了解防火墙过滤器中的监管器的使用

监管器概述

您可以使用监管器来指定流量的速率限制。使用监管器配置的防火墙过滤器仅允许指定速率限制内的流量，从而为拒绝服务（DoS）攻击提供保护。超过监管器指定的速率限制的流量将立即丢弃，或者标记为优先级低于速率限制内的流量。当存在流量拥塞时，交换机将丢弃优先级较低的流量。

• 带宽—平均允许的位数/秒数。

• 最大脉冲—大小突发数据的最大允许值，超过给定带宽限制。

监管使用一种算法对平均带宽实施限制，同时允许将突发到指定的最大值。您可以在接口上定义特定的信息流类，并对每个类应用一组速率限制。命名和配置监管器后，它将作为模板存储。然后，您可以在防火墙过滤器配置中使用监管器。

在除瞻博网络 EX8200 以太网交换机以外的所有 EX 系列交换机上，您配置的每个监管器都包含一个隐性计数器，用于对超过为监管器指定的速率限制的数据包数量进行计数。每个 EX8200 交换机都包含三个全局管理计数器。您必须将入口监管器分配给这些全局管理计数器，以获取监管器统计信息。您可以为每个全局管理计数器分配任意数量的入口监管器。每个全局管理计数器的监管器统计数据是与该全局管理计数器关联的所有监管器的监管器统计数据的聚合。

要获取过滤特定的数据包计数，必须为每个防火墙过滤器配置不同的监管器。默认情况下，监管器提供特定于术语的计数。

监管器类型

交换机支持三种类型的监管器：

• 单速率双色—A 双色监管器（有时称为“监管器”）计量信息流，根据配置的带宽和突发大小将数据包分为两类数据包丢失优先级（PLP）下限. 您可以标记超过带宽、突发大小限制或只是丢弃它们的数据包。双色监管器最适用于端口（物理接口）级别的计量流量。

• 单速率三色—这种类型的监管器在 RFC 2697 中定义， 单速率三个颜色标记作为差异化服务（DiffServ）环境的每跳转（AF）分类系统的一种确保转发（a）服务。这种基于已配置的已提交信息速率（CIR）的监管器计量流量、提交的突发大小（CBS）和多余的突发大小（EBS）。流量根据数据包是否到达位于 CBS （绿色）以下的速率来标记为属于三个类别（绿色、黄色或红色）之一，而不是由 EBS （黄色）构成，也不能超过 EBS （红色）。单速率三色监管器最适用于根据数据包大小（而不是按峰值到达速率）构建服务。

• 双速率三色—这种类型的监管器在 RFC 2698 中定义， 双速率三色标记作为差异化服务（DiffServ）环境的每跳转（AF）分类系统的一种确保转发（a）服务。此类基于配置的 CIR 和峰值信息速率（PIR）的监管器仪表流量及其关联的突发大小;CBS 和峰值突发大小（PBS）。流量被标记为属于三个类别之一（绿色、黄色或红色），其基于数据包的到达速率低于 CIR （绿色），超过 CIR 但不是 PIR （黄色），或超过 PIR （红色）。当服务根据到达率而非数据包大小时结构化时，双速率三色监管器最有用。

监管器操作

监管器操作可以是隐式或显式的，并且因监管器类型而异。术语 "隐式" 意味着 Junos OS 会自动分配丢失优先级值;显式表示您要配置对策。表 1列出了监管器操作。

监管器级别

您可以在队列级别、逻辑接口级别或第2层（MAC）级别配置监管器。只有一个监管器应用于出站队列中的数据包。搜索监管器按以下顺序进行：

• 队列级别

• 逻辑接口级别

• 2层（MAC）级别

颜色模式

三色标记（TCM）监管器不受绿色-黄-红色颜色约定的约束。根据颜色，数据包标记为低或高的 PLP 位配置。因此，三色监管器类型（单速率和双速率）通过提供三个级别的丢弃优先级（丢失优先级）而非监管器中通常可用的两种来扩展服务等级（CoS）信息流监管的功能。单速率和双速率三色监管器类型均可采用两种模式运行：

• 在色盲模式—下使用色盲，三色监管器的工作方式不会引用所检查的数据包先前是否已标记或计量。换句话说，三色监管器是数据包可能拥有的任何以前的颜色的盲。

• 颜色感知—在颜色感知模式中，三色监管器操作对所检查数据包的任何先前标记或测量的参考。换句话说，三色监管器知道数据包可能具有的以前的颜色。在颜色感知模式下，三色监管器可增加数据包的 PLP，但不能降低其数量。例如，如果颜色识别的三色监管器计量器具有低 PLP 标记的数据包，则可将 PLP 级别提升至高。但不能将高的 PLP 级别降低到低。

监管器的命名约定

建议使用命名约定 速率-TCMnumber-colortype配置三色监管器时。TCM 代表三色标记。由于监管器可能很多，必须正确应用才能发挥作用，因此观察简单命名约定可使监管器正确应用。

例如，如果您配置单速率、三色、颜色感知监管器，请将其命名为 srTCM1-ca。如果您配置双速率、三色、色盲监管器、name trTCM2-cb。