Sur cette page
Présentation du comptage et du contrôle spécifiques aux préfixes
Vue d’ensemble de l’ensemble de compteurs et de mécanismes de contrôle spécifiques aux filtres
Vue d’ensemble du mécanisme de contrôle spécifique aux filtres
Exemple : Configuration du comptage et du contrôle spécifiques aux préfixes
Scénarios de configuration de comptage et de contrôle spécifiques aux préfixes
Actions de comptage et de contrôle spécifiques aux préfixes
Présentation du comptage et du contrôle spécifiques aux préfixes
- Comptage et contrôle distincts pour chaque plage d’adresses IPv4
- Configuration de l’action spécifique au préfixe
- Taille et indexation de l’ensemble des compteurs et des mécanismes de contrôle
Comptage et contrôle distincts pour chaque plage d’adresses IPv4
Le comptage et le contrôle spécifiques aux préfixes vous permettent de configurer un terme de filtre de pare-feu IPv4 qui correspond à une adresse source ou de destination, applique un mécanisme de contrôle bicolore à débit unique en tant que terme action, mais associe le paquet correspondant à une instance de compteur et de mécanisme de contrôle spécifique en fonction de la source ou de la destination dans l’en-tête du paquet. Vous pouvez implicitement créer une instance de compteur ou de mécanisme de contrôle distincte pour une seule adresse ou pour un groupe d’adresses.
Le comptage et le contrôle spécifiques aux préfixes utilisent une configuration d’actions spécifique aux préfixes qui spécifie le nom du mécanisme de contrôle que vous souhaitez appliquer, si le comptage spécifique aux préfixes doit être activé et une plage de préfixes d’adresse source ou de destination.
La plage de préfixes spécifie entre 1 et 16 bits séquentiels d’un masque d’adresse IPv4. La longueur de la plage de préfixes détermine la taille de l’ensemble de compteurs et de mécanismes de contrôle, qui se compose de 2 instances de compteur et de mécanismes de contrôle pouvant aller jusqu’à 65 536. La position des bits de la plage de préfixes détermine l’indexation des paquets filtrés dans l’ensemble d’instances.
Une action spécifique au préfixe est spécifique à une plage de préfixes source ou de destination, mais elle n’est pas spécifique à une plage d’adresses source ou de destination particulière, ni à une interface particulière.
Pour appliquer une action spécifique au préfixe au trafic d’une interface, vous devez configurer un terme de filtre de pare-feu qui correspond aux adresses source ou de destination, puis appliquer le filtre de pare-feu à l’interface. Le flux de trafic filtré est limité en débit à l’aide d’instances de comptage et de contrôle spécifiques aux préfixes qui sont sélectionnées par paquet en fonction de l’adresse source ou de destination dans l’en-tête du paquet filtré.
Configuration de l’action spécifique au préfixe
Pour configurer une action spécifique au préfixe, vous devez spécifier les informations suivantes :
Nom de l’action spécifique au préfixe : nom qui peut être référencé en tant qu’action d’un terme de filtre de pare-feu standard IPv4 qui correspond aux paquets sur les adresses source ou de destination.
Nom du mécanisme de contrôle : nom d’un mécanisme de contrôle bicolore à taux unique pour lequel vous souhaitez créer implicitement des instances spécifiques au préfixe.
REMARQUE :Pour les interfaces Ethernet agrégées, vous pouvez configurer une action spécifique au préfixe qui fait référence à un mécanisme de contrôle d’interface logique (également appelé mécanisme de contrôle d’agrégation). Vous pouvez référencer ce type d’action spécifique au préfixe à partir d’un filtre de pare-feu standard IPv4, puis appliquer le filtre au niveau agrégé de l’interface.
Counting option (Comptage) : option à inclure si vous souhaitez activer des compteurs spécifiques aux préfixes.
Option spécifique au filtre : option à inclure si vous souhaitez qu’un seul compteur et un seul ensemble de mécanismes de contrôle soient partagés entre tous les termes du filtre de pare-feu. On dit qu’une action spécifique au préfixe qui fonctionne de cette manière fonctionne en mode spécifique au filtre. Si vous n’activez pas cette option, l’action spécifique au préfixe fonctionne en mode spécifique au terme, ce qui signifie qu’un jeu de compteurs et de mécanismes de contrôle distinct est créé pour chaque terme de filtre qui fait référence à l’action spécifique au préfixe.
Longueur du préfixe de l’adresse source : longueur du préfixe d’adresse, comprise entre 0 et 32, à utiliser avec un paquet correspondant à l’adresse source.
Longueur du préfixe d’adresse de destination : longueur du préfixe d’adresse, comprise entre 0 et 32, à utiliser avec un paquet correspondant à l’adresse de destination.
Longueur du préfixe de sous-réseau : longueur du préfixe de sous-réseau, comprise entre 0 et 32, à utiliser avec un paquet correspondant à l’adresse source ou à l’adresse de destination.
Vous devez configurer la longueur des préfixes d’adresse source et de destination pour qu’elle soit de 1 à 16 bits plus longue que la longueur du préfixe de sous-réseau. Si vous configurez la longueur du préfixe de l’adresse source ou de destination pour qu’elle dépasse de plus de 16 bits la longueur du préfixe de sous-réseau configurée, une erreur se produit lorsque vous essayez de valider la configuration.
Taille et indexation de l’ensemble des compteurs et des mécanismes de contrôle
Le nombre d’actions spécifiques au préfixe (compteurs ou mécanismes de contrôle) créées implicitement pour une action spécifique au préfixe est déterminé par la longueur du préfixe d’adresse et la longueur du préfixe de sous-réseau :
Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)
Tableau 1 Montre des exemples de taille et d’indexation des ensembles de compteurs et de mécanismes de contrôle.
Exemples de longueurs de préfixe spécifiées dans l’action spécifique au préfixe |
Calcul de la taille de l’ensemble de compteurs ou de mécanismes de contrôle |
Indexation des instances |
|
---|---|---|---|
source-prefix-length = 32 subnet-prefix-length = 16 |
Size = 2^(32 - 16) = 2^16 = 65,536 instances REMARQUE :
Ce calcul indique la plus grande taille de jeu de compteurs ou de mécanismes de contrôle prise en charge. |
Instance 0 : |
x.x.0.0 |
Instance 1 : |
x.x. 0.1 |
||
Instance 65535 : |
x.x.255.255 |
||
source-prefix-length = 32 subnet-prefix-length = 24 |
Size = 2^(32 - 24) = 2^8 = 256 instances |
Instance 0 : |
x..x.x 0 |
Instance 1 : |
x..x.x 1 |
||
Instance 255 : |
x.x.x.255 |
||
source-prefix-length = 32 subnet-prefix-length = 25 |
Size = 2^(32 - 25) = 2^7 = 128 instances |
Instance 0 : |
x..x.x 0 |
Instance 1 : |
x..x.x 1 |
||
Instance 127 : |
x..x.x 127 |
||
source-prefix-length = 24 subnet-prefix-length = 20 |
Size = 2^(24 - 20) = 2^4 = 16 instances |
Instance 0 : |
x.x. 0.x |
Instance 1 : |
x.x. 1.x |
||
Instance 15 : |
x.x. 15.x |
Voir également
Vue d’ensemble de l’ensemble de compteurs et de mécanismes de contrôle spécifiques aux filtres
Par défaut, un jeu de mécanismes de contrôle spécifique à un préfixe fonctionne en mode spécifique au terme de sorte que, pour un filtre de pare-feu donné, Junos OS crée un compteur et un jeu de mécanismes de contrôle distincts pour chaque terme de filtre qui fait référence à l’action spécifique au préfixe. En option, vous pouvez configurer un jeu de mécanismes de contrôle spécifiques aux préfixes pour qu’il fonctionne en mode spécifique au filtre afin qu’un seul jeu de mécanismes de contrôle spécifique au préfixe soit utilisé par tous les termes (dans le même filtre de pare-feu) qui font référence au mécanisme de contrôle.
Dans le cas d’un filtre de pare-feu IPv4 comportant plusieurs termes faisant référence au même jeu de mécanismes de contrôle spécifique au préfixe, la configuration du jeu de mécanismes de contrôle pour qu’il fonctionne en mode spécifique au filtre vous permet de compter et de surveiller l’activité du mécanisme de contrôle défini au niveau du filtre de pare-feu.
Le mode spécifique au terme et le mode spécifique au filtre s’appliquent également aux mécanismes de contrôle. Reportez-vous à la section Vue d’ensemble du mécanisme de contrôle spécifique aux filtres.
Pour activer un mécanisme de contrôle spécifique au préfixe pour qu’il fonctionne en mode spécifique au filtre, vous pouvez inclure l’instruction filter-specific
aux niveaux hiérarchiques suivants :
[edit firewall family inet prefix-action prefix-action-name]
[edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]
Vous pouvez référencer des jeux de mécanismes de contrôle spécifiques à un filtre et à un préfixe à partir des filtres de pare-feu IPv4 (family inet
) uniquement.
Voir également
Vue d’ensemble du mécanisme de contrôle spécifique aux filtres
Par défaut, un mécanisme de contrôle fonctionne en mode spécifique à un terme, de sorte que, pour un filtre de pare-feu donné, Junos OS crée une instance de mécanisme de contrôle distincte pour chaque terme de filtre qui fait référence au mécanisme de contrôle. En option, vous pouvez configurer un mécanisme de contrôle pour qu’il fonctionne en mode spécifique au filtre afin qu’une seule instance de mécanisme de contrôle soit utilisée par tous les termes (au sein du même filtre de pare-feu ) qui font référence au mécanisme de contrôle.
Dans le cas d’un filtre de pare-feu IPv4 comportant plusieurs termes faisant référence au même mécanisme de contrôle, la configuration du mécanisme de contrôle pour qu’il fonctionne en mode spécifique au filtre vous permet de compter et de surveiller l’activité du mécanisme de contrôle au niveau du filtre de pare-feu.
Le mode spécifique au terme et le mode spécifique au filtre s’appliquent également aux jeux de mécanismes de contrôle spécifiques aux préfixes.
Pour permettre à un mécanisme de contrôle bicolore à débit unique de fonctionner en mode spécifique au filtre, vous pouvez inclure l’instruction filter-specific
aux niveaux hiérarchiques suivants :
[edit firewall policer policer-name]
[edit logical-systems logical-system-name firewall policer policer-name]
Vous pouvez référencer des mécanismes de contrôle spécifiques aux filtres à partir des filtres de pare-feu IPv4 (family inet
) uniquement.
Exemple : Configuration du comptage et du contrôle spécifiques aux préfixes
Cet exemple montre comment configurer le comptage et le contrôle spécifiques aux préfixes.
Conditions préalables
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Présentation
Dans cet exemple, vous configurez le comptage et le contrôle spécifiques aux préfixes en fonction du dernier octet du champ d’adresse source dans les paquets correspondant à un filtre de pare-feu IPv4.
Le mécanisme de contrôle bicolore à débit unique limite le trafic à une bande passante de 1 000 000 bps et à 1Mbps-policer
une limite de taille de rafale de 63 000 octets, en excluant tous les paquets d’un flux de trafic qui dépasse les limites de trafic.
Indépendamment des adresses IPv4 contenues dans les paquets transmis par un filtre de pare-feu, l’action spécifique au préfixe nommée psa-1Mbps-per-source-24-32-256
spécifie un ensemble de 256 compteurs et mécanismes de contrôle, numérotés de 0 à 255. Pour chaque paquet, le dernier octet du champ d’adresse source est utilisé pour indexer le compteur et le mécanisme de contrôle spécifiques au préfixe associés dans l’ensemble :
Paquets dont l’adresse source se termine par l’index d’octet 0x0000 00000 , premier compteur et premier mécanisme de contrôle de l’ensemble.
Paquets dont l’adresse source se termine par l’index d’octet 0x0000 0001 , le deuxième compteur et le mécanisme de contrôle de l’ensemble.
Paquets dont l’adresse source se termine par l’index d’octet 0x1111 1111 , dernier compteur et mécanisme de contrôle de l’ensemble.
Le limit-source-one-24
filtre de pare-feu contient un terme unique qui correspond à tous les paquets du sous-réseau de l’adresse 10.10.10.0
source , en transmettant ces paquets à l’action psa-1Mbps-per-source-24-32-256
/24
spécifique au préfixe .
Topologie
Dans cet exemple, étant donné que le terme de filtre correspond au /24
sous-réseau d’une seule adresse source, chaque instance de comptage et de contrôle de l’ensemble spécifique au préfixe n’est utilisée que pour une seule adresse source.
Les paquets avec une adresse
10.10.10.0
source indexent le premier compteur et le premier mécanisme de contrôle de l’ensemble.Les paquets avec une adresse
10.10.10.1
source indexent le deuxième compteur et le mécanisme de contrôle de l’ensemble.Les paquets avec une adresse
10.10.10.255
source indexent le dernier compteur et le dernier mécanisme de contrôle de l’ensemble.
Cet exemple montre le cas le plus simple des actions spécifiques au préfixe, dans lequel le terme de filtre correspond à une adresse avec une longueur de préfixe identique à la longueur de préfixe spécifiée dans l’action spécifique au préfixe pour l’indexation dans l’ensemble de compteurs et de mécanismes de contrôle spécifiques au préfixe.
Pour obtenir une description des autres configurations de comptage et de contrôle spécifiques aux préfixes, reportez-vous à la section Scénarios de configuration de comptage et de contrôle spécifiques aux préfixes.
Configuration
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.
Pour configurer cet exemple, effectuez les tâches suivantes :
- Configuration rapide de l’interface de ligne de commande
- Configuration d’un mécanisme de contrôle pour le comptage et le contrôle spécifiques aux préfixes
- Configuration d’une action spécifique au préfixe en fonction du mécanisme de contrôle
- Configuration d’un filtre IPv4 qui fait référence à l’action spécifique au préfixe
- Application du filtre de pare-feu au trafic d’entrée IPv4 au niveau d’une interface logique
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit]
hiérarchie.
set firewall policer 1Mbps-policer if-exceeding bandwidth-limit 1m set firewall policer 1Mbps-policer if-exceeding burst-size-limit 63k set firewall policer 1Mbps-policer then discard set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 policer 1Mbps-policer set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 count set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 subnet-prefix-length 24 set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 source-prefix-length 32 set firewall family inet filter limit-source-one-24 term one from source-address 10.10.10.0/24 set firewall family inet filter limit-source-one-24 term one then prefix-action psa-1Mbps-per-source-24-32-256 set interfaces so-0/0/2 unit 0 family inet filter input limit-source-one-24 set interfaces so-0/0/2 unit 0 family inet address 10.39.1.1/16
Configuration d’un mécanisme de contrôle pour le comptage et le contrôle spécifiques aux préfixes
Procédure étape par étape
Pour configurer un mécanisme de contrôle à utiliser pour le comptage et le contrôle spécifiques aux préfixes :
Activez la configuration d’un mécanisme de contrôle bicolore à taux unique.
[edit] user@host# edit firewall policer 1Mbps-policer
Définissez la limite de trafic.
[edit firewall policer 1Mbps-policer] user@host# set if-exceeding bandwidth-limit 1m user@host# set if-exceeding burst-size-limit 63k
Les paquets d’un flux de trafic conforme à cette limite sont transmis avec le PLP défini sur
low
.Définissez les actions pour le trafic non conforme.
[edit firewall policer 1Mbps-policer] user@host# set then discard
Les paquets d’un flux de trafic qui dépasse cette limite sont ignorés. D’autres actions configurables pour un mécanisme de contrôle bicolore à débit unique consistent à définir la classe de transfert et à définir le niveau PLP.
Résultats
Confirmez la configuration du mécanisme de contrôle en entrant la show firewall
commande de mode de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit] user@host# show firewall policer 1Mbps-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 63k; } then discard; }
Configuration d’une action spécifique au préfixe en fonction du mécanisme de contrôle
Procédure étape par étape
Pour configurer une action spécifique au préfixe qui fait référence au mécanisme de contrôle et spécifie une partie d’un préfixe d’adresse source :
Activez la configuration d’une action spécifique au préfixe.
[edit] user@host# edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256
Le comptage et le contrôle spécifiques aux préfixes peuvent être définis pour le trafic IPv4 uniquement.
Référencez le mécanisme de contrôle pour lequel un jeu spécifique au préfixe doit être créé.
[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set policer 1Mbps-policer user@host# set count
REMARQUE :Pour les interfaces Ethernet agrégées, vous pouvez configurer une action spécifique au préfixe qui fait référence à un mécanisme de contrôle d’interface logique (également appelé mécanisme de contrôle d’agrégation). Vous pouvez référencer ce type d’action spécifique au préfixe à partir d’un filtre de pare-feu standard IPv4, puis appliquer le filtre au niveau agrégé de l’interface.
Spécifiez la plage de préfixes sur laquelle les adresses IPv4 doivent être indexées dans le jeu de compteurs et de mécanismes de contrôle.
[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set source-prefix-length 32 user@host# set subnet-prefix-length 24
Résultats
Confirmez la configuration de l’action spécifique au préfixe en entrant la show firewall
commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit] user@host# show firewall policer 1Mbps-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 63k; } then discard; } family inet { prefix-action psa-1Mbps-per-source-24-32-256 { policer 1Mbps-policer; subnet-prefix-length 24; source-prefix-length 32; } }
Configuration d’un filtre IPv4 qui fait référence à l’action spécifique au préfixe
Procédure étape par étape
Pour configurer un filtre de pare-feu standard IPv4 qui fait référence à l’action spécifique au préfixe :
Activez la configuration du filtre de pare-feu standard IPv4.
[edit] user@host# edit firewall family inet filter limit-source-one-24
Le comptage et le contrôle spécifiques aux préfixes peuvent être définis pour le trafic IPv4 uniquement.
Configurez le terme de filtre pour qu’il corresponde à l’adresse source ou à l’adresse de destination du paquet.
[edit firewall family inet filter limit-source-one-24] user@host# set term one from source-address 10.10.10.0/24
Configurez le terme de filtre pour qu’il fasse référence à l’action spécifique au préfixe.
[edit firewall family inet filter limit-source-one-24] user@host# set term one then prefix-action psa-1Mbps-per-source-24-32-256
Vous pouvez également utiliser cette
next term
action pour configurer tout le trafic HTTP (Hypertext Transfer Protocol) vers chaque hôte afin qu’il transmette à 500 Kbits/s et que le trafic HTTP total soit limité à 1 Mbit/s.
Résultats
Confirmez la configuration de l’action spécifique au préfixe en entrant la show firewall
commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit] user@host# show firewall policer 1Mbps-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 63k; } then discard; } family inet { prefix-action psa-1Mbps-per-source-24-32-256 { policer 1Mbps-policer; subnet-prefix-length 24; source-prefix-length 32; } filter limit-source-one-24 { term one { from { source-address { 10.10.10.0/24; } } then prefix-action psa-1Mbps-per-source-24-32-256; } } }
Application du filtre de pare-feu au trafic d’entrée IPv4 au niveau d’une interface logique
Procédure étape par étape
Pour appliquer le filtre de pare-feu au trafic d’entrée IPv4 au niveau d’une interface logique :
Activez la configuration d’IPv4 sur l’interface logique.
[edit] user@host# edit interfaces so-0/0/2 unit 0 family inet
Configurez une adresse IP.
[edit interfaces so-0/0/2 unit 0 family inet] user@host# set address 10.39.1.1/16
Appliquez le filtre de pare-feu sans état standard IPv4.
[edit interfaces so-0/0/2 unit 0 family inet] user@host# set filter input limit-source-one-24
Résultats
Confirmez la configuration de l’action spécifique au préfixe en entrant la show interfaces
commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.
[edit] user@host# show interfaces so-0/0/2 { unit 0 { family inet { filter { input limit-source-one-24; } address 10.39.1.1/16; } } }
Si vous avez terminé de configurer l’appareil, passez commit
en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Affichage des filtres de pare-feu appliqués à une interface
- Affichage des statistiques d’actions spécifiques au préfixe pour le filtre de pare-feu
Affichage des filtres de pare-feu appliqués à une interface
But
Vérifiez que le filtre limit-source-one-24
de pare-feu est appliqué au trafic d’entrée IPv4 au niveau de l’interface so-0/0/2.0
logique .
Action
Utilisez la commande mode opérationnel pour l’interface show interfaces statistics
so-0/0/2.0
logique et incluez l’option detail
. Dans la section de sortie de la commande pour Protocol inet, le champ affiche limit-source-one-24, indiquant que le filtre est appliqué au trafic IPv4 dans le Input Filters sens d’entrée :
user@host> show interfaces statistics so-0/0/2.0 detail Logical interface so-0/0/2.0 (Index 79) (SNMP ifIndex 510) (Generation 149) Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP Protocol inet, MTU: 4470, Generation: 173, Route table: 0 Flags: Sendbcast-pkt-to-re, Protocol-Down Input Filters: limit-source-one-24 Addresses, Flags: Dest-route-down Is-Preferred Is-Primary Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
Affichage des statistiques d’actions spécifiques au préfixe pour le filtre de pare-feu
But
Vérifiez le nombre de paquets évalués par le mécanisme de contrôle.
Action
Utilisez la show firewall prefix-action-stats filter filter-name prefix-action name
commande mode opérationnel pour afficher les statistiques d’une action spécifique au préfixe configurée sur un filtre de pare-feu.
En option, vous pouvez utiliser l’option from set-index to set-index
de commande pour spécifier le compteur ou le mécanisme de contrôle de début et de fin à afficher. Un jeu de mécanismes de contrôle est indexé de 0 à 65535.
La sortie de la commande affiche le nom du filtre spécifié, suivi d’une liste du nombre d’octets et de paquets traités par chaque mécanisme de contrôle du jeu de mécanismes de contrôle.
Dans le cas d’un mécanisme de contrôle spécifique à un terme, chaque mécanisme de contrôle de l’ensemble est identifié comme suit :
prefix-specific-action-name-term-name-set-index
Dans le cas d’un mécanisme de contrôle spécifique à un filtre, chaque mécanisme de contrôle est identifié dans la sortie de la commande comme suit :
prefix-specific-action-name-set-index
Étant donné que l’exemple d’action psa-1Mbps-per-source-24-32-256
spécifique au préfixe n’est référencé que par un seul terme du filtre limit-source-one-24
d’exemple , le mécanisme de contrôle 1Mbps-policer
de l’exemple est configuré comme étant spécifique au terme. Dans la sortie de la commande, les statistiques du mécanisme de contrôle sont affichées sous la forme psa-1Mbps-per-source-24-32-256-one-0
, psa-1Mbps-per-source-24-32-256-one-1
, et ainsi de show firewall prefix-action-stats
suite jusqu’à .psa-1Mbps-per-source-24-32-256-one-255
user@host> show firewall prefix-action-stats filter limit-source-one-24 prefix-action psa-1Mbps-per-source-24-32-256 from 0 to 9 Filter: limit-source-one-24 Counters: Name Bytes Packets psa-1Mbps-per-source-24-32-256-one-0 0 0 psa-1Mbps-per-source-24-32-256-one-1 0 0 psa-1Mbps-per-source-24-32-256-one-2 0 0 psa-1Mbps-per-source-24-32-256-one-3 0 0 psa-1Mbps-per-source-24-32-256-one-4 0 0 psa-1Mbps-per-source-24-32-256-one-5 0 0 psa-1Mbps-per-source-24-32-256-one-6 0 0 psa-1Mbps-per-source-24-32-256-one-7 0 0 psa-1Mbps-per-source-24-32-256-one-8 0 0 psa-1Mbps-per-source-24-32-256-one-9 0 0
Scénarios de configuration de comptage et de contrôle spécifiques aux préfixes
- Longueur du préfixe de l’action et longueur du préfixe des adresses dans les paquets filtrés
- Scénario 1 : Correspondances de termes de filtre de pare-feu sur plusieurs adresses
- Scénario 2 : Le préfixe de sous-réseau est plus long que le préfixe dans la condition de correspondance du filtre
- Scénario 3 : sous-réseauLe préfixe du 128e compteur et du mécanisme de contrôle est plus court que le préfixe dans la condition de correspondance du filtre de pare-feu
Longueur du préfixe de l’action et longueur du préfixe des adresses dans les paquets filtrés
Tableau 2 Décrit la relation entre la longueur du préfixe spécifiée dans l’action spécifique au préfixe et la longueur du préfixe des adresses correspondant au terme de filtre du pare-feu qui fait référence à l’action spécifique au préfixe.
Ensemble de compteurs et de contrôleurs |
Critères de filtrage des paquets |
Indexation des instances |
||
---|---|---|---|---|
Scénario d’action spécifique au préfixe : Exemple : Configuration du comptage et du contrôle spécifiques aux préfixes |
||||
source-prefix-length = 32 subnet-prefix-length = 24 Taille de l’ensemble : 2^8 = 256Numéros d’instance : 0 - 255 |
source-address = 10.10.10.0/24 |
Instance 0 |
10.10.10.0 |
|
Instance 1 : |
10.10.10.1 |
|||
|
|
|||
Instance 255 : |
10.10.10.255 |
|||
Scénario d’action spécifique au préfixe : Scénario 1 : Correspondances de termes de filtre de pare-feu sur plusieurs adresses |
||||
source-prefix-length = 32 subnet-prefix-length = 24 Taille de l’ensemble : 2^8 = 256Numéros d’instance : 0 - 255 |
source-address = 10.10.10.0/24 source-address = 10.11.0.0/16 |
Instance 0 |
10.10.10.0,10.11.x.0 |
|
Instance 1 : |
10.10.10.1,10.11.x.1 |
|||
|
|
|||
Instance 255 : |
10.10.10.255,10.11.x.255 |
|||
Pour les adresses du sous-réseau /16, x est comprise entre 0 et 255. |
||||
Scénario d’action spécifique au préfixe : Scénario 2 : Le préfixe de sous-réseau est plus long que le préfixe dans la condition de correspondance du filtre |
||||
source-prefix-length = 32 subnet-prefix-length = 25 Taille de l’ensemble : 2^7 = 128Numéros d’instance : 0 - 127 |
source-address = 10.10.10.0/24 |
Instance 0 |
10.10.10.0,10.10.10.128 |
|
Instance 1 : |
10.10.10.1,10.10.10.120 |
|||
|
|
|||
Instance 127 : |
10.10.10.255,10.10.10.127 |
|||
Scénario d’action spécifique au préfixe : Scénario 3 : sous-réseauLe préfixe du 128e compteur et du mécanisme de contrôle est plus court que le préfixe dans la condition de correspondance du filtre de pare-feu |
||||
source-prefix-length = 32 subnet-prefix-length = 24 Taille de l’ensemble : 2^8 = 256Numéros d’instance : 0 - 255 |
source-address = 10.10.10.0/25 REMARQUE :
Seuls les paquets dont l’adresse source est comprise entre |
Instance 0 |
10.10.10.0 |
|
Instance 1 : |
10.10.10.1 |
|||
|
|
|||
Instance 127 : |
10.10.10.127 |
|||
Instances 128 à 255 : Inutilisés |
Scénario 1 : Correspondances de termes de filtre de pare-feu sur plusieurs adresses
L’exemple complet, , montre le cas le plus simple des actions spécifiques au préfixe, Exemple : Configuration du comptage et du contrôle spécifiques aux préfixesdans lesquelles un filtre de pare-feu à terme unique correspond à une adresse dont la longueur du préfixe est identique à la longueur du préfixe de sous-réseau spécifiée dans l’action spécifique au préfixe. Contrairement à l’exemple, ce scénario décrit une configuration dans laquelle un filtre de pare-feu à terme unique correspond sur deux adresses source IPv4. En outre, la condition supplémentaire correspond à une adresse source dont la longueur de préfixe est différente de la longueur de préfixe de sous-réseau définie dans l’action spécifique au préfixe. Dans ce cas, la condition supplémentaire correspond sur le /16
sous-réseau de l’adresse 10.11.0.0
source.
Contrairement aux paquets qui correspondent à l’adresse source, les paquets qui correspondent à l’adresse 10.10.10.0/24
10.11.0.0/16
source sont en correspondance plusieurs-à-un avec les instances de l’ensemble des compteurs et des mécanismes de contrôle.
Les paquets filtrés qui sont transmis à l’index d’action spécifique au préfixe dans le compteur et le mécanisme de contrôle sont définis de manière à ce que les instances de comptage et de contrôle soient partagées par les paquets qui contiennent des adresses source sur les 10.10.10.0/24
sous-réseaux et 10.11.0.0/16
comme suit :
Le premier compteur et le premier mécanisme de contrôle de l’ensemble sont indexés par des paquets dont l’adresse
10.10.10.0
source est et10.11.x.0
, où x les intervalles sont compris entre0
255
.Le deuxième compteur et le mécanisme de contrôle de l’ensemble sont indexés par des paquets avec des adresses
10.10.10.1
sources et10.11.x.1
, où x les intervalles sont compris entre0
.255
Le 256e (dernier) compteur et le mécanisme de contrôle de l’ensemble sont indexés par des paquets avec des adresses sources et , où x les intervalles sont compris entre
0
255
.10.11.x.255
10.10.10.255
La configuration suivante montre les instructions de configuration du mécanisme de contrôle bicolore à débit unique, de l’action spécifique au préfixe qui fait référence au mécanisme de contrôle et du filtre de pare-feu sans état standard IPv4 qui fait référence à l’action spécifique au préfixe :
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-two-24-16 {
term one {
from {
source-address {
10.10.10.0/24;
10.11.0.0/16
;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-two-24-16;
}
address 10.39.1.1/16;
}
}
}
}
Scénario 2 : Le préfixe de sous-réseau est plus long que le préfixe dans la condition de correspondance du filtre
L’exemple complet, , montre le cas le plus simple des actions spécifiques au préfixe, Exemple : Configuration du comptage et du contrôle spécifiques aux préfixesdans lesquelles le filtre de pare-feu à terme unique correspond à une adresse dont la longueur du préfixe est identique à la longueur du préfixe de sous-réseau spécifiée dans l’action spécifique au préfixe. Contrairement à l’exemple, ce scénario décrit une configuration dans laquelle l’action spécifique au préfixe définit une longueur de préfixe de sous-réseau supérieure au préfixe de l’adresse source correspondant au filtre de pare-feu. Dans ce cas, l’action spécifique au préfixe définit une valeur de préfixe de sous-réseau , tandis que le filtre de 25
pare-feu correspond à une adresse source dans le /24
sous-réseau.
Le filtre de pare-feu transmet les paquets d’actions spécifiques au préfixe avec des adresses sources comprises entre 10.10.10.0
10.10.10.255
, tandis que l’action spécifique au préfixe spécifie un ensemble de 128 compteurs et mécanismes de contrôle, numérotés de 0 à 127.
Les paquets filtrés qui sont transmis à l’index d’action spécifique au préfixe dans le compteur et le mécanisme de contrôle sont définis de manière à ce que les instances de comptage et de contrôle soient partagées par les paquets qui contiennent l’une des deux adresses source dans le 10.10.10.0/24
sous-réseau :
Le premier compteur et le premier mécanisme de contrôle de l’ensemble sont indexés par des paquets avec des adresses
10.10.10.0
sources et10.10.10.128
.Le deuxième compteur et le mécanisme de contrôle de l’ensemble sont indexés par des paquets avec des adresses
10.10.10.1
sources et10.10.10.129
.Le 128e (dernier) compteur et le mécanisme de contrôle de l’ensemble sont indexés par des paquets avec des adresses
10.10.10.127
sources et10.10.10.255
.
La configuration suivante montre les instructions de configuration du mécanisme de contrôle bicolore à débit unique, de l’action spécifique au préfixe qui fait référence au mécanisme de contrôle et du filtre de pare-feu sans état standard IPv4 qui fait référence à l’action spécifique au préfixe :
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-25-32-128 {
policer 1Mbps-policer;
subnet-prefix-length 25
;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-25-32-128;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
}
Scénario 3 : sous-réseauLe préfixe du 128e compteur et du mécanisme de contrôle est plus court que le préfixe dans la condition de correspondance du filtre de pare-feu
L’exemple complet, , montre le cas le plus simple des actions spécifiques au préfixe, Exemple : Configuration du comptage et du contrôle spécifiques aux préfixesdans lesquelles le filtre de pare-feu à terme unique correspond à une adresse dont la longueur du préfixe est identique à la longueur du préfixe de sous-réseau spécifiée dans l’action spécifique au préfixe. Contrairement à l’exemple, ce scénario décrit une configuration dans laquelle l’action spécifique au préfixe définit une longueur de préfixe de sous-réseau inférieure au préfixe de l’adresse source correspondant au filtre de pare-feu. Dans ce cas, le terme de filtre correspond sur le /25
sous-réseau de l’adresse 10.10.10.0
source.
Le filtre de pare-feu ne transmet l’action spécifique au préfixe qu’aux paquets dont les adresses sources sont comprises entre 10.10.10.0
10.10.10.127
, tandis que l’action spécifique au préfixe spécifie un ensemble de 256 compteurs et mécanismes de contrôle, numérotés de 0 à 255.
Les paquets correspondants qui sont transmis à l’index d’action spécifique au préfixe dans la moitié inférieure de l’ensemble de compteurs et de mécanismes de contrôle uniquement :
Le premier compteur et le premier mécanisme de contrôle de l’ensemble sont indexés par paquets avec l’adresse
10.10.10.0
source.Le deuxième compteur et le mécanisme de contrôle de l’ensemble sont indexés par des paquets dont l’adresse
10.10.10.1
source est et10.10.10.129
.Le 128e compteur et le mécanisme de contrôle de l’ensemble sont indexés par des paquets avec l’adresse
10.10.10.127
source.La moitié supérieure de l’ensemble (instances numérotées de 128 à 255) n’est pas indexée par les paquets passés à l’action spécifique au préfixe à partir de ce filtre de pare-feu particulier.
La configuration suivante montre les instructions de configuration du mécanisme de contrôle bicolore à débit unique, de l’action spécifique au préfixe qui fait référence au mécanisme de contrôle et du filtre de pare-feu sans état standard IPv4 qui fait référence à l’action spécifique au préfixe :
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-25 {
term one {
from {
source-address {
10.10.10.0/25
;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-25;
}
address 10.39.1.1/16;
}
}
}
}