作为过滤器操作应用的分层监管器
定义防火墙过滤器和监管器后,必须应用它们才能生效。
您可以同时将同一防火墙过滤器应用于多个接口。默认情况下,在 MX 系列路由器上,当这些接口共享数据包转发引擎时,这些过滤器会聚合其计数器和监管操作。要覆盖此行为并使每个计数器或监管器功能特定于每个接口应用程序,请在防火墙过滤器中包含该
interface-specific语句。[edit dynamic-profiles profile-name firewall family family filter filter-name user@host# set interface-specific
特定于接口的过滤器对于 IPTV 服务特别有用,在这些服务中,电视服务使用 IP 套件通过分组交换网络交付,而不是通过传统的卫星信号和有线电视格式交付。
注意:定义特定于接口的过滤器时,必须将过滤器名称限制为不超过 52 个字节。防火墙过滤器名称的长度限制为 64 字节,并且特定于接口的过滤器附加了特定名称,以区分其计数器和监管操作。如果自动生成的筛选器实例名称超过此最大长度,系统可能会拒绝筛选器的实例名称。
或者,您可以通过引用监管器功能的过滤器直接或间接将监管器应用于逻辑接口。默认情况下,监管器是 特定于术语的。当在防火墙过滤器的多个术语中引用同一监管器时,Junos OS 会创建一个单独的监管器实例。
分层监管器在配置的物理接口和数据包转发引擎之间为提供商边缘应用程序提供交叉功能。您可以将分层监管器用作对逻辑接口的高级和聚合(高级加正常)流量级别的过滤器操作。此外,特定于接口的过滤器可以将分层监管器作为过滤器操作,无论分层监管器是否为逻辑接口监管器。
逻辑接口监管器(也称为聚合监管器)可以监管来自多个协议家族的信息流,而无需在逻辑接口上为每个此类家族单独实例化监管器。您可以通过在定义监管器时包含 logical-interface-policer 语句来定义逻辑接口监管器。
[edit dynamic-profiles profile-name firewall policer policer-name user@host# set logical-interface-policer
要在 MX 系列路由器上将逻辑接口监管器作为防火墙过滤器术语中的操作,您必须在防火墙过滤器中指定语句,logical-interface-policer并在相关监管器中指定interface-specific语句。使用过滤器唤起逻辑接口过滤器的另一个好处是提高了匹配灵活性,并支持双色监管器样式(仅使用 and bandwidth-limit burst-size-limit 参数将流量分类为两组的监管器),这些样式只能通过过滤器操作在家族级别附加。
仅当未指定特定于逻辑接口的过滤器操作时,非接口特定过滤器才能具有分层监管器。