协议家族和接口地址属性
本节讨论如何配置协议族和接口地址属性。
配置协议家族
协议族是接口配置中的一组逻辑属性。协议族包括组成协议套件的所有协议。要使用特定套件中的协议,必须将整个协议家族配置为接口的逻辑属性。
协议系列包括以下通用协议套件:
-
Inet — 支持 IP 协议流量,包括 OSPF、BGP 和互联网控制信息协议 (ICMP)。
-
Inet6 — 支持 IPv6 协议流量,包括 RIP for IPv6 (RIPng)、IS-IS 和 BGP。
-
ISO — 支持 IS-IS 流量。
-
MPLS — 支持 MPLS。
要为逻辑接口配置协议家族,请包含 family 语句,并指定所选家族。
配置协议家族时,请在层次结构下 [edit interfaces interface-name unit logical-unit-number family family] 完成以下任务。
-
配置 MTU。
-
配置单元和家族,使接口只能传输和接收组播流量。
-
禁用路由器发送重定向消息。
-
为接口分配地址。
分配接口地址
您可以通过在配置协议家族时指定地址来为接口分配地址。inet对于或 inet6 系列,配置接口 IP 地址。iso对于系列,为环路接口配置一个或多个地址。对于、cccethernet-switchingmplstcc、tnpvpls和族,从不配置地址。
要为接口分配地址,请执行以下步骤:
配置默认地址、主地址和首选地址和接口
以下部分介绍如何配置默认地址、主地址和首选地址和接口。
默认、主和首选地址和接口
路由器有默认地址和主接口;和接口有主地址和首选地址。
路由器的 默认地址 用作未编号接口上的源地址。路由协议进程会尝试选择默认地址作为路由器 ID,该协议供包括 OSPF 和内部 BGP (IBGP) 在内的协议使用。
路由器 的主接口 是在未指定接口名称且目标地址不暗示特定传出接口时发出数据包的接口。
默认情况下,接口 的主地址 用作本地源和发出接口的广播和组播数据包的本地地址。接口 的首选地址 是用于本地路由器源到子网上目标的数据包的默认本地地址。
您可以使用配置语句将接口的 IP 显式标记为主 IP 和首选 IP。如果仅为接口分配了一个 IP,则默认情况下,该地址会被视为主地址和首选地址。当分配了多个 IP 地址(均未显式配置为主地址)时,将使用数量最低的 IP 地址作为该接口上的主地址。
路由器的默认地址是按以下顺序选择的:
-
使用环路接口
lo0上未127.0.0.1使用的主地址。 -
使用主接口上的主地址。
-
当存在多个具有“主”和“首选”地址的接口时,选择接口索引最低的接口,并使用主地址。如果接口的任何 IP 地址均未使用
primary语句显式标记,则该接口上数值最低的地址将用作系统默认地址。 -
可以选择任何具有 IP 地址的剩余接口。这包括路由器的管理接口或内部接口。因此,建议您分配一个环路地址,或显式配置一个主接口,以控制默认地址选择。
配置路由器的主接口
路由器的 主接口 具有以下特征:
-
当您键入命令(如 ping 255.255.255.255.255)时,数据包就会传出该接口,即不包含接口名称(没有接口
type-0/0/0.0限定符)且目标地址不暗示任何特定传出接口的命令。 -
默认情况下,路由器上本地运行的组播应用程序(如会话声明协议 (SAP))在这个接口上进行组加入。
-
如果环路接口 lo0 上未配置非 127 地址,则对于源自未编号接口的数据包,则从该接口派生默认本地地址。
默认情况下,索引地址最低的组播接口会被选为主接口。
要将其他接口配置为主接口,请包含以下 primary 语句:
primary您可以在以下层级包含此语句:
[edit interfaces interface-name unit logical-unit-number family family]
配置接口的主地址
接口上的 主地址 是默认情况下用作广播和组播数据包的本地地址的地址,这些数据包在本地来源并发出接口。例如,命令发送 ping interface et-0/0/0.0 255.255.255.255 的数据包中的本地地址就是 接口 et-0/0/0.0上的主地址。当在环路接口上配置了多个非 127 地址时, lo0主地址标志还可用于选择用于发出未编号接口的数据包的本地地址。默认情况下,接口上的主地址会被选为接口上配置的最低数字本地地址。
要设置其他主地址,请包含以下 primary 语句:
primary您可以在以下层级包含此语句:
[edit interfaces interface-name unit logical-unit-number family family address address]
配置接口的首选地址
接口上的首选地址是用于本地路由器源到子网上目标的数据包的默认本地地址。默认情况下,选择数字最低的本地地址。例如,如果在同一接口上配置了地址172.16.1.1/12、、和172.16.1.3/12,则在发出ping 172.16.1.5命令时,子网上的首选地址(默认172.16.1.1为 )将172.16.1.2/12用作本地地址。
要为子网设置不同的首选地址,请包含以下 preferred 语句:
preferred您可以在以下层级包含此语句:
[edit interfaces interface-name unit logical-unit-number family family address address]
具有相同 IPv4 地址的接口的作行为
您可以在多个物理接口上配置相同的 IP 版本 4 (IPv4) 地址。将相同的 IPv4 地址分配给多个物理接口时,这些接口的作行为会有所不同,具体取决于它们是否(隐式)点对点。
如果在同一路由实例中的多个接口上配置相同的 IP 地址,则作系统会在其中一个接口上随机应用配置。其他接口将保持不带 IP 地址。
以下示例显示了将相同的 IPv4 地址分配给隐式和显式点对点接口的接口的配置示例。这些示例还显示了 show interfaces terse 与隐式和显式点对点接口对应的命令输出,以显示其运行状态。
-
在两个非 P2P 接口上配置相同的 IPv4 地址:
[edit interfaces] user@host# show et-0/1/0 { unit 0 { family inet { address 203.0.113.1/24; } } }et-3/0/1 { unit 0 { family inet { address 203.0.113.1/24; } } }以下示例输出(对于前面的配置)显示,仅
et-0/1/0.0分配了相同的 IPv4 地址203.0.113.1/24,其link状态为up,而et-3/0/1.0未分配 IPv4 地址,尽管其link状态为 up,这意味着仅当它获得除 以外的203.0.113.1/24唯一 IPv4 地址时,它才会运行。show interfaces terse
user@host> show interfaces terse et* Interface Admin Link Proto Local Remote et-0/1/0 up up et-0/1/0.0 up up inet 203.0.113.1/24 multiservice et-0/1/1 up down et-3/0/0 up down et-3/0/1 up up et-3/0/1.0 up up inet multiservice -
在(隐式)P2P 接口上配置相同的 IPv4 地址:
[edit] user@host# show et-0/0/0 { unit 0 { family inet { address 203.0.113.1/24; } } } et-0/0/3 { unit 0 { family inet { address 203.0.113.1/24; } } }以下示例输出(对于上述配置)显示,
et-0/0/0.0和et-0/0/3.0被分配了相同的 IPv4 地址203.0.113.1/24,并且其link状态已关闭。接口关闭是因为链路问题,而不是因为为两个接口分配了相同的 IPv4 地址。在任何给定时间,预计不超过一个接口处于启动状态(遵循 Junos OS 演化版设备范围之外的冗余方案),因为两个接口都处于开启状态可能会造成不利影响。show interfaces terse
user@host> show interfaces terse et* Interface Admin Link Proto Local Remote et-0/0/0 up up et-0/0/0.0 up down inet 203.0.113.1/24 et-0/0/1 up up et-0/0/2 up down et-0/0/3 up up et-0/0/3.0 up down inet 203.0.113.1/24 et-1/1/0 up down et-1/1/1 up down et-1/1/2 up up et-1/1/3 up up et-2/0/0 up up et-2/0/1 up up et-2/0/2 up up et-2/0/3 up down
-
在非 P2P 接口的多个实例中配置相同的 IPv4 地址:
[edit interfaces] user@host# show et-0/0/1 { vlan-tagging; unit 0 { vlan-id 1; family inet { address 10.1.1.1/24; } } unit 1{ vlan-id 2; family inet { address 10.1.1.1/24; } } }在非 P2P 接口上,您不能在不同接口的不同单元上配置相同的本地地址。否则,将引发提交错误,并且配置将失败。
-
在同一 P2P 接口的多个实例中配置相同的 IPv4 地址:
[edit interfaces] user@host# show et-0/0/10 { unit 0 { tunnel { source 10.1.1.1; destination 10.1.1.2; } family inet { mtu 1500; address 10.2.2.2/24; } } unit 1{ family inet { address 10.2.2.2/24; } } }以下示例输出(用于上述配置)显示,当您尝试为不同接口的多个实例配置相同的 IPv4 地址时,在 P2P 接口上只有一个接口成功配置。
show interfaces terse
user@host> show interfaces terse | match 10.2.2.2 Interface Admin Link Proto Local Remote et-0/0/10.0 up up inet 10.2.2.2/24
配置未编号的接口: 概述
未编号接口概述
当需要保留 IP 地址时,可以配置不带编号的接口。设置无编号接口可在接口上进行 IP 处理,而无需为接口分配显式 IP 地址。对于 IP 版本 6 (IPv6),其中保留地址不是主要考虑因素,您可以将不带编号的接口配置为跨多个接口共享同一子网。
IPv6 未编号接口仅在以太网接口上受支持。用于配置无编号接口的语句取决于要配置的接口类型:点对点接口还是以太网接口:
- 配置未编号的点对点接口
- 配置未编号的以太网或多路分离接口
- 将辅助地址配置为未编号的以太网或多路分离接口的首选源地址
- 未编号以太网接口配置的限制
- 示例:显示未编号的以太网接口配置
- 示例:显示未编号以太网接口的配置的首选源地址
- 示例:将未编号的以太网接口配置显示为静态路由的下一跃点
配置未编号的点对点接口
要配置未编号的点对点接口,请执行以下作:
-
配置未编号接口时,必须确保在路由器中的接口上配置源地址。此地址是默认地址。为此,建议您为环路接口 ()
lo0分配一个地址,如 环路接口配置中所述。在接口上
lo0配置可路由地址时,该地址始终是默认地址。这是非常理想的选择,因为环路接口独立于任何物理接口,因此可以随时访问。
配置未编号的以太网或多路分离接口
要配置未编号的以太网或多路分离 (demux) 接口,请执行以下作:
-
该
unnumbered-address语句当前仅支持为 IP 版本 4 (IPv4) 地址族配置未编号的多路分离接口。您可以为 IPv4 和 IPv6 地址族配置不带编号的以太网接口。 -
如果将该接口配置为未编号 borrows ,则该接口是从其他接口分配的 IP 地址,因此 borrower interface称为 。借用 IP 地址的接口称为 donor interface。
unnumbered-address在语句中,interface-name指定施主接口。对于未编号的以太网接口,施主接口可以是具有逻辑单元号和配置 IP 地址的以太网或环路接口,且其本身不是未编号的接口。对于未编号的 IP 多路分离接口,施主接口可以是具有逻辑单元号和配置 IP 地址的以太网接口或环路接口,且其本身不是未编号的接口。此外,对于以太网或多路分离,施主接口和借用方接口必须是同一路由实例和同一逻辑系统的成员。 -
配置未编号的以太网或多路分离接口时,施主接口的 IP 地址将成为未编号接口生成的数据包中的源地址。
-
您可以配置指向未编号的以太网或多路分离接口的主机路由。
将辅助地址配置为未编号的以太网或多路分离接口的首选源地址
当具有多个辅助 IP 地址的环路接口配置为未编号以太网或多路分离 (demux) 接口的施主接口时,您可以选择性地将环路接口的任一辅助地址指定为未编号以太网或多路分离接口的首选源地址。通过此功能,您可以在网络中某些未编号的以太网或多路分离接口上使用主 IP 地址以外的 IP 地址。
要将环路施主接口上的辅助地址配置为未编号以太网或多路分离接口的首选源地址:
在未编号的以太网或多路分离接口上配置首选源地址时,需要注意以下事项:
该
unnumbered-address语句目前仅支持为多路分离接口的 IP 版本 4 (IPv4) 地址族以及以太网接口的 IPv4 和 IP 版本 6 (IPv6) 地址族配置首选源地址。如果未指定首选源地址,路由器将使用施主接口的默认主 IP 地址。
当施主环路接口上的地址被用作未编号的以太网或多路分离接口的首选源地址时,您无法将其删除。
未编号以太网接口配置的限制
配置未编号的以太网接口时,需要注意以下要求和限制:
该
unnumbered-address语句当前支持为 IP 版本 4 (IPv4) 和 IP 版本 6 (IPv6) 地址族配置未编号的以太网接口。您只能将 IP 地址分配给尚未配置为无编号接口的以太网接口。
您必须在施主接口上为未编号的以太网接口配置一个或多个 IP 地址。
您不能将未编号的以太网接口的施主接口配置为未编号。
-
未编号的以太网接口不支持配置以下
address语句选项:arp、broadcast、primarypreferred或vrrp-group。 只能在直接面向主机且没有下游 PIM 邻接方的无编号以太网接口上运行 Internet 组管理协议 (IGMP) 和物理接口模块 (PIM)。不能在未编号的以太网接口上运行 IGMP 或 PIM,因为这些接口在 PIM 拓扑中充当上游接口。
您可以通过配置为点对点 (P2P) 连接的未编号以太网接口运行 OSPF。但是,您不能在未配置为 P2P 的未编号以太网接口上运行 OSPF 或 IS-IS。
对于使用内部网关协议 (IGP) 的链路状态分发,请确保在未编号接口配置的施主接口上启用 OSPF,以便可访问施主 IP 地址以建立 OSPF 会话。
如果在同一路由实例的多个接口上配置相同的地址,则作系统将仅使用第一种配置。在这种情况下,剩余的地址配置将被忽略,并且可能会使接口没有地址。没有分配地址的接口不能用作未编号以太网接口的施主接口。
例如,在以下配置中,将忽略接口 et-0/0/1.0 的地址配置:
interfaces {
et-0/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
et-0/0/1 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
示例:显示未编号的以太网接口配置
目的
要在 [edit interfaces interface-name unit logical-unit-number] 层级显示配置的未编号接口,请执行以下作:
-
无编号接口 — et-1/0/0
-
施主接口 —et-0/0/0
-
施主接口地址 —4.4.4.1/24
未编号接口从施主接口“借用”IP 地址。
行动
-
show在[edit]层次结构级别运行命令。interfaces { et-0/0/0 { unit 0 { family inet { address 4.4.4.1/24; } } } et-1/0/0 { unit 0 { family inet { unnumbered-address et-0/0/0.0; } } } }
示例:显示未编号以太网接口的配置的首选源地址
目的
要在 [edit interfaces interface-name unit logical-unit-number family inet] 层次结构级别显示未编号接口的首选源地址配置:
-
无编号接口 — et-4/0/0
施主接口 —lo0
施主接口主地址 - 2.2.2.1/32
施主接口辅助地址 - 3.3.3.1/32
行动
-
show在[edit]层次结构级别运行命令。interfaces { lo0 { unit 0 { family inet { address 2.2.2.1/32; address 3.3.3.1/32; } } } } interfaces { et-4/0/0 { unit 0 { family inet { unnumbered-address lo0.0 preferred-source-address 3.3.3.1; } } } }
意义
环路接口 lo0 是未编号的以太网接口 et-4/0/0 从中“借用”IP 地址的施主接口。
该示例显示环路接口的辅助地址之一 3.3.3.1 作为未编号以太网接口的首选源地址。
示例:将未编号的以太网接口配置显示为静态路由的下一跃点
目的
要在 [edit interfaces interface-name unit logical-unit-number family inet] 层次结构级别上显示配置为静态路由下一跃点的未编号接口,请执行以下作:
-
无编号接口 — et-0/0/0
施主接口 —lo0
施主接口主地址 - 5.5.5.1/32
施主接口辅助地址 - 6.6.6.1/32
静态路由 - 7.7.7.1/32
行动
-
show在[edit]层次结构级别运行命令。interfaces { et-0/0/0 { unit 0 { family inet { unnumbered-address lo0.0; } } } } lo0 { unit 0 { family inet { address 5.5.5.1/32; address 6.6.6.1/32; } } }
-
以下配置使内核能够安装用于寻址 7.7.7.1/32 的静态路由,下一跃点通过未编号的接口 et-0/0/0.0。
static { route 7.7.7.1/32 { qualified-next-hop et-0/0/0.0; } }
意义
在此示例中,et-0/0/0为未编号的接口。环路接口 lo0,是从中“借用”IP 地址的施主接口et-0/0/0。该示例还通过无编号接口配置一个静态路由,以通过 unnumbered interface et-0/0/0.0的下一跃点。7.7.7.1/32
协议 MTU
概述
默认协议 MTU 取决于您的设备和接口类型。首次配置接口时,系统会自动计算协议 MTU。如果随后更改了介质 MTU,则现有地址族上的协议 MTU 将自动更改。
如果减小了介质 MTU 大小,但接口上已配置或激活一个或多个地址族,则还必须减小协议 MTU 大小。如果增加协议 MTU 的大小,则必须确保介质 MTU 的大小等于或大于协议 MTU 与封装开销之和。
您可以在所有隧道接口上配置协议 MTU。
MPLS 的协议 MTU
如果未配置 MPLS MTU,Junos OS 演化 版将从物理接口 MTU 派生 MPLS MTU。从此值中,软件减去特定于封装的开销和空间,以获得可能在数据包转发引擎中推送的最大标签数。该软件提供三个标签,每个标签四个字节,总共 12 个字节。
换句话说,用于确定 MPLS MTU 的公式如下:
MPLS MTU = physical interface MTU – encapsulation overhead – 12
禁用地址和控制字节的删除
对于某些接口,默认情况下会先删除地址和控制字节,然后再将数据包封装到隧道中。
但是,您可以禁用地址和控制字节的删除。
要禁用地址和控制字节的删除,请包含以下 keep-address-and-control 语句:
keep-address-and-control;
您可以在以下层级包含此语句:
[edit interfaces interface-name unit logical-unit-number family ccc]
另见
禁用接口上的重定向消息传输
默认情况下,接口发送协议重定向消息。要禁止在接口上发送这些消息,请包含以下 no-redirects 语句:
no-redirects您可以在以下层级包含此语句:
[edit interfaces interface-name unit logical-unit-number family family]
要禁用整个路由器或交换机的协议重定向消息发送,请在[edit system]层次结构级别包含语no-redirects句。
将过滤器应用于接口
在防火墙过滤器中定义接口组
应用防火墙过滤器时,您可以将接口定义为 接口组的一部分。在该接口上接收的数据包会被标记为该组的一部分。然后, interface-group 您可以使用 match 语句匹配这些数据包,如 路由策略、防火墙过滤器和流量监管器用户指南中所述。
要将接口定义为接口组的一部分,请包含以下 group 语句:
group filter-group-number;
您可以在以下层级包含此语句:
[edit interfaces interface-name unit logical-unit-number family family filter]
数字 0 不是有效的接口组号。
输出接口上基于过滤器的转发
如果要根据数据包标头中的模式将端口镜像数据包分发到多个监控或收集接口,则在端口镜像出口接口上配置基于过滤器的转发 (FBF) 过滤器会很有帮助。
当 FBF 过滤器作为输出过滤器安装时,转发到过滤器的数据包至少经过一次路由查找。FBF 过滤器在出口接口对数据包进行分类后,数据包将被重定向到另一个路由表以进行其他路由查找。为避免数据包转发引擎内出现数据包环路,后一个路由表(由 FBF 路由实例指定)中的路由查找必须产生与已应用于数据包的表中指定的任何下一跃点不同的下一跃点。
如果为 FBF 配置了输入接口,则对于指向其他路由实例的数据包,将禁用源查找,因为路由表未设置为处理源查找。
将过滤器应用于接口
要将防火墙过滤器应用于接口,请包含以下 filter 语句:
filter {
group filter-group-number;
input filter-name;
input-list [ filter-names ];
output filter-name;
output-list [ filter-names ];
}
要应用单个筛选器,请包含以下 input 语句:
filter {
input filter-name;
}
要应用过滤器列表来评估接口上接收的数据包,请包含语 input-list 句。
filter {
input-list [ filter-names ];
}
输入列表中最多可以包含 16 个筛选器名称。
要应用过滤器列表来评估接口上传输的数据包,请包含 output-list 语句。
filter {
output-list [ filter-names ];
}
使用 input-list 语句或语 output-list 句应用筛选器时,将创建一个名为 <interface-name>.<unit-direction> 的新筛选器。此筛选器仅针对特定于接口。
您可以在以下层级包含这些语句:
[edit interfaces interface-name unit logical-unit-number family family]
family在语句中,协议族可以是 ccc、inet、inet6、 mplsvpls或 。
在 group 语句中,指定要与过滤器关联的接口组号。
在 input 语句中,列出接口上收到数据包时要评估的一个防火墙过滤器的名称。
在 input-list 语句中,列出接口上接收数据包时要评估的过滤器名称。您最多可以包含 16 个筛选器名称。
在 output 语句中,列出在接口上传输数据包时要评估的一个防火墙过滤器的名称。
由于产品限制,PTX10003 路由器不支持在输出接口上应用的 MPLS 系列防火墙过滤器。
在 output-list 语句中,列出在接口上传输数据包时要评估的过滤器名称。您最多可以包含 16 个筛选器名称。
如果将过滤器应用于接口 lo0,则该过滤器将应用于由路由引擎接收或传输的数据包。
有关防火墙过滤器的详细信息,请参阅 《路由策略、防火墙过滤器和流量监管器用户指南》。有关 MPLS 过滤器的详细信息,请参阅 《MPLS 应用程序用户指南》。
示例:VPLS 流量的输入过滤器
[edit interfaces]
et-2/2/3 {
vlan-tagging;
encapsulation vlan-vpls;
unit 601 {
encapsulation vlan-vpls;
vlan-id 601;
family vpls {
filter {
input filter1; # Works for multicast destination MAC address
output filter1; # Does not work for multicast destination MAC address
}
}
}
}
[edit firewall]
family vpls {
filter filter1 {
term 1 {
from {
destination-mac-address {
01:00:0c:cc:cc:cd/48;
}
}
then {
discard;
}
}
term 2 {
then {
accept;
}
}
}
}
示例:输出接口上基于过滤器的转发
以下示例说明了在输出接口上配置基于过滤器的转发。在此示例中,数据包流遵循以下路径:
-
数据包到达
et-1/2/0.0接口时,源地址和目的地址10.50.200.1分别为10.50.100.1和 。 -
路由表
inet.0中的路由查找指向出口接口et-0/0/3.0。 -
安装的
et-0/0/3.0输出过滤器会将数据包重定向到路由表fbf.inet.0。 -
数据包与表中的
fbf.inet.0条目10.50.100.0/25匹配,数据包最终从接口et-2/0/0.0离开路由器。[edit interfaces] et-0/0/3 { unit 0 { family inet { filter { output fbf; } address 10.50.10.2/25; } } } et-1/2/0 { unit 0 { family inet { address 10.50.50.2/25; } } } et-2/0/0 { unit 0 { family inet { address 10.50.20.2/25; } } } [edit firewall] filter fbf { term 0 { from { source-address { 10.50.200.0/25; } } then routing-instance fbf; } term d { then count d; } } [edit routing-instances] fbf { instance-type forwarding; routing-options { static { route 10.50.100.0/25 next-hop et-2/0/0.0; } } } [edit routing-options] interface-routes { rib-group inet fbf-group; } static { route 10.50.100.0/25 next-hop 10.50.10.1; } rib-groups { fbf-group { import-rib [inet.0 fbf.inet.0]; } }
启用源类和目标类的使用
源类和目标类使用概述
对于承载 IP 版本 4 (IPv4)、IP 版本 6 (IPv6)、MPLS 或对等方 AS 计费流量的接口,您可以根据通过网络传输的流量的入口点和出口点来维护数据包计数。入口点和出口点由源前缀和目标前缀标识,这些前缀分组为定义为 源类 和 目标类的不相交集。您可以基于各种参数定义类,例如路由邻接方、自治系统和路由过滤器。
源类使用率 (SCU) 计费通过对 IP 源地址执行查找来对发送给客户的数据包进行计数。借助 SCU,可以跟踪源自提供商核心上特定前缀并发往客户边缘特定前缀的流量。您必须在入站和出站物理接口上启用 SCU 计费,并且数据包源的路由必须位于转转发表中。
SCU 和目标类使用情况 (DCU) 计费均不适用于直接连接的接口路由。由于软件架构限制,源类用法不会计算来自转转发表中具有直接路由的源的数据包。
目标类使用率 (DCU) 通过执行 IP 目标地址查找来对来自客户的数据包进行计数。通过 DCU,可以跟踪源自客户边缘并发往提供商核心路由器上特定前缀的流量。
我们建议您在修改某个接口的 DCU 或 SCU 配置之前停止该接口上的网络流量。在不停止流量的情况下修改 DCU 或 SCU 配置可能会损坏 DCU 或 SCU 统计信息。修改配置后重新启动流量之前,请输入 clear interfaces statistics 命令。
图 1 展示了一个 ISP 网络。在此拓扑中,您可以使用 DCU 对客户发送到特定前缀的数据包进行计数。例如,您可以有三个计数器(每个客户一个),用于计算发往前缀210.210/16和 220.220/16的数据包。
您可以使用 SCU 对提供商从特定前缀发送的数据包进行计数。例如,您可以计算从前缀 210.210/16 发送的以及 215.215/16 在特定输出接口上传输的数据包。
的前缀计费
您最多可以配置 126 个源类和 126 个目标类。对于启用目标类用法和源类用法的每个接口,作系统会为每个相应的类维护一个特定于接口的计数器,最高可达 126 个类的限制。
对于通过隧道离开路由器的中转数据包,您配置为隧道流量输出接口的接口不支持转发路径功能,如 RPF、转发表过滤、源类用法和目标类用法。对于防火墙过滤,您必须允许输出隧道数据包通过防火墙过滤器,该过滤器应用于接口上的输入流量,该接口是通往隧道目标的下一跳接口。
启用输出服务时执行 DCU 记帐会在以下配置中产生不一致的行为:
-
SCU 输入和 DCU 均配置在数据包输入接口上。
-
SCU 输出在数据包输出接口上配置。
-
在输出接口上启用接口服务。
对于源前缀和目标前缀与路由器中配置的 SCU 和 DCU 类匹配的传入数据包,SCU 和 DCU 计数器都将递增。这种行为是无害的或消极的。但是,它与未服务的数据包不一致,因为只会递增 SCU 计数(因为在这种情况下,SCU 类 ID 将覆盖 DCU 类 ID)。
要在接口上启用数据包计数,请添加 accounting 语句:
accounting {
destination-class-usage;
source-class-usage {
direction;
}
}
direction 可以是以下项之一:
-
input- 配置至少一个预期入口点。 -
output- 配置至少一个预期出口点。 -
input output- 在单个接口上,配置至少一个预期入口点和一个预期出口点。
您可以在以下层级包含这些语句:
[edit interfaces interface-name unit logical-unit-number family (inet | inet6 | mpls)]
要使 SCU 正常工作,您必须配置至少一个输入接口和至少一个输出接口。
在接口上启用计费后,作系统会维护该接口的数据包计数器,并为 inet、 inet6和 mpls 协议族使用单独的计数器。然后,您必须在策略作语句中配置源类和目标类属性,这些属性必须包含在转发表导出策略中。
配置策略作语句时,每个匹配路由只能配置一个源类。换句话说,不能将多个源类应用于同一路由。
您可以为使用语vrf-table-label句配置的第 3 层 VPN 配置 SCU 计费。在[edit routing-instances routing-instance-name vrf-table-label]层次结构级别包括source-class-usage语句。source-class-usage此层次结构级别的语句仅支持虚拟路由和转发 (VRF) 实例类型。
您无法在 VRF 中配置语句时 vrf-table-label 动态创建的标签交换接口 (LSI) 上启用 DCU 计数器。
启用源类和目标类的使用
的前缀计费
在启用源类用法 (SCU) 和目标类用法 (DCU) 之前,必须在一个接口上配置 DCU 和 SCU 输出:
[edit]
interfaces {
et-6/1/0 {
unit 0 {
family inet {
accounting {
destination-class-usage;
source-class-usage {
output;
}
}
}
}
}
}
要启用源类和目标类的使用,请执行以下作:
概述
定向广播是向目标子网发送源自不同子网的 L3 广播 IP 数据包泛洪的过程。定向广播的目的是使用 LAN 接口上的广播数据包向目标子网进行泛洪,而不向整个网络进行广播。
IP 定向广播是一种技术,其中广播数据包被发送到特定的远程子网,然后在该子网内进行广播。您可以使用 IP 定向广播向指定子网上的主机发送广播数据包,而不向整个网络广播,从而促进远程网络管理。IP 定向广播数据包仅在目标子网上广播。网络的其余部分将 IP 定向广播数据包视为单播数据包,并相应地转发它们。
定向广播在路由器或交换机的出口接口上配置了各种选项,并且 IP 数据包仅在 LAN(出口)接口上广播。定向广播可帮助您在 LAN 接口上实施备份和唤醒 LAN (WOL) 等远程管理任务,并支持 VRF 实例。
源自子网的常规 L3 广播 IP 数据包在同一子网内进行广播。当这些 IP 数据包到达不同的子网时,这些数据包将被转发到路由引擎(以转发到其他应用程序)。因此,无法通过另一个子网在特定子网上执行备份等远程管理任务。解决方法是,您可以启用定向广播以转发源自其他子网的广播数据包。
L3 广播 IP 数据包的目标 IP 地址是目标子网的有效广播地址。这些 IP 数据包以与单播 IP 数据包相同的方式遍历网络,直到数据包到达目标子网,如下所示:
- 在目标子网中,如果接收路由器在出口接口上启用了目标广播,则 IP 数据包将转发至出口接口和路由引擎,或仅转发到出口接口。
- 然后,IP 数据包会转换为广播 IP 数据包,这些数据包仅通过 LAN 接口向目标子网泛洪,并且目标子网上的所有主机都会接收 IP 数据包。如果不存在 LAN 接口,则数据包将被丢弃。
- 该序列的最后一步取决于有针对性的广播:
- 如果接收路由器未启用定向广播,则 IP 数据包将被视为常规第 3 层广播 IP 数据包,并转发至路由引擎。
- 如果在没有任何选项的情况下启用了定向广播,则 IP 数据包将被转发到路由引擎。
您可以将定向广播配置为仅将 IP 数据包转发到出口接口。当路由器有大量需要处理的数据包时,或者同时涌向出口接口和路由引擎时,转发会很有帮助。
在路由引擎 lo0 上配置的任何 防火墙过滤器 都无法应用于由于目标广播而转发到路由引擎的 IP 数据包。原因是广播数据包是作为泛洪下一跳流量转发的,而不是作为本地下一跳流量转发的。对于定向到路由路由引擎的流量,您只能将防火墙过滤器应用于本地下一跃点路由。
定向广播概述
目标广播数据包的目标 IP 地址是作为定向广播目标的子网(目标子网)的有效广播地址。定向广播的目的是用广播数据包淹没目标子网,而不广播到整个网络。目标广播数据包不能源自目标子网。
当您发送目标广播数据包时,当它传输到目标子网时,网络转发它的方式与转发单播数据包的方式相同。当数据包到达直接连接到目标子网的交换机时,交换机会检查直接连接到目标子网的接口上是否启用了目标广播:
-
如果在该接口上启用了定向广播,交换机将目标 IP 地址重写为为子网的配置广播 IP 地址,从而在该子网上广播数据包。交换机将数据包转换为链路层广播数据包,网络上的每台主机都会对其进行处理。
-
如果在直接连接到目标子网的接口上禁用了定向广播,交换机将丢弃数据包。
定向广播实施
您可以通过在子网 VLAN 的 L3 接口上启用目标广播来配置基于子网的目标广播。当连接到该子网的交换机收到以子网的广播 IP 地址作为目标地址的数据包时,交换机会将该数据包广播到子网上的所有主机。
默认情况下,定向广播处于禁用状态。
何时启用定向广播
默认情况下,定向广播处于禁用状态。如果要对未直接连接到 Internet 的子网中的主机执行远程管理或管理服务(如备份或 WOL 任务),请启用定向广播。
在子网上启用定向广播仅影响该子网中的主机。只有在子网的 L3 接口上收到的以子网的广播 IP 地址作为目标地址的数据包才会在子网上泛洪。
何时不启用定向广播
通常,您不会在与 Internet 有直接连接的子网上启用定向广播。在子网的 L3 接口上禁用定向广播仅影响该子网。如果禁用子网上的定向广播,并且具有该子网广播 IP 地址的数据包到达交换机,则交换机将丢弃广播数据包。
如果子网与互联网直接连接,则在其上启用定向广播会增加网络对 DoS 攻击的敏感性。
恶意攻击者可以欺骗源 IP 地址,欺骗网络识别攻击者为合法攻击者。然后,攻击者可以使用 ICMP 回显 (ping) 数据包发送有针对性的广播。当网络上启用了定向广播的主机接收到 ICMP 回显数据包时,主机会向具有欺骗源 IP 地址的受害者发送回复。这些回复会在 DoS 攻击中创建大量 ping 回复,从而淹没称为 smurf 攻击的欺骗源地址。在启用了定向广播的公开网络上,另一种常见的 DoS 攻击是 碎片 攻击。该攻击类似于 Smurf 攻击,不同之处在于恶意数据包是 UDP 回显数据包,而不是 ICMP 回显数据包。
配置定向广播
配置定向广播
您可以使用不同的选项在出口接口上配置定向广播。
以下任一配置都是可以接受的:
-
您可以允许发往第 3 层地址的 IP 广播数据包通过出口接口转发,并将 IP 广播数据包的副本发送到路由引擎。
-
您只能允许通过出口接口转发 IP 广播数据包。
请注意,仅当出口接口是 LAN 接口时,才会广播数据包。
要配置定向广播及其选项,请执行以下作:
显示定向广播配置选项
以下示例主题显示定向广播配置选项:
将出口接口上的 IP 广播数据包转发到路由引擎
目的
在出口接口上配置目标广播以转发出口接口上的 IP 广播数据包并向路由引擎发送相同数据包的副本时,显示配置。
行动
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-and-send-to-re;
}
要显示 irb 的配置,请在 [edit interfaces irb unit interface-unit-number family inet]上运行show命令。
[edit interfaces irb unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-and-send-to-re;
}
仅在出口接口上转发 IP 广播数据包
目的
当在出口接口上配置目标广播以仅在出口接口上转发 IP 广播数据包时,显示配置。
行动
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-only;
}
要显示配置,请在 [edit interfaces irb unit interface-unit-number family inet]中运行show命令。
[edit interfaces irb unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-only;
}