Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Vue d’ensemble des filtres de pare-feu sans état qui référencent les mécanismes de contrôle

Le contrôle, ou limitation du débit, est un composant important des filtres de pare-feu qui vous permet de limiter le volume de trafic entrant ou sortant d’une interface.

Un filtre de pare-feu qui fait référence à un mécanisme de contrôle peut fournir une protection contre les attaques par déni de service (DOS). Le trafic qui dépasse les limites de débit configurées pour le mécanisme de contrôle est ignoré ou marqué comme ayant une priorité inférieure à celle du trafic conforme aux limites de débit configurées. Les paquets peuvent être marqués pour une priorité inférieure en étant définis sur une file d’attente de sortie spécifique, sur un niveau spécifique de priorité de perte de paquets (PLP), ou les deux. Si nécessaire, le trafic de faible priorité peut être écarté pour éviter les embouteillages.

Un mécanisme de contrôle spécifie deux types de limites de débit sur le trafic :

  • Limite de bande passante : débit de trafic moyen autorisé, spécifié en nombre de bits par seconde.

  • Taille maximale des rafales : taille de paquet autorisée pour les rafales de données qui dépassent la limite de bande passante.

Le contrôle utilise un algorithme pour imposer une limite à la bande passante moyenne tout en autorisant les rafales jusqu’à une valeur maximale spécifiée. Vous pouvez utiliser le contrôle pour définir des classes de trafic spécifiques sur une interface et appliquer un ensemble de limites de débit à chaque classe. Une fois que vous avez nommé et configuré un mécanisme de contrôle, il est stocké en tant que modèle. Vous pouvez ensuite appliquer le mécanisme de contrôle dans une configuration d’interface ou, pour limiter le débit du trafic filtré par paquets uniquement, dans une configuration de filtre de pare-feu.

Pour un terme de filtre de pare-feu IPv4 uniquement, vous pouvez également spécifier une action spécifique au préfixe en tant qu’action non finale qui applique un mécanisme de contrôle aux paquets correspondants. Une action spécifique au préfixe applique des critères de correspondance supplémentaires sur les paquets filtrés en fonction des bits de préfixe d’adresse spécifiés, puis associe les paquets correspondants à une instance de compteur et de mécanisme de contrôle pour ce terme de filtre ou pour tous les termes du filtre de pare-feu.

Pour appliquer un mécanisme de contrôle ou une action de préfixe au trafic filtré par paquets, vous pouvez utiliser les actions de non-terminaison de filtre de pare-feu suivantes :

  • policer policer-name

  • three-color-policer (single-rate | two-rate) policer-name

  • prefix-action action-name

REMARQUE :

La longueur des paquets prise en compte par un mécanisme de contrôle dépend de la famille d’adresses du filtre de pare-feu. Reportez-vous à la section Comprendre la longueur de trame pour les paquets de contrôle.

Rubriques connexes