显示了特定于前缀的操作的最简单情况,其中筛选器术语在一个地址上进行匹配,其前缀长度与前缀特定操作中指定的前缀长度相同,用于索引到一组特定于前缀的计数器和监管器中。
有关特定于前缀的计数和监管的其他配置的说明,请参见 特定于前缀的计数和监管配置方案。
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 在配置模式下使用 CLI 编辑器。
要配置此示例,请执行以下操作:
CLI 快速配置
要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI [edit] 中。
set firewall policer 1Mbps-policer if-exceeding bandwidth-limit 1m set firewall policer 1Mbps-policer if-exceeding burst-size-limit 63k set firewall policer 1Mbps-policer then discard set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 policer 1Mbps-policer set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 count set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 subnet-prefix-length 24 set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 source-prefix-length 32 set firewall family inet filter limit-source-one-24 term one from source-address 10.10.10.0/24 set firewall family inet filter limit-source-one-24 term one then prefix-action psa-1Mbps-per-source-24-32-256 set interfaces so-0/0/2 unit 0 family inet filter input limit-source-one-24 set interfaces so-0/0/2 unit 0 family inet address 10.39.1.1/16
为特定于前缀的计数和监管配置监管器
分步过程
要配置用于前缀特定计数和监管的监管器,请执行以下操作:
启用单速率双色监管器的配置。
[edit] user@host# edit firewall policer 1Mbps-policer
定义流量限制。
[edit firewall policer 1Mbps-policer] user@host# set if-exceeding bandwidth-limit 1m user@host# set if-exceeding burst-size-limit 63k
在传递时,通信流中符合此限制的数据包的 PLP 设置为
low。定义针对不符合流量的操作。
[edit firewall policer 1Mbps-policer] user@host# set then discard
流量中超过此限制的数据包将被丢弃。单速率双色监管器的其他可配置操作包括设置转发类和设置 PLP 级别。
结果
通过输入 show firewall 配置模式命令确认监管器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
基于监管器配置特定于前缀的操作
分步过程
要配置引用监管器并指定源地址前缀的一部分的特定于前缀的操作,请执行以下操作:
启用特定于前缀的操作的配置。
[edit] user@host# edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256
只能为 IPv4 流量定义特定于前缀的计数和监管。
引用要为其创建前缀特定集的监管器。
[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set policer 1Mbps-policer user@host# set count
注:对于聚合以太网接口,您可以配置引用逻辑接口监管器(也称为聚合监管器)的特定于前缀的操作。您可以从 IPv4 标准防火墙过滤器引用此类特定于前缀的操作,然后在接口的聚合级别应用过滤器。
指定要将 IPv4 地址索引到计数器和监管器集的前缀范围。
[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set source-prefix-length 32 user@host# set subnet-prefix-length 24
结果
通过输入 show firewall 配置模式命令确认前缀特定操作的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
}
配置引用前缀特定操作的 IPv4 过滤器
分步过程
要配置引用前缀特定操作的 IPv4 标准防火墙过滤器,请执行以下操作:
启用 IPv4 标准防火墙过滤器的配置。
[edit] user@host# edit firewall family inet filter limit-source-one-24
只能为 IPv4 流量定义特定于前缀的计数和监管。
配置过滤器术语以匹配数据包源地址或目标地址。
[edit firewall family inet filter limit-source-one-24] user@host# set term one from source-address 10.10.10.0/24
配置过滤器术语以引用特定于前缀的操作。
[edit firewall family inet filter limit-source-one-24] user@host# set term one then prefix-action psa-1Mbps-per-source-24-32-256
您还可以使用该
next term操作将到每个主机的所有超文本传输协议 (HTTP) 流量配置为以 500 Kbps 的速度传输,并将总 HTTP 流量限制为 1 Mbps。
结果
通过输入 show firewall 配置模式命令确认前缀特定操作的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
将防火墙过滤器应用于逻辑接口上的 IPv4 输入流量
分步过程
要将防火墙过滤器应用于逻辑接口上的 IPv4 输入流量,请执行以下操作:
在逻辑接口上启用 IPv4 配置。
[edit] user@host# edit interfaces so-0/0/2 unit 0 family inet
配置 IP 地址。
[edit interfaces so-0/0/2 unit 0 family inet] user@host# set address 10.39.1.1/16
应用 IPv4 标准无状态防火墙过滤器。
[edit interfaces so-0/0/2 unit 0 family inet] user@host# set filter input limit-source-one-24
结果
通过输入 show interfaces 配置模式命令确认前缀特定操作的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show interfaces
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
如果完成设备配置,请从配置模式输入 commit。
验证
确认配置工作正常。
显示应用于接口的防火墙过滤器
目的
验证防火墙过滤器 limit-source-one-24 是否已应用于逻辑接口 so-0/0/2.0上的 IPv4 输入流量。
操作
show interfaces statistics对逻辑接口 so-0/0/2.0使用操作模式命令,并包括该detail选项。在 的 Protocol inet命令输出部分中,该 Input Filters 字段将显示 limit-source-one-24,表示过滤器已应用于输入方向上的 IPv4 流量:
user@host> show interfaces statistics so-0/0/2.0 detail
Logical interface so-0/0/2.0 (Index 79) (SNMP ifIndex 510) (Generation 149)
Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP
Protocol inet, MTU: 4470, Generation: 173, Route table: 0
Flags: Sendbcast-pkt-to-re, Protocol-Down
Input Filters: limit-source-one-24
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
显示防火墙过滤器的前缀特定操作统计信息
目的
验证监管器评估的数据包数。
操作
使用 show firewall prefix-action-stats filter filter-name prefix-action name 操作模式命令可显示有关在防火墙过滤器上配置的特定于前缀的操作的统计信息。
作为一个选项,您可以使用 from set-index to set-index 命令选项指定要显示的开始和结束计数器或监管器。监管器集的索引范围为 0 到 65535。
命令输出显示指定的过滤器名称,后跟监管器集中每个监管器处理的字节数和数据包数列表。
对于特定于术语的监管器,集合中的每个监管器标识如下:
prefix-specific-action-name-term-name-set-index
对于特定于过滤器的监管器,每个监管器在命令输出中标识,如下所示:
prefix-specific-action-name-set-index
由于示例前缀特定的操作 psa-1Mbps-per-source-24-32-256 仅由示例过滤器 limit-source-one-24的一个术语引用,因此示例监管器 1Mbps-policer 被配置为特定于术语。在命令输出中show firewall prefix-action-stats,监管器统计信息显示为 psa-1Mbps-per-source-24-32-256-one-0、 psa-1Mbps-per-source-24-32-256-one-1等等。psa-1Mbps-per-source-24-32-256-one-255
user@host> show firewall prefix-action-stats filter limit-source-one-24 prefix-action psa-1Mbps-per-source-24-32-256 from 0 to 9 Filter: limit-source-one-24 Counters: Name Bytes Packets psa-1Mbps-per-source-24-32-256-one-0 0 0 psa-1Mbps-per-source-24-32-256-one-1 0 0 psa-1Mbps-per-source-24-32-256-one-2 0 0 psa-1Mbps-per-source-24-32-256-one-3 0 0 psa-1Mbps-per-source-24-32-256-one-4 0 0 psa-1Mbps-per-source-24-32-256-one-5 0 0 psa-1Mbps-per-source-24-32-256-one-6 0 0 psa-1Mbps-per-source-24-32-256-one-7 0 0 psa-1Mbps-per-source-24-32-256-one-8 0 0 psa-1Mbps-per-source-24-32-256-one-9 0 0
特定于前缀的计数和监管配置方案
- 操作的前缀长度和过滤数据包中地址的前缀长度
- 场景 1:防火墙过滤器术语匹配多个地址
- 场景 2:子网前缀比筛选器匹配条件中的前缀长
- 场景 3:子网第 128 个计数器和监管器前缀短于防火墙过滤器匹配条件中的前缀
操作的前缀长度和过滤数据包中地址的前缀长度
表 2 描述在特定于前缀的操作中指定的前缀长度与引用特定于前缀的操作的防火墙过滤器术语匹配的地址的前缀长度之间的关系。
计数器和监管器套件 |
数据包过滤条件 |
实例索引 |
||
|---|---|---|---|---|
特定于前缀的操作方案: 示例:配置特定于前缀的计数和监管 |
||||
source-prefix-length = 32 subnet-prefix-length = 24 套装尺寸:2^8 = 256实例编号:0 - 255 |
source-address = 10.10.10.0/24 |
实例 0 |
10.10.10.0 |
|
实例 1: |
10.10.10.1 |
|||
|
|
|||
实例 255: |
10.10.10.255 |
|||
特定于前缀的操作方案: 场景 1:防火墙过滤器术语匹配多个地址 |
||||
source-prefix-length = 32 subnet-prefix-length = 24 套装尺寸:2^8 = 256实例编号:0 - 255 |
source-address = 10.10.10.0/24 source-address = 10.11.0.0/16 |
实例 0 |
10.10.10.0,10.11.x.0 |
|
实例 1: |
10.10.10.1,10.11.x.1 |
|||
|
|
|||
实例 255: |
10.10.10.255,10.11.x.255 |
|||
对于 /16 子网中的地址, x 范围为 0 到 255。 |
||||
特定于前缀的操作方案: 场景 2:子网前缀比筛选器匹配条件中的前缀长 |
||||
source-prefix-length = 32 subnet-prefix-length = 25 套装尺寸:2^7 = 128实例编号:0 - 127 |
source-address = 10.10.10.0/24 |
实例 0 |
10.10.10.0,10.10.10.128 |
|
实例 1: |
10.10.10.1,10.10.10.120 |
|||
|
|
|||
实例 127: |
10.10.10.255,10.10.10.127 |
|||
特定于前缀的操作方案: 场景 3:子网第 128 个计数器和监管器前缀短于防火墙过滤器匹配条件中的前缀 |
||||
source-prefix-length = 32 subnet-prefix-length = 24 套装尺寸:2^8 = 256实例编号:0 - 255 |
source-address = 10.10.10.0/25 注:
只有源地址范围从 到 的 |
实例 0 |
10.10.10.0 |
|
实例 1: |
10.10.10.1 |
|||
|
|
|||
实例 127: |
10.10.10.127 |
|||
实例 128 – 255:闲置 |
||||
场景 1:防火墙过滤器术语匹配多个地址
完整的示例 示例:配置特定于前缀的计数和监管显示了特定于前缀的操作的最简单情况,其中单术语 防火墙过滤器 在一个地址上进行匹配,其前缀长度与前缀特定操作中指定的子网前缀长度相同。与示例不同,此方案描述的配置中,单期限防火墙过滤器在两个 IPv4 源地址上匹配。此外,附加条件在前缀长度不同于特定于前缀的操作中定义的子网前缀长度的源地址上进行匹配。在这种情况下,附加条件在源地址10.11.0.0的子网上/16匹配。
与源地址匹配的数据包不同,与源地址10.10.10.0/2410.11.0.0/16匹配的数据包与计数器和监管器集中的实例处于多对一对应关系中。
传递到计数器和监管器集中的特定于前缀的操作索引的过滤器匹配数据包,以便计数和监管实例由包含跨和10.10.10.0/2410.11.0.0/16子网的源地址的数据包共享,如下所示:
集合中的第一个计数器和监管器按具有源地址
10.10.10.0和10.11.x.0的数据包编制索引,其中 x 范围从0到255。集合中的第二个计数器和监管器按具有源地址
10.10.10.1和10.11.x.1的数据包编制索引,其中 x 范围从0到255。集合中的第 256 个(最后一个)计数器和监管器按具有源地址
10.10.10.255和10.11.x.255的数据包编制索引,其中 x 范围从0到255。
以下配置显示了用于配置单速率双色监管器、引用监管器的前缀特定操作以及引用前缀特定操作的 IPv4 标准无状态防火墙过滤器的语句:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-two-24-16 {
term one {
from {
source-address {
10.10.10.0/24;
10.11.0.0/16;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-two-24-16;
}
address 10.39.1.1/16;
}
}
}
}
场景 2:子网前缀比筛选器匹配条件中的前缀长
完整示例 显示了 示例:配置特定于前缀的计数和监管特定于前缀的操作的最简单情况,其中单术语防火墙过滤器在一个地址上进行匹配,其前缀长度与前缀特定操作中指定的子网前缀长度相同。与示例不同,此方案描述的配置中,特定于前缀的操作定义的子网前缀长度长于防火墙过滤器匹配的源地址的前缀。在这种情况下,特定于前缀的操作将定义子网前缀值 25,而防火墙过滤器会匹配子网中的 /24 源地址。
防火墙过滤器传递源地址 10.10.10.0 范围从 到 10.10.10.255的特定于前缀的操作数据包,而特定于前缀的操作则指定一组仅包含 128 个计数器和监管器,编号从 0 到 127。
传递到特定于前缀的操作索引到计数器和监管器集中的过滤器匹配数据包,以便计数和监管实例由子网中包含 10.10.10.0/24 两个源地址之一的数据包共享:
集合中的第一个计数器和监管器按具有源地址
10.10.10.0和 的10.10.10.128数据包编制索引。集合中的第二个计数器和监管器由具有源地址
10.10.10.1和10.10.10.129的数据包编制索引。集合中的第 128 个(最后一个)计数器和监管器按具有源地址
10.10.10.127和10.10.10.255的数据包编制索引。
以下配置显示了用于配置单速率双色监管器、引用监管器的前缀特定操作以及引用前缀特定操作的 IPv4 标准无状态防火墙过滤器的语句:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-25-32-128 {
policer 1Mbps-policer;
subnet-prefix-length 25;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-25-32-128;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
}
场景 3:子网第 128 个计数器和监管器前缀短于防火墙过滤器匹配条件中的前缀
完整示例 显示了 示例:配置特定于前缀的计数和监管特定于前缀的操作的最简单情况,其中单术语防火墙过滤器在一个地址上进行匹配,其前缀长度与前缀特定操作中指定的子网前缀长度相同。与示例不同,此方案描述的配置中,特定于前缀的操作定义的子网前缀长度短于防火墙过滤器匹配的源地址的前缀。在这种情况下,过滤器术语在源地址10.10.10.0的子网上/25匹配。
防火墙过滤器仅传递源地址范围从 10.10.10.0 到 10.10.10.127的特定于前缀的操作的数据包,而特定于前缀的操作指定一组 256 个计数器和监管器,编号从 0 到 255。
传递到特定于前缀的操作索引的匹配数据包仅进入计数器和监管器集的下半部分:
集合中的第一个计数器和监管器按具有源地址
10.10.10.0的数据包编制索引。集合中的第二个计数器和监管器按具有源地址
10.10.10.1和10.10.10.129的数据包编制索引。集合中的第 128 个计数器和监管器按具有源地址
10.10.10.127的数据包进行索引。集合的上半部分(编号为 128 到 255 的实例)不会由从此特定防火墙过滤器传递到特定于前缀的操作的数据包编制索引。
以下配置显示了用于配置单速率双色监管器、引用监管器的前缀特定操作以及引用前缀特定操作的 IPv4 标准无状态防火墙过滤器的语句:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-25 {
term one {
from {
source-address {
10.10.10.0/25;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-25;
}
address 10.39.1.1/16;
}
}
}
}