协议族和接口地址属性
本节讨论如何配置协议族和接口地址属性。
配置协议家族
协议族是接口配置中的一组逻辑属性。协议家族包括组成协议套件的所有协议。要使用特定套件中的协议,必须将整个协议家族配置为接口的逻辑属性。
协议家族包括以下通用协议套件:
-
Inet — 支持 IP 协议流量,包括 OSPF、BGP 和互联网控制消息协议 (ICMP)。
-
Inet6 — 支持 IPv6 协议流量,包括 RIP for IPv6 (RIPng)、IS-IS 和 BGP。
-
ISO — 支持 IS-IS 流量。
-
MPLS — 支持 MPLS。
除了通用协议套件之外,Junos OS 协议家族有时还使用以下协议套件。有关详细信息,请参阅 家庭。
要为逻辑接口配置协议家族,请包含 指定所选家族的语句。family
要配置协议家族,请完成层次结构下 的最低配置任务。[edit interfaces interface-name unit logical-unit-number family family]
|
任务 |
在此处查找详细信息 |
|---|---|
|
配置 MTU。 |
|
|
配置单元和系列,以便接口只能传输和接收组播流量。 |
|
|
禁用路由器发送重定向消息。 |
|
|
为接口分配地址。 |
另请参阅
分配接口地址
通过在配置协议系列时指定地址,可以为接口分配地址。对于或系列,配置接口 IP 地址。inetinet6 对于该系列,为环路接口配置一个或多个地址。iso 对于 、 、 、 、 和族,您从不配置地址。cccethernet-switchingtccmplstnpvpls
点对点协议 (PPP) 地址取自具有主属性的环路接口地址。当环路接口配置为未编号接口时,它将从捐赠者接口获取主地址。
要为接口分配地址,请执行以下步骤:
配置默认、主和首选地址及接口
以下部分介绍如何配置默认、主和首选地址和接口。
默认、主和首选地址和接口
路由器具有默认地址和主接口;接口具有主地址和首选地址。
路由器 的默认 地址用作未编号接口上的源地址。路由协议进程尝试选择默认地址作为路由器 ID,供协议(包括 OSPF 和内部 BGP (IBGP))使用。
路由器 的主 接口是在未指定接口名称和目标地址不表示特定传出接口时数据包发出的接口。
默认情况下,接口的主地址用作本地来源并发出接口的广播和组播数据包的本地 地址 。接口的首选地址是默认本地 地址 ,用于本地路由器发往子网上目标的数据包。
您可以使用配置语句将接口的 IP 显式标记为主 IP 和首选 IP。如果只为接口分配了一个 IP,则默认情况下会将该地址视为主地址和首选地址。当分配了多个 IP 地址(其中没有一个明确配置为主地址)时,数字最低的 IP 地址将用作该接口上的主地址。
路由器的默认地址使用以下顺序选择:
-
不使用环路接口上的主地址。
lo0127.0.0.1 -
使用主接口上的主地址。
-
当有多个接口具有“主”和“首选”地址时,将选择接口索引最低的接口,并使用主地址。如果未使用语句显式 标记接口的任何 IP 地址,则该接口上的数字最低地址将用作系统默认地址。
primary -
可以选择任何剩余的具有 IP 地址的接口。这包括路由器的管理或内部接口。因此,建议您分配环路地址或显式配置主接口,以控制默认地址选择。
配置路由器的主接口
路由器的主 接口 具有以下特征:
-
当您键入命令(如 ping 255.255.255.255)时,它是数据包发出的接口,该命令不包含接口名称(没有接口限定符),并且目标地址不表示任何特定的传出接口 。
type-0/0/0.0 -
默认情况下,在路由器上本地运行的多播应用程序(如会话公告协议 (SAP))会在此接口上加入组。
-
如果环路接口 lo0 上未配置非 127 地址,则从该接口派生出未编号接口的数据包的默认本地地址。
默认情况下,选择具有最低索引地址的支持组播的接口作为主接口。
如果没有此类接口,则选择索引地址最低的点对点接口。否则,可以选择任何具有地址的接口。实际上,这意味着在路由器上, 默认选择 or 接口。fxp0em0
要将其他接口配置为主接口,请包含以下 语句:primary
primary;
您可以在以下层次结构级别包含此语句:
-
[edit interfaces interface-name unit logical-unit-number family family] -
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
配置接口的主地址
接口上的主地址是默认情况下用作本地来源并发送出接口的广播和组播数据包的本地 地址 的地址。例如,命令发送 的数据包中的本地地址是接口 上的主地址。ping interface so-0/0/0.0 255.255.255.255so-0/0/0.0 当环路接口上配置了多个非 127 地址时,主地址标志还可用于选择用于发送未编号接口 的数据包的本地地址。lo0 默认情况下,接口上的主地址被选为接口上配置的数字最低本地地址。
要设置不同的主地址,请包含以下 语句:primary
primary;
您可以在以下层次结构级别包含此语句:
-
[edit interfaces interface-name unit logical-unit-number family family address address] -
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family address address]
配置接口的首选地址
接口上的首选地址是默认本地 地址 ,用于本地路由器发往子网上目标的数据包。默认情况下,选择数字最低的本地地址。例如,如果地址 、 和配置在同一接口上,则发出命令时,子网上的首选地址(默认情况下为 )将用作本地地址。172.16.1.1/12172.16.1.2/12172.16.1.3/12172.16.1.1ping 172.16.1.5
要为子网设置其他首选地址,请包含以下 语句:preferred
preferred;
您可以在以下层次结构级别包含此语句:
-
[edit interfaces interface-name unit logical-unit-number family family address address] -
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family address address]
具有相同 IPv4 地址的接口的操作行为
您可以在多个物理接口上配置相同的 IP 版本 4 (IPv4) 地址。将同一 IPv4 地址分配给多个物理接口时,这些接口的操作行为会有所不同,具体取决于它们是否(隐式)点对点。
对于除聚合以太网、快速以太网和千兆以太网之外的所有接口,您可以将接口显式配置为点对点连接。
如果在同一路由实例中的多个接口上配置相同的 IP 地址,操作系统会在其中一个接口上随机应用配置。其他接口将保持没有 IP 地址。
以下示例显示了将同一 IPv4 地址分配给隐式和显式点对点接口的接口的示例配置。这些示例还显示了 与隐式和显式点对点接口对应的命令输出,以显示其操作状态。show interfaces terse
-
在两个非 P2P 接口上配置相同的 IPv4 地址:
[edit interfaces] user@host# show ge-0/1/0 { unit 0 { family inet { address 203.0.113.1/24; } } }ge-3/0/1 { unit 0 { family inet { address 203.0.113.1/24; } } }下面为上述配置显示的示例输出显示,仅分配了相同的 IPv4 地址,其状态为 ,而未分配 IPv4 地址,尽管其状态为 up,这意味着仅当它获得 以外的唯一 IPv4 地址时,它才能运行。
ge-0/1/0.0203.0.113.1/24linkupge-3/0/1.0link203.0.113.1/24show interfaces terse
user@host> show interfaces terse ge* Interface Admin Link Proto Local Remote ge-0/1/0 up up ge-0/1/0.0 up up inet 203.0.113.1/24 multiservice ge-0/1/1 up down ge-3/0/0 up down ge-3/0/1 up up ge-3/0/1.0 up up inet multiservice -
在(隐式)P2P 接口上配置相同的 IPv4 地址:
[edit interfaces] user@host# show so-0/0/0 { unit 0 { family inet { address 203.0.113.1/24; } } } so-0/0/3 { unit 0 { family inet { address 203.0.113.1/24; } } }以下示例输出(针对上述配置)显示, 和 被分配了相同的 IPv4 地址 ,并且其 状态已关闭。
so-0/0/0.0so-0/0/3.0203.0.113.1/24link接口关闭是由于链路问题,而不是因为为两个接口分配了相同的 IPv4 地址。在任何给定时间(遵循 Junos OS 设备范围之外的冗余方案),预计打开的接口不超过一个,因为两个接口都可能造成不利影响。show interfaces terse
user@host> show interfaces terse so* Interface Admin Link Proto Local Remote so-0/0/0 up up so-0/0/0.0 up down inet 203.0.113.1/24 so-0/0/1 up up so-0/0/2 up down so-0/0/3 up up so-0/0/3.0 up down inet 203.0.113.1/24 so-1/1/0 up down so-1/1/1 up down so-1/1/2 up up so-1/1/3 up up so-2/0/0 up up so-2/0/1 up up so-2/0/2 up up so-2/0/3 up down
-
在非 P2P 接口的多个实例中配置相同的 IPv4 地址:
[edit interfaces] user@host# show ge-0/0/1 { vlan-tagging; unit 0 { vlan-id 1; family inet { address 10.1.1.1/24; } } unit 1{ vlan-id 2; family inet { address 10.1.1.1/24; } } }在非 P2P 接口上,您无法在不同接口的不同单元上配置相同的本地地址。如果这样做,将引发提交错误,并且配置将失败。
-
在同一 P2P 接口的多个实例中配置相同的 IPv4 地址:
[edit interfaces] user@host# show gr-0/0/10 { unit 0 { tunnel { source 10.1.1.1; destination 10.1.1.2; } family inet { mtu 1500; address 10.2.2.2/24; } } unit 1{ family inet { address 10.2.2.2/24; } } }以下示例输出(针对上述配置)显示,当您尝试为不同接口的多个实例配置相同的 IPv4 地址时,只会在 P2P 接口上成功配置一个接口。
show interfaces terse
user@host> show interfaces terse | match 10.2.2.2 Interface Admin Link Proto Local Remote gr-0/0/10.0 up up inet 10.2.2.2/24
为具有 PPP 封装的接口配置 IPCP 选项
对于具有 PPP 封装的接口,可以配置 IPCP 以协商 IP 地址分配并传递与网络相关的信息,例如 Windows 名称服务 (WINS) 和域名系统 (DNS) 服务器,如 RFC 1877 名称 服务器地址的 PPP Internet 协议控制协议扩展中所定义。
启用 PPP 接口时,您可以配置 IP 地址,使接口能够从远程端协商 IP 地址分配,或者允许接口不编号。您还可以将目标配置文件分配给远程端。目标配置文件包括 PPP 属性,例如主 DNS 和辅助 DNS 以及 NetBIOS 名称服务器 (NBNS)。以下各节介绍了这些选项:
Junos OS 不会从远程端请求名称服务器;但是,如果需要,该软件会将名称服务器发送到远程端。
开始之前
在配置 IPCP 选项之前,必须在接口上配置 PPP 封装。逻辑接口支持以下 PPP 封装类型:
atm-mlppp-llcatm-ppp-llcatm-ppp-vc-muxmultilink-ppp
有关 PPP 封装的更多信息,请参阅 在逻辑接口上 配置接口封装和 配置 ATM 接口封装在逻辑接口上配置接口封装https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/interfaces-configuring-atm-interface-encapsulation.html
要为接口配置 IP 地址,请在配置中包含语句 。
address有关更多信息,请参阅 配置接口地址。Assign the Interface Address如果在配置中包含语句,则不能在配置中包含 or 语句。
addressnegotiate-addressunnumbered-address在接口配置中包含语句 时,可以将 PPP 属性分配给远程端。
address注:MLFR 和 MFR 封装中不允许使用协商 IP 地址的选项。
要使接口能够从远程端获取 IP 地址,请在层次结构级别包含 语句 。
negotiate-address[edit interfaces interface-name unit logical-unit-number family inet][edit interfaces interface-name unit logical-unit-number family inet] user@host# set negotiate-address
注:如果在配置中包含语句,则不能在配置中包含 or 语句。
negotiate-addressaddressunnumbered-address要将接口配置为不编号,请在配置中包含 and 语句。
unnumbered-addressdestination[edit interfaces interface-name unit logical-unit-number family inet] user@host# set unnumbered-address interface-name user@host# set destination address
注:该 语句允许从指定的接口派生本地地址。
unnumbered-address接口名称必须包含逻辑单元号,并且必须具有配置的地址(请参阅 配置接口地址)。Assign the Interface Address使用 语句指定远程接口的 IP 地址。destination如果在配置中包含语句,则不能在接口配置中包含 or 语句。
unnumbered-addressaddressnegotiate-address
要将 PPP 属性分配给远程端,请包含以下 语句:
destination-profile[edit interfaces interface-name unit logical-unit-number family inet address address] user@host# set destination-profile name
[edit interfaces interface-name unit logical-unit-number family inet unnumbered-address interface-name] user@host# set destination-profile name
注:在接口配置中包含 or 语句后,可以将 PPP 属性分配给远程端。
addressunnumbered-address您可以在层次结构级别定义配置文件 。
[edit access group-profile name ppp]有关更多信息,请参阅 为 L2TP 和 PPP 配置组配置文件。No link title
另请参阅
配置无编号接口:概述
Overview of Unnumbered Interfaces
当您需要保留 IP 地址时,可以配置未编号的接口。设置未编号的接口可在接口上进行 IP 处理,而无需为接口分配显式 IP 地址。对于 IP 版本 6 (IPv6),其中保留地址不是主要问题,您可以将未编号的接口配置为在多个接口之间共享同一子网。
IPv6 未编号接口仅在以太网接口上受支持。用于配置未编号接口的语句取决于您正在配置的接口类型:点对点接口或以太网接口:
- 配置未编号的点对点接口
- 配置未编号的以太网或多路复用接口
- 将辅助地址配置为未编号以太网或多路复用接口的首选源地址
- 未编号以太网接口配置的限制
- 示例:显示未编号的以太网接口配置
- 示例:显示为未编号的以太网接口配置的首选源地址
- 示例:将未编号以太网接口的配置显示为静态路由的下一跃点
配置未编号的点对点接口
要配置未编号的点对点接口,请执行以下操作:
-
对于使用点对点协议 (PPP) 封装的接口,您可以通过在 配置中包含语句来配置未编号的接口。
unnumbered-interface有关更多信息,请参阅 为使用 PPP 封装的接口配置 IPCP 选项。为具有 PPP 封装的接口配置 IPCP 选项 -
配置未编号的接口时,必须确保在路由器的接口上配置源地址。此地址是默认地址。我们建议您通过为环路接口 () 分配地址来执行此操作,如 环路接口配置中所述。
lo0环路接口配置在接口上 配置可路由地址时,该地址始终为默认地址。
lo0这非常理想,因为环路接口独立于任何物理接口,因此始终可访问。
配置未编号的以太网或多路复用接口
要配置未编号的以太网或多路复用 (demux) 接口,请执行以下操作:
-
该 语句当前仅支持为 IP 版本 4 (IPv4) 地址族配置未编号的多路复用接口。
unnumbered-address您可以为 IPv4 和 IPv6 地址族配置未编号的以太网接口。 -
您配置为未编号 的接口是来自另一个接口的分配 IP 地址,称为 .borrowsborrower interface 借用 IP 地址的接口称为 。donor interface 在语句中 , 指定捐赠者接口。
unnumbered-addressinterface-name对于未编号的以太网接口,捐赠接口可以是以太网、ATM、SONET 或环路接口,这些接口具有逻辑单元号和配置的 IP 地址,本身不是未编号的接口。对于未编号的 IP 多路复用接口,捐赠接口可以是具有逻辑单元号和配置的 IP 地址的以太网或环路接口,其本身不是未编号的接口。此外,对于以太网或多路复用,捐赠者接口和借用方接口必须是同一路由实例和同一逻辑系统的成员。 -
配置未编号的以太网或多路复用接口时,捐赠体接口的 IP 地址将成为未编号接口生成的数据包中的源地址。
-
您可以配置指向未编号以太网或多路复用接口的主机路由。
-
有关主机路由的信息,请参阅 MPLS 应用程序用户指南。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-mpls-applications/config-guide-mpls-applications.html
将辅助地址配置为未编号以太网或多路复用接口的首选源地址
将具有多个辅助 IP 地址的环路接口配置为未编号以太网或多路分离 (demux) 接口的捐赠接口时,您可以选择将环路接口的任何一个辅助地址指定为未编号以太网或多路复用接口的首选源地址。此功能使您能够在网络中某些未编号的以太网或多路复用接口上使用主 IP 地址以外的 IP 地址。
要将环路捐赠方接口上的辅助地址配置为未编号以太网或多路复用接口的首选源地址:
在未编号的以太网或多路复用接口上配置首选源地址时,需要考虑以下注意事项:
该 语句目前仅支持为多路复用接口的 IP 版本 4 (IPv4) 地址族以及以太网接口的 IPv4 和 IP 版本 6 (IPv6) 地址族配置首选源地址。
unnumbered-address如果未指定首选源地址,路由器将使用捐赠者接口的默认主 IP 地址。
当施主环路接口上的地址用作未编号以太网或多路复用接口的首选源地址时,您无法删除该地址。
未编号以太网接口配置的限制
配置未编号的以太网接口时,以下要求和限制适用:
该 语句当前支持为 IP 版本 4 (IPv4) 和 IP 版本 6 (IPv6) 地址族配置未编号的以太网接口。
unnumbered-address您只能将 IP 地址分配给尚未配置为未编号接口的以太网接口。
您必须在捐赠者接口上为未编号的以太网接口配置一个或多个 IP 地址。
您不能将未编号以太网接口的捐赠者接口配置为未编号。
-
未编号的以太网接口不支持配置以下 语句选项:
address、 、 、 或 。arpbroadcastprimarypreferredvrrp-group有关这些语句选项的信息,请参阅 配置接口地址。Assign the Interface Address
只能在直接面向主机且没有下游 PIM 邻居的未编号以太网接口上运行互联网组管理协议 (IGMP) 和物理接口模块 (PIM)。不能在充当 PIM 拓扑中上游接口的未编号以太网接口上运行 IGMP 或 PIM。
您可以在配置为点对点 (P2P) 连接的未编号以太网接口上运行 OSPF。但是,您不能在未配置为 P2P 的未编号以太网接口上运行 OSPF 或 IS-IS。
对于使用内部网关协议 (IGP) 的链路状态分配,请确保在捐赠者接口上为未编号的接口配置启用 OSPF,以便可以访问捐赠者 IP 地址以建立 OSPF 会话。
如果在同一路由实例中的多个接口上配置相同的地址,则操作系统仅使用第一种配置。在这种情况下,其余地址配置将被忽略,并可能使接口没有地址。没有分配地址的接口不能用作未编号以太网接口的捐赠体接口。
例如,在以下配置中,接口 et-0/0/1.0 的地址配置将被忽略:
interfaces {
et-0/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
et-0/0/1 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
有关在多个接口上配置相同地址的更多信息,请参阅 配置接口地址。Assign the Interface Address
示例:显示未编号的以太网接口配置
目的
要在层次结构级别显示已配置的未编号接口 ,请执行以下操作:[edit interfaces interface-name unit logical-unit-number]
-
未编号的接口 —ge-1/0/0
-
供体接口 —ge-0/0/0
-
捐赠者接口地址 —4.4.4.1/24
未编号的接口从捐赠者接口“借用”IP 地址。
操作
-
在层次结构级别运行命令。
show[edit]interfaces { ge-0/0/0 { unit 0 { family inet { address 4.4.4.1/24; } } } ge-1/0/0 { unit 0 { family inet { unnumbered-address ge-0/0/0.0; } } } }
意义
示例配置在 M 和 T 系列路由器上工作正常。对于 MX 系列路由器上的未编号接口,您还必须在未编号的以太网接口上配置静态路由,方法是在层次结构级别包含 语句 ,以将未编号的以太网接口指定为已配置静态路由的下一跃点接口。qualified-next-hop[edit routing-options static route destination-prefix]
示例:显示为未编号的以太网接口配置的首选源地址
目的
要在层次结构级别显示 未编号接口的首选源地址配置,请执行以下操作:[edit interfaces interface-name unit logical-unit-number family inet]
-
未编号的接口 —ge-4/0/0
供体接口 —lo0
捐赠者接口主地址 - 2.2.2.1/32
捐赠者接口辅助地址 - 3.3.3.1/32
操作
-
在层次结构级别运行命令。
show[edit]interfaces { lo0 { unit 0 { family inet { address 2.2.2.1/32; address 3.3.3.1/32; } } } } interfaces { ge-4/0/0 { unit 0 { family inet { unnumbered-address lo0.0 preferred-source-address 3.3.3.1; } } } }
意义
环路接口是捐赠者接口,未编号的以太网接口 从中“借用”IP 地址。lo0ge-4/0/0
该示例显示了环路接口的辅助地址之一 3.3.3.1,作为未编号以太网接口的首选源地址。
示例:将未编号以太网接口的配置显示为静态路由的下一跃点
目的
要在层次结构级别显示 配置为静态路由下一跃点的未编号接口,请执行以下操作:[edit interfaces interface-name unit logical-unit-number family inet]
-
未编号的接口 —ge-0/0/0
供体接口 —lo0
捐赠者接口主地址 - 5.5.5.1/32
捐赠者接口辅助地址 - 6.6.6.1/32
静态路由 - 7.7.7.1/32
操作
-
在层次结构级别运行命令。
show[edit]interfaces { ge-0/0/0 { unit 0 { family inet { unnumbered-address lo0.0; } } } } lo0 { unit 0 { family inet { address 5.5.5.1/32; address 6.6.6.1/32; } } }
-
以下配置使内核能够安装静态路由到地址 7.7.7.1/32,下一跃点通过未编号的接口 ge-0/0/0.0。
static { route 7.7.7.1/32 { qualified-next-hop ge-0/0/0.0; } }
意义
在此示例中, 是未编号的接口。ge-0/0/0 环路接口 是 用于“ 借用”IP 地址的捐赠者接口。lo0ge-0/0/0 该示例还配置了一个静态路由,具有 通过未编号接口 的下一跃点。7.7.7.1/32ge-0/0/0.0
协议 MTU
概述
默认协议 MTU 取决于您的设备和接口类型。初始配置接口时,将自动计算协议 MTU。如果随后更改介质 MTU,则现有地址族上的协议 MTU 会自动更改。
如果减小介质 MTU 大小,但接口上已配置一个或多个地址族并处于活动状态,则还必须减小协议 MTU 大小。如果增加协议 MTU 的大小,则必须确保媒体 MTU 的大小等于或大于协议 MTU 与封装开销之和。
如果未配置 MPLS MTU, Junos OS 则从物理接口 MTU 派生 MPLS MTU。从此值中,软件会减去特定于封装的开销和空间,得出数据包转发引擎中可能推送的最大标签数。该软件提供了三个标签,每个标签四个字节,总共 12 个字节。
换句话说,用于确定 MPLS MTU 的公式如下:
MPLS MTU = physical interface MTU – encapsulation overhead – 12
您可以在除虚拟隧道 (VT) 接口之外的所有隧道接口上配置协议 MTU。 默认情况下,将 VT 接口的 MTU 大小设置为无限制。Junos OS
配置协议 MTU
更改介质 MTU 或协议 MTU 会导致接口被删除并重新添加。这会导致链路抖动。
要配置协议 MTU,请执行以下操作:
禁用地址和控制字节的删除
对于点对点协议 (PPP) CCC 封装的接口,默认情况下,在将数据包封装到隧道之前会删除地址和控制字节。
但是,您可以禁用地址和控制字节的删除。
要禁用地址和控制字节的删除,请包含以下 语句:keep-address-and-control
keep-address-and-control;
您可以在以下层次结构级别包含此语句:
-
[edit interfaces interface-name unit logical-unit-number family ccc] -
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family ccc]
另请参阅
禁止在接口上传输重定向消息
默认情况下,接口发送协议重定向消息。要禁止在接口上发送这些消息,请包含以下 语句:no-redirects
no-redirects;
您可以在以下层次结构级别包含此语句:
-
[edit interfaces interface-name unit logical-unit-number family family] -
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
要禁止为整个路由器或交换机发送协议重定向消息,请在层次结构级别包含 该语句 。no-redirects[edit system]
另请参阅
将过滤器应用于接口
在防火墙过滤器中定义接口组
应用防火墙过滤器时,您可以将接口定义为 接口组的一部分。在该接口上接收的数据包被标记为组的一部分。然后,您可以使用 match 语句匹配 这些数据包,如 路由策略、防火墙过滤器和流量监管器用户指南中所述。interface-grouphttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html
要将接口定义为接口组的一部分,请包含以下 语句:group
group filter-group-number;
您可以在以下层次结构级别包含此语句:
-
[edit interfaces interface-name unit logical-unit-number family family filter] -
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family filter]
数字 0 不是有效的接口组编号。
输出接口上基于过滤器的转发
如果要根据数据包标头中的模式将端口镜像数据包分发到多个监控或收集接口,则在端口镜像出口接口上配置基于过滤器的转发 (FBF) 过滤器会很有帮助。
将 FBF 过滤器安装为输出过滤器时,转发到过滤器的数据包至少已经过一次路由查找。FBF 过滤器在出口接口对数据包进行分类后,会将其重定向到另一个路由表以进行其他路由查找。为避免数据包转发引擎内的数据包环路,后一个路由表(由 FBF 路由实例指定)中的路由查找必须导致与已应用于数据包的表中指定的任何下一跃点不同的下一跃点。
如果为 FBF 配置了输入接口,则会禁用那些发往不同路由实例的数据包的源查找,因为路由表未设置为处理源查找。
有关 FBF 配置的详细信息,请参阅 路由设备的 Junos OS 路由协议库。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-routing/index.html有关端口镜像的详细信息,请参阅 路由设备的 Junos OS 服务接口库。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/services-interfaces/index.html
将过滤器应用于接口
要将防火墙过滤器应用于接口,请包含以下 语句:filter
filter {
group filter-group-number;
input filter-name;
input-list [ filter-names ];
output filter-name;
output-list [ filter-names ];
}
要应用单个筛选器,请包含以下 语句:input
filter {
input filter-name;
}
要应用过滤器列表来评估接口上收到的数据包,请包含语句 。input-list
filter {
input-list [ filter-names ];
}
您最多可以在输入列表中包含 16 个过滤器名称。
要应用过滤器列表来评估接口上传输的数据包,请包含语句 。output-list
filter {
output-list [ filter-names ];
}
使用 语句或 语句应用筛选器时,将创建名称为 .. 的新筛选器。input-listoutput-list<interface-name><unit-direction> 此筛选器专门针对特定接口。
您可以在以下层次结构级别包含这些语句:
-
[edit interfaces interface-name unit logical-unit-number family family] -
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
在语句中,协议族可以是 、 、 或 。familycccinetinet6mplsvpls
在语句中 ,指定要与过滤器关联的接口组号。group
在语句中 ,列出接口上接收数据包时要评估的一个防火墙过滤器的名称。input
在语句中 ,列出接口上接收数据包时要评估的过滤器名称。input-list 您最多可以包含 16 个过滤器名称。
在语句中 ,列出在接口上传输数据包时要评估的一个防火墙过滤器的名称。output
输出过滤器不适用于广播和组播流量,包括 VPLS 流量(具有 MPC/MIC 接口的 MX 系列路由器除外),如 所示 。将过滤器应用于接口
由于产品限制,PTX10003 路由器不支持在输出接口上应用的 MPLS 系列防火墙过滤器。
在 MX 系列路由器上,不能将在层次结构级别配置 的防火墙过滤器应用为输出过滤器。[edit firewall filter family ccc] 您只能将为语句配置的 防火墙过滤器应用为输入过滤器。family ccc
在语句中 ,列出在接口上传输数据包时要评估的过滤器的名称。output-list 您最多可以包含 16 个过滤器名称。
您可以使用同一筛选器一次或多次。在 M 系列路由器(M320 和 M120 路由器除外)上,如果将防火墙过滤器或监管器应用于多个接口,则过滤器或监管器将作用于进入或退出这些接口的流量总和。
在 T 系列、M120 和 M320 路由器上,接口分布在多个数据包转发组件之间。因此,在这些路由器上,如果将防火墙过滤器或监管器应用于多个接口,则无论多个接口上的流量总和如何,过滤器或监管器都会作用于进入或退出每个接口的信息流。
有关了解以太网帧统计信息的详细信息,请参阅 MX 系列第 2 层配置指南。
如果将过滤器应用于接口 ,则会将其应用于路由引擎接收或传输的数据包。lo0 您无法将 MPLS 过滤器应用于管理接口(或)或环路接口()。fxp0em0lo0
在层次结构级别应用的 过滤器未安装在 T4000 5 类 FPC 上。[set interfaces lo0 unit 0 family any filter input]
有关防火墙过滤器的更多信息,请参阅《 路由策略》、《防火墙过滤器》和《流量监管器用户指南》。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html有关 MPLS 过滤器的更多信息,请参阅 MPLS 应用程序用户指南。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-mpls-applications/config-guide-mpls-applications.html
示例:VPLS 流量的输入过滤器
仅适用于 M 系列和 T 系列路由器,将输入过滤器应用于 VPLS 流量。输出过滤器不适用于广播和组播流量,包括 VPLS 流量。
请注意,在具有 MPC/MIC 接口的 MX 系列路由器上,出口路由上的 VPLS 过滤器适用于广播、组播和未知单播流量。
[edit interfaces]
fe-2/2/3 {
vlan-tagging;
encapsulation vlan-vpls;
unit 601 {
encapsulation vlan-vpls;
vlan-id 601;
family vpls {
filter {
input filter1; # Works for multicast destination MAC address
output filter1; # Does not work for multicast destination MAC address
}
}
}
}
[edit firewall]
family vpls {
filter filter1 {
term 1 {
from {
destination-mac-address {
01:00:0c:cc:cc:cd/48;
}
}
then {
discard;
}
}
term 2 {
then {
accept;
}
}
}
}
示例:输出接口上基于过滤器的转发
以下示例说明了在输出接口上配置基于过滤器的转发。在此示例中,数据包流遵循以下路径:
-
数据包分别到达具有源地址和目标地址和的接口。
fe-1/2/0.010.50.200.110.50.100.1 -
路由表中 的路由查找指向出口接口 。
inet.0so-0/0/3.0 -
安装在 的 输出过滤器将数据包重定向到路由表 。
so-0/0/3.0fbf.inet.0 -
数据包与表中的条目匹配,数据包最终从接口 离开路由器。
10.50.100.0/25fbf.inet.0so-2/0/0.0[edit interfaces] so-0/0/3 { unit 0 { family inet { filter { output fbf; } address 10.50.10.2/25; } } } fe-1/2/0 { unit 0 { family inet { address 10.50.50.2/25; } } } so-2/0/0 { unit 0 { family inet { address 10.50.20.2/25; } } } [edit firewall] filter fbf { term 0 { from { source-address { 10.50.200.0/25; } } then routing-instance fbf; } term d { then count d; } } [edit routing-instances] fbf { instance-type forwarding; routing-options { static { route 10.50.100.0/25 next-hop so-2/0/0.0; } } } [edit routing-options] interface-routes { rib-group inet fbf-group; } static { route 10.50.100.0/25 next-hop 10.50.10.1; } rib-groups { fbf-group { import-rib [inet.0 fbf.inet.0]; } }
启用源类和目标类使用
源类和目标类用法概述
对于承载 IP 版本 4 (IPv4)、IP 版本 6 (IPv6)、MPLS 或对等方 AS 计费流量的接口,您可以根据通过网络的流量的入口点和出口点来维护数据包计数。入口点和出口点由源和目标前缀标识,这些前缀分组为定义为 源类 和 目标类的不相交集。您可以根据各种参数(如路由邻接方、自治系统和路由过滤器)定义类。
源类使用情况 (SCU) 记帐通过对 IP 源地址执行查找来计算发送给客户的数据包。SCU 可以跟踪源自提供商核心上特定前缀并发往客户边缘特定前缀的流量。您必须在入站和出站物理接口上启用 SCU 计费,并且数据包源的路由必须位于转发表中。
SCU 和目标类使用 (DCU) 计费都不适用于直接连接的接口路由。由于软件体系结构的限制,源类使用不计算来自转发表中具有直接路由的源的数据包。
目标类使用情况 (DCU) 通过执行 IP 目标地址查找来对来自客户的数据包进行计数。通过 DCU,可以跟踪源自客户边缘并发往提供商核心路由器上特定前缀的流量。
我们建议您先停止接口上的网络流量,然后再修改该接口的 DCU 或 SCU 配置。在不停止流量的情况下修改 DCU 或 SCU 配置可能会损坏 DCU 或 SCU 统计信息。在修改配置后重新启动流量之前,请输入 命令。clear interfaces statistics
图 1 说明了一个 ISP 网络。在此拓扑中,您可以使用 DCU 对客户发送到特定前缀的数据包进行计数。例如,您可以有三个计数器(每个客户一个)用于计算发往前缀 和 的数据包。210.210/16220.220/16
您可以使用 SCU 对提供商从特定前缀发送的数据包进行计数。例如,您可以计算从前缀 发送的数据包以及 在特定输出接口上传输的数据包。210.210/16215.215/16
您最多可以配置 126 个源类和 126 个目标类。对于启用目标类用法和源类用法的每个接口,操作系统会为每个相应的类维护一个特定于接口的计数器,最高可达 126 个类的限制。
对于通过隧道离开路由器的中转数据包,您配置为隧道流量输出接口的接口不支持 RPF、转发表过滤、源类使用和目标类使用等转发路径功能。对于防火墙过滤,您必须允许输出隧道数据包通过防火墙过滤器,应用于作为通向隧道目标的下一跃点接口上的输入流量。
启用输出服务时执行 DCU 记帐会在以下配置中产生不一致的行为:
-
SCU 输入和 DCU 均配置在数据包输入接口上。
-
SCU 输出在数据包输出接口上配置。
-
接口服务在输出接口上启用。
对于源和目标前缀与路由器中配置的 SCU 和 DCU 类匹配的传入数据包,SCU 和 DCU 计数器都将递增。这种行为不是有害的或负面的。但是,它与非服务数据包不一致,因为只有 SCU 计数会递增(因为在这种情况下,SCU 类 ID 将覆盖 DCU 类 ID)。
要在接口上启用数据包计数,请包含以下 语句:accounting
accounting {
destination-class-usage;
source-class-usage {
direction;
}
}
direction 可以是以下项之一:
-
input- 至少配置一个预期的入口点。 -
output— 至少配置一个预期的出口点。 -
input output— 在单个接口上,至少配置一个预期入口点和一个预期出口点。
您可以在以下层次结构级别包含这些语句:
-
[edit interfaces interface-name unit logical-unit-number family (inet | inet6 | mpls)] -
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family (inet | inet6 | mpls)]
要使 SCU 正常工作,必须配置至少一个输入接口和至少一个输出接口。
同时对 SCU 和 DCU 计费的单个数据包进行计数的能力取决于底层物理接口。
-
对于通过模块化端口集中器/模块化接口卡 (MPC/MIC) 接口的流量,如果同时配置了 SCU 和 DCU,则会将单个传入数据包计入 SCU 和 DCU 计数。要确保对传出数据包进行计数,请将语句包含在 传出接口的配置中。
source-class-usage output -
对于通过 DPC 接口的流量,传入数据包仅计数一次,SCU 优先于 DCU。这意味着,当数据包到达您在配置中包含 and 语句的接口上时,并且当源和目标都匹配记帐前缀时,操作系统将仅将数据包与源类相关联。
source-class-usage inputdestination-class-usage
对于通过 MPC 接口的流量,在评估输出过滤器后执行 SCU 和 DCU 计费。如果数据包与防火墙过滤器匹配条件匹配,则该数据包将包含在 SCU 或 DCU 记帐中,但匹配项 的操作为 . 的情况除外。discard
在 T 系列、M120 和 M320 路由器上,源类和目标类不会跨路由器结构传输。其含义如下:
-
在 T 系列、M120 和 M320 路由器上,SCU 和 DCU 计费在数据包进入交换矩阵之前执行。
-
在 M7i、M10i、M120 和 M320 路由器上,在具有非 MPC 的 MX 系列路由器上以及在 T 系列路由器上,在评估输出过滤器之前执行 SCU 和 DCU 核算。因此,如果数据包与防火墙过滤器匹配条件匹配,则该数据包将包含在 SCU 或 DCU 记帐中;数据包将计入任何期限操作(包括 操作)。
discard -
在 M120、M320 和 T 系列路由器上,只有应用于转发表的过滤器在层次结构级别支持 and 语句。
destination-classsource-class[edit firewall family family-name filter filter-name term term-name from]在 M7i、M10i 和 MX 系列路由器上,支持这些语句。
在接口上启用记帐后,操作系统会维护该接口的数据包计数器,并为 、 和协议家族使用单独的计数器。inetinet6mpls 然后,必须在策略操作语句中配置源类和目标类属性,这些属性必须包含在转发表导出策略中。
配置策略操作语句时,只能为每个匹配路由配置一个源类。换句话说,不能将多个源类应用于同一路由。
在 Junos OS 9.3 及更高版本中,您可以为使用该 语句配置的第 3 层 VPN 配置 SCU 核算。vrf-table-label 在层次结构级别包含语句。source-class-usage[edit routing-instances routing-instance-name vrf-table-label] 此层次结构级别的语句仅支持虚拟路由和转发 (VRF) 实例类型。source-class-usage
您无法在 VRF 中配置语句时 动态创建的标签交换接口 (LSI) 上启用 DCU 计数器。vrf-table-label 有关详细信息,请参阅 适用于路由设备的 Junos OS VPN 库。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-vpns/index.html
有关源和目标类记帐配置文件的完整讨论,请参阅 Junos OS 路由设备网络管理管理指南。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/network-management/network-management.html有关 MPLS 的详细信息,请参阅 MPLS 应用程序用户指南。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-mpls-applications/config-guide-mpls-applications.html
启用源类和目标类使用
必须先在一个接口上配置 DCU 和 SCU 输出,然后才能启用源类用法 (SCU) 和目标类用法 (DCU):
[edit]
interfaces {
so-6/1/0 {
unit 0 {
family inet {
accounting {
destination-class-usage;
source-class-usage {
output;
}
}
}
}
}
}
要启用源类和目标类的使用,请执行以下操作:
另请参阅
了解目标广播
目标广播是使用来自不同子网的第 3 层广播 IP 数据包淹没目标子网的过程。目标广播的目的是使用 LAN 接口上的广播数据包淹没目标子网,而不向整个网络广播。目标广播在路由器或交换机的出口接口上配置了各种选项,并且 IP 数据包仅在 LAN(出口)接口上广播。定向广播可帮助您在 LAN 接口上执行备份和唤醒 LAN (WOL) 等远程管理任务,并支持虚拟路由和转发 (VRF) 实例。
源自子网的常规第 3 层广播 IP 数据包在同一子网内广播。当这些 IP 数据包到达其他子网时,它们将被转发到路由引擎(以转发到其他应用程序)。因此,无法通过另一个子网在特定子网上执行备份等远程管理任务。作为一种解决方法,您可以启用目标广播以转发源自不同子网的广播数据包。
第 3 层广播 IP 数据包的目标 IP 地址是目标子网的有效广播地址。这些 IP 数据包遍历网络的方式与单播 IP 数据包相同,直到到达目标子网,如下所示:
- 在目标子网中,如果接收路由器在出口接口上启用了目标广播,则 IP 数据包将转发到出口接口和路由引擎,或者仅转发到出口接口。
- 然后将 IP 数据包转换为广播 IP 数据包,广播 IP 数据包仅通过 LAN 接口泛洪目标子网,目标子网上的所有主机都会接收 IP 数据包。如果不存在 LAN 接口,则丢弃数据包。
- 序列中的最后一步取决于目标广播:
- 如果未在接收路由器上启用目标广播,则 IP 数据包将被视为常规第 3 层广播 IP 数据包,并转发至路由引擎。
- 如果在没有任何选项的情况下启用了目标广播,则 IP 数据包将转发到路由引擎。
您可以将目标广播配置为仅将 IP 数据包转发到出口接口。当路由器中充斥着要处理的数据包或出口接口和路由引擎的数据包时,这非常有用。
在路由引擎环路接口 (lo0) 上配置的任何 防火墙过滤器 都不能应用于由于目标广播而转发到路由引擎的 IP 数据包。这是因为广播数据包作为泛洪下一跃点流量而不是本地下一跃点流量转发,并且对于定向路由引擎的流量,您只能将防火墙过滤器应用于本地下一跳路由。
配置目标广播
以下部分介绍如何在出口接口及其选项上配置目标广播:
配置目标广播及其选项
您可以使用不同的选项在出口接口上配置目标广播。
以下任一配置都是可以接受的:
-
您可以允许在出口接口上转发发往第 3 层广播地址的 IP 数据包,并将 IP 数据包的副本发送到路由引擎。
-
您只能允许在出口接口上转发 IP 数据包。
请注意,仅当出口接口是 LAN 接口时,才会广播数据包。
要配置目标广播及其选项,请执行以下操作:
SRX 设备不支持 目标广播选项 。forward-and-send-to-re
显示目标广播配置选项
以下示例主题显示目标广播配置选项:
示例:将出口接口上的 IP 数据包转发到路由引擎
目的
在出口接口上配置目标广播以转发出口接口上的 IP 数据包并将 IP 数据包的副本发送到路由引擎时,显示配置。
操作
要显示配置,请在 运行命令,其中接口名称为 ge-2/0/0,单位值设置为 0,协议家族设置为 inet。show[edit interfaces interface-name unit interface-unit-number family inet]
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-only;
}
示例:仅在出口接口上转发 IP 数据包
目的
在出口接口上配置目标广播以仅在出口接口上转发 IP 数据包时,显示配置。
操作
要显示配置,请在 运行命令,其中接口名称为 ge-2/0/0,单位值设置为 0,协议家族设置为 inet。show[edit interfaces interface-name unit interface-unit-number family inet]
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-only;
}