- play_arrow 了解和配置 Junos 路由策略
- play_arrow 概述
- play_arrow 使用匹配条件、操作、术语和表达式评估路由策略
- play_arrow 使用策略链和子例程评估复杂案例
- play_arrow 将路由过滤器和前缀列表配置为匹配条件
- 了解用于路由策略匹配条件的路由过滤器
- 了解用于路由策略匹配条件的路由过滤器和源地址过滤器列表
- 了解仅使用源 IP 或目标 IP 的负载平衡
- 仅使用源或目标 IP 配置负载平衡
- 路由过滤器概述
- 配置路由过滤器的步行以提高运营效率
- 示例:配置路由过滤器列表
- 示例:全局配置路由过滤器的步行以提高运营效率
- 示例:在本地配置路由过滤器的步行以提高运营效率
- 示例:配置路由过滤器策略以指定通过 OSPF 获知的前缀的优先级
- 示例:使用路由过滤器配置 MED
- 示例:为路由过滤器配置第 3 层 VPN 协议系列限定符
- 了解用于路由策略匹配条件的前缀列表
- 示例:配置路由策略前缀列表
- 示例:配置 RPD 基础架构中路由前缀的优先级
- 配置 RPD 基础架构中路由前缀的优先级
- play_arrow 将 AS 路径配置为匹配条件
- play_arrow 将社区配置为匹配条件
- play_arrow 通过 BGP 路由抖动操作提高网络稳定性
- play_arrow 使用源类使用情况和目标类使用情况操作跟踪流量使用情况
- play_arrow 使用条件路由策略避免流量路由威胁
- play_arrow 通过将流量转发到丢弃接口来防范 DoS 攻击
- play_arrow 使用动态路由策略缩短提交时间
- play_arrow 应用路由策略前的测试
-
- play_arrow 配置防火墙过滤器
- play_arrow 了解防火墙过滤器如何保护您的网络
- play_arrow 防火墙过滤器匹配条件和操作
- 防火墙过滤器概述(OCX 系列)
- ACX 系列路由器上的防火墙过滤器配置文件概述(Junos OS 演化版)
- 了解防火墙过滤器匹配条件
- 了解防火墙过滤器规划
- 了解如何评估防火墙过滤器
- 了解防火墙过滤器匹配条件
- 防火墙过滤器灵活匹配条件
- 防火墙过滤器非终止操作
- 防火墙过滤器终止操作
- 防火墙过滤器匹配条件和操作(ACX 系列路由器)
- ACX 系列路由器中的防火墙过滤器匹配条件和操作 (Junos OS 演化版)
- 与协议无关的流量的防火墙过滤器匹配条件
- IPv4 流量的防火墙过滤器匹配条件
- IPv6 流量的防火墙过滤器匹配条件
- 基于数字或文本别名的防火墙过滤器匹配条件
- 基于位字段值的防火墙过滤器匹配条件
- 基于地址字段的防火墙过滤器匹配条件
- 基于地址类的防火墙过滤器匹配条件
- 了解 MPLS 流量的基于 IP 的过滤和选择性端口镜像
- MPLS 流量的防火墙过滤器匹配条件
- MPLS 标记的 IPv4 或 IPv6 流量的防火墙过滤器匹配条件
- VPLS 流量的防火墙过滤器匹配条件
- 第 2 层 CCC 流量的防火墙过滤器匹配条件
- 第 2 层桥接流量的防火墙过滤器匹配条件
- 环路接口上的防火墙过滤器支持
- play_arrow 将防火墙过滤器应用于路由引擎流量
- 在第 3 层 VPN 中的路由实例的环路接口上配置逻辑单元
- 示例:配置过滤器以根据前缀列表限制对端口的 TCP 访问
- 示例:配置无状态防火墙过滤器以接受来自可信源的流量
- 示例:配置过滤器以阻止 Telnet 和 SSH 访问
- 示例:配置过滤器以阻止 TFTP 访问
- 示例:配置过滤器以接受基于 IPv6 TCP 标志的数据包
- 示例:配置过滤器以阻止对端口的 TCP 访问(来自指定 BGP 对等方除外)
- 示例:配置无状态防火墙过滤器以防止 TCP 和 ICMP 泛滥
- 示例:使用每秒数据包数速率限制过滤器保护路由引擎
- 示例:配置过滤器以排除 LAC 订阅者的 DHCPv6 和 ICMPv6 控制流量
- DHCP 防火墙过滤器的端口号要求
- 示例:配置 DHCP 防火墙过滤器以保护路由引擎
- play_arrow 将防火墙过滤器应用于传输流量
- 示例:配置过滤器以用作入口队列过滤器
- 示例:配置过滤器以匹配 IPv6 标志
- 示例:配置过滤器以匹配端口和协议字段
- 示例:配置过滤器以计算接受和拒绝的数据包
- 示例:配置过滤器以计数和丢弃 IP 选项数据包
- 示例:配置过滤器以对 IP 选项数据包进行计数
- 示例:配置过滤器以对接受的数据包进行计数和采样
- 示例:配置过滤器以将 DSCP 位设置为零
- 示例:配置过滤器以将 DSCP 位设置为零
- 示例:将筛选器配置为匹配两个不相关的条件
- 示例:将过滤器配置为基于地址接受 DHCP 数据包
- 示例:配置过滤器以接受来自前缀的 OSPF 数据包
- 示例:配置无状态防火墙过滤器以处理片段
- 配置防火墙过滤器以防止或允许 IPv4 数据包分段
- 配置防火墙过滤器以丢弃带有移动扩展标头的入口 IPv6 数据包
- 示例:基于 IPv6 源或目标 IP 地址配置出口过滤器
- 示例:基于目标类配置速率限制过滤器
- play_arrow 在逻辑系统中配置防火墙过滤器
- play_arrow 配置防火墙过滤器记帐和日志记录
- play_arrow 将多个防火墙过滤器连接到单个接口
- play_arrow 将单个防火墙过滤器连接到多个接口
- play_arrow 配置跨 IP 网络的基于过滤器的隧道
- play_arrow 配置服务过滤器
- play_arrow 配置简单筛选器
- play_arrow 配置第 2 层防火墙过滤器
- play_arrow 为转发、分段和监管配置防火墙过滤器
- play_arrow 配置防火墙过滤器(EX 系列交换机)
- EX 系列交换机的防火墙过滤器概述
- 了解防火墙过滤器的规划
- 了解防火墙过滤器匹配条件
- 了解防火墙过滤器如何控制数据包流
- 了解如何评估防火墙过滤器
- 了解 EX 系列交换机上桥接数据包和路由数据包的防火墙过滤器处理点
- EX 系列交换机的防火墙过滤器匹配条件、操作和操作修改符
- EX 系列交换机上防火墙过滤器匹配条件、操作和操作修饰符的平台支持
- 支持交换机上环路防火墙过滤器的匹配条件和操作
- 配置防火墙过滤器(CLI 过程)
- 了解防火墙过滤器如何测试数据包的协议
- 了解 EX 系列交换机基于过滤器的转发
- 示例:为 EX 系列交换机上的端口、VLAN 和路由器流量配置防火墙过滤器
- 示例:在 EX 系列交换机的管理接口上配置防火墙过滤器
- 示例:使用基于过滤器的转发将应用程序流量路由到安全设备
- 示例:将防火墙过滤器应用于启用了 802.1X 或 MAC RADIUS 身份验证的接口上的多个请求方
- 验证监管器是否正常运行
- 防火墙过滤器故障排除
- play_arrow 配置防火墙过滤器(QFX 系列交换机、EX4600 交换机、PTX 系列路由器)
- 防火墙过滤器概述(QFX 系列)
- 了解防火墙过滤器规划
- 规划要创建的防火墙过滤器数量
- 防火墙过滤器匹配条件和操作(QFX 和 EX 系列交换机)
- 防火墙过滤器匹配条件和操作(QFX10000交换机)
- 防火墙过滤器匹配条件和操作(PTX 系列路由器)
- PTX 系列数据包传输路由器和 T 系列矩阵路由器之间的防火墙和监管差异
- 配置防火墙过滤器
- 将防火墙过滤器应用于接口
- 环路接口上的 MPLS 防火墙过滤器概述
- 在交换机上配置 MPLS 防火墙过滤器和监管器
- 在路由器上配置 MPLS 防火墙过滤器和监管器
- 配置 MPLS 防火墙过滤器和监管器
- 了解防火墙过滤器如何测试协议
- 了解桥接和路由数据包的防火墙过滤器处理点
- 了解基于过滤器的转发
- 示例:使用基于过滤器的转发将应用程序流量路由到安全设备
- 配置防火墙过滤器以解封装 GRE 或 IPIP 流量
- 验证防火墙过滤器是否正常运行
- 监控防火墙过滤器流量
- 防火墙过滤器配置疑难解答
- play_arrow 配置防火墙过滤器计费和日志记录(EX9200 交换机)
-
- play_arrow 配置语句和操作命令
- play_arrow 故障排除
- play_arrow 知识库
-
基本双速率三色监管器
双速率三色监管器概述
双速率三色监管器定义两个带宽限制(一个用于保证流量,一个用于峰值流量)和两个突发大小(每个带宽限制一个)。当服务根据到达率(不一定是数据包长度)构建时,双速率三色监管器最有用。
双速率三色管制根据以下配置的流量标准计量流量流:
承诺信息速率 (CIR) — 保证流量的带宽限制。
承诺突发大小 (CBS) — 超过 CIR 的数据突发允许的最大数据包大小。
峰值信息速率 (PIR) — 峰值流量的带宽限制。
峰值突发大小 (PBS) — 超过 PIR 的数据突发允许的最大数据包大小。
双速率三色标记(双速率 TCM)将流量分类为属于三种颜色类别之一,并根据颜色标记对数据包执行拥塞控制操作:
绿色 - 符合有保证流量(CIR 和 CBS)的带宽限制和突发大小的流量。对于绿色流量,双速率 TCM 使用隐式丢失优先级
low标记数据包并传输数据包。黄色 - 流量超过有保证流量(CIR 或 CBS)的带宽限制或突发大小,但未达到峰值流量(PIR 和 PBS)的带宽限制和突发大小。对于黄色流量,双速率 TCM 标记隐式丢失优先级
medium-high为的数据包并传输数据包。红色 - 超出峰值流量(PIR 和 PBS)的带宽限制和突发大小的流量。对于红色流量,双速率 TCM 会使用隐式丢失优先级标记
high数据包,并选择性地丢弃数据包。
如果下游发生拥塞,则丢失优先级较高的数据包更有可能被丢弃。
对于单速率和双速率三色监管器,唯一 可配置 的操作是在红色流量流中丢弃数据包。
对于 防火墙过滤器 术语引用的三色标记监管器, discard 以下路由平台支持监管操作:
EX 系列交换机
具有增强型 CFEB (CFEB-E) 的 M7i 和 M10i 路由器
带有增强型 III FPC 的 M120 和 M320 路由器
具有三重 MPC 的 MX 系列路由器
若要在这些路由平台上应用三色标记监管器,无需包含 logical-interface-policer 语句。
另请参阅
示例:配置双速率三色监管器
此示例说明如何配置双速率三色监管器。
要求
对双速率三色监管器的支持因设备而异。它包括运行兼容 Junos OS 版本的 SRX1400、SRX3400、SRX3600、SRX5400、SRX5600 和SRX5800防火墙设备。
配置此示例之前,不需要除设备初始化之外的特殊配置。
概述
双速率三色监管器根据带宽限制和突发大小限制来计量流量,以确保流量,以及峰值流量的带宽限制和突发大小限制。符合保证流量限制的流量归类为绿色,不符合流量分为两类:
不超过峰值流量限制的不合格流量被归类为黄色。
超过峰值流量限制的不合格流量被归类为红色。
每个类别都与一个操作相关联。对于绿色流量,数据包被隐式设置为丢失优先级值, low 然后传输。对于黄色流量,数据包被隐式设置为丢失优先级值, medium-high 然后传输。对于红色流量,数据包被隐式设置为丢失优先级值, high 然后传输。如果监管器配置包含可选 action 语句 (action loss-priority high then discard),则红色流中的数据包将被丢弃。
您只能将三色监管器作为防火墙过滤器监管器应用于第 3 层流量。您可以从无状态防火墙过滤器术语引用监管器,然后将过滤器应用于协议级别逻辑接口的输入或输出。
拓扑学
在此示例中,您将颜色感知型双速率三色监管器应用于逻辑接口 fe-0/1/1.0上的输入 IPv4 流量。引用监管器的 IPv4 防火墙过滤器术语不应用任何数据包过滤。滤波器仅用于将三色监管器应用于接口。
您可以将监管器配置为将流量速率限制为 40 Mbps 的带宽限制和 100 KB 的突发大小限制,并将监管器配置为还允许黄色流量的峰值带宽限制为 60 Mbps,峰值突发大小限制为 200 KB。只有超过峰值流量限制的不合格流量才会被归类为红色。在此示例中,您将配置三色监管器操作 ,该操作 loss-priority high then discard将覆盖将红色流量 high 隐式标记为丢失优先级。
配置
下面的示例要求您在各个配置层级中进行导航。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器。
要配置此示例,请执行以下操作:
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set firewall three-color-policer trTCM1-ca two-rate color-aware set firewall three-color-policer trTCM1-ca two-rate committed-information-rate 40m set firewall three-color-policer trTCM1-ca two-rate committed-burst-size 100k set firewall three-color-policer trTCM1-ca two-rate peak-information-rate 60m set firewall three-color-policer trTCM1-ca two-rate peak-burst-size 200k set firewall three-color-policer trTCM1-ca action loss-priority high then discard set firewall family inet filter filter-trtcm1ca-all term 1 then three-color-policer two-rate trTCM1-ca set interfaces ge-2/0/5 unit 0 family inet address 10.10.10.1/30 set interfaces ge-2/0/5 unit 0 family inet filter input filter-trtcm1ca-all set class-of-service interfaces ge-2/0/5 forwarding-class af
配置双速率三色监管器
分步过程
要配置双速率三色监管器:
启用三色监管器的配置。
content_copy zoom_out_map[edit] user@host# set firewall three-color-policer trTCM1-ca
配置双速率三色监管器的颜色模式。
content_copy zoom_out_map[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate color-aware
配置双速率保证流量限制。
content_copy zoom_out_map[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate committed-information-rate 40m user@host# set two-rate committed-burst-size 100k
不超过这两个限制的流量被归类为绿色。绿色流中的数据包被隐式设置为
low丢失优先级,然后进行传输。配置双速率峰值流量限制。
content_copy zoom_out_map[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate peak-information-rate 60m user@host# set two-rate peak-burst-size 200k
不超过这两个限制的不合格流量被归类为黄色。黄色流中的数据包隐式设置为
medium-high丢失优先级,然后传输。超过这两个限制的不合格流量被归类为红色。红色流中的数据包隐式设置为high丢失优先级。(可选)为红色流量配置监管器操作。
content_copy zoom_out_map[edit firewall three-color-policer trTCM1-ca] user@host# set action loss-priority high then discard
对于三色监管器,唯一可配置的操作是丢弃红包。红数据包是被分配了高丢失优先级的数据包,因为它们超过了峰值信息速率 (PIR) 和峰值突发大小 (PBS)。
结果
通过输入 show firewall 配置模式命令确认监管器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show firewall
three-color-policer trTCM1-ca {
action {
loss-priority high then discard;
}
two-rate {
color-aware;
committed-information-rate 40m;
committed-burst-size 100k;
peak-information-rate 60m;
peak-burst-size 200k;
}
}
配置引用监管器的 IPv4 无状态防火墙过滤器
分步过程
要配置引用监管器的 IPv4 无状态防火墙过滤器,请执行以下操作:
启用 IPv4 标准无状态防火墙过滤器的配置。
content_copy zoom_out_map[edit] user@host# set firewall family inet filter filter-trtcm1ca-all
指定引用监管器的过滤器术语。
content_copy zoom_out_map[edit firewall family inet filter filter-trtcm1ca-all] user@host# set term 1 then three-color-policer two-rate trTCM1-ca
请注意,该术语未指定任何匹配条件。防火墙过滤器将所有数据包传递到监管器。
结果
通过输入 show firewall 配置模式命令确认防火墙过滤器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show firewall
family inet {
filter filter-trtcm1ca-all {
term 1 {
then {
three-color-policer {
two-rate trTCM1-ca;
}
}
}
}
}
three-color-policer trTCM1-ca {
action {
loss-priority high then discard;
}
two-rate {
color-aware;
committed-information-rate 40m;
committed-burst-size 100k;
peak-information-rate 60m;
peak-burst-size 200k;
}
}
将过滤器应用于协议家族级别的逻辑接口
分步过程
要将过滤器应用于协议家族级别的逻辑接口,请执行以下操作:
启用 IPv4 防火墙过滤器的配置。
content_copy zoom_out_map[edit] user@host# edit interfaces ge-2/0/5 unit 0 family inet
将监管器应用于协议家族级别的逻辑接口。
content_copy zoom_out_map[edit interfaces ge-2/0/5 unit 0 family inet] user@host# set address 10.10.10.1/30 user@host# set filter input filter-trtcm1ca-all
(仅限 MX 系列路由器和 EX 系列交换机)(可选)对于输入监管器,您可以配置固定分类器。固定分类器会重新分类所有传入数据包,而不考虑任何预先存在的分类。
注:平台支持取决于实施中的 Junos OS 版本。
content_copy zoom_out_map[edit] user@host# set class-of-service interfaces ge-2/0/5 forwarding-class af
分类器名称可以是已配置的分类器或默认分类器之一。
结果
通过输入 show interfaces 配置模式命令确认接口的配置。如果命令输出未显示预期的配置,请重复此过程中的说明以更正配置。
[edit]
user@host# show interfaces
ge-2/0/5 {
unit 0 {
family inet {
address 10.10.10.1/30;
filter {
input filter-trtcm1ca-all;
}
}
}
}
如果完成设备配置,请从配置模式输入 commit。
验证
确认配置工作正常。
显示应用于逻辑接口的防火墙过滤器
目的
验证防火墙过滤器是否已应用于逻辑接口上的 IPv4 输入流量。
操作
show interfaces对逻辑接口ge-2/0/5.0使用操作模式命令,并指定detail模式。Protocol inet命令输出的部分显示逻辑接口的 IPv4 信息。在该部分中,该 Input Filters 字段显示与逻辑接口关联的 IPv4 防火墙过滤器的名称。
user@host> show interfaces ge-2/0/5.0 detail
Logical interface ge-2/0/5.0 (Index 105) (SNMP ifIndex 556) (Generation 170)
Flags: Device-Down SNMP-Traps 0x4004000 Encapsulation: ENET2
Traffic statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Local statistics:
Input bytes : 0
Output bytes : 0
Input packets: 0
Output packets: 0
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Protocol inet, MTU: 1500, Generation: 242, Route table: 0
Flags: Sendbcast-pkt-to-re
Input Filters: filter-trtcm1ca-all
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255,
Generation: 171
Protocol multiservice, MTU: Unlimited, Generation: 243, Route table: 0
Policer: Input: __default_arp_policer__
