Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解防火墙过滤器中的监管器的使用

监管或速率限制是防火墙过滤器的一个重要组成部分,可用于控制进入瞻博网络 EX 系列以太网交换机上的接口的流量量。您可以通过在防火墙过滤器配置中包括监管器来实现监管。

监管器概述

您可以使用监管器来指定流量的速率限制。使用监管器配置的防火墙过滤器仅允许指定速率限制内的流量,从而为拒绝服务(DoS)攻击提供保护。超过监管器指定的速率限制的流量将立即丢弃,或者标记为优先级低于速率限制内的流量。当存在流量拥塞时,交换机将丢弃优先级较低的流量。

监管器对流量应用两种类型的速率限制:

  • 带宽 — 平均允许的每秒位数。

  • 最大突发大小 - 允许超过给定带宽限制的数据突发的最大大小。

监管使用一种算法对平均带宽实施限制,同时允许将突发到指定的最大值。您可以在接口上定义特定的信息流类,并对每个类应用一组速率限制。命名和配置监管器后,它将作为模板存储。然后,您可以在防火墙过滤器配置中使用监管器。

在除瞻博网络 EX8200 以太网交换机以外的所有 EX 系列交换机上,您配置的每个监管器都包含一个隐性计数器,用于对超过为监管器指定的速率限制的数据包数量进行计数。每个 EX8200 交换机都包含三个全局管理计数器。您必须将入口监管器分配给这些全局管理计数器,以获取监管器统计信息。您可以为每个全局管理计数器分配任意数量的入口监管器。每个全局管理计数器的监管器统计数据是与该全局管理计数器关联的所有监管器的监管器统计数据的聚合。

要获取过滤特定的数据包计数,必须为每个防火墙过滤器配置不同的监管器。默认情况下,监管器提供特定于术语的计数。

监管器类型

交换机支持三种类型的监管器:

  • 单速率双色 — 双色策略程序(有时称为"策略程序")可对流量进行仪表管理,根据配置的带宽和突发大小限制将数据包分类为两类数据包丢失优先级 (PLP)。您可以标记超过带宽、突发大小限制或只是丢弃它们的数据包。双色监管器最适用于端口(物理接口)级别的计量流量。

  • 单速率三色 - 此类型的策略器在 RFC 2697 单速率 色标记 中定义,是差异服务 (DiffServ) 环境每跳行为 (PHB) 保证转发 (AF) 分类系统的一部分。这种基于已配置的已提交信息速率(CIR)的监管器计量流量、提交的突发大小(CBS)和多余的突发大小(EBS)。流量根据数据包是否到达位于 CBS (绿色)以下的速率来标记为属于三个类别(绿色、黄色或红色)之一,而不是由 EBS (黄色)构成,也不能超过 EBS (红色)。单速率三色监管器最适用于根据数据包大小(而不是按峰值到达速率)构建服务。

  • 双速率三色 - 此类型的策略器在 RFC 2698 双速率 色标记 中定义,是差异服务 (DiffServ) 环境每跳行为 (PHB) 保证转发 (AF) 分类系统的一部分。此类基于配置的 CIR 和峰值信息速率(PIR)的监管器仪表流量及其关联的突发大小;CBS 和峰值突发大小(PBS)。流量被标记为属于三个类别之一(绿色、黄色或红色),其基于数据包的到达速率低于 CIR (绿色),超过 CIR 但不是 PIR (黄色),或超过 PIR (红色)。当服务根据到达率而非数据包大小时结构化时,双速率三色监管器最有用。

监管器操作

监管器操作可以是隐式或显式的,并且因监管器类型而异。术语 "隐式" 意味着 Junos OS 会自动分配丢失优先级值;显式表示您要配置对策。表 1列出了监管器操作。

表 1: 监管器操作

监管器

标记

隐式操作

可配置动作

单速率双色

绿色(符合)

分配低损失优先级

红色(不一致)

分配低或高损失优先级、分配转发类或放弃

黄色

不支持

不支持

单速率三色

绿色(符合)

分配低损失优先级

红色(在 EBS 上方)

分配高损失优先级

丢弃

黄色(超过 CBS,但 EBS 不能)

分配高损失优先级

注:

EX8200 交换机上不支持

注:

EX8200 交换机上不支持

双速率三色

绿色(符合)

分配低损失优先级

红色(高于 PIR)

分配高损失优先级

丢弃

黄色(超过 CIR 但不是 PIR)

分配高损失优先级

注:

EX8200 交换机上不支持

注:

EX8200 交换机上不支持

注:

您不能将监管器应用于输出防火墙forwarding-class过滤器的操作。

注:

从 Junos OS 版本17.1,在 EX4300 交换机上,您可以loss-priority将监管器操作配置为lowmedium-lowmedium-high或。 high

监管器级别

您可以在队列级别、逻辑接口级别或第2层(MAC)级别配置监管器。只有一个监管器应用于出站队列中的数据包。搜索监管器按以下顺序进行:

  • 队列级别

  • 逻辑接口级别

  • 2层(MAC)级别

颜色模式

三色标记(TCM)监管器不受绿色-黄-红色颜色约定的约束。根据颜色,数据包标记为低或高的 PLP 位配置。因此,三色监管器类型(单速率和双速率)通过提供三个级别的丢弃优先级(丢失优先级)而非监管器中通常可用的两种来扩展服务等级(CoS)信息流监管的功能。单速率和双速率三色监管器类型均可采用两种模式运行:

  • 无色 - 在无色模式下,三色管理器工作,而不考虑检查的数据包之前是否已标记或计量。换句话说,三色监管器是数据包可能拥有的任何以前的颜色的

  • 颜色感知 — 在颜色感知模式下,三色管理器操作时参考已检查数据包的任何之前标记或计量。换句话说,三色监管器知道数据包可能具有的以前的颜色。在颜色感知模式下,三色监管器可增加数据包的 PLP,但不能降低其数量。例如,如果颜色识别的三色监管器计量器具有低 PLP 标记的数据包,则可将 PLP 级别提升至高。但不能将高的 PLP 级别降低到低。

监管器的命名约定

配置三色策略器时,建议使用命名约定速率-TCMnumber-colortype。TCM 代表三色标记。由于监管器可能很多,必须正确应用才能发挥作用,因此观察简单命名约定可使监管器正确应用。

例如,如果您配置单速率、三色、颜色感知监管器,请将其命名为 srTCM1-ca。如果您配置双速率、三色、色盲监管器、name trTCM2-cb。

发布历史记录表
版本
说明
17.1
从 Junos OS 版本17.1,在 EX4300 交换机上,您可以loss-priority将监管器操作配置为low、 medium-low、 medium-high或。 high