ingress-policer-overhead
语法
ingress-policer-overhead bytes;
层次结构级别
[edit chassis fpc slot-number pic pic-number]
描述
将配置的字节数与进入接口的数据包的长度相加。
配置监管器开销以控制接口上接收的流量速率。使用此功能有助于防止拒绝服务 (DoS) 攻击或强制实施流量速率以符合服务级别协议 (SLA)。配置监管器开销时,配置的监管器开销值(字节)将添加到最终以太网帧的长度中。此计算出的帧长度用于确定监管器或速率限制动作。
流量监管将配置的策略带宽限制和突发大小结合起来,以确定如何计量传入流量。如果在接口上配置监管器开销,Junos OS 会将这些字节添加到传入以太网帧的长度中。这种增加的开销使每个帧更接近突发大小,使您能够控制接口上接收的流量速率。
您可以配置监管器开销,以限制队列以及第 2 层和第 3 层监管器的速率,以便进行独立 (SA) 和高可用性 (HA) 部署。监管器开销和整形开销可以在接口上同时配置。
vSRX 虚拟防火墙仅支持第 3 层监管器上的监管器开销。
监管器开销适用于 PIC 上的所有接口。在以下示例中,Junos OS 为端口 ge-0/0/0 到 ge-0/0/4 上的所有传入以太网帧增加了 10 字节的开销。
set chassis fpc 0 pic 0 ingress-policer-overhead 10
vSRX 虚拟防火墙仅支持 fpc 0 pic 0。提交 ingress-policer-overhead 语句时,vSRX 虚拟防火墙会使 PIC 脱机,然后再重新联机。
您需要制定监管器开销大小以匹配您的网络流量。如果值过低,则对流量突发的影响最小。如果值过高,则会对过多的传入流量进行速率限制。
在此示例中,为 ge-0/0/0 到 ge-0/0/4 配置了 255 字节的监管器开销。防火墙监管器配置为在突发大小超过 1500 字节时丢弃流量。此监管器应用于 ge-0/0/0 和 ge 0/0/1。Junos OS 向进入配置端口的每个以太网帧添加 255 个字节。如果在流量突发期间,传入帧的长度和开销字节的总长度超过 1500 字节,则监管器开始丢弃更多传入流量。
set chassis fpc 0 pic 0 ingress-policer-overhead 255 set interfaces ge-0/0/0 unit 0 family inet policer input overhead_policer set interfaces ge-0/0/0 unit 0 family inet address 10.9.1.2/24 set interfaces ge-0/0/1 unit 0 family inet policer input overhead_policer set interfaces ge-0/0/1 unit 0 family inet address 10.9.2.2/24 set firewall policer overhead_policer if-exceeding bandwidth-limit 32k set firewall policer overhead_policer if-exceeding burst-size-limit 1500 set firewall policer overhead_policer then discard
选项
bytes- 添加到进入接口的帧的字节数。
范围: 0–255 字节
默认值: 0
[edit chassis fpc 0 pic 0] user@host# set ingress-policer-overhead 10;
所需权限级别
接口 — 在配置中查看此语句。
接口控制 — 将此语句添加到配置中。
发布信息
在 Junos OS 11.1 版之前引入的声明。