Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

参考监管器概述的无状态防火墙过滤器

监管或速率限制是防火墙过滤器的一个重要组成部分,允许您限制传入或传出接口的信息流量。

引用监管器的防火墙过滤器可提供抵御拒绝服务(DOS)攻击的防护。超过为监管器配置的速率限制的流量将被丢弃或标记为优先级低于符合配置的速率限制的流量。数据包可被设置为特定输出队列、设置为特定的数据包丢失优先级(PLP)级别或两者同时被标记为较低优先级。必要时,可以丢弃低优先级流量以防止拥塞。

监管器指定了对信息流的两种类型的速率限制:

  • 带宽限制 — 允许的平均信息流速率,指定为每秒位数。

  • 最大突发大小 - 允许超过带宽限制的数据突发的数据包大小。

监管使用一种算法对平均带宽实施限制,同时允许将突发到指定的最大值。您可以使用监管在接口上定义特定的信息流类,并对每个类应用一组速率限制。命名和配置监管器后,它将作为模板存储。然后,您可以在接口配置中应用监管器,或者在防火墙过滤器配置中将

仅对于 IPv4 防火墙过滤器术语,您还可以将前缀特定的操作指定为 nonterminating 操作,将监管器应用于匹配的数据包。前缀特定操作基于指定地址前缀位对符合过滤器的数据包应用附加的匹配标准,然后将匹配的数据包与该过滤器术语的计数器和监管器实例或防火墙中的所有术语相关联过滤.

要将监管器或前缀操作应用于数据包过滤的信息流,您可以使用以下防火墙过滤器 nonterminating 操作:

  • policer policer-name

  • three-color-policer (single-rate | two-rate) policer-name

  • prefix-action action-name

注:

监管器考虑的数据包长度取决于防火墙过滤器的地址族。请参阅了解监控数据包的帧长度