引用监管器的无状态防火墙过滤器概述
管制或速率限制是防火墙过滤器的重要组成部分,可让您限制传入或传出接口的流量。
引用监管器的 防火墙过滤器 可以提供针对拒绝服务 (DOS) 攻击的保护。超过为监管器配置的速率限制的信息流将被丢弃或标记为低于符合配置速率限制的信息流的优先级。可以通过将数据包设置为特定输出队列和/或设置为特定丢包优先级 (PLP) 级别来标记为较低优先级。必要时,可以丢弃低优先级流量以防止拥塞。
监管器指定两种类型的流量速率限制:
带宽限制 — 允许的平均流量速率,以每秒位数指定。
最大突发大小 — 超过带宽限制的数据突发允许的数据包大小。
管制使用一种算法对平均带宽实施限制,同时允许突发达到指定的最大值。您可以使用管制来定义接口上的特定流量类,并为每个类应用一组速率限制。命名并配置监管器后,它将存储为模板。然后,您可以在接口配置中应用监管器,或者在防火墙过滤器配置中应用监管器,以仅对数据包过滤流量进行速率限制。
仅对于 IPv4 防火墙过滤器术语,您还可以将 特定于前缀的操作 指定为将监管器应用于匹配数据包的非终止操作。特定于前缀的操作基于指定的地址前缀位对过滤器匹配的数据包应用其他匹配标准,然后将匹配的数据包与该过滤器术语或防火墙过滤器中所有术语的计数器和监管器实例相关联。
要将监管器或前缀操作应用于数据包过滤的流量,您可以使用以下防火墙过滤器非终止操作:
policer policer-namethree-color-policer (single-rate | two-rate) policer-nameprefix-action action-name
注:
监管器考虑的数据包长度取决于防火墙过滤器的地址族。请参阅 了解监管数据包的帧长度。