配置双色和三色监管器来控制流量速率
您可以通过配置监管器并将其指定为防火墙过滤器中某个术语的操作修改符来限制流量的速率。默认情况下,如果多个术语指定同一监管器,Junos OS 将为每个术语创建一个单独的监管器实例,并为每个实例单独应用速率限制。例如,如果将监管器配置为丢弃超过 1 Gbps 的流量,并按三种不同的术语引用该监管器,则每个监管器实例都会实施 1 Gbps 的限制。在这种情况下,过滤器允许的总带宽为 3 Gbps。
您还可以将监管器配置为特定于过滤器,这意味着无论监管器引用多少次,Junos OS 都仅创建一个监管器实例。这样做时,会聚合应用速率限制,因此,如果将监管器配置为丢弃超过 1 Gbps 的流量,并分三种不同的方式引用该监管器,则过滤器允许的总带宽为 1 Gbps。
您只能对入口防火墙过滤器包含双色监管器操作。您可以针对入口和出口过滤器包括三色监管器操作。
配置双色监管器
要配置双色监管器:
配置三色监管器
要配置三色监管器:
在防火墙过滤器配置中指定监管器
要使用双色监管器,请配置包括操作 policer的过滤器术语:
[edit firewall family family-name] user@switch# set filter filter-name term name then name
例如,以下命令将双色监管器应用于从 192.0.2.0/24 发送的所有数据包。
[edit firewall family family-name] user@switch# set filter limit—hosts term term1 from source-address 192.0.2.0/24 user@switch# set filter limit—hosts term term1 then policer policer1
要使用三色监管器,请配置包括以下操作 three-color-policer的过滤器术语:
[edit firewall family name] user@switch# set filter name term name from match-condition user@switch# set filter name term name then three-color-policer (single-rate | two-rate) name
例如,以下命令会将单速率三色监管器应用于通过接口 ge-0/0/6 接收或发送的所有数据包(具体取决于过滤器是入口过滤器还是出口过滤器)。
[edit firewall family name] user@switch# set filter srTCM term term-one from interface ge-0/0/6 user@switch# set filter srTCM term term-one then three-color-policer single-rate srTCM1-ca
您必须指定三色监管器是单速率还是双速率,并且此配置必须与监管器本身匹配。否则,配置列表会包含一条错误消息,指示您在过滤器中引用的三色监管器不存在。
应用包含监管器的防火墙过滤器
包括一个或多个监管器操作修改器的防火墙过滤器必须像任何其他过滤器一样应用于端口、VLAN 或第 3 层接口。有关应用防火墙过滤器的信息,请参阅 配置防火墙过滤器。
您只能对入口防火墙过滤器包含双色监管器操作。您可以针对入口和出口过滤器包括三色监管器操作。