用作过滤器作的分层监管器
定义防火墙过滤器和监管器后,必须应用它们才能生效。
您可以同时将同一个防火墙过滤器应用于多个接口。默认情况下,在 MX 系列路由器上,当这些接口共享数据包转发引擎时,这些过滤器会聚合其计数器和监管作。要覆盖此行为并使每个计数器或监管器功能特定于每个接口应用,请在防火墙过滤器中包含该
interface-specific语句。[edit dynamic-profiles profile-name firewall family family filter filter-name user@host# set interface-specific
特定于接口的过滤器对于 IPTV 服务特别有用,其中电视服务通过分组交换网络使用 IP 套件交付,而不是通过传统的卫星信号和有线电视格式交付。
注意:定义特定于接口的过滤器时,必须将过滤器名称限制为不超过 52 个字节。防火墙过滤器名称的长度限制为 64 个字节,特定于接口的过滤器会附加特定名称,以便区分其计数器和监管作。如果自动生成的过滤器实例名称超过此最大长度,系统可能会拒绝过滤器的实例名称。
或者,您可以通过引用监管器功能的过滤器直接或间接将监管器应用于逻辑接口。默认情况下,监管器是 特定于术语的。当在防火墙过滤器的多个术语中引用同一监管器时,Junos OS 会创建一个单独的监管器实例。
分层监管器在配置的物理接口与数据包转发引擎之间为提供商边缘应用提供交叉功能。您可以将分层监管器用作对逻辑接口的高级和聚合(高级加普通)流量级别的过滤作。此外,特定于接口的过滤器都可以将分层监管器用作过滤器作,无论分层监管器是否为逻辑接口监管器。
逻辑接口监管器(也称为聚合监管器)可以监管来自多个协议家族的流量,而无需在逻辑接口上为每个此类家族单独实例化监管器。定义监管器时,可以通过包含 logical-interface-policer 语句来定义逻辑接口监管器。
[edit dynamic-profiles profile-name firewall policer policer-name user@host# set logical-interface-policer
要在 MX 系列路由器上将逻辑接口监管器应用为防火墙过滤器术语中的作,必须在防火墙过滤器中指定 interface-specific 语句和 logical-interface-policer 相关监管器中的语句。使用过滤器唤起逻辑接口过滤器的额外优势是,可以提高匹配灵活性,并支持双色监管器样式(一种仅 bandwidth-limit 使用 and burst-size-limit 参数将流量分类为两组的监管器),只能通过过滤器作在家族级别附加。
只有在未指定特定于逻辑接口的过滤器作的情况下,非特定于接口的过滤器才能具有分层监管器。