了解防火墙过滤器中的策略使用
管制或速率限制是防火墙过滤器的重要组件,让您可以控制进入 EX 系列防火墙上的接口瞻博网络流量以太网交换机。您可以通过在防火墙过滤器配置中包括监管器来实现 监管 。
警察局概述
您可以使用策略程序指定流量的速率限制。配置了策略程序的防火墙过滤器只允许特定速率限制集内的流量,从而提供保护,拒绝服务 (DoS) 攻击。超过管制器指定的速率限制的流量要么立即丢弃,要么标记为优先级低于速率限制内的流量。出现信息流拥塞时,交换机将丢弃优先级较低的信息流。
管制器对流量应用两种类型的速率限制:
带宽 — 平均允许的每秒位数。
最大突发大小 - 允许超过给定带宽限制的数据突发的最大大小。
管制使用算法来强制实施平均带宽限制,同时允许突发为指定的最大值。您可以在接口上定义特定信息流类,并为每个类应用一组速率限制。命名并配置策略程序之后,它作为模板存储。然后,您可以在防火墙过滤器配置中使用策略器。
在所有 EX 系列交换机上(瞻博网络 EX8200 以太网交换机 除外),您配置的每个策略器都包括一个隐式计数器,该策略程序将计数超过为策略程序指定的速率限制的数据包数。每个EX8200交换机都包含三个全局管理计数器。您必须将入口策略程序分配至这些全局管理计数器,才能获取策略器统计信息。您可以将任意多个入口策略程序分配给每个全局管理计数器。每个全局管理计数器的策略器统计信息是与该全局管理计数器相关联的所有策略程序的策略程序统计信息的聚合。
要获取过滤器特定的数据包计数,您必须为每个防火墙过滤器配置不同的策略程序。默认情况下,策略程序会进行特定术语计数。
管理器类型
交换机支持三种类型的管理器:
单速率双色 — 双色策略程序(有时称为"策略程序")可对流量进行仪表,根据配置的带宽和突发大小限制将数据包分类为两类数据包丢失优先级 (PLP)。您可以标记超出带宽和突发大小限制的数据包,或者直接丢弃它们。双色管制器对测量端口(物理接口)级别的流量非常有用。
单速率三色 - 此类型的策略器在 RFC 2697 单速率 三色标记 中定义,是差异服务 (DiffServ) 环境每跳行为 (PHB) 保证转发 (AF) 分类系统的一部分。这种类型的监管器根据配置的保证信息速率 (CIR)、承诺的突发大小 (CBS) 和多余突发大小 (EBS) 来对流量进行仪表管理。根据数据包到达的速率是否低于 CBS(绿色)、超出 CBS 但不超过 EBS(黄色)或超过 EBS(红色),流量会标记为属于三个类别(绿色、黄色或红色)之一。如果根据数据包大小而非峰值到达速率构建服务,则单速率三色速率管理器将非常有用。
双速率三色 - 此类型的策略器在 RFC 2698 双速率 三色标记 中定义,是差异服务 (DiffServ) 环境每跳行为 (PHB) 保证转发 (AF) 分类系统的一部分。这种类型的策略程序根据配置的 CIR 和峰值信息速率 (PIR) 及其关联的突发大小来对信息流进行仪表管理;CBS 和峰值突发大小 (PBS)。根据数据包到达的速率低于 CIR(绿色)、超过 CIR 但不超过 PIR(黄色)或超过 PIR(红色),流量被标记为属于三个类别(绿色、黄色或红色)之一。如果服务是按照到达速率构建的,而不是根据数据包大小构建,则双速率三色管理器会非常有用。
管理程序操作
策略程序操作可以隐式或显式执行,并且因策略程序类型而异。隐式术语意味着Junos OS分配丢失优先级值;显式 表示您配置操作。 表 1 列出了 策略程序操作。
管理器 |
标记 |
隐式操作 |
可配置操作 |
|---|---|---|---|
单速率双色 |
绿色(符合) |
分配低丢失优先级 |
没有 |
红色(非显示) |
没有 |
分配低或高丢失优先级,分配转发类或丢弃 |
|
黄色 |
不支持 |
不支持 |
|
单速率三色 |
绿色(符合) |
分配低丢失优先级 |
没有 |
红色(EBS 上方) |
分配高丢失优先级 |
丢弃 |
|
黄色(超出 CBS,而非 EBS) |
分配高丢失优先级
注意:
路由器上不支持EX8200交换机 |
没有
注意:
路由器上不支持EX8200交换机 |
|
双速率三色 |
绿色(符合) |
分配低丢失优先级 |
没有 |
红色(PIR 上方) |
分配高丢失优先级 |
丢弃 |
|
黄色(超过 CIR,但不是 PIR) |
分配高丢失优先级
注意:
路由器上不支持EX8200交换机 |
没有
注意:
路由器上不支持EX8200交换机 |
无法对输出防火墙过滤器应用操作 forwarding-class 策略。
从 Junos OS 17.1 版开始,EX4300交换机上,您可以将策略器操作配置为 、 、 loss-priority 或 low medium-low medium-high high 。
管理程序级别
您可以在队列级别、逻辑接口级别 或 第 2 层 (MAC) 级别配置策略程序。只有一个策略程序应用于出口队列的数据包。按以下顺序搜索管理程序:
队列级别
逻辑接口级别
2 层 (MAC) 级别
颜色模式
三色标记 (TCM) 管理器不受绿色-黄色-红色着色约定的约束。数据包根据颜色以低或高 PLP 位配置标记。因此,三色监管器类型(单速率和双速率)通过提供三级丢弃优先级(丢失优先级)来扩展服务等级 (CoS) 信息流管制功能,而非监管器中通常可用的两种。单速率和双速率三色政策器类型均可在两种模式下运行:
无色 - 在无色模式下,三色管理器工作,而不考虑检查的数据包之前是否已标记或计量。换言之,三色管理器 对 数据包可能具有的任何先前着色都看不到。
颜色感知 — 在颜色感知模式下,三色管理器操作时参考已检查数据包的任何之前标记或计量。换言之,三色管理器 已 注意到数据包以前可能拥有的颜色。在颜色感知模式下,三色管理器可以增加数据包的 PLP,但永远不会降低。例如,如果颜色感知三色管理器用低 PLP 标记对数据包进行仪表管理,则它可以将 PLP 级别提升至高。但是,它不能将高 PLP 级别降低至低。
策略程序命名约定
配置三色策略器时,建议使用 rate-TCMnumber-colortype 命名约定。TCM 表示三色标记。由于策略程序可能众多,必须正确应用才能工作,因此遵守简单的命名约定会更容易正确应用策略。
例如,如果配置单速率、三色、颜色感知策略器,请将其名称为 srTCM1-ca 。如果配置双速率、三色、无色监管器,请将其命名 trTCM2-cb。