配置双色和三色监管器以控制流量速率
您可以通过配置监管器并将其指定为防火墙过滤器中某个术语的操作修饰符来对流量进行速率限制。默认情况下,如果以多个术语指定同一个监管器,Junos OS 将为每个术语创建一个单独的监管器实例,并为每个实例单独应用速率限制。例如,如果将监管器配置为丢弃超过 1 Gbps 的流量,并以三个不同的术语引用该监管器,则每个监管器实例都会强制执行 1 Gbps 的限制。在这种情况下,过滤器允许的总带宽为 3 Gbps。
您还可以将监管器配置为特定于过滤器,这意味着无论引用监管器的次数如何,Junos OS 都只会创建一个监管器实例。执行此操作时,将聚合应用速率限制,因此,如果将监管器配置为丢弃超过 1 Gbps 的流量并以三个不同的术语引用该监管器,则过滤器允许的总带宽为 1 Gbps。
您只能在入口防火墙过滤器上包括双色监管器操作。您可以在入口和出口过滤器上包括三色监管器操作。
配置双色监管器
要配置双色监管器:
配置三色监管器
要配置三色监管器:
在防火墙过滤器配置中指定监管器
要使用双色监管器,请配置包含以下操作 policer的过滤器术语:
[edit firewall family family-name] user@switch# set filter filter-name term name then name
例如,以下命令将双色监管器应用于从 192.0.2.0/24 发送的所有数据包。
[edit firewall family family-name] user@switch# set filter limit—hosts term term1 from source-address 192.0.2.0/24 user@switch# set filter limit—hosts term term1 then policer policer1
要使用三色监管器,请配置包含操作 three-color-policer的过滤器术语:
[edit firewall family name] user@switch# set filter name term name from match-condition user@switch# set filter name term name then three-color-policer (single-rate | two-rate) name
例如,以下命令将单速率三色监管器应用于接口 ge-0/0/6 接收或发送的所有数据包(具体取决于过滤器是入口过滤器还是出口过滤器)。
[edit firewall family name] user@switch# set filter srTCM term term-one from interface ge-0/0/6 user@switch# set filter srTCM term term-one then three-color-policer single-rate srTCM1-ca
您必须指定三色监管器是单速率还是双速率,并且这必须与监管器本身匹配。否则,配置列表将包含一条错误消息,指示您在过滤器中引用的三色监管器不存在。
应用包含监管器的防火墙过滤器
包含一个或多个监管器操作修改器的防火墙过滤器必须像任何其他过滤器一样应用于端口、VLAN 或第 3 层接口。有关应用防火墙过滤器的信息,请参阅 配置防火墙过滤器。
您只能在入口防火墙过滤器上包括双色监管器操作。您可以在入口和出口过滤器上包括三色监管器操作。