Präfixspezifische Zähl- und Überwachungsaktionen
Übersicht über präfixspezifische Zählung und Überwachung
- Separate Zählung und Überwachung für jeden IPv4-Adressbereich
- Präfix-spezifische Aktionskonfiguration
- Zähler- und Policer-Set-Größe und Indizierung
Separate Zählung und Überwachung für jeden IPv4-Adressbereich
Präfixspezifisches Zählen und Policing ermöglicht es Ihnen, einen IPv4-Firewall-Filterbegriff zu konfigurieren, der mit einer Quell- oder Zieladresse übereinstimmt, einen zweifarbigen Policer mit einer Rate als Begriffsaktion anwendet, aber das übereinstimmende Paket basierend auf der Quelle oder dem Ziel im Paket-Header einem bestimmten Zähler und einer bestimmten Policer-Instanz zuordnet. Sie können implizit eine separate Zähler- oder Policerinstanz für eine einzelne Adresse oder für eine Gruppe von Adressen erstellen.
Bei der präfixspezifischen Zählung und Überwachung wird eine präfixspezifische Aktionskonfiguration verwendet, die den Namen des Policers angibt, den Sie anwenden möchten, ob die präfixspezifische Zählung aktiviert werden soll und einen Quell- oder Zieladresspräfixbereich.
Der Präfixbereich gibt zwischen 1 und 16 sequenziell festgelegte Bits einer IPv4-Adressmaske an. Die Länge des Präfixbereichs bestimmt die Größe des Zähler- und Policer-Satzes, der aus nur 2 oder bis zu 65.536 Zähler- und Policer-Instanzen besteht. Die Position der Bits des Präfixbereichs bestimmt die Indizierung von Paketen mit Filterübereinstimmung in der Gruppe von Instanzen.
Eine präfixspezifische Aktion ist spezifisch für einen Quell- oder Zielpräfixbereich, aber nicht spezifisch für einen bestimmten Quell- oder Zieladressbereich und nicht spezifisch für eine bestimmte Schnittstelle.
Um eine präfixspezifische Aktion auf den Datenverkehr an einer Schnittstelle anzuwenden, konfigurieren Sie einen Firewallfilterbegriff, der mit Quell- oder Zieladressen übereinstimmt, und wenden dann den Firewallfilter auf die Schnittstelle an. Der Fluss des gefilterten Datenverkehrs wird durch präfixspezifische Zähler- und Policer-Instanzen begrenzt, die pro Paket basierend auf der Quell- oder Zieladresse im Header des gefilterten Pakets ausgewählt werden.
Präfix-spezifische Aktionskonfiguration
Um eine präfixspezifische Aktion zu konfigurieren, geben Sie die folgenden Informationen an:
Präfixspezifischer Aktionsname: Name, auf den als Aktion eines IPv4-Standard-Firewallfilterbegriffs verwiesen werden kann, der Pakete auf Quell- oder Zieladressen abgleicht.
Policer name: Name eines einstufigen zweifarbigen Policers, für den Sie implizit präfixspezifische Instanzen erstellen möchten.
HINWEIS:Für aggregierte Ethernet-Schnittstellen können Sie eine präfixspezifische Aktion konfigurieren, die auf einen logischen Schnittstellen-Policer (auch als Aggregat-Policer bezeichnet) verweist. Sie können von einem IPv4-Standard-Firewallfilter aus auf diese Art von präfixspezifischer Aktion verweisen und den Filter dann auf der Aggregatebene der Schnittstelle anwenden.
Zähloption: Option zum Einschließen, wenn Sie präfixspezifische Leistungsindikatoren aktivieren möchten.
Filterspezifische Option: Option zum Einschließen, wenn ein einzelner Zähler und ein einzelner Policer-Satz für alle Begriffe im Firewallfilter freigegeben werden sollen. Eine präfixspezifische Aktion, die auf diese Weise ausgeführt wird, wird als filterspezifischer Modus bezeichnet. Wenn Sie diese Option nicht aktivieren, wird die präfixspezifische Aktion im begriffsspezifischen Modus ausgeführt, d. h., für jeden Filterbegriff, der auf die präfixspezifische Aktion verweist, wird ein separater Zähler- und Richtliniensatz erstellt.
Quelladressenpräfixlänge: Länge des Adresspräfixes von 0 bis 32, das mit einem Paket verwendet werden soll, das mit der Quelladresse übereinstimmt.
Länge des Zieladressenpräfixes: Länge des Adresspräfixes von 0 bis 32, das mit einem Paket verwendet werden soll, das mit der Zieladresse übereinstimmt.
Subnetzpräfixlänge: Länge des Subnetzpräfixes von 0 bis 32, das mit einem Paket verwendet werden soll, das entweder mit der Quell- oder Zieladresse übereinstimmt.
Sie müssen die Länge der Quell- und Zieladresspräfixe so konfigurieren, dass sie 1 bis 16 Bit länger sind als die Länge des Subnetzpräfixes. Wenn Sie die Länge der Quell- oder Zieladresspräfixe so konfigurieren, dass sie mehr als 16 Bit über der konfigurierten Subnetzpräfixlänge liegen, tritt ein Fehler auf, wenn Sie versuchen, die Konfiguration zu bestätigen.
Zähler- und Policer-Set-Größe und Indizierung
Die Anzahl der präfixspezifischen Aktionen (Zähler oder Policer), die implizit für eine präfixspezifische Aktion erstellt werden, wird durch die Länge des Adresspräfixes und die Länge des Subnetzpräfixes bestimmt:
Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)
Tabelle 1 Zeigt Beispiele für die Größe und Indizierung von Zähler- und Policer-Sets.
Beispiel für Präfixlängen, die in der präfixspezifischen Aktion angegeben sind |
Berechnung der Zähler- oder Policer-Set-Größe |
Indizierung von Instanzen |
|
|---|---|---|---|
source-prefix-length = 32 subnet-prefix-length = 16 |
Size = 2^(32 - 16) = 2^16 = 65,536 instances HINWEIS:
Diese Berechnung zeigt die größte unterstützte Zähler- oder Polizeisatzgröße. |
Instanz 0: |
x.x.0.0 |
Instanz 1: |
.. 0.1xx |
||
Instanz 65535: |
x.x.255.255 |
||
source-prefix-length = 32 subnet-prefix-length = 24 |
Size = 2^(32 - 24) = 2^8 = 256 instances |
Instanz 0: |
... 0xxx |
Instanz 1: |
... 1xxx |
||
Instanz 255: |
... 255xxx |
||
source-prefix-length = 32 subnet-prefix-length = 25 |
Size = 2^(32 - 25) = 2^7 = 128 instances |
Instanz 0: |
... 0xxx |
Instanz 1: |
... 1xxx |
||
Instanz 127: |
... 127xxx |
||
source-prefix-length = 24 subnet-prefix-length = 20 |
Size = 2^(24 - 20) = 2^4 = 16 instances |
Instanz 0: |
.. 0.xxx |
Instanz 1: |
.. 1.xxx |
||
Instanz 15: |
.. 15.xxx |
||
Siehe auch
Filterspezifische Zähler- und Policer-Set-Übersicht
Standardmäßig arbeitet ein präfixspezifischer Policer-Satz im begriffsspezifischen Modus, sodass das Junos-Betriebssystem für einen bestimmten Firewall-Filter einen separaten Zähler- und Policer-Satz für jeden Filterbegriff erstellt, der auf die präfixspezifische Aktion verweist. Optional können Sie einen präfixspezifischen Policersatz so konfigurieren, dass er im filterspezifischen Modus ausgeführt wird, sodass ein einzelner präfixspezifischer Policersatz von allen Begriffen (innerhalb desselben Firewallfilters) verwendet wird, die auf den Policer verweisen.
Bei einem IPv4-Firewallfilter mit mehreren Begriffen, die auf denselben präfixspezifischen Policer-Satz verweisen, können Sie durch Konfigurieren des Policer-Satzes für den Betrieb im filterspezifischen Modus die Aktivität des Policer-Satzes auf der Firewall-Filterebene zählen und überwachen.
Der termspezifische Modus und der filterspezifische Modus gelten auch für Policer. Siehe .Filterspezifische Policer-Übersicht
Um einen präfixspezifischen Policersatz für den filterspezifischen Modus zu aktivieren, können Sie die Anweisung auf den folgenden Hierarchieebenen einschließen:filter-specific
[edit firewall family inet prefix-action prefix-action-name][edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]
Sie können filter- und präfixspezifische Policersätze nur von IPv4-Firewallfiltern () referenzieren.family inet
Siehe auch
Filterspezifische Policer-Übersicht
Standardmäßig arbeitet ein Policer im begriffsspezifischen Modus, sodass das Junos-Betriebssystem für einen bestimmten Firewallfilter eine separate Policer-Instanz für jeden Filterbegriff erstellt, der auf den Policer verweist. Optional können Sie einen Policer so konfigurieren, dass er im filterspezifischen Modus arbeitet, sodass eine einzelne Policer-Instanz von allen Begriffen (innerhalb desselben Firewallfilters) verwendet wird, die auf den Policer verweisen.
Bei einem IPv4-Firewallfilter mit mehreren Begriffen, die auf denselben Policer verweisen, können Sie durch Konfigurieren des Policers für den Betrieb im filterspezifischen Modus die Aktivität des Policers auf Firewallfilterebene zählen und überwachen.
Der begriffsspezifische Modus und der filterspezifische Modus gelten auch für präfixspezifische Policersätze.
Damit ein zweifarbiger Policer mit einer Rate im filterspezifischen Modus ausgeführt werden kann, können Sie die Anweisung auf den folgenden Hierarchieebenen einschließen:filter-specific
[edit firewall policer policer-name][edit logical-systems logical-system-name firewall policer policer-name]
Sie können filterspezifische Policer nur über IPv4-Firewallfilter () referenzieren.family inet
Beispiel: Konfigurieren von präfixspezifischer Zählung und Überwachung
In diesem Beispiel wird gezeigt, wie präfixspezifische Zählung und Überwachung konfiguriert werden.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel konfigurieren Sie eine präfixspezifische Zählung und Überwachung basierend auf dem letzten Oktett des Quelladressfelds in Paketen, die mit einem IPv4-Firewallfilter übereinstimmen.
Der zweifarbige Single-Rate-Policer namens rate-begrenzt den Datenverkehr auf eine Bandbreite von 1.000.000 Bps und ein Burst-Größenlimit von 63.000 Byte, wobei alle Pakete in einem Datenverkehrsfluss verworfen werden, der die Datenverkehrslimits überschreitet.1Mbps-policer
Unabhängig von den IPv4-Adressen, die in Paketen enthalten sind, die von einem Firewallfilter übergeben werden, gibt die präfixspezifische Aktion named einen Satz von 256 Leistungsindikatoren und Policern an, die von 0 bis 255 nummeriert sind.psa-1Mbps-per-source-24-32-256 Für jedes Paket wird das letzte Oktett des Quelladressfelds verwendet, um in den zugehörigen präfixspezifischen Zähler und Policer im Satz zu indizieren:
Pakete mit einer Quelladresse, die mit dem Oktett endet, indizieren den ersten Zähler und den ersten Policer in der Gruppe.0x0000 00000
Pakete mit einer Quelladresse, die mit dem Oktett endet, indizieren den zweiten Zähler und den Policer in der Gruppe.0x0000 0001
Pakete mit einer Quelladresse, die mit dem Oktett endet, indizieren den letzten Zähler und den letzten Policer in der Gruppe.0x1111 1111
Der Firewall-Filter enthält einen einzelnen Begriff, der mit allen Paketen aus dem Subnetz der Quelladresse übereinstimmt und diese Pakete an die präfixspezifische Aktion übergibt.limit-source-one-24/2410.10.10.0psa-1Mbps-per-source-24-32-256
Topologie
Da in diesem Beispiel der Filterbegriff mit dem Subnetz einer einzelnen Quelladresse übereinstimmt, wird jede Zähl- und Überwachungsinstanz im präfixspezifischen Satz nur für eine Quelladresse verwendet./24
Pakete mit einer Quelladresse indizieren den ersten Zähler und Policer in der Gruppe.
10.10.10.0Pakete mit einer Quelladresse indizieren den zweiten Zähler und Policer in der Gruppe.
10.10.10.1Pakete mit einer Quelladresse indizieren den letzten Zähler und Policer in der Gruppe.
10.10.10.255
Dieses Beispiel zeigt den einfachsten Fall von präfixspezifischen Aktionen, bei denen der Filterbegriff an einer Adresse mit einer Präfixlänge übereinstimmt, die mit der Präfixlänge übereinstimmt, die in der präfixspezifischen Aktion für die Indizierung in den Satz präfixspezifischer Zähler und Policer angegeben ist.
Beschreibungen anderer Konfigurationen für präfixspezifische Zählung und Überwachung finden Sie unter .Konfigurationsszenarien für präfixspezifische Zählung und Überwachung
Konfiguration
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter .Verwenden des CLI-Editors im Konfigurationsmodus
Um dieses Beispiel zu konfigurieren, führen Sie die folgenden Aufgaben aus:
- CLI-Schnellkonfiguration
- Konfigurieren eines Policers für präfixspezifische Zählung und Überwachung
- Konfigurieren einer präfixspezifischen Aktion basierend auf dem Policer
- Konfigurieren eines IPv4-Filters, der auf die präfixspezifische Aktion verweist
- Anwenden des Firewallfilters auf IPv4-Eingabedatenverkehr an einer logischen Schnittstelle
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Konfigurationsbefehle in eine Textdatei, entfernen Sie alle Zeilenumbrüche, und fügen Sie die Befehle dann auf Hierarchieebene in die CLI ein.[edit]
set firewall policer 1Mbps-policer if-exceeding bandwidth-limit 1m set firewall policer 1Mbps-policer if-exceeding burst-size-limit 63k set firewall policer 1Mbps-policer then discard set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 policer 1Mbps-policer set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 count set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 subnet-prefix-length 24 set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 source-prefix-length 32 set firewall family inet filter limit-source-one-24 term one from source-address 10.10.10.0/24 set firewall family inet filter limit-source-one-24 term one then prefix-action psa-1Mbps-per-source-24-32-256 set interfaces so-0/0/2 unit 0 family inet filter input limit-source-one-24 set interfaces so-0/0/2 unit 0 family inet address 10.39.1.1/16
Konfigurieren eines Policers für präfixspezifische Zählung und Überwachung
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen Policer, der für die präfixspezifische Zählung und Überwachung verwendet werden soll:
Aktivieren Sie die Konfiguration eines zweifarbigen Policers mit einer Rate.
[edit] user@host# edit firewall policer 1Mbps-policer
Definieren Sie das Datenverkehrslimit.
[edit firewall policer 1Mbps-policer] user@host# set if-exceeding bandwidth-limit 1m user@host# set if-exceeding burst-size-limit 63k
Pakete in einem Datenverkehrsfluss, der diesem Grenzwert entspricht, werden übergeben, wobei das PLP auf festgelegt ist .
lowDefinieren Sie die Aktionen für nicht konformen Datenverkehr.
[edit firewall policer 1Mbps-policer] user@host# set then discard
Pakete in einem Datenverkehrsfluss, der diesen Grenzwert überschreitet, werden verworfen. Weitere konfigurierbare Aktionen für einen einstufigen zweifarbigen Policer sind das Festlegen der Weiterleitungsklasse und das Festlegen der PLP-Ebene.
Ergebnisse
Bestätigen Sie die Konfiguration des Policers, indem Sie den Befehl Konfigurationsmodus eingeben.show firewall Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
Konfigurieren einer präfixspezifischen Aktion basierend auf dem Policer
Schritt-für-Schritt-Anleitung
So konfigurieren Sie eine präfixspezifische Aktion, die auf den Policer verweist und einen Teil eines Quelladresspräfixes angibt:
Aktivieren Sie die Konfiguration einer präfixspezifischen Aktion.
[edit] user@host# edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256
Präfixspezifische Zählung und Überwachung können nur für IPv4-Datenverkehr definiert werden.
Verweisen Sie auf den Policer, für den ein präfixspezifischer Satz erstellt werden soll.
[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set policer 1Mbps-policer user@host# set count
HINWEIS:Für aggregierte Ethernet-Schnittstellen können Sie eine präfixspezifische Aktion konfigurieren, die auf einen logischen Schnittstellen-Policer (auch als Aggregat-Policer bezeichnet) verweist. Sie können von einem IPv4-Standard-Firewallfilter aus auf diese Art von präfixspezifischer Aktion verweisen und den Filter dann auf der Aggregatebene der Schnittstelle anwenden.
Geben Sie den Präfixbereich an, in dem IPv4-Adressen für den Zähler- und Policersatz indiziert werden sollen.
[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set source-prefix-length 32 user@host# set subnet-prefix-length 24
Ergebnisse
Bestätigen Sie die Konfiguration der präfixspezifischen Aktion, indem Sie den Befehl configuration mode eingeben.show firewall Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
}
Konfigurieren eines IPv4-Filters, der auf die präfixspezifische Aktion verweist
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen IPv4-Standard-Firewallfilter, der auf die präfixspezifische Aktion verweist:
Aktivieren Sie die Konfiguration des IPv4-Standard-Firewallfilters.
[edit] user@host# edit firewall family inet filter limit-source-one-24
Präfixspezifische Zählung und Überwachung können nur für IPv4-Datenverkehr definiert werden.
Konfigurieren Sie den Filterbegriff so, dass er mit der Paketquell- oder Zieladresse übereinstimmt.
[edit firewall family inet filter limit-source-one-24] user@host# set term one from source-address 10.10.10.0/24
Konfigurieren Sie den Filterbegriff so, dass er auf die präfixspezifische Aktion verweist.
[edit firewall family inet filter limit-source-one-24] user@host# set term one then prefix-action psa-1Mbps-per-source-24-32-256
Sie können die Aktion auch verwenden, um den gesamten HTTP-Datenverkehr (Hypertext Transfer Protocol) zu jedem Host so zu konfigurieren, dass er mit 500 KBit/s übertragen wird, und den gesamten HTTP-Datenverkehr auf 1 Mbit/s zu begrenzen.
next term
Ergebnisse
Bestätigen Sie die Konfiguration der präfixspezifischen Aktion, indem Sie den Befehl configuration mode eingeben.show firewall Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
Anwenden des Firewallfilters auf IPv4-Eingabedatenverkehr an einer logischen Schnittstelle
Schritt-für-Schritt-Anleitung
So wenden Sie den Firewallfilter auf IPv4-Eingabedatenverkehr an einer logischen Schnittstelle an:
Aktivieren Sie die Konfiguration von IPv4 auf der logischen Schnittstelle.
[edit] user@host# edit interfaces so-0/0/2 unit 0 family inet
Konfigurieren Sie eine IP-Adresse.
[edit interfaces so-0/0/2 unit 0 family inet] user@host# set address 10.39.1.1/16
Wenden Sie den standardmäßigen zustandslosen IPv4-Firewallfilter an.
[edit interfaces so-0/0/2 unit 0 family inet] user@host# set filter input limit-source-one-24
Ergebnisse
Bestätigen Sie die Konfiguration der präfixspezifischen Aktion, indem Sie den Befehl configuration mode eingeben.show interfaces Wenn die Befehlsausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Verfahren, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf .commit
Überprüfung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Anzeigen der Firewall-Filter, die auf eine Schnittstelle angewendet werden
- Präfixspezifische Aktionsstatistiken für den Firewallfilter anzeigen
Anzeigen der Firewall-Filter, die auf eine Schnittstelle angewendet werden
Zweck
Stellen Sie sicher, dass der Firewallfilter auf den IPv4-Eingabedatenverkehr an der logischen Schnittstelle angewendet wird.limit-source-one-24so-0/0/2.0
Was
Verwenden Sie den Befehl Betriebsmodus für die logische Schnittstelle und schließen Sie die Option ein.show interfaces statisticsso-0/0/2.0detail Im Befehlsausgabeabschnitt für wird das Feld angezeigt , was anzeigt, dass der Filter auf IPv4-Datenverkehr in Eingaberichtung angewendet wird:Protocol inetInput Filterslimit-source-one-24
user@host> show interfaces statistics so-0/0/2.0 detail
Logical interface so-0/0/2.0 (Index 79) (SNMP ifIndex 510) (Generation 149)
Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP
Protocol inet, MTU: 4470, Generation: 173, Route table: 0
Flags: Sendbcast-pkt-to-re, Protocol-Down
Input Filters: limit-source-one-24
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
Präfixspezifische Aktionsstatistiken für den Firewallfilter anzeigen
Zweck
Überprüfen Sie die Anzahl der vom Policer ausgewerteten Pakete.
Was
Verwenden Sie den Befehl Betriebsmodus, um Statistiken zu einer präfixspezifischen Aktion anzuzeigen, die für einen Firewallfilter konfiguriert ist.show firewall prefix-action-stats filter filter-name prefix-action name
Optional können Sie mit der Befehlsoption den Start- und Endzähler oder Policer angeben, der angezeigt werden soll.from set-index to set-index Ein Policer-Satz ist von 0 bis 65535 indiziert.
Die Befehlsausgabe zeigt den angegebenen Filternamen gefolgt von einer Auflistung der Anzahl der Bytes und Pakete an, die von jedem Policer im Policer-Satz verarbeitet wurden.
Bei einem begriffsspezifischen Policer wird jeder Policer im Satz wie folgt identifiziert:
prefix-specific-action-name-term-name-set-index
Bei einem filterspezifischen Policer wird jeder Policer in der Befehlsausgabe wie folgt identifiziert:
prefix-specific-action-name-set-index
Da auf die präfixspezifische Beispielaktion nur von einem Begriff des Beispielfilters verwiesen wird, wird der Beispielpolicer als begriffsspezifisch konfiguriert.psa-1Mbps-per-source-24-32-256limit-source-one-241Mbps-policer In der Befehlsausgabe werden die Polizeistatistiken als , , usw. bis angezeigt.show firewall prefix-action-statspsa-1Mbps-per-source-24-32-256-one-0psa-1Mbps-per-source-24-32-256-one-1psa-1Mbps-per-source-24-32-256-one-255
user@host> show firewall prefix-action-stats filter limit-source-one-24 prefix-action psa-1Mbps-per-source-24-32-256 from 0 to 9 Filter: limit-source-one-24 Counters: Name Bytes Packets psa-1Mbps-per-source-24-32-256-one-0 0 0 psa-1Mbps-per-source-24-32-256-one-1 0 0 psa-1Mbps-per-source-24-32-256-one-2 0 0 psa-1Mbps-per-source-24-32-256-one-3 0 0 psa-1Mbps-per-source-24-32-256-one-4 0 0 psa-1Mbps-per-source-24-32-256-one-5 0 0 psa-1Mbps-per-source-24-32-256-one-6 0 0 psa-1Mbps-per-source-24-32-256-one-7 0 0 psa-1Mbps-per-source-24-32-256-one-8 0 0 psa-1Mbps-per-source-24-32-256-one-9 0 0
Konfigurationsszenarien für präfixspezifische Zählung und Überwachung
- Präfixlänge der Aktion und Präfixlänge von Adressen in gefilterten Paketen
- Szenario 1: Firewall-Filterbegriffsübereinstimmungen für mehrere Adressen
- Szenario 2: Das Subnetzpräfix ist länger als das Präfix in der Filterübereinstimmungsbedingung.
- Szenario 3: SubnetzDas Präfix des 128. Zählers und des Policers ist kürzer als das Präfix in der Übereinstimmungsbedingung des Firewallfilters
Präfixlänge der Aktion und Präfixlänge von Adressen in gefilterten Paketen
Tabelle 2 Beschreibt die Beziehung zwischen der Präfixlänge, die in der präfixspezifischen Aktion angegeben ist, und der Präfixlänge der Adressen, die mit dem Firewallfilterbegriff übereinstimmen, der auf die präfixspezifische Aktion verweist.
Counter- und Policer-Set |
Kriterien für die Paketfilterung |
Indizierung von Instanzen |
||
|---|---|---|---|---|
Präfix-spezifisches Aktionsszenario: Beispiel: Konfigurieren von präfixspezifischer Zählung und Überwachung |
||||
source-prefix-length = 32 subnet-prefix-length = 24 Größe festlegen: 2^8 = 256Instanznummern: 0 - 255 |
source-address = 10.10.10.0/24 |
Instanz 0 |
10.10.10.0 |
|
Instanz 1: |
10.10.10.1 |
|||
|
|
|||
Instanz 255: |
10.10.10.255 |
|||
Präfix-spezifisches Aktionsszenario: Szenario 1: Firewall-Filterbegriffsübereinstimmungen für mehrere Adressen |
||||
source-prefix-length = 32 subnet-prefix-length = 24 Größe festlegen: 2^8 = 256Instanznummern: 0 - 255 |
source-address = 10.10.10.0/24 source-address = 10.11.0.0/16 |
Instanz 0 |
10.10.10.0,10.11.x.0 |
|
Instanz 1: |
10.10.10.1,10.11.x.1 |
|||
|
|
|||
Instanz 255: |
10.10.10.255,10.11.x.255 |
|||
Für Adressen im Subnetz /16 liegt der Wert zwischen 0 und 255.x |
||||
Präfix-spezifisches Aktionsszenario: Szenario 2: Das Subnetzpräfix ist länger als das Präfix in der Filterübereinstimmungsbedingung. |
||||
source-prefix-length = 32 subnet-prefix-length = 25 Größe festlegen: 2^7 = 128Instanznummern: 0 - 127 |
source-address = 10.10.10.0/24 |
Instanz 0 |
10.10.10.0,10.10.10.128 |
|
Instanz 1: |
10.10.10.1,10.10.10.120 |
|||
|
|
|||
Instanz 127: |
10.10.10.255,10.10.10.127 |
|||
Präfix-spezifisches Aktionsszenario: Szenario 3: SubnetzDas Präfix des 128. Zählers und des Policers ist kürzer als das Präfix in der Übereinstimmungsbedingung des Firewallfilters |
||||
source-prefix-length = 32 subnet-prefix-length = 24 Größe festlegen: 2^8 = 256Instanznummern: 0 - 255 |
source-address = 10.10.10.0/25 HINWEIS:
Nur Pakete mit Quelladressen von bis werden an die präfixspezifische Aktion übergeben. |
Instanz 0 |
10.10.10.0 |
|
Instanz 1: |
10.10.10.1 |
|||
|
|
|||
Instanz 127: |
10.10.10.127 |
|||
Instanzen 128 – 255: Unbenutzte |
||||
Szenario 1: Firewall-Filterbegriffsübereinstimmungen für mehrere Adressen
Das vollständige Beispiel zeigt den einfachsten Fall von präfixspezifischen Aktionen, bei denen ein Firewallfilter mit einem einzelnen Begriff für eine Adresse mit einer Präfixlänge übereinstimmt, die mit der in der präfixspezifischen Aktion angegebenen Subnetzpräfixlänge übereinstimmt.Beispiel: Konfigurieren von präfixspezifischer Zählung und Überwachung Im Gegensatz zum Beispiel wird in diesem Szenario eine Konfiguration beschrieben, in der ein Firewallfilter mit einem einzigen Begriff auf zwei IPv4-Quelladressen übereinstimmt. Darüber hinaus stimmt die zusätzliche Bedingung für eine Quelladresse mit einer Präfixlänge überein, die sich von der in der präfixspezifischen Aktion definierten Subnetzpräfixlänge unterscheidet. In diesem Fall stimmt die zusätzliche Bedingung im Subnetz der Quelladresse überein./1610.11.0.0
Im Gegensatz zu Paketen, die mit der Quelladresse übereinstimmen, befinden sich Pakete, die mit der Quelladresse übereinstimmen, in einer Viele-zu-Eins-Korrespondenz mit den Instanzen im Zähler- und Policer-Satz.10.10.10.0/2410.11.0.0/16
Die mit Filtern übereinstimmenden Pakete, die an den präfixspezifischen Aktionsindex an den Zähler und den Policer übergeben werden, sind so festgelegt, dass die Zähl- und Überwachungsinstanzen von Paketen gemeinsam genutzt werden, die Quelladressen in den Subnetzen und wie folgt enthalten:10.10.10.0/2410.11.0.0/16
Der erste Zähler und der erste Policer in der Gruppe werden durch Pakete mit Quelladressen und indiziert, wobei der Bereich von bis reicht .
10.10.10.010.11.x.0x0255Der zweite Zähler und der zweite Policer in der Gruppe werden durch Pakete mit Quelladressen und indiziert, wobei der Bereich von bis reicht .
10.10.10.110.11.x.1x0255Der 256. (letzte) Zähler und der Policer in der Menge werden durch Pakete mit Quelladressen und indiziert, wobei der Bereich von bis reicht .
10.10.10.25510.11.x.255x0255
Die folgende Konfiguration zeigt die Anweisungen für die Konfiguration des zweifarbigen Single-Rate-Policers, der präfixspezifischen Aktion, die auf den Policer verweist, und des zustandslosen IPv4-Standard-Firewallfilters, der auf die präfixspezifische Aktion verweist:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-two-24-16 {
term one {
from {
source-address {
10.10.10.0/24;
10.11.0.0/16;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-two-24-16;
}
address 10.39.1.1/16;
}
}
}
}
Szenario 2: Das Subnetzpräfix ist länger als das Präfix in der Filterübereinstimmungsbedingung.
Das vollständige Beispiel zeigt den einfachsten Fall von präfixspezifischen Aktionen, bei denen der Firewallfilter mit einem einzelnen Begriff auf eine Adresse mit einer Präfixlänge übereinstimmt, die mit der in der präfixspezifischen Aktion angegebenen Subnetzpräfixlänge übereinstimmt.Beispiel: Konfigurieren von präfixspezifischer Zählung und Überwachung Im Gegensatz zum Beispiel wird in diesem Szenario eine Konfiguration beschrieben, in der die präfixspezifische Aktion eine Subnetzpräfixlänge definiert, die länger ist als das Präfix der Quelladresse, mit der der Firewallfilter übereinstimmt. In diesem Fall definiert die präfixspezifische Aktion einen Subnetzpräfixwert von , während der Firewallfilter mit einer Quelladresse im Subnetz übereinstimmt.25/24
Der Firewallfilter übergibt die präfixspezifischen Aktionspakete mit Quelladressen, die von bis reichen, während die präfixspezifische Aktion einen Satz von nur 128 Zählern und Policern angibt, die von 0 bis 127 nummeriert sind.10.10.10.010.10.10.255
Die mit Filtern übereinstimmenden Pakete, die an den präfixspezifischen Aktionsindex an den Zähler und den Policer übergeben werden, sind so festgelegt, dass die Zähl- und Überwachungsinstanzen von Paketen gemeinsam genutzt werden, die eine von zwei Quelladressen innerhalb des Subnetzes enthalten:10.10.10.0/24
Der erste Zähler und der erste Policer in der Gruppe werden durch Pakete mit Quelladressen und indiziert .
10.10.10.010.10.10.128Der zweite Zähler und der zweite Policer in der Gruppe werden durch Pakete mit Quelladressen und indiziert .
10.10.10.110.10.10.129Der 128. (letzte) Zähler und der Policer in der Menge werden durch Pakete mit Quelladressen und indiziert .
10.10.10.12710.10.10.255
Die folgende Konfiguration zeigt die Anweisungen für die Konfiguration des zweifarbigen Single-Rate-Policers, der präfixspezifischen Aktion, die auf den Policer verweist, und des zustandslosen IPv4-Standard-Firewallfilters, der auf die präfixspezifische Aktion verweist:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-25-32-128 {
policer 1Mbps-policer;
subnet-prefix-length 25;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-25-32-128;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
}
Szenario 3: SubnetzDas Präfix des 128. Zählers und des Policers ist kürzer als das Präfix in der Übereinstimmungsbedingung des Firewallfilters
Das vollständige Beispiel zeigt den einfachsten Fall von präfixspezifischen Aktionen, bei denen der Firewallfilter mit einem einzelnen Begriff auf eine Adresse mit einer Präfixlänge übereinstimmt, die mit der in der präfixspezifischen Aktion angegebenen Subnetzpräfixlänge übereinstimmt.Beispiel: Konfigurieren von präfixspezifischer Zählung und Überwachung Im Gegensatz zum Beispiel wird in diesem Szenario eine Konfiguration beschrieben, in der die präfixspezifische Aktion eine Subnetzpräfixlänge definiert, die kürzer ist als das Präfix der Quelladresse, mit der der Firewallfilter übereinstimmt. In diesem Fall stimmt der Filterbegriff mit dem Subnetz der Quelladresse überein./2510.10.10.0
Der Firewallfilter übergibt die präfixspezifische Aktion nur an Pakete mit Quelladressen, die von bis reichen, während die präfixspezifische Aktion einen Satz von 256 Zählern und Policern angibt, die von 0 bis 255 nummeriert sind.10.10.10.010.10.10.127
Nur die übereinstimmenden Pakete, die an den präfixspezifischen Aktionsindex in der unteren Hälfte des Zähler- und Policer-Satzes übergeben werden:
Der erste Zähler und der erste Policer in der Gruppe werden durch Pakete mit Quelladresse indiziert.
10.10.10.0Der zweite Zähler und der zweite Policer in der Gruppe werden durch Pakete mit Quelladresse und indiziert.
10.10.10.110.10.10.129Der 128. Zähler und der Policer in der Gruppe werden durch Pakete mit Quelladresse indiziert.
10.10.10.127Die obere Hälfte des Satzes (Instanzen mit den Nummern 128 bis 255) wird nicht durch Pakete indiziert, die von diesem speziellen Firewallfilter an die präfixspezifische Aktion übergeben werden.
Die folgende Konfiguration zeigt die Anweisungen für die Konfiguration des zweifarbigen Single-Rate-Policers, der präfixspezifischen Aktion, die auf den Policer verweist, und des zustandslosen IPv4-Standard-Firewallfilters, der auf die präfixspezifische Aktion verweist:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-25 {
term one {
from {
source-address {
10.10.10.0/25;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-25;
}
address 10.39.1.1/16;
}
}
}
}