- play_arrow 了解和配置 Junos 路由策略
- play_arrow 概述
- play_arrow 使用匹配条件、操作、术语和表达式评估路由策略
- play_arrow 使用策略链和子例程评估复杂案例
- play_arrow 将路由过滤器和前缀列表配置为匹配条件
- 了解用于路由策略匹配条件的路由过滤器
- 了解用于路由策略匹配条件的路由过滤器和源地址过滤器列表
- 了解仅使用源 IP 或目标 IP 的负载平衡
- 仅使用源或目标 IP 配置负载平衡
- 路由过滤器概述
- 配置路由过滤器的步行以提高运营效率
- 示例:配置路由过滤器列表
- 示例:全局配置路由过滤器的步行以提高运营效率
- 示例:在本地配置路由过滤器的步行以提高运营效率
- 示例:配置路由过滤器策略以指定通过 OSPF 获知的前缀的优先级
- 示例:使用路由过滤器配置 MED
- 示例:为路由过滤器配置第 3 层 VPN 协议系列限定符
- 了解用于路由策略匹配条件的前缀列表
- 示例:配置路由策略前缀列表
- 示例:配置 RPD 基础架构中路由前缀的优先级
- 配置 RPD 基础架构中路由前缀的优先级
- play_arrow 将 AS 路径配置为匹配条件
- play_arrow 将社区配置为匹配条件
- play_arrow 通过 BGP 路由抖动操作提高网络稳定性
- play_arrow 使用源类使用情况和目标类使用情况操作跟踪流量使用情况
- play_arrow 使用条件路由策略避免流量路由威胁
- play_arrow 通过将流量转发到丢弃接口来防范 DoS 攻击
- play_arrow 使用动态路由策略缩短提交时间
- play_arrow 应用路由策略前的测试
-
- play_arrow 配置防火墙过滤器
- play_arrow 了解防火墙过滤器如何保护您的网络
- play_arrow 防火墙过滤器匹配条件和操作
- 防火墙过滤器概述(OCX 系列)
- ACX 系列路由器上的防火墙过滤器配置文件概述(Junos OS 演化版)
- 了解防火墙过滤器匹配条件
- 了解防火墙过滤器规划
- 了解如何评估防火墙过滤器
- 了解防火墙过滤器匹配条件
- 防火墙过滤器灵活匹配条件
- 防火墙过滤器非终止操作
- 防火墙过滤器终止操作
- 防火墙过滤器匹配条件和操作(ACX 系列路由器)
- ACX 系列路由器中的防火墙过滤器匹配条件和操作 (Junos OS 演化版)
- 与协议无关的流量的防火墙过滤器匹配条件
- IPv4 流量的防火墙过滤器匹配条件
- IPv6 流量的防火墙过滤器匹配条件
- 基于数字或文本别名的防火墙过滤器匹配条件
- 基于位字段值的防火墙过滤器匹配条件
- 基于地址字段的防火墙过滤器匹配条件
- 基于地址类的防火墙过滤器匹配条件
- 了解 MPLS 流量的基于 IP 的过滤和选择性端口镜像
- MPLS 流量的防火墙过滤器匹配条件
- MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件
- VPLS 流量的防火墙过滤器匹配条件
- 第 2 层 CCC 流量的防火墙过滤器匹配条件
- 第 2 层桥接流量的防火墙过滤器匹配条件
- 环路接口上的防火墙过滤器支持
- play_arrow 将防火墙过滤器应用于路由引擎流量
- 在第 3 层 VPN 中的路由实例的环路接口上配置逻辑单元
- 示例:配置过滤器以根据前缀列表限制对端口的 TCP 访问
- 示例:配置无状态防火墙过滤器以接受来自可信源的流量
- 示例:配置过滤器以阻止 Telnet 和 SSH 访问
- 示例:配置过滤器以阻止 TFTP 访问
- 示例:配置过滤器以接受基于 IPv6 TCP 标志的数据包
- 示例:配置过滤器以阻止对端口的 TCP 访问(来自指定 BGP 对等方除外)
- 示例:配置无状态防火墙过滤器以防止 TCP 和 ICMP 泛滥
- 示例:使用每秒数据包数速率限制过滤器保护路由引擎
- 示例:配置过滤器以排除 LAC 订阅者的 DHCPv6 和 ICMPv6 控制流量
- DHCP 防火墙过滤器的端口号要求
- 示例:配置 DHCP 防火墙过滤器以保护路由引擎
- play_arrow 将防火墙过滤器应用于传输流量
- 示例:配置过滤器以用作入口队列过滤器
- 示例:配置过滤器以匹配 IPv6 标志
- 示例:配置过滤器以匹配端口和协议字段
- 示例:配置过滤器以计算接受和拒绝的数据包
- 示例:配置过滤器以计数和丢弃 IP 选项数据包
- 示例:配置过滤器以对 IP 选项数据包进行计数
- 示例:配置过滤器以对接受的数据包进行计数和采样
- 示例:配置过滤器以将 DSCP 位设置为零
- 示例:配置过滤器以将 DSCP 位设置为零
- 示例:将筛选器配置为匹配两个不相关的条件
- 示例:将过滤器配置为基于地址接受 DHCP 数据包
- 示例:配置过滤器以接受来自前缀的 OSPF 数据包
- 示例:配置无状态防火墙过滤器以处理片段
- 配置防火墙过滤器以防止或允许 IPv4 数据包分段
- 配置防火墙过滤器以丢弃带有移动扩展标头的入口 IPv6 数据包
- 示例:基于 IPv6 源或目标 IP 地址配置出口过滤器
- 示例:基于目标类配置速率限制过滤器
- play_arrow 在逻辑系统中配置防火墙过滤器
- play_arrow 配置防火墙过滤器记帐和日志记录
- play_arrow 将多个防火墙过滤器连接到单个接口
- play_arrow 将单个防火墙过滤器连接到多个接口
- play_arrow 配置跨 IP 网络的基于过滤器的隧道
- play_arrow 配置服务过滤器
- play_arrow 配置简单筛选器
- play_arrow 配置第 2 层防火墙过滤器
- play_arrow 为转发、分段和监管配置防火墙过滤器
- play_arrow 配置防火墙过滤器(EX 系列交换机)
- EX 系列交换机的防火墙过滤器概述
- 了解防火墙过滤器的规划
- 了解防火墙过滤器匹配条件
- 了解防火墙过滤器如何控制数据包流
- 了解如何评估防火墙过滤器
- 了解 EX 系列交换机上桥接数据包和路由数据包的防火墙过滤器处理点
- EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符
- EX 系列交换机上防火墙过滤器匹配条件、操作和操作修饰符的平台支持
- 支持交换机上环路防火墙过滤器的匹配条件和操作
- 配置防火墙过滤器(CLI 过程)
- 了解防火墙过滤器如何测试数据包的协议
- 了解 EX 系列交换机基于过滤器的转发
- 示例:为 EX 系列交换机上的端口、VLAN 和路由器流量配置防火墙过滤器
- 示例:在 EX 系列交换机的管理接口上配置防火墙过滤器
- 示例:使用基于过滤器的转发将应用程序流量路由到安全设备
- 示例:将防火墙过滤器应用于启用了 802.1X 或 MAC RADIUS 身份验证的接口上的多个请求方
- 验证监管器是否正常运行
- 防火墙过滤器故障排除
- play_arrow 配置防火墙过滤器(QFX 系列交换机、EX4600 交换机、PTX 系列路由器)
- 防火墙过滤器概述(QFX 系列)
- 了解防火墙过滤器规划
- 规划要创建的防火墙过滤器数量
- 防火墙过滤器匹配条件和操作(QFX 和 EX 系列交换机)
- 防火墙过滤器匹配条件和操作(QFX10000交换机)
- 防火墙过滤器匹配条件和操作(PTX 系列路由器)
- PTX 系列数据包传输路由器和 T 系列矩阵路由器之间的防火墙和监管差异
- 配置防火墙过滤器
- 将防火墙过滤器应用于接口
- 环路接口上的 MPLS 防火墙过滤器概述
- 在交换机上配置 MPLS 防火墙过滤器和监管器
- 在路由器上配置 MPLS 防火墙过滤器和监管器
- 配置 MPLS 防火墙过滤器和监管器
- 了解防火墙过滤器如何测试协议
- 了解桥接和路由数据包的防火墙过滤器处理点
- 了解基于过滤器的转发
- 示例:使用基于过滤器的转发将应用程序流量路由到安全设备
- 配置防火墙过滤器以解封装 GRE 或 IPIP 流量
- 验证防火墙过滤器是否正常运行
- 监控防火墙过滤器流量
- 防火墙过滤器配置疑难解答
- play_arrow 配置防火墙过滤器计费和日志记录(EX9200 交换机)
-
- play_arrow 配置语句和操作命令
- play_arrow 故障排除
- play_arrow 知识库
-
特定于前缀的计数和监管操作
特定于前缀的计数和监管概述
每个 IPv4 地址范围单独计数和监管
通过特定于前缀的计数和监管,您可以配置 IPv4 防火墙过滤器 术语,该术语与源地址或目标地址匹配,应用单速率双色监管器作为术语操作,但根据数据包标头中的源或目标将匹配的数据包与特定的计数器和监管器实例相关联。您可以为单个地址或一组地址隐式创建单独的计数器或监管器实例。
特定于前缀的计数和监管使用 特定于前缀 的操作配置,该配置指定要应用的监管器的名称、是否启用特定于前缀的计数以及源地址或目标地址前缀范围。
前缀范围指定 IPv4 地址掩码的 1 到 16 个连续集位。前缀范围的长度决定了计数器和监管 器集的大小,它由少至 2 个或多达 65,536 个计数器和监管器实例组成。前缀范围中位的位置决定了将过滤器匹配的数据包索引到实例集中。
特定于前缀的操作特定于源或目标 前缀范围,但它不特定于特定的源或目标 地址范围,也不特定于特定接口。
要将特定于前缀的操作应用于接口上的流量,请配置与源地址或目标地址匹配的防火墙过滤器术语,然后将防火墙过滤器应用于接口。使用特定于前缀的计数器和监管器实例(根据过滤数据包标头中的源地址或目标地址为每个数据包选择)来限制已过滤流量的流的速率。
特定于前缀的操作配置
要配置特定于前缀的操作,请指定以下信息:
特定于前缀的操作名称 — 可作为与源地址或目标地址上的数据包匹配的 IPv4 标准防火墙过滤器术语的操作引用的名称。
监管器名称 — 要为其隐式创建特定于前缀的实例的单速率双色监管器的名称。
注:对于聚合以太网接口,您可以配置引用逻辑接口监管器(也称为聚合监管器)的特定于前缀的操作。您可以从 IPv4 标准防火墙过滤器引用此类特定于前缀的操作,然后在接口的聚合级别应用过滤器。
计数选项 - 如果要启用特定于前缀的计数器,则包含的选项。
特定于过滤器的选项 — 如果您希望在防火墙过滤器中的所有术语之间共享单个计数器和监管器集,则可选择包括该选项。以这种方式运行的特定于前缀的操作称为在 特定于筛选器的模式下运行。如果不启用此选项,则特定于前缀的操作将在 特定于术语 的模式下运行,这意味着将为引用特定于前缀的操作的每个过滤器术语创建一个单独的计数器和监管器集。
源地址前缀长度 — 地址前缀的长度,从 0 到 32,用于源地址上匹配的数据包。
目标地址前缀长度 — 地址前缀的长度,从 0 到 32,用于与目标地址匹配的数据包一起使用。
子网前缀长度 — 子网前缀的长度,从 0 到 32,用于与源地址或目标地址匹配的数据包一起使用。
您必须将源地址和目标地址前缀长度配置为比子网前缀长度长 1 到 16 位。如果将源地址或目标地址前缀长度配置为比配置的子网前缀长度高 16 位以上,则在尝试提交配置时会发生错误。
计数器和监管器集大小和索引
为特定于前缀的操作隐式创建的特定于前缀的操作(计数器或监管器)的数量由地址前缀的长度和子网前缀的长度决定:
Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)
表 1 显示了计数器和监管器集大小和索引的示例。
前缀特定操作中指定的前缀长度示例 | 计算计数器或监管器组大小 | 实例索引 | |
---|---|---|---|
source-prefix-length = 32 subnet-prefix-length = 16 | Size = 2^(32 - 16) = 2^16 = 65,536 instances 注: 此计算显示支持的最大计数器或监管器集大小。 | 实例 0: | x.x.0.0 |
实例 1: | x.x.0.1 | ||
实例 65535: | x.x.255.255 | ||
source-prefix-length = 32 subnet-prefix-length = 24 | Size = 2^(32 - 24) = 2^8 = 256 instances | 实例 0: | x.x.x.0 |
实例 1: | x.x.x.1 | ||
实例 255: | x.x.x.255 | ||
source-prefix-length = 32 subnet-prefix-length = 25 | Size = 2^(32 - 25) = 2^7 = 128 instances | 实例 0: | x.x.x.0 |
实例 1: | x.x.x.1 | ||
实例 127: | x.x.x.127 | ||
source-prefix-length = 24 subnet-prefix-length = 20 | Size = 2^(24 - 20) = 2^4 = 16 instances | 实例 0: | x.x.0.x |
实例 1: | x.x.1.x | ||
实例 15: | x.x.15.x |
另请参阅
过滤器专用计数器和监管器组概述
默认情况下,特定于前缀的监管器集在特定 术语模式下 运行,因此,对于给定 的防火墙过滤器,Junos OS 会为每个引用前缀特定操作的过滤器术语创建一个单独的计数器和监管器集。作为一个选项,您可以将特定于前缀的监管器集配置为在 特定于过滤器的 模式下运行,以便引用监管器的所有术语(在同一防火墙过滤器内)都使用单个前缀特定的监管器集。
对于具有引用同一前缀特定监管器集的多个术语的 IPv4 防火墙过滤器,将监管器集配置为在特定于过滤器的模式下运行,使您能够在防火墙过滤器级别计算和监控监管器集的活动。
术语特定模式和过滤器特定模式也适用于监管器。请参阅 过滤器特定监管器概述。
要使特定于前缀的监管器集能够在特定于过滤器的模式下运行,可以在 filter-specific
以下层次结构级别包含该语句:
[edit firewall family inet prefix-action prefix-action-name]
[edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]
您只能从 IPv4 (family inet
) 防火墙过滤器引用特定于过滤器、特定于前缀的监管器集。
另请参阅
过滤器特定监管器概述
默认情况下,监管器在特定 术语 模式下运行,因此,对于给定 的防火墙过滤器,Junos OS 会为每个引用监管器的过滤器术语创建一个单独的监管器实例。您可以选择将监管器配置为在 特定于过滤器的 模式下运行,以便引用监管器的所有术语(在同一防火墙过滤器内)使用单个监管器实例。
对于具有引用同一监管器的多个术语的 IPv4 防火墙过滤器,将监管器配置为在特定过滤器模式下运行使您能够在防火墙过滤器级别计算和监控监管器的活动。
特定于术语的模式和特定于过滤器的模式也适用于特定于前缀的监管器集。
要使单速率双色监管器能够在特定于过滤器的模式下运行,可以在以下层次结构级别包含该 filter-specific
语句:
[edit firewall policer policer-name]
[edit logical-systems logical-system-name firewall policer policer-name]
只能从 IPv4 (family inet
) 防火墙过滤器引用特定于过滤器的监管器。
示例:配置特定于前缀的计数和监管
此示例说明如何配置特定于前缀的计数和监管。
要求
配置此示例之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将根据与 IPv4 防火墙过滤器匹配的数据包中源地址字段的最后一个八位字节配置特定于前缀的计数和监管。
名为 rate 的 1Mbps-policer
单速率双色监管器将流量限制为 1,000,000 bps 的带宽和 63,000 字节的突发大小限制,丢弃流量流中超出流量限制的任何数据包。
与从防火墙过滤器传递的任何数据包中包含的 IPv4 地址无关,名为 psa-1Mbps-per-source-24-32-256
前缀的特定操作指定一组 256 个计数器和监管器,编号从 0 到 255。对于每个数据包,源地址字段的最后一个八位字节用于索引到集合中关联的前缀特定计数器和监管器:
源地址以八位字节 0x0000 00000 索引结尾的数据包是集合中的第一个计数器和监管器。
源地址以八位 0x0000 0001 字节索引结尾的数据包是集合中的第二个计数器和监管器。
源地址以八位字节 0x1111 1111 索引的数据包是集合中的最后一个计数器和监管器。
limit-source-one-24
防火墙过滤器包含一个术语,该术语匹配来自源地址10.10.10.0
子网的所有/24
数据包,将这些数据包传递给特定于psa-1Mbps-per-source-24-32-256
前缀的操作。
拓扑学
在此示例中,由于筛选术语与单个源地址的子网匹配 /24
,因此特定于前缀的集中的每个计数和监管实例仅用于一个源地址。
具有源地址
10.10.10.0
的数据包索引集合中的第一个计数器和监管器。具有源地址
10.10.10.1
的数据包为集合中的第二个计数器和监管器编制索引。具有源地址
10.10.10.255
的数据包为集合中的最后一个计数器和监管器编制索引。
此示例显示了特定于前缀的操作的最简单情况,其中筛选器术语在一个地址上进行匹配,其前缀长度与前缀特定操作中指定的前缀长度相同,用于索引到一组特定于前缀的计数器和监管器中。
有关特定于前缀的计数和监管的其他配置的说明,请参见 特定于前缀的计数和监管配置方案。
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参见 在配置模式下使用 CLI 编辑器。
要配置此示例,请执行以下操作:
CLI 快速配置
要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI [edit]
中。
set firewall policer 1Mbps-policer if-exceeding bandwidth-limit 1m set firewall policer 1Mbps-policer if-exceeding burst-size-limit 63k set firewall policer 1Mbps-policer then discard set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 policer 1Mbps-policer set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 count set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 subnet-prefix-length 24 set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 source-prefix-length 32 set firewall family inet filter limit-source-one-24 term one from source-address 10.10.10.0/24 set firewall family inet filter limit-source-one-24 term one then prefix-action psa-1Mbps-per-source-24-32-256 set interfaces so-0/0/2 unit 0 family inet filter input limit-source-one-24 set interfaces so-0/0/2 unit 0 family inet address 10.39.1.1/16
为特定于前缀的计数和监管配置监管器
分步过程
要配置用于前缀特定计数和监管的监管器,请执行以下操作:
启用单速率双色监管器的配置。
content_copy zoom_out_map[edit] user@host# edit firewall policer 1Mbps-policer
定义流量限制。
content_copy zoom_out_map[edit firewall policer 1Mbps-policer] user@host# set if-exceeding bandwidth-limit 1m user@host# set if-exceeding burst-size-limit 63k
在传递时,通信流中符合此限制的数据包的 PLP 设置为
low
。定义针对不符合流量的操作。
content_copy zoom_out_map[edit firewall policer 1Mbps-policer] user@host# set then discard
流量中超过此限制的数据包将被丢弃。单速率双色监管器的其他可配置操作包括设置转发类和设置 PLP 级别。
结果
通过输入 show firewall
配置模式命令确认监管器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit] user@host# show firewall policer 1Mbps-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 63k; } then discard; }
基于监管器配置特定于前缀的操作
分步过程
要配置引用监管器并指定源地址前缀的一部分的特定于前缀的操作,请执行以下操作:
启用特定于前缀的操作的配置。
content_copy zoom_out_map[edit] user@host# edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256
只能为 IPv4 流量定义特定于前缀的计数和监管。
引用要为其创建前缀特定集的监管器。
content_copy zoom_out_map[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set policer 1Mbps-policer user@host# set count
注:对于聚合以太网接口,您可以配置引用逻辑接口监管器(也称为聚合监管器)的特定于前缀的操作。您可以从 IPv4 标准防火墙过滤器引用此类特定于前缀的操作,然后在接口的聚合级别应用过滤器。
指定要将 IPv4 地址索引到计数器和监管器集的前缀范围。
content_copy zoom_out_map[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set source-prefix-length 32 user@host# set subnet-prefix-length 24
结果
通过输入 show firewall
配置模式命令确认前缀特定操作的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit] user@host# show firewall policer 1Mbps-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 63k; } then discard; } family inet { prefix-action psa-1Mbps-per-source-24-32-256 { policer 1Mbps-policer; subnet-prefix-length 24; source-prefix-length 32; } }
配置引用前缀特定操作的 IPv4 过滤器
分步过程
要配置引用前缀特定操作的 IPv4 标准防火墙过滤器,请执行以下操作:
启用 IPv4 标准防火墙过滤器的配置。
content_copy zoom_out_map[edit] user@host# edit firewall family inet filter limit-source-one-24
只能为 IPv4 流量定义特定于前缀的计数和监管。
配置过滤器术语以匹配数据包源地址或目标地址。
content_copy zoom_out_map[edit firewall family inet filter limit-source-one-24] user@host# set term one from source-address 10.10.10.0/24
配置过滤器术语以引用特定于前缀的操作。
content_copy zoom_out_map[edit firewall family inet filter limit-source-one-24] user@host# set term one then prefix-action psa-1Mbps-per-source-24-32-256
您还可以使用该
next term
操作将到每个主机的所有超文本传输协议 (HTTP) 流量配置为以 500 Kbps 的速度传输,并将总 HTTP 流量限制为 1 Mbps。
结果
通过输入 show firewall
配置模式命令确认前缀特定操作的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit] user@host# show firewall policer 1Mbps-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 63k; } then discard; } family inet { prefix-action psa-1Mbps-per-source-24-32-256 { policer 1Mbps-policer; subnet-prefix-length 24; source-prefix-length 32; } filter limit-source-one-24 { term one { from { source-address { 10.10.10.0/24; } } then prefix-action psa-1Mbps-per-source-24-32-256; } } }
将防火墙过滤器应用于逻辑接口上的 IPv4 输入流量
分步过程
要将防火墙过滤器应用于逻辑接口上的 IPv4 输入流量,请执行以下操作:
在逻辑接口上启用 IPv4 配置。
content_copy zoom_out_map[edit] user@host# edit interfaces so-0/0/2 unit 0 family inet
配置 IP 地址。
content_copy zoom_out_map[edit interfaces so-0/0/2 unit 0 family inet] user@host# set address 10.39.1.1/16
应用 IPv4 标准无状态防火墙过滤器。
content_copy zoom_out_map[edit interfaces so-0/0/2 unit 0 family inet] user@host# set filter input limit-source-one-24
结果
通过输入 show interfaces
配置模式命令确认前缀特定操作的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit] user@host# show interfaces so-0/0/2 { unit 0 { family inet { filter { input limit-source-one-24; } address 10.39.1.1/16; } } }
如果完成设备配置,请从配置模式输入 commit
。
验证
确认配置工作正常。
显示应用于接口的防火墙过滤器
目的
验证防火墙过滤器 limit-source-one-24
是否已应用于逻辑接口 so-0/0/2.0
上的 IPv4 输入流量。
操作
show interfaces statistics
对逻辑接口 so-0/0/2.0
使用操作模式命令,并包括该detail
选项。在 的 Protocol inet命令输出部分中,该 Input Filters 字段将显示 limit-source-one-24,表示过滤器已应用于输入方向上的 IPv4 流量:
user@host> show interfaces statistics so-0/0/2.0 detail Logical interface so-0/0/2.0 (Index 79) (SNMP ifIndex 510) (Generation 149) Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP Protocol inet, MTU: 4470, Generation: 173, Route table: 0 Flags: Sendbcast-pkt-to-re, Protocol-Down Input Filters: limit-source-one-24 Addresses, Flags: Dest-route-down Is-Preferred Is-Primary Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
显示防火墙过滤器的前缀特定操作统计信息
目的
验证监管器评估的数据包数。
操作
使用 show firewall prefix-action-stats filter filter-name prefix-action name
操作模式命令可显示有关在防火墙过滤器上配置的特定于前缀的操作的统计信息。
作为一个选项,您可以使用 from set-index to set-index
命令选项指定要显示的开始和结束计数器或监管器。监管器集的索引范围为 0 到 65535。
命令输出显示指定的过滤器名称,后跟监管器集中每个监管器处理的字节数和数据包数列表。
对于特定于术语的监管器,集合中的每个监管器标识如下:
prefix-specific-action-name-term-name-set-index
对于特定于过滤器的监管器,每个监管器在命令输出中标识,如下所示:
prefix-specific-action-name-set-index
由于示例前缀特定的操作 psa-1Mbps-per-source-24-32-256
仅由示例过滤器 limit-source-one-24
的一个术语引用,因此示例监管器 1Mbps-policer
被配置为特定于术语。在命令输出中show firewall prefix-action-stats
,监管器统计信息显示为 psa-1Mbps-per-source-24-32-256-one-0
、 psa-1Mbps-per-source-24-32-256-one-1
等等。psa-1Mbps-per-source-24-32-256-one-255
user@host> show firewall prefix-action-stats filter limit-source-one-24 prefix-action psa-1Mbps-per-source-24-32-256 from 0 to 9 Filter: limit-source-one-24 Counters: Name Bytes Packets psa-1Mbps-per-source-24-32-256-one-0 0 0 psa-1Mbps-per-source-24-32-256-one-1 0 0 psa-1Mbps-per-source-24-32-256-one-2 0 0 psa-1Mbps-per-source-24-32-256-one-3 0 0 psa-1Mbps-per-source-24-32-256-one-4 0 0 psa-1Mbps-per-source-24-32-256-one-5 0 0 psa-1Mbps-per-source-24-32-256-one-6 0 0 psa-1Mbps-per-source-24-32-256-one-7 0 0 psa-1Mbps-per-source-24-32-256-one-8 0 0 psa-1Mbps-per-source-24-32-256-one-9 0 0
特定于前缀的计数和监管配置方案
- 操作的前缀长度和过滤数据包中地址的前缀长度
- 场景 1:防火墙过滤器术语匹配多个地址
- 场景 2:子网前缀比筛选器匹配条件中的前缀长
- 场景 3:子网第 128 个计数器和监管器前缀短于防火墙过滤器匹配条件中的前缀
操作的前缀长度和过滤数据包中地址的前缀长度
表 2 描述在特定于前缀的操作中指定的前缀长度与引用特定于前缀的操作的防火墙过滤器术语匹配的地址的前缀长度之间的关系。
计数器和监管器套件 | 数据包过滤条件 | 实例索引 | ||
---|---|---|---|---|
特定于前缀的操作方案: 示例:配置特定于前缀的计数和监管 | ||||
source-prefix-length = 32 subnet-prefix-length = 24 套装尺寸:2^8 = 256实例编号:0 - 255 | source-address = 10.10.10.0/24 | 实例 0 | 10.10.10.0 | |
实例 1: | 10.10.10.1 | |||
|
| |||
实例 255: | 10.10.10.255 | |||
特定于前缀的操作方案: 场景 1:防火墙过滤器术语匹配多个地址 | ||||
source-prefix-length = 32 subnet-prefix-length = 24 套装尺寸:2^8 = 256实例编号:0 - 255 | source-address = 10.10.10.0/24 source-address = 10.11.0.0/16 | 实例 0 | 10.10.10.0,10.11.x.0 | |
实例 1: | 10.10.10.1,10.11.x.1 | |||
|
| |||
实例 255: | 10.10.10.255,10.11.x.255 | |||
对于 /16 子网中的地址, x 范围为 0 到 255。 | ||||
特定于前缀的操作方案: 场景 2:子网前缀比筛选器匹配条件中的前缀长 | ||||
source-prefix-length = 32 subnet-prefix-length = 25 套装尺寸:2^7 = 128实例编号:0 - 127 | source-address = 10.10.10.0/24 | 实例 0 | 10.10.10.0,10.10.10.128 | |
实例 1: | 10.10.10.1,10.10.10.120 | |||
|
| |||
实例 127: | 10.10.10.255,10.10.10.127 | |||
特定于前缀的操作方案: 场景 3:子网第 128 个计数器和监管器前缀短于防火墙过滤器匹配条件中的前缀 | ||||
source-prefix-length = 32 subnet-prefix-length = 24 套装尺寸:2^8 = 256实例编号:0 - 255 | source-address = 10.10.10.0/25 注: 只有源地址范围从 到 的 | 实例 0 | 10.10.10.0 | |
实例 1: | 10.10.10.1 | |||
|
| |||
实例 127: | 10.10.10.127 | |||
实例 128 – 255:闲置 |
场景 1:防火墙过滤器术语匹配多个地址
完整的示例 示例:配置特定于前缀的计数和监管显示了特定于前缀的操作的最简单情况,其中单术语 防火墙过滤器 在一个地址上进行匹配,其前缀长度与前缀特定操作中指定的子网前缀长度相同。与示例不同,此方案描述的配置中,单期限防火墙过滤器在两个 IPv4 源地址上匹配。此外,附加条件在前缀长度不同于特定于前缀的操作中定义的子网前缀长度的源地址上进行匹配。在这种情况下,附加条件在源地址10.11.0.0
的子网上/16
匹配。
与源地址匹配的数据包不同,与源地址10.10.10.0/24
10.11.0.0/16
匹配的数据包与计数器和监管器集中的实例处于多对一对应关系中。
传递到计数器和监管器集中的特定于前缀的操作索引的过滤器匹配数据包,以便计数和监管实例由包含跨和10.10.10.0/24
10.11.0.0/16
子网的源地址的数据包共享,如下所示:
集合中的第一个计数器和监管器按具有源地址
10.10.10.0
和10.11.x.0
的数据包编制索引,其中 x 范围从0
到255
。集合中的第二个计数器和监管器按具有源地址
10.10.10.1
和10.11.x.1
的数据包编制索引,其中 x 范围从0
到255
。集合中的第 256 个(最后一个)计数器和监管器按具有源地址
10.10.10.255
和10.11.x.255
的数据包编制索引,其中 x 范围从0
到255
。
以下配置显示了用于配置单速率双色监管器、引用监管器的前缀特定操作以及引用前缀特定操作的 IPv4 标准无状态防火墙过滤器的语句:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-two-24-16 {
term one {
from {
source-address {
10.10.10.0/24;
10.11.0.0/16
;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-two-24-16;
}
address 10.39.1.1/16;
}
}
}
}
场景 2:子网前缀比筛选器匹配条件中的前缀长
完整示例 显示了 示例:配置特定于前缀的计数和监管特定于前缀的操作的最简单情况,其中单术语防火墙过滤器在一个地址上进行匹配,其前缀长度与前缀特定操作中指定的子网前缀长度相同。与示例不同,此方案描述的配置中,特定于前缀的操作定义的子网前缀长度长于防火墙过滤器匹配的源地址的前缀。在这种情况下,特定于前缀的操作将定义子网前缀值 25
,而防火墙过滤器会匹配子网中的 /24
源地址。
防火墙过滤器传递源地址 10.10.10.0
范围从 到 10.10.10.255
的特定于前缀的操作数据包,而特定于前缀的操作则指定一组仅包含 128 个计数器和监管器,编号从 0 到 127。
传递到特定于前缀的操作索引到计数器和监管器集中的过滤器匹配数据包,以便计数和监管实例由子网中包含 10.10.10.0/24
两个源地址之一的数据包共享:
集合中的第一个计数器和监管器按具有源地址
10.10.10.0
和 的10.10.10.128
数据包编制索引。集合中的第二个计数器和监管器由具有源地址
10.10.10.1
和10.10.10.129
的数据包编制索引。集合中的第 128 个(最后一个)计数器和监管器按具有源地址
10.10.10.127
和10.10.10.255
的数据包编制索引。
以下配置显示了用于配置单速率双色监管器、引用监管器的前缀特定操作以及引用前缀特定操作的 IPv4 标准无状态防火墙过滤器的语句:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-25-32-128 {
policer 1Mbps-policer;
subnet-prefix-length 25
;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-25-32-128;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
}
场景 3:子网第 128 个计数器和监管器前缀短于防火墙过滤器匹配条件中的前缀
完整示例 显示了 示例:配置特定于前缀的计数和监管特定于前缀的操作的最简单情况,其中单术语防火墙过滤器在一个地址上进行匹配,其前缀长度与前缀特定操作中指定的子网前缀长度相同。与示例不同,此方案描述的配置中,特定于前缀的操作定义的子网前缀长度短于防火墙过滤器匹配的源地址的前缀。在这种情况下,过滤器术语在源地址10.10.10.0
的子网上/25
匹配。
防火墙过滤器仅传递源地址范围从 10.10.10.0
到 10.10.10.127
的特定于前缀的操作的数据包,而特定于前缀的操作指定一组 256 个计数器和监管器,编号从 0 到 255。
传递到特定于前缀的操作索引的匹配数据包仅进入计数器和监管器集的下半部分:
集合中的第一个计数器和监管器按具有源地址
10.10.10.0
的数据包编制索引。集合中的第二个计数器和监管器按具有源地址
10.10.10.1
和10.10.10.129
的数据包编制索引。集合中的第 128 个计数器和监管器按具有源地址
10.10.10.127
的数据包进行索引。集合的上半部分(编号为 128 到 255 的实例)不会由从此特定防火墙过滤器传递到特定于前缀的操作的数据包编制索引。
以下配置显示了用于配置单速率双色监管器、引用监管器的前缀特定操作以及引用前缀特定操作的 IPv4 标准无状态防火墙过滤器的语句:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-25 {
term one {
from {
source-address {
10.10.10.0/25
;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-25;
}
address 10.39.1.1/16;
}
}
}
}