Juniper EX4200 防火墙过​​滤器应用于与特定 VLAN 不匹配的中继端口

网络工程 局域网 杜松 故障排除 杜松-朱诺斯 瞻博网络
2022-02-19 10:02:13

EX4200 交换机有一个防火墙过滤器应用于中继端口的输入。目的是对每个 VLAN id 的输入带宽进行速率限制(监管)。

然而,“show firewall”命令指出,监管仅针对过滤器最后一个“catch all”术语(因此命名为 ACCEPT_OTHER_VLANS)进行。来自 VLAN115 的流量实际上受到 ACCEPT_OTHER_VLANS 术语的 2Mbps 限制。

配置对我来说看起来不错。

问题:

对于这个特定的硬件/软件,任何人都可以发现

  • 配置错误?
  • 不支持的功能?
  • 已知缺陷?

请指教。

硬件:EX4200-24F

JunOS:12.3R4.6

配置是:

set firewall policer RATE_LIMIT_2M_T if-exceeding bandwidth-limit 2m
set firewall policer RATE_LIMIT_2M_T if-exceeding burst-size-limit 6250000
set firewall policer RATE_LIMIT_2M_T then discard
set firewall policer RATE_LIMIT_30M_T if-exceeding bandwidth-limit 30m
set firewall policer RATE_LIMIT_30M_T if-exceeding burst-size-limit 6250000
set firewall policer RATE_LIMIT_30M_T then discard
set firewall policer RATE_LIMIT_20M_T if-exceeding bandwidth-limit 20m
set firewall policer RATE_LIMIT_20M_T if-exceeding burst-size-limit 6250000
set firewall policer RATE_LIMIT_20M_T then discard

set vlans vlan115 vlan-id 115
set vlans vlan123 vlan-id 123

set firewall family ethernet-switching filter RATE_LIMIT_VLANS term RATE_LIMIT_VLAN123 from vlan vlan123
set firewall family ethernet-switching filter RATE_LIMIT_VLANS term RATE_LIMIT_VLAN123 then policer RATE_LIMIT_30M_T
set firewall family ethernet-switching filter RATE_LIMIT_VLANS term RATE_LIMIT_VLAN115 from vlan vlan115
set firewall family ethernet-switching filter RATE_LIMIT_VLANS term RATE_LIMIT_VLAN115 then policer RATE_LIMIT_20M_T
set firewall family ethernet-switching filter RATE_LIMIT_VLANS term ACCEPT_OTHER_VLANS then policer RATE_LIMIT_2M_T

set interfaces xe-0/1/0 mtu 9216
set interfaces xe-0/1/0 unit 0 family ethernet-switching port-mode trunk
set interfaces xe-0/1/0 unit 0 family ethernet-switching vlan members vlan115
set interfaces xe-0/1/0 unit 0 family ethernet-switching vlan members vlan123
set interfaces xe-0/1/0 unit 0 family ethernet-switching filter input RATE_LIMIT_VLANS

结果是:

user@ex4200> show firewall filter RATE_LIMIT_VLANS

Filter: RATE_LIMIT_VLANS
Policers:
Name                                                Bytes                Packets
RATE_LIMIT_20M_T-RATE_LIMIT_VLAN115                                          0
RATE_LIMIT_2M_T-ACCEPT_OTHER_VLANS                                    28283836
RATE_LIMIT_30M_T-RATE_LIMIT_VLAN123                                          0

{master:0}
user@ex4200>
1个回答

这似乎是一个缺陷 - 我刚刚在运行 15.1R3.6 的 EX42000-VC 上重新创建了一个类似的环境。

family ethernet-switching {
    filter LIMIT-VLANS {
        term VID10 {
            from {
                vlan v10;
            }
            then {
                count VID10;
                policer LIMIT-256K;
        }
        term ALL-ELSE {
            then policer LIMIT-1M;
        }
    }
}

在这个版本的代码中,我能够让 vlan 分类器工作(我的 VID10 计数器正在增加),但我无法让监管器启动,即使我超出了带宽限制的 10 倍。

老实说,这些年来我一直对 EX4200 防火墙过​​滤器感到悲痛——什么提交和最终得到应用/工作的是两件非常不同的事情!

其它你可能感兴趣的问题
上一篇如何将 ACL 应用于第 3 层交换机上的接口? 下一篇在 Cisco 路由器上配置 SSLVPN 的问题