了解监管器在防火墙过滤器中的用法
监管或速率限制是防火墙过滤器的重要组成部分,可让您控制进入瞻博网络 EX 系列以太网交换机上接口的流量。您可以通过在 防火墙过滤器 配置中包含监管器来实现监管。
监管器概述
您可以使用监管器指定流量的速率限制。配置了监管器的防火墙过滤器仅允许一组指定速率限制内的流量,从而提供拒绝服务 (DoS) 攻击保护。超过监管器指定的速率限制的信息流要么立即丢弃,要么标记为优先级低于速率限制内的流量。当出现流量拥塞时,交换机会丢弃优先级较低的流量。
监管器对流量应用两种类型的速率限制:
带宽 — 平均允许的每秒位数。
最大突发大小 - 超过给定带宽限制的突发数据允许的最大大小。
管制使用一种算法对平均带宽实施限制,同时允许突发达到指定的最大值。您可以在接口上定义特定的流量类,并为每个类应用一组速率限制。命名并配置监管器后,它将存储为模板。然后,您可以在防火墙过滤器配置中使用监管器。
在除瞻博网络 EX8200 以太网交换机之外的所有 EX 系列交换机上,您配置的每个监管器都包含一个隐式计数器,用于计算超过为监管器指定的速率限制的数据包数。每台 EX8200 交换机包含三个全局管理计数器。必须将入口监管器分配给这些全局管理计数器才能获取监管器统计信息。您可以为每个全局管理计数器分配任意数量的入口监管器。每个全局管理计数器的监管器统计信息是与该全局管理计数器关联的所有监管器的监管器统计信息的聚合。
要获取特定于过滤器的数据包计数,您必须为每个防火墙过滤器配置不同的监管器。默认情况下,监管器提供特定于术语的计数。
监管器类型
交换机支持三种类型的监管器:
单速率双色 — 双色监管器(有时简称为“监管器”)计量流量,并根据配置的带宽和突发大小限制将数据包分为两类数据包丢失优先级 (PLP)。您可以标记超出带宽和突发大小限制的数据包,也可以直接丢弃它们。双色监管器对于在端口(物理接口)级别计量流量最有用。
单速率三色 — 这种类型的监管器在 RFC 2697“ 单速率三色标记”中定义,作为差异服务 (DiffServ) 环境的保证转发 (AF) 每跳行为 (PHB) 分类系统的一部分。这种类型的监管器根据配置的承诺信息速率 (CIR)、承诺突发大小 (CBS) 和超额突发大小 (EBS) 计量流量。流量被标记为属于三个类别之一(绿色、黄色或红色),具体取决于数据包到达的速率是低于 CBS(绿色)、超过 CBS 但未达到 EBS(黄色)还是超过 EBS(红色)。当服务根据数据包大小而不是根据峰值到达率构建时,单速率三色监管器最有用。
双速率三色 — 这种类型的监管器在 RFC 2698( 双速率三色标记)中定义,作为差异服务 (DiffServ) 环境的保证转发 (AF) 每跳行为 (PHB) 分类系统的一部分。这种类型的监管器根据配置的 CIR 和峰值信息速率 (PIR) 及其关联的突发大小来计量流量;CBS 和峰值突发大小 (PBS)。流量被标记为属于三个类别之一(绿色、黄色或红色),基于数据包到达的速率低于 CIR(绿色)、超过 CIR 但未达到 PIR(黄色)或超过 PIR(红色)。当服务根据到达率而不是数据包大小构建时,双速率三色监管器最有用。
监管器操作
监管器操作可以是隐式的,也可以是显式的,并且因监管器类型而异。术语隐式表示 Junos OS 会自动分配丢失优先级值;显式表示您配置操作。 表 1 列出监管器操作。
监管器 |
标记 |
隐式操作 |
可配置操作 |
---|---|---|---|
单速率双色 |
绿色(符合) |
分配低丢失优先级 |
无 |
红色(不合格) |
无 |
分配低或高丢失优先级、分配转发类或丢弃 |
|
黄色 |
不支持 |
不支持 |
|
单速率三色 |
绿色(符合) |
分配低丢失优先级 |
无 |
红色(EBS 上方) |
分配高丢失优先级 |
丢弃 |
|
黄色(超过 CBS,但不包括 EBS) |
分配高丢失优先级 注:
EX8200 交换机不支持 |
无 注:
EX8200 交换机不支持 |
|
二率三色 |
绿色(符合) |
分配低丢失优先级 |
无 |
红色(PIR 上方) |
分配高丢失优先级 |
丢弃 |
|
黄色(超过 CIR,但未达到 PIR) |
分配高丢失优先级 注:
EX8200 交换机不支持 |
无 注:
EX8200 交换机不支持 |
不能将操作为 为 的 forwarding-class
监管器应用于输出防火墙过滤器。
从 Junos OS 17.1 版开始,在 EX4300 交换机上,您可以将监管器操作loss-priority
low
配置为 、 medium-low
medium-high
、 或 high
。
监管器级别
您可以在队列级别、 逻辑接口 级别或第 2 层 (MAC) 级别配置监管器。出口队列中的数据包仅应用一个监管器。按以下顺序搜索监管器:
队列级别
逻辑接口级别
第 2 层 (MAC) 级别
颜色模式
三色标记 (TCM) 监管器不受绿-黄-红着色约定的约束。数据包根据颜色标有低或高 PLP 位配置。因此,两种三色监管器类型(单速率和双速率)通过提供三个丢弃优先级(丢失优先级)而不是监管器中通常可用的两个级别来扩展服务等级 (CoS) 流量监管的功能。单速率和双速率三色监管器类型都可以在两种模式下工作:
色盲 — 在色盲模式下,三色监管器不参考检查的数据包先前是否已标记或计量。换句话说,三色监管器对数据包之前可能具有的任何着色都是 盲目的 。
颜色感知 — 在颜色感知模式下,三色监管器参照先前对已检查数据包的任何标记或计量来运行。换句话说,三色监管器 知道 数据包可能具有的先前着色。在颜色感知模式下,三色监管器可以增加数据包的 PLP,但永远不能降低它。例如,如果颜色感知型三色监管器计量具有低 PLP 标记的数据包,则可以将 PLP 级别提高到高。但它不能将高PLP水平降低到低水平。
监管器的命名约定
我们建议您在配置三色监管器时使用命名约定 rate-TCMnumber-colortype 。TCM 代表 三色标记。由于监管器可能很多,并且必须正确应用才能工作,因此遵守简单的命名约定可以更轻松地正确应用监管器。
例如,如果配置单速率、三色、颜色感知监管器,请将其命名为 srTCM1-ca。如果配置双速率、三色、盲监管器,请将其命名为 trTCM2-cb。
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。
loss-priority
low
配置为 、 medium-low
medium-high
、 或 high
。