ingress-policer-overhead
语法
ingress-policer-overhead bytes;
层次结构级别
[edit chassis fpc slot-number pic pic-number]
描述
将已配置的字节数添加到进入接口的数据包长度。
配置监管器开销,以控制接口上接收的信息流速率。使用此功能有助于防止拒绝服务 (DoS) 攻击或实施流量速率以符合服务级别协议 (SLA)。配置监管器开销时,配置的监管器开销值 (字节) 会添加到最终以太网帧的长度中。此计算得出的帧长度用于确定监管器或速率限制操作。
流量管制结合了配置的策略带宽限制和突发大小,以确定如何测量传入流量。如果在接口上配置监管器开销,Junos OS 会将这些字节添加到传入以太网帧的长度。这增加了开销,使每个帧都更接近突发大小,从而允许您控制接口上收到的信息流速率。
您可以将监管器开销配置为速率限制队列以及第 2 层和第 3 层监管器,以便进行独立 (SA) 和高可验证性 (HA) 部署。监管器开销和整形开销可在接口上同时配置。
vSRX 仅支持第 3 层监管器上的监管器开销。
监管器开销适用于 PIC 上的所有接口。在以下示例中,Junos OS 在端口 ge-0/0/0 至 ge-0/0/4 上的所有传入以太网帧中添加了 10 字节开销。
set chassis fpc 0 pic 0 ingress-policer-overhead 10
vSRX 仅支持 fpc 0 pic 0。提交 ingress-policer-overhead 语句时,vSRX 使 PIC 脱机,然后返回联机。
您需要制定策略程序开销大小,以便与网络流量匹配。过低的值会对流量突发产生最小的影响。过高的值会限制过多的传入流量。
在此示例中,为 ge-0/0/0 至 ge-0/0/4 配置了 255 字节的监管器开销。当突发大小超过 1500 字节时,防火墙监管器配置为丢弃流量。此监管器适用于 ge-0/0/0 和 ge 0/0/1。Junos OS 可为进入已配置端口的每一个以太网帧增加 255 字节。如果在一阵流量期间,传入帧和开销字节的总长度超过 1500 字节,监管器将开始丢弃进一步传入的流量。
set chassis fpc 0 pic 0 ingress-policer-overhead 255 set interfaces ge-0/0/0 unit 0 family inet policer input overhead_policer set interfaces ge-0/0/0 unit 0 family inet address 10.9.1.2/24 set interfaces ge-0/0/1 unit 0 family inet policer input overhead_policer set interfaces ge-0/0/1 unit 0 family inet address 10.9.2.2/24 set firewall policer overhead_policer if-exceeding bandwidth-limit 32k set firewall policer overhead_policer if-exceeding burst-size-limit 1500 set firewall policer overhead_policer then discard
选项
bytes—输入接口的帧中添加的字节数。
范围: 0–255 字节
默认值: 0
[edit chassis fpc 0 pic 0] user@host# set ingress-policer-overhead 10;
所需权限级别
接口 — 要在配置中查看此语句。
接口控制 — 要将此语句添加到配置中。
发布信息
在 Junos OS 11.1 版之前引入的语句。