Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Filtros de firewall sin estado que hacen referencia a la descripción general de los aplicadores de políticas

La vigilancia, o limitación de velocidad, es un componente importante de los filtros de firewall que le permite limitar la cantidad de tráfico que entra o sale de una interfaz.

Un filtro de firewall que hace referencia a un policía puede proporcionar protección contra ataques de denegación de servicio (DOS). El tráfico que supera los límites de velocidad configurados para el aplicador se descarta o se marca como de menor prioridad que el tráfico que se ajusta a los límites de velocidad configurados. Los paquetes se pueden marcar para una prioridad más baja estableciéndose en una cola de salida específica, estableciendo en un nivel específico de prioridad de pérdida de paquetes (PLP) o ambos. Cuando sea necesario, el tráfico de baja prioridad se puede descartar para evitar la congestión.

Un aplicador de policía especifica dos tipos de límites de velocidad en el tráfico:

  • Límite de ancho de banda: la velocidad de tráfico promedio permitida, especificada como un número de bits por segundo.

  • Tamaño máximo de ráfaga: el tamaño de paquete permitido para ráfagas de datos que superan el límite de ancho de banda.

La vigilancia utiliza un algoritmo para imponer un límite en el ancho de banda promedio al tiempo que permite ráfagas de hasta un valor máximo especificado. Puede utilizar la vigilancia para definir clases específicas de tráfico en una interfaz y aplicar un conjunto de límites de velocidad a cada clase. Después de asignar un nombre y configurar un aplicador de policía, se almacena como una plantilla. A continuación, puede aplicar el aplicador de políticas en una configuración de interfaz o, solo para limitar la velocidad del tráfico filtrado por paquetes, en una configuración de filtro de firewall.

Solo para un término de filtro de firewall IPv4, también puede especificar una acción específica de prefijo como una acción de no terminación que aplica un aplicador de políticas a los paquetes coincidentes. Una acción específica de prefijo aplica criterios de coincidencia adicionales en los paquetes coincidentes con filtro en función de los bits de prefijo de dirección especificados y, a continuación, asocia los paquetes coincidentes con una instancia de contador y aplicador para ese término de filtro o para todos los términos del filtro de firewall.

Para aplicar una acción de aplicador de policía o de prefijo al tráfico filtrado de paquetes, puede utilizar las siguientes acciones de no terminación de filtro de firewall:

  • policer policer-name

  • three-color-policer (single-rate | two-rate) policer-name

  • prefix-action action-name

Nota:

Las longitudes de paquete que un policía considera dependen de la familia de direcciones del filtro de firewall. Consulte Descripción de la longitud de trama para vigilar paquetes.

Temas relacionados