是否可以限制网关瞻博网络交换机中的 IP 流量?

网络工程 转变 杜松 联网
2021-07-05 05:41:58

在我的网关瞻博网络交换机中:

...
irb {
    unit 0 {
        family inet;
    }
    unit 2 {
        family inet {
            address 10.10.10.254/24;
        }
    }
    unit 9 {
        family inet {
            address 40.224.224.14/29;
        }
    }

  ...

我想限制40.224.224.1网关设备中IP的流量,如何实现?

我听说使用filter可以做到这一点,但我不确定这一点。

我的网关交换机是:Juniper EX4300。

编辑-01

感谢 Vink 的回应,但我的尝试似乎出错了:

我写了一个过滤器:

admin@C1-A# show firewall family inet filter Egress-SVI-filter
term Limit-traffic {
    from {
        source-address {
            40.224.224.1/32;
            40.224.224.2/32;
        }
    }
    then policer Limit-200m;
}

并将其应用于 SVI:

admin@C1-A# show interfaces irb unit 96
family inet {
    filter {
        output Egress-SVI-filter;
    }
    address 40.224.224.6/29;
}

40.224.224.1-2现在将无法交流。

我的警察:

admin@C1-A# show firewall policer Limit-200m
filter-specific;
if-exceeding {
    bandwidth-limit 200m;
    burst-size-limit 40m;
}
then discard;

编辑-02

我试着把这个词改成这样:

admin@C1-A# show firewall family inet filter Egress-SVI-filter
term Limit-traffic {
    from {
        source-address {
            40.224.224.1/32;
            40.224.224.2/32;
        }
    }
    then {
        policer Limit-200m;
        accept;
    }
}

但是还是会造成网络不通。

编辑-03

在此处输入图片说明

2个回答

您可以在界面中对界面应用过滤器:

irb {
    unit 9 {
        family inet {
            address 40.224.224.14/29;
            filter input my-filter;
        }
    }
}

然后在下定义该过滤器firewall family inet

firewall {
    family inet {
        filter my-filter {
            term one {
                # filter criteria and actions
            }
            term two {
                # some more criteria and actions
            }
        }
    }
}

您可以在这本免费的瞻博网络电子书中阅读有关如何配置此过滤器的更多信息:第一天:配置 Junos 策略和防火墙过滤器

调整您的过滤器以允许所有其他流量 - 目前,您正在阻止除有问题的两个 IP 地址之外的所有内容。 

term Limit-traffic {
    from {
        source-address {
            40.224.224.1/32;
            40.224.224.2/32;
        }
    }
    then {
        policer Limit-200m;
        accept;
    }
}
term Permit-All-Else {      <---- Add an allow-all term 
    then accept;
}
其它你可能感兴趣的问题
上一篇如果数据包大小小于 MTU,是否可能碎片化? 下一篇如果 IPv6 地址将严格基于 EUI-64 逻辑,那么是否真的需要邻居发现协议?