Ações de contagem e policiamento específicas de prefixo
Visão geral de contagem e policiamento específicos de prefixo
- Contagem e policiamento separados para cada faixa de endereço IPv4
- Configuração de ação específica do prefixo
- Tamanho e indexação de conjuntos de contadores e policiais
Contagem e policiamento separados para cada faixa de endereço IPv4
A contagem e o policiamento específicos de prefixo permitem que você configure um termo de filtro de firewall IPv4 que corresponda a um endereço de origem ou destino, aplica um policial de duas cores de taxa única como o termo ação, mas associa o pacote combinado com uma instância específica de contador e policial com base na origem ou destino no cabeçalho do pacote. Você pode criar implicitamente um contador ou um policial separado para um único endereço ou para um grupo de endereços.
A contagem e o policiamento específicos de prefixo usam uma configuração de ação específica para prefixo que especifica o nome do policiador que você deseja aplicar, se a contagem específica do prefixo deve ser ativada e uma faixa de prefixo de endereço de origem ou destino.
A faixa de prefixo especifica entre 1 e 16 bits definidos sequenciais de uma máscara de endereço IPv4. O comprimento da faixa de prefixo determina o tamanho do conjunto de contadores e policiais, que consiste em apenas 2 ou até 65.536 instâncias de contador e policial. A posição dos bits da faixa de prefixo determina a indexação de pacotes combinados com filtro no conjunto de instâncias.
Uma ação específica de prefixo é específica para uma faixa de prefixo de origem ou destino, mas não é específica para uma determinada faixa de endereço de origem ou destino, e não é específica para uma interface específica.
Para aplicar uma ação específica de prefixo ao tráfego em uma interface, você configura um termo de filtro de firewall que combina com endereços de origem ou destino e, em seguida, você aplica o filtro de firewall na interface. O fluxo de tráfego filtrado é limitado por taxa usando instâncias de contador e policiamento específicas de prefixo que são selecionadas por pacote com base na origem ou endereço de destino no cabeçalho do pacote filtrado.
Configuração de ação específica do prefixo
Para configurar uma ação específica do prefixo, você especifica as seguintes informações:
Nome de ação específico do prefixo — Nome que pode ser mencionado como ação de um termo de filtro de firewall padrão IPv4 que combina pacotes em endereços de origem ou destino.
Nome do policial — nome de um policial de duas cores de taxa única para o qual você deseja criar implicitamente instâncias específicas do prefixo.
Nota:Para interfaces Ethernet agregadas, você pode configurar uma ação específica de prefixo que faz referência a um policiador de interface lógica (também chamado de policiador agregado). Você pode fazer referência a esse tipo de ação específica de prefixo a partir de um filtro de firewall padrão IPv4 e, em seguida, aplicar o filtro no nível agregado da interface.
Opção de contagem — opção de incluir se você quiser habilitar contadores específicos de prefixo.
Opção específica para o filtro — opção de incluir se você quiser que um único contador e um policial sejam compartilhados em todos os termos do filtro de firewall. Uma ação específica de prefixo que opera dessa forma é dita para operar em modo específico de filtro. Se você não habilitar essa opção, a ação específica do prefixo opera em modo específico de prazo , o que significa que um contador e um conjunto de policiadores separados são criados para cada termo de filtro que faz referência à ação específica do prefixo.
Comprimento do prefixo do endereço de origem — comprimento do prefixo do endereço, de 0 a 32, para ser usado com um pacote combinado no endereço de origem.
Comprimento do prefixo do endereço de destino — comprimento do prefixo do endereço, de 0 a 32, para ser usado com um pacote combinado no endereço de destino.
Comprimento do prefixo de sub-rede — comprimento do prefixo da sub-rede, de 0 a 32, para ser usado com um pacote combinado no endereço de origem ou destino.
Você deve configurar comprimentos de prefixo de endereço de origem e destino para ser de 1 a 16 bits a mais do que o comprimento do prefixo da sub-rede. Se você configurar comprimentos de prefixo de endereço de origem ou destino a mais de 16 bits além do comprimento de prefixo de sub-rede configurado, um erro ocorre quando você tenta comprometer a configuração.
Tamanho e indexação de conjuntos de contadores e policiais
O número de ações específicas de prefixo (contadores ou policiais) criadas implicitamente para uma ação específica de prefixo é determinada pelo comprimento do prefixo do endereço e pelo comprimento do prefixo da sub-rede:
Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)
Tabela 1 mostra exemplos de contador e policial definir tamanho e indexação.
Exemplo de comprimentos de prefixo especificados na ação específica do prefixo |
Cálculo do tamanho do contador ou do policial |
Indexação de instâncias |
|
|---|---|---|---|
source-prefix-length = 32 subnet-prefix-length = 16 |
Size = 2^(32 - 16) = 2^16 = 65,536 instances Nota:
Este cálculo mostra o maior contador ou tamanho de conjunto do policial suportado. |
Instância 0: |
x.x. 0.0 |
Instância 1: |
x.x. 0.1 |
||
Instância 65535: |
x.x. 255.255 |
||
source-prefix-length = 32 subnet-prefix-length = 24 |
Size = 2^(32 - 24) = 2^8 = 256 instances |
Instância 0: |
x.x.x. 0 |
Instância 1: |
x.x.x. 1 |
||
Instância 255: |
x.x.x. 255 |
||
source-prefix-length = 32 subnet-prefix-length = 25 |
Size = 2^(32 - 25) = 2^7 = 128 instances |
Instância 0: |
x.x.x. 0 |
Instância 1: |
x.x.x. 1 |
||
Instância 127: |
x.x.x. 127 |
||
source-prefix-length = 24 subnet-prefix-length = 20 |
Size = 2^(24 - 20) = 2^4 = 16 instances |
Instância 0: |
x.x. 0.x |
Instância 1: |
x.x. 1.x |
||
Instância 15: |
x.x. 15.x |
||
Consulte também
Visão geral do contador e do policiamento específicos para filtros
Por padrão, um conjunto de policiamento específico para prefixo opera em modo específico de prazo para que, para um determinado filtro de firewall, o Junos OS crie um contador e um conjunto de policiamento separados para cada termo de filtro que faz referência à ação específica do prefixo. Como opção, você pode configurar um conjunto de policiamento específico do prefixo para operar em modo específico de filtro para que um único conjunto de policial específico do prefixo seja usado por todos os termos (dentro do mesmo filtro de firewall) que fazem referência ao policial.
Para um filtro de firewall IPv4 com vários termos que fazem referência ao mesmo conjunto de policiamento específico para prefixo, configurar o conjunto de policiais para operar em modo específico de filtro permite que você conte e monitore a atividade do policial definida no nível do filtro de firewall.
O modo específico de prazo e o modo específico do filtro também se aplicam aos policiais. Veja Visão geral do policial específico do filtro.
Para permitir que um conjunto de policial específico para prefixo opere em modo específico de filtro, você pode incluir a filter-specific declaração nos seguintes níveis de hierarquia:
[edit firewall family inet prefix-action prefix-action-name][edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]
Você pode fazer referência a conjuntos de policiais específicos do filtro e específicos do prefixo a partir de filtros de firewall IPv4 (family inetapenas).
Consulte também
Visão geral do policial específico do filtro
Por padrão, um policial opera em modo específico para que, para um determinado filtro de firewall, o Junos OS crie uma instância policial separada para cada termo de filtro que faz referência ao policial. Como opção, você pode configurar um policial para operar em modo específico de filtro para que uma única instância policial seja usada por todos os termos (dentro do mesmo filtro de firewall) que fazem referência ao policial.
Para um filtro de firewall IPv4 com vários termos que fazem referência ao mesmo policial, configurar o policial para operar em modo específico de filtro permite que você conte e monitore a atividade do policial no nível do filtro de firewall.
O modo específico de prazo e o modo específico do filtro também se aplicam a conjuntos de policiais específicos para prefixo.
Para permitir que um policial de duas cores de taxa única opere em modo específico de filtro, você pode incluir a filter-specific declaração nos seguintes níveis de hierarquia:
[edit firewall policer policer-name][edit logical-systems logical-system-name firewall policer policer-name]
Você pode fazer referência a policiais específicos do filtro somente a partir de filtros de firewall IPv4 (family inet).
Example: Configuração de contagem e policiamento específicos de prefixo
Este exemplo mostra como configurar a contagem e o policiamento específicos de prefixo.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você configura a contagem e o policiamento específicos de prefixo com base no último octeto do campo de endereço de origem em pacotes compatíveis com um filtro de firewall IPv4.
O policial de duas cores de taxa única nomeado 1Mbps-policer limita o tráfego de taxa a uma largura de banda de 1.000.000 bps e um limite de tamanho estourado de 63.000 bytes, descartando quaisquer pacotes em um fluxo de tráfego que exceda os limites de tráfego.
Independentemente dos endereços IPv4 contidos em quaisquer pacotes passados a partir de um filtro de firewall, a ação específica do prefixo nomeada psa-1Mbps-per-source-24-32-256 especifica um conjunto de 256 contadores e policiais, numerados de 0 a 255. Para cada pacote, o último octeto do campo de endereço de origem é usado para indexar no contador e policiador específicos do prefixo associado no conjunto:
Pacotes com um endereço de origem terminando com o índice de octeto 0x0000 00000 o primeiro contador e policial no conjunto.
Pacotes com um endereço de origem terminando com o índice de octeto 0x0000 0001 o segundo contador e o policial no conjunto.
Pacotes com um endereço de origem terminando com o índice de octeto 0x1111 1111 o último contador e policial no conjunto.
O limit-source-one-24 filtro de firewall contém um único termo que combina todos os pacotes da sub-rede do endereço 10.10.10.0de origem/24, passando esses pacotes para a ação psa-1Mbps-per-source-24-32-256específica do prefixo.
Topologia
Neste exemplo, como o termo filtro combina com a /24 sub-rede de um único endereço de origem, cada instância de contagem e policiamento no conjunto específico do prefixo é usada para apenas um endereço de origem.
Pacotes com um índice de endereço
10.10.10.0de origem o primeiro contador e policial no conjunto.Pacotes com um índice de endereço
10.10.10.1de origem o segundo contador e policial no conjunto.Pacotes com um índice de endereço
10.10.10.255de origem o último contador e policial no conjunto.
Este exemplo mostra o caso mais simples de ações específicas de prefixo, em que o termo filtro combina em um endereço com um comprimento de prefixo que é o mesmo que o comprimento do prefixo especificado na ação específica do prefixo para indexação no conjunto de contadores e policiais específicos do prefixo.
Para obter descrições de outras configurações para contagem e policiamento específicos de prefixo, consulte Cenários de configuração de contagem e policiamento específicos de prefixo.
Cópia de
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar pela CLI, consulte Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configurando um policiador para contagem e policiamento específicos de prefixo
- Configurando uma ação específica de prefixo com base no policial
- Configuração de um filtro IPv4 que faz referência à ação específica do prefixo
- Aplicando o filtro de firewall ao tráfego de entrada IPv4 em uma interface lógica
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova quaisquer quebras de linha e depois cole os comandos na CLI no nível de [edit] hierarquia.
set firewall policer 1Mbps-policer if-exceeding bandwidth-limit 1m set firewall policer 1Mbps-policer if-exceeding burst-size-limit 63k set firewall policer 1Mbps-policer then discard set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 policer 1Mbps-policer set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 count set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 subnet-prefix-length 24 set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 source-prefix-length 32 set firewall family inet filter limit-source-one-24 term one from source-address 10.10.10.0/24 set firewall family inet filter limit-source-one-24 term one then prefix-action psa-1Mbps-per-source-24-32-256 set interfaces so-0/0/2 unit 0 family inet filter input limit-source-one-24 set interfaces so-0/0/2 unit 0 family inet address 10.39.1.1/16
Configurando um policiador para contagem e policiamento específicos de prefixo
Procedimento passo a passo
Para configurar um policial a ser usado para contagem e policiamento específicos de prefixo:
Habilite a configuração de um policial de duas cores de taxa única.
[edit] user@host# edit firewall policer 1Mbps-policer
Defina o limite de tráfego.
[edit firewall policer 1Mbps-policer] user@host# set if-exceeding bandwidth-limit 1m user@host# set if-exceeding burst-size-limit 63k
Os pacotes em um fluxo de tráfego em conformidade com esse limite são passados com o PLP definido para
low.Defina as ações para tráfego não conformado.
[edit firewall policer 1Mbps-policer] user@host# set then discard
Os pacotes em um fluxo de tráfego que excede esse limite são descartados. Outras ações configuráveis para um policial de duas cores de taxa única são definir a classe de encaminhamento e definir o nível de PLP.
Resultados
Confirme a configuração do policial entrando no comando de show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
Configurando uma ação específica de prefixo com base no policial
Procedimento passo a passo
Para configurar uma ação específica do prefixo que faz referência ao policial e especifica uma parte de um prefixo de endereço de origem:
Habilite a configuração de uma ação específica do prefixo.
[edit] user@host# edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256
A contagem e o policiamento específicos de prefixo podem ser definidos apenas para tráfego IPv4.
Faça referência ao policial para o qual um conjunto específico de prefixo deve ser criado.
[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set policer 1Mbps-policer user@host# set count
Nota:Para interfaces Ethernet agregadas, você pode configurar uma ação específica de prefixo que faz referência a um policiador de interface lógica (também chamado de policiador agregado). Você pode fazer referência a esse tipo de ação específica de prefixo a partir de um filtro de firewall padrão IPv4 e, em seguida, aplicar o filtro no nível agregado da interface.
Especifique a faixa de prefixo em que os endereços IPv4 devem ser indexados ao contador e ao conjunto de policiais.
[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set source-prefix-length 32 user@host# set subnet-prefix-length 24
Resultados
Confirme a configuração da ação específica do prefixo entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
}
Configuração de um filtro IPv4 que faz referência à ação específica do prefixo
Procedimento passo a passo
Para configurar um filtro de firewall padrão IPv4 que faz referência à ação específica do prefixo:
Habilite a configuração do filtro de firewall padrão IPv4.
[edit] user@host# edit firewall family inet filter limit-source-one-24
A contagem e o policiamento específicos de prefixo podem ser definidos apenas para tráfego IPv4.
Configure o termo do filtro para combinar no endereço de origem do pacote ou endereço de destino.
[edit firewall family inet filter limit-source-one-24] user@host# set term one from source-address 10.10.10.0/24
Configure o termo do filtro para fazer referência à ação específica do prefixo.
[edit firewall family inet filter limit-source-one-24] user@host# set term one then prefix-action psa-1Mbps-per-source-24-32-256
Você também pode usar a ação para configurar todo o
next termtráfego do Hypertext Transfer Protocol (HTTP) para cada host para transmitir a 500 Kbps e ter o tráfego HTTP total limitado a 1 Mbps.
Resultados
Confirme a configuração da ação específica do prefixo entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
Aplicando o filtro de firewall ao tráfego de entrada IPv4 em uma interface lógica
Procedimento passo a passo
Para aplicar o filtro de firewall ao tráfego de entrada IPv4 em uma interface lógica:
Habilite a configuração do IPv4 na interface lógica.
[edit] user@host# edit interfaces so-0/0/2 unit 0 family inet
Configure um endereço IP.
[edit interfaces so-0/0/2 unit 0 family inet] user@host# set address 10.39.1.1/16
Aplique o filtro de firewall stateless padrão IPv4.
[edit interfaces so-0/0/2 unit 0 family inet] user@host# set filter input limit-source-one-24
Resultados
Confirme a configuração da ação específica do prefixo entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show interfaces
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme que a configuração está funcionando corretamente.
- Exibindo os filtros de firewall aplicados a uma interface
- Exibindo estatísticas de ações específicas de prefixo para o filtro de firewall
Exibindo os filtros de firewall aplicados a uma interface
Propósito
Verifique se o filtro limit-source-one-24 de firewall é aplicado ao tráfego de entrada IPv4 na interface so-0/0/2.0lógica.
Ação
Use o comando do show interfaces statistics modo operacional para interface so-0/0/2.0lógica e inclua a opção detail . Na seção de saída de comando paraProtocol inet, os displays limit-source-one-24de Input Filters campo, indicando que o filtro é aplicado ao tráfego IPv4 na direção de entrada:
user@host> show interfaces statistics so-0/0/2.0 detail
Logical interface so-0/0/2.0 (Index 79) (SNMP ifIndex 510) (Generation 149)
Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP
Protocol inet, MTU: 4470, Generation: 173, Route table: 0
Flags: Sendbcast-pkt-to-re, Protocol-Down
Input Filters: limit-source-one-24
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
Exibindo estatísticas de ações específicas de prefixo para o filtro de firewall
Propósito
Verifique o número de pacotes avaliados pelo policial.
Ação
Use o comando do show firewall prefix-action-stats filter filter-name prefix-action name modo operacional para exibir estatísticas sobre uma ação específica de prefixo configurada em um filtro de firewall.
Como opção, você pode usar a opção from set-index to set-index de comando para especificar o contador ou policial inicial e final a ser exibido. Um conjunto de policiais é indexado de 0 a 65535.
A saída de comando exibe o nome do filtro especificado seguido de uma lista do número de bytes e pacotes processados por cada policial no conjunto de policiais.
Para um policial específico, cada policial do conjunto é identificado da seguinte forma:
prefix-specific-action-name-term-name-set-index
Para um policial específico do filtro, cada policial é identificado na saída de comando da seguinte forma:
prefix-specific-action-name-set-index
Como o exemplo de ação psa-1Mbps-per-source-24-32-256 específica do prefixo é referenciado por apenas um termo do filtro limit-source-one-24de exemplo, o policiador 1Mbps-policer exemplo é configurado como específico do termo. Na saída de show firewall prefix-action-stats comando, as estatísticas do policial são exibidas como psa-1Mbps-per-source-24-32-256-one-0, psa-1Mbps-per-source-24-32-256-one-1e assim por diante psa-1Mbps-per-source-24-32-256-one-255.
user@host> show firewall prefix-action-stats filter limit-source-one-24 prefix-action psa-1Mbps-per-source-24-32-256 from 0 to 9 Filter: limit-source-one-24 Counters: Name Bytes Packets psa-1Mbps-per-source-24-32-256-one-0 0 0 psa-1Mbps-per-source-24-32-256-one-1 0 0 psa-1Mbps-per-source-24-32-256-one-2 0 0 psa-1Mbps-per-source-24-32-256-one-3 0 0 psa-1Mbps-per-source-24-32-256-one-4 0 0 psa-1Mbps-per-source-24-32-256-one-5 0 0 psa-1Mbps-per-source-24-32-256-one-6 0 0 psa-1Mbps-per-source-24-32-256-one-7 0 0 psa-1Mbps-per-source-24-32-256-one-8 0 0 psa-1Mbps-per-source-24-32-256-one-9 0 0
Cenários de configuração de contagem e policiamento específicos de prefixo
- Comprimento de prefixo da ação e comprimento de prefixo dos endereços em pacotes filtrados
- Cenário 1: O termo do filtro de firewall combina em vários endereços
- Cenário 2: O prefixo de sub-rede é maior do que o prefixo na condição de correspondência do filtro
- Cenário 3: Sub-redeO 128º contador e prefixo do policiador é menor que o prefixo na condição de correspondência do filtro de firewall
Comprimento de prefixo da ação e comprimento de prefixo dos endereços em pacotes filtrados
Tabela 2 descreve a relação entre o comprimento do prefixo especificado na ação específica do prefixo e o comprimento do prefixo dos endereços combinados pelo termo do filtro de firewall que faz referência à ação específica do prefixo.
Conjunto de contadores e policiais |
Critérios de filtragem de pacotes |
Indexação de instâncias |
||
|---|---|---|---|---|
Cenário de ação específico do prefixo: Example: Configuração de contagem e policiamento específicos de prefixo |
||||
source-prefix-length = 32 subnet-prefix-length = 24 Tamanho do conjunto: 2^8 = 256Números de instância: 0 - 255 |
source-address = 10.10.10.0/24 |
Instância 0 |
10.10.10.0 |
|
Instância 1: |
10.10.10.1 |
|||
|
|
|||
Instância 255: |
10.10.10.255 |
|||
Cenário de ação específico do prefixo: Cenário 1: O termo do filtro de firewall combina em vários endereços |
||||
source-prefix-length = 32 subnet-prefix-length = 24 Tamanho do conjunto: 2^8 = 256Números de instância: 0 - 255 |
source-address = 10.10.10.0/24 source-address = 10.11.0.0/16 |
Instância 0 |
10.10.10.0,10.11.0x |
|
Instância 1: |
10.10.10.1,10.11.1x |
|||
|
|
|||
Instância 255: |
10.10.10.255,10.11.255x |
|||
Para endereços na sub-rede /16, x varia de 0 a 255. |
||||
Cenário de ação específico do prefixo: Cenário 2: O prefixo de sub-rede é maior do que o prefixo na condição de correspondência do filtro |
||||
source-prefix-length = 32 subnet-prefix-length = 25 Tamanho do conjunto: 2^7 = 128Números de instância: 0 - 127 |
source-address = 10.10.10.0/24 |
Instância 0 |
10.10.10.0,10.10.10.128 |
|
Instância 1: |
10.10.10.1,10.10.10.120 |
|||
|
|
|||
Instância 127: |
10.10.10.255,10.10.10.127 |
|||
Cenário de ação específico do prefixo: Cenário 3: Sub-redeO 128º contador e prefixo do policiador é menor que o prefixo na condição de correspondência do filtro de firewall |
||||
source-prefix-length = 32 subnet-prefix-length = 24 Tamanho do conjunto: 2^8 = 256Números de instância: 0 - 255 |
source-address = 10.10.10.0/25 Nota:
Apenas pacotes com endereços de origem que vão de |
Instância 0 |
10.10.10.0 |
|
Instância 1: |
10.10.10.1 |
|||
|
|
|||
Instância 127: |
10.10.10.127 |
|||
Instâncias 128 - 255: Utilizadas |
||||
Cenário 1: O termo do filtro de firewall combina em vários endereços
O exemplo completo mostra Example: Configuração de contagem e policiamento específicos de prefixoo caso mais simples de ações específicas de prefixo, em que um filtro de firewall de um único prazo combina em um endereço com um comprimento de prefixo que é o mesmo que o comprimento de prefixo de sub-rede especificado na ação específica do prefixo. Ao contrário do exemplo, esse cenário descreve uma configuração na qual um filtro de firewall de um único prazo combina com dois endereços de origem IPv4. Além disso, a condição adicional combina em um endereço de origem com um comprimento de prefixo diferente do comprimento do prefixo de sub-rede definido na ação específica do prefixo. Nesse caso, a condição adicional corresponde à /16 sub-rede do endereço 10.11.0.0de origem.
Ao contrário dos pacotes que correspondem ao endereço 10.10.10.0/24de origem, os pacotes que correspondem ao endereço 10.11.0.0/16 de origem estão em uma correspondência de muitos para um com as instâncias no contador e no conjunto de policiais.
Os pacotes combinados com filtros que são passados para o índice de ação específico do prefixo no balcão e no policiamento são definidos de forma que as instâncias de contagem e policiamento sejam compartilhadas por pacotes que contêm endereços de origem em todas as sub-redes da 10.10.10.0/2410.11.0.0/16 seguinte forma:
O primeiro contador e policial do conjunto são indexados por pacotes com endereços
10.10.10.0de origem e10.11.x.0, onde x varia de0até255.O segundo contador e o policial do conjunto são indexados por pacotes com endereços
10.10.10.1de origem e10.11.x.1, onde x varia de0até255.O 256º (último) contador e policial do conjunto são indexados por pacotes com endereços
10.10.10.255de origem e10.11.x.255, onde x varia de0até255.
A configuração a seguir mostra as declarações para configurar o policiador de duas cores de taxa única, a ação específica de prefixo que faz referência ao policiador e o filtro de firewall stateless padrão IPv4 que faz referência à ação específica do prefixo:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-two-24-16 {
term one {
from {
source-address {
10.10.10.0/24;
10.11.0.0/16;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-two-24-16;
}
address 10.39.1.1/16;
}
}
}
}
Cenário 2: O prefixo de sub-rede é maior do que o prefixo na condição de correspondência do filtro
O exemplo completo, Example: Configuração de contagem e policiamento específicos de prefixomostra o caso mais simples de ações específicas de prefixo, em que o filtro de firewall de um único prazo combina em um endereço com um comprimento de prefixo que é o mesmo que o comprimento de prefixo de sub-rede especificado na ação específica do prefixo. Ao contrário do exemplo, esse cenário descreve uma configuração na qual a ação específica do prefixo define um comprimento de prefixo de sub-rede mais longo do que o prefixo do endereço de origem compatível com o filtro de firewall. Nesse caso, a ação específica do prefixo define um valor de prefixo de sub-rede, enquanto o filtro de 25firewall combina com um endereço de origem na /24 sub-rede.
O filtro de firewall passa pelos pacotes de ação específicos do prefixo com endereços de origem que variam de 10.10.10.010.10.10.2550 a 127, enquanto a ação específica do prefixo especifica um conjunto de apenas 128 contadores e policiais, numerados de 0 a 127.
Os pacotes combinados com filtros que são passados para o índice de ação específico de prefixo no balcão e no policiamento são definidos de forma que as instâncias de contagem e policiamento sejam compartilhadas por pacotes que contêm qualquer um dos dois endereços de origem dentro da 10.10.10.0/24 sub-rede:
O primeiro contador e policial do conjunto são indexados por pacotes com endereços
10.10.10.0de origem e10.10.10.128.O segundo contador e o policial do conjunto são indexados por pacotes com endereços
10.10.10.1de origem e10.10.10.129.O 128º (último) contador e policial do conjunto são indexados por pacotes com endereços
10.10.10.127de origem e10.10.10.255.
A configuração a seguir mostra as declarações para configurar o policiador de duas cores de taxa única, a ação específica de prefixo que faz referência ao policiador e o filtro de firewall stateless padrão IPv4 que faz referência à ação específica do prefixo:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-25-32-128 {
policer 1Mbps-policer;
subnet-prefix-length 25;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-25-32-128;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
}
Cenário 3: Sub-redeO 128º contador e prefixo do policiador é menor que o prefixo na condição de correspondência do filtro de firewall
O exemplo completo, Example: Configuração de contagem e policiamento específicos de prefixomostra o caso mais simples de ações específicas de prefixo, em que o filtro de firewall de um único prazo combina em um endereço com um comprimento de prefixo que é o mesmo que o comprimento de prefixo de sub-rede especificado na ação específica do prefixo. Ao contrário do exemplo, esse cenário descreve uma configuração na qual a ação específica do prefixo define um comprimento de prefixo de sub-rede menor do que o prefixo do endereço de origem compatível com o filtro de firewall. Nesse caso, o termo filtro combina com a /25 sub-rede do endereço 10.10.10.0de origem.
O filtro de firewall passa os pacotes de ação específicos do prefixo apenas com endereços de origem que variam de 10.10.10.010.10.10.1270 a 255. A ação específica do prefixo especifica um conjunto de 256 contadores e policiais, numerados de 0 a 255.
Os pacotes combinados que são passados para o índice de ação específico de prefixo na metade inferior do contador e do conjunto de policiais:
O primeiro contador e policial do conjunto são indexados por pacotes com endereço
10.10.10.0fonte.O segundo contador e o policial do conjunto são indexados por pacotes com endereço
10.10.10.1de origem e10.10.10.129.O 128º contador e policial do conjunto são indexados por pacotes com endereço
10.10.10.127de origem.A metade superior do conjunto (instâncias numeradas de 128 a 255) não é indexada por pacotes passados para a ação específica do prefixo a partir deste filtro de firewall específico.
A configuração a seguir mostra as declarações para configurar o policiador de duas cores de taxa única, a ação específica de prefixo que faz referência ao policiador e o filtro de firewall stateless padrão IPv4 que faz referência à ação específica do prefixo:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-25 {
term one {
from {
source-address {
10.10.10.0/25;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-25;
}
address 10.39.1.1/16;
}
}
}
}