Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

特定于前缀的计数和监管操作

特定于前缀的计数和监管概述

针对每个 IPv4 地址范围分别进行计数和监管

通过特定于前缀的计数和管制,您可以配置与源地址或目标地址匹配的 IPv4 防火墙过滤器 术语,将单速率双色监管器作为术语操作应用,但会基于数据包标头中的源或目标将匹配的数据包与特定的计数器和监管器实例相关联。您可以为单个地址或一组地址隐式创建单独的计数器或监管器实例。

特定于前缀的计数和监管使用 特定于前缀的操作 配置,该配置可指定要应用的监管器的名称、是否要启用特定于前缀的计数以及源地址或目标地址前缀范围。

前缀范围指定 IPv4 地址掩码的 1 到 16 个连续集位。前缀范围的长度决定了计数器和监管器集的大小,该 由多达 2 个或多达 65,536 个计数器和监管器实例组成。前缀范围的位位置决定了过滤器匹配数据包在实例集中的索引。

注:

特定于前缀的操作特定于源或目标 前缀范围,但不特定于特定的源或目标 地址范围,也不特定于特定接口。

要对接口上的流量应用特定于前缀的操作,请配置与源地址或目标地址匹配的防火墙过滤器术语,然后将防火墙过滤器应用于接口。过滤流量使用特定于前缀的计数器和监管器实例进行速率限制,这些实例根据过滤数据包标头中的源地址或目标地址为每个数据包选择。

特定于前缀的操作配置

要配置特定于前缀的操作,请指定以下信息:

  • 特定于前缀的操作名称 — 可作为 IPv4 标准防火墙过滤器术语(与源或目标地址上的数据包匹配)的操作引用的名称。

  • 监管器名称 — 您希望为其隐式创建特定于前缀的实例的单速率双色监管器的名称。

    注:

    对于聚合以太网接口,您可以配置特定前缀的操作,该操作引用了逻辑接口监管器(也称为聚合监管器)。您可以从 IPv4 标准防火墙过滤器引用此类特定于前缀的操作,然后在接口的聚合级别应用过滤器。

  • 计数选项 — 如果要启用特定于前缀的计数器,可以选择包括该选项。

  • 特定于过滤器的选项 — 如果您希望在防火墙过滤器中的所有条款之间共享一个计数器和监管器,则可以选择包括。以这种方式运行的特定于前缀的操作在 特定于过滤器的模式下运行。如果未启用此选项,特定于前缀的操作将运行在 特定于术语 的模式下,这意味着,将为每个引用特定于前缀操作的过滤器术语创建单独的计数器和监管器集。

  • 源地址前缀长度 — 地址前缀的长度(从 0 到 32)与源地址上匹配的数据包一起使用。

  • 目标地址前缀长度 — 地址前缀的长度(从 0 到 32)与目标地址上匹配的数据包一起使用。

  • 子网前缀长度 — 子网前缀的长度(从 0 到 32)用于在源地址或目标地址上匹配的数据包。

您必须将源地址和目标地址前缀长度配置为比子网前缀长度长 1 到 16 位。如果将源或目标地址前缀长度配置为超过配置的子网前缀长度的 16 位,则当您尝试提交配置时将出错。

计数器和监管器集大小和索引

为特定于前缀的操作隐式创建的特定于前缀的操作(计数器或监管器)的数量由地址前缀的长度和子网前缀的长度决定:

  1. Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)

表 1 显示了计数器和监管器集大小及索引的示例。

表 1: 计数器和监管器集大小和索引的示例

在特定于前缀的操作中指定的前缀长度示例

计数器或监管器集大小的计算

实例索引

source-prefix-length = 32 subnet-prefix-length = 16

Size = 2^(32 - 16) = 2^16 = 65,536 instances

注:

此计算显示支持的最大计数器或监管器集大小。

实例 0:

x.x.0.0

实例 1:

x.x.0.1

实例 65535:

x.x.255.255

source-prefix-length = 32 subnet-prefix-length = 24

Size = 2^(32 - 24) = 2^8 = 256 instances

实例 0:

x.x.x.0

实例 1:

x.x.x.1

实例 255:

x.x.x.255

source-prefix-length = 32 subnet-prefix-length = 25

Size = 2^(32 - 25) = 2^7 = 128 instances

实例 0:

x.x.x.0

实例 1:

x.x.x.1

实例 127:

x.x.x.127

source-prefix-length = 24 subnet-prefix-length = 20

Size = 2^(24 - 20) = 2^4 = 16 instances

实例 0:

x.x.0.x

实例 1:

x.x.1.x

实例 15:

x.x.15.x

过滤器专用计数器和监管器集概述

默认情况下,特定于前缀的监管器集在 特定于术语 的模式下运行,因此,对于给定 的防火墙过滤器,Junos OS 会为每个引用特定于前缀操作的过滤器术语创建单独的计数器和监管器集。作为选项,您可以将一个特定于前缀的监管器集配置为在 特定于过滤器 的模式下操作,以便由引用该监管器的所有术语(在同一防火墙过滤器中)使用单个特定于前缀的监管器集。

对于具有多个引用同一前缀特定监管器集的术语的 IPv4 防火墙过滤器,将监管器集配置为在特定于过滤器的模式下操作后,便可对在防火墙过滤器级别上设置的监管器的活动进行计数和监控。

注:

特定于术语的模式和特定于过滤器的模式也适用于监管者。请参阅特定于过滤器的监管器概述

要使特定于前缀的监管器集能够在特定于过滤器的模式下运行,可以在以下层次结构级别包括语句 filter-specific

  • [edit firewall family inet prefix-action prefix-action-name]

  • [edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]

只能从 IPv4 (family inet) 防火墙过滤器中引用特定于过滤器、特定于前缀的监管器集。

特定于过滤器的监管器概述

默认情况下,监管器以 特定于术语 的模式运行,因此对于给定 的防火墙过滤器,Junos OS 会为引用该监管器的每个过滤器术语创建一个单独的监管器实例。作为选项,您可以将监管器配置为在 特定于过滤器 的模式下操作,以便所有引用监管器的术语(在同一防火墙过滤器中)都使用单个监管器实例。

对于具有多个引用同一监管器的术语的 IPv4 防火墙过滤器,将监管器配置为在特定于过滤器的模式下运行,使您能够在防火墙过滤器级别对监管器的活动进行计数和监控。

注:

特定于术语的模式和特定于过滤器的模式也适用于特定于前缀的监管器集。

要使单速率双色监管器能够在特定于过滤器的模式下运行,可以在以下层级包含语句 filter-specific

  • [edit firewall policer policer-name]

  • [edit logical-systems logical-system-name firewall policer policer-name]

只能从 IPv4 (family inet) 防火墙过滤器引用特定于过滤器的监管程序。

示例:配置特定于前缀的计数和监管

此示例说明如何配置特定于前缀的计数和监管。

要求

配置此示例之前,不需要除设备初始化之外的特殊配置。

概述

此示例将根据与 IPv4 防火墙过滤器匹配的数据包中源地址字段的最后一个八位位组来配置特定于前缀的计数和监管。

名为 1Mbps-policer 的单速率双色监管器将流量限制为 1,000,000 bps 的带宽和 63,000 字节的突发大小限制,丢弃超过流量限制的流量流中的任何数据包。

独立于从防火墙过滤器传递的任何数据包中包含的 IPv4 地址,名为的 psa-1Mbps-per-source-24-32-256 特定于前缀的操作指定一组 256 个计数器和监管器(编号从 0 到 255)。对于每个数据包,源地址字段的最后一个八位组用于索引到集中的关联特定于前缀的计数器和监管器:

  • 源地址结尾且八位组 0x0000 00000 索引为集中的第一个计数器和监管器的数据包。

  • 源地址结尾且八位组 0x0000 0001 索引为集中的第二个计数器和监管器的数据包。

  • 源地址结尾且八位 0x1111 1111 组索引为集中最后一个计数器和监管器的数据包。

limit-source-one-24防火墙过滤器包含一个术语,用于匹配源/24地址10.10.10.0子网中的所有数据包,将这些数据包传递到特定于前缀的操作psa-1Mbps-per-source-24-32-256

拓扑

在此示例中,由于过滤器术语与单个源地址的子网匹配 /24 ,因此特定于前缀集中的每个计数和管制实例仅用于一个源地址。

  • 源地址 10.10.10.0 为集中的第一个计数器和监管器索引的数据包。

  • 具有源地址 10.10.10.1 的数据包将索引集中的第二个计数器和监管器。

  • 源地址 10.10.10.255 为集中的最后一个计数器和监管器索引的数据包。

此示例显示了一个最简单的前缀特定操作案例,其中过滤条件匹配一个前缀长度与前缀特定操作中规定的前缀长度相同的地址,以便将索引编入特定于前缀的计数器和监管器集。

有关特定于前缀计数和管制的其他配置说明,请参阅 特定于前缀的计数和监管配置方案

配置

以下示例要求您在配置层次结构中的各个级别上导航。有关导航 CLI 的信息,请参阅 在配置模式下使用 CLI 编辑器

要配置此示例,请执行以下操作:

CLI 快速配置

要快速配置此示例,请将以下配置命令复制到文本文件中,删除所有换行符,然后将命令粘贴到层次结构级别的 CLI 中 [edit]

配置监管器以实现特定于前缀的计数和监管

逐步过程

要配置用于特定于前缀的计数和监管的监管器:

  1. 启用单速率双色监管器配置。

  2. 定义流量限制。

    符合此限制的流量流中的数据包将随 PLP 设置为 low一起传递。

  3. 定义不一致的流量的操作。

    流量流中超过此限制的数据包将被丢弃。单速率双色监管器的其他可配置操作包括设置转发类和设置 PLP 级别。

结果

输入 show firewall 配置模式命令,确认监管器的配置。如果命令输出未显示预期的配置,请重复此过程中的说明,以更正配置。

基于监管器配置前缀特定操作

逐步过程

要配置引用监管器并指定源地址前缀的一部分的特定于前缀的操作:

  1. 启用特定于前缀的操作的配置。

    只能为 IPv4 流量定义特定于前缀的计数和监管。

  2. 引用要为其创建特定前缀集的监管器。

    注:

    对于聚合以太网接口,您可以配置特定前缀的操作,该操作引用了逻辑接口监管器(也称为聚合监管器)。您可以从 IPv4 标准防火墙过滤器引用此类特定于前缀的操作,然后在接口的聚合级别应用过滤器。

  3. 指定将 IPv4 地址编入计数器和监管器集的前缀范围。

结果

输入 show firewall 配置模式命令,确认特定于前缀的操作的配置。如果命令输出未显示预期的配置,请重复此过程中的说明,以更正配置。

配置引用前缀特定操作的 IPv4 过滤器

逐步过程

要配置引用前缀特定操作的 IPv4 标准防火墙过滤器,

  1. 启用 IPv4 标准防火墙过滤器的配置。

    只能为 IPv4 流量定义特定于前缀的计数和监管。

  2. 将过滤器术语配置为与数据包源地址或目标地址匹配。

  3. 配置过滤器术语以引用特定于前缀的操作。

    您还可以使用该 next term 操作将每个主机的所有超文本传输协议 (HTTP) 流量配置为以 500 Kbps 传输速度,并将总 HTTP 流量限制为 1 Mbps。

结果

输入 show firewall 配置模式命令,确认特定于前缀的操作的配置。如果命令输出未显示预期的配置,请重复此过程中的说明,以更正配置。

将防火墙过滤器应用于逻辑接口上的 IPv4 输入流量

逐步过程

要对逻辑接口上的 IPv4 输入流量应用防火墙过滤器:

  1. 在逻辑接口上启用 IPv4 配置。

  2. 配置 IP 地址。

  3. 应用 IPv4 标准无状态防火墙过滤器。

结果

输入 show interfaces 配置模式命令,确认特定于前缀的操作的配置。如果命令输出未显示预期的配置,请重复此过程中的说明,以更正配置。

完成设备配置后,请从配置模式进入 commit

验证

确认配置工作正常。

显示应用于接口的防火墙过滤器

目的

验证防火墙过滤器 limit-source-one-24 是否已应用于逻辑接口 so-0/0/2.0上的 IPv4 输入流量。

行动

show interfaces statistics 逻辑接口 so-0/0/2.0使用操作模式命令,并包括 detail 选项。在命令输出部分 Protocol inet,字段 Input Filters 显示 limit-source-one-24,表示过滤器应用于输入方向上的 IPv4 流量:

显示防火墙过滤器的前缀特定操作统计信息

目的

验证监管器评估的数据包数量。

行动

show firewall prefix-action-stats filter filter-name prefix-action name使用操作模式命令显示有关在防火墙过滤器上配置的前缀特定操作的统计信息。

作为一个选项,您可以使用 from set-index to set-index 命令选项指定要显示的开始和结束计数器或监管器。监管器集的索引从 0 到 65535。

命令输出显示指定的过滤器名称,后面是监管器集中每个监管器处理的字节数和数据包列表。

对于特定于术语的监管器,集中的每个监管器标识如下:

对于特定于过滤器的监管器,每个监管器在命令输出中标识如下:

由于示例过滤器limit-source-one-24的一个术语仅引用了示例前缀特定的操作psa-1Mbps-per-source-24-32-256,因此示例监管器1Mbps-policer配置为特定于术语。在 show firewall prefix-action-stats 命令输出中,监管器统计信息显示为 psa-1Mbps-per-source-24-32-256-one-0psa-1Mbps-per-source-24-32-256-one-1,以等形式 psa-1Mbps-per-source-24-32-256-one-255出现。

特定于前缀的计数和监管配置方案

过滤数据包中操作的前缀长度和前缀地址长度

表 2 介绍了特定前缀操作中指定的前缀长度与引用特定于前缀操作的防火墙过滤器术语匹配的地址前缀长度之间的关系。

表 2: 特定于前缀的操作场景摘要

计数器和监管器集

数据包过滤标准

实例索引

特定于前缀的操作场景: 示例:配置特定于前缀的计数和监管

 

source-prefix-length = 32  subnet-prefix-length = 24

集大小:2↑8 = 256实例编号:0 - 255

source-address = 10.10.10.0/24

实例 0

10.10.10.0

实例 1:

10.10.10.1

...

...

实例 255:

10.10.10.255

特定于前缀的操作场景: 场景 1:多个地址上的防火墙过滤器术语匹配

source-prefix-length = 32  subnet-prefix-length = 24

集大小:2↑8 = 256实例编号:0 - 255

source-address = 10.10.10.0/24

source-address = 10.11.0.0/16

实例 0

10.10.10.0,10.11.0x

实例 1:

10.10.10.1,10.11.1x

...

...

实例 255:

10.10.10.255,10.11.255x

对于 /16 子网中的地址, x 范围从 0 到 255。

特定于前缀的操作场景: 场景 2:子网前缀比过滤器匹配条件中的前缀长

source-prefix-length = 32  subnet-prefix-length = 25

集大小:2^7 = 128实例编号:0 - 127

source-address = 10.10.10.0/24

实例 0

10.10.10.0,10.10.10.128

实例 1:

10.10.10.1,10.10.10.120

...

...

实例 127:

10.10.10.255,10.10.10.127

特定于前缀的操作场景: 场景 3:子网第 128 个计数器和监管器前缀比防火墙过滤器匹配条件中的前缀短

source-prefix-length = 32  subnet-prefix-length = 24

集大小:2↑8 = 256实例编号:0 - 255

source-address = 10.10.10.0/25

注:

只有源地址范围从到10.10.10.010.10.10.127的数据包才会传递到特定于前缀的操作。

实例 0

10.10.10.0

实例 1:

10.10.10.1

...

...

实例 127:

10.10.10.127

实例 128 – 255:闲置

场景 1:多个地址上的防火墙过滤器术语匹配

完整示例 示例:配置特定于前缀的计数和监管显示了最简单的前缀特定操作案例,其中,单术语 防火墙过滤器 匹配一个前缀长度与前缀特定操作指定的子网前缀长度相同的地址。与示例不同的是,此场景描述的是单术语防火墙过滤器匹配两个 IPv4 源地址的配置。此外,附加条件与具有前缀长度的源地址匹配,该前缀长度不同于在特定于前缀的操作中定义的子网前缀长度。在这种情况下,附加条件与源地址10.11.0.0/16子网匹配。

注:

与源地址 10.10.10.0/24匹配的数据包不同,与源地址 10.11.0.0/16 匹配的数据包采用多对一通信形式,实例位于计数器和监管器集中。

将过滤器匹配的数据包传递到特定于前缀的操作索引到计数器和监管器集中,以便计数和监管实例由包含跨 10.10.10.0/24 子网和 10.11.0.0/16 子网的源地址的数据包共享,如下所示:

  • 集中的第一个计数器和监管器由带有源地址 10.10.10.010.11.x.0(范围 x 从到 0255的数据包索引。

  • 集中的第二个计数器和监管器由带有源地址 10.10.10.110.11.x.1x 范围从到 0255的数据包索引。

  • 集中的第 256 个(最后一个)计数器和监管器由带有源地址 10.10.10.25510.11.x.255(范围 x0 到) 255的数据包索引。

以下配置显示用于配置单速率双色监管器的语句、引用监管器的特定于前缀的操作以及引用特定于前缀操作的 IPv4 标准无状态防火墙过滤器:

场景 2:子网前缀比过滤器匹配条件中的前缀长

完整示例 示例:配置特定于前缀的计数和监管显示了最简单的前缀特定操作案例,其中,单术语防火墙过滤器匹配一个前缀长度与前缀特定操作指定的子网前缀长度相同的地址。与示例不同的是,此方案描述的配置,其中特定于前缀的操作将定义一个子网前缀长度,该长度比防火墙过滤器匹配的源地址前缀长。在这种情况下,特定于前缀的操作将定义一个子网前缀值 25,而防火墙过滤器与子网中的 /24 源地址匹配。

注:

防火墙过滤器通过源地址范围从 10.10.10.0 到的 10.10.10.255前缀特定操作数据包,而前缀特定操作仅指定一组 128 个计数器和监管器,编号从 0 到 127。

将过滤器匹配的数据包传递到特定于前缀的操作索引到计数器和监管器集中,以便计数和监管实例由子网中包含 10.10.10.0/24 两个源地址之一的数据包共享:

  • 集中的第一个计数器和监管器由具有源地址 10.10.10.010.10.10.128的数据包索引。

  • 集中的第二个计数器和监管器由具有源地址 10.10.10.110.10.10.129的数据包索引。

  • 集中的第 128 个(最后一个)计数器和监管器由具有源地址 10.10.10.12710.10.10.255的数据包索引。

以下配置显示用于配置单速率双色监管器的语句、引用监管器的特定于前缀的操作以及引用特定于前缀操作的 IPv4 标准无状态防火墙过滤器:

场景 3:子网第 128 个计数器和监管器前缀比防火墙过滤器匹配条件中的前缀短

完整示例 示例:配置特定于前缀的计数和监管显示了最简单的前缀特定操作案例,其中,单术语防火墙过滤器匹配一个前缀长度与前缀特定操作指定的子网前缀长度相同的地址。与示例不同,此方案描述的配置中,特定于前缀的操作将定义一个子网前缀长度,该长度短于防火墙过滤器匹配的源地址前缀。在这种情况下,过滤器术语与源地址10.10.10.0/25子网匹配。

注:

防火墙过滤器仅传递源地址从 10.10.10.010.10.10.127的特定于前缀操作的数据包,而特定于前缀的操作则指定一组 256 个计数器和监管器,编号从 0 到 255。

仅传递到前缀特定操作索引的匹配数据包到计数器和监管器集的下半部分:

  • 集中的第一个计数器和监管器由具有源地址 10.10.10.0的数据包索引。

  • 集中的第二个计数器和监管器由具有源地址 10.10.10.1 和的 10.10.10.129数据包索引。

  • 集中的第 128 个计数器和监管器由具有源地址 10.10.10.127的数据包索引。

  • 集的上半部分(编号为 128 到 255 的实例)不会由从此特定防火墙过滤器传递到前缀特定操作的数据包编入索引。

以下配置显示用于配置单速率双色监管器的语句、引用监管器的特定于前缀的操作以及引用特定于前缀操作的 IPv4 标准无状态防火墙过滤器: