Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Actions de comptage et de contrôle spécifiques aux préfixes

Présentation du comptage et du contrôle spécifiques aux préfixes

Comptage et contrôle distincts pour chaque plage d’adresses IPv4

Le comptage et le contrôle spécifiques aux préfixes vous permettent de configurer un terme de filtre de pare-feu IPv4 qui correspond à une adresse source ou de destination, applique un mécanisme de contrôle bicolore à débit unique en tant que terme action, mais associe le paquet correspondant à une instance de compteur et de mécanisme de contrôle spécifique en fonction de la source ou de la destination dans l’en-tête du paquet. Vous pouvez implicitement créer une instance de compteur ou de mécanisme de contrôle distincte pour une seule adresse ou pour un groupe d’adresses.

Le comptage et le contrôle spécifiques aux préfixes utilisent une configuration d’actions spécifique aux préfixes qui spécifie le nom du mécanisme de contrôle que vous souhaitez appliquer, si le comptage spécifique aux préfixes doit être activé et une plage de préfixes d’adresse source ou de destination.

La plage de préfixes spécifie entre 1 et 16 bits séquentiels d’un masque d’adresse IPv4. La longueur de la plage de préfixes détermine la taille de l’ensemble de compteurs et de mécanismes de contrôle, qui se compose de 2 instances de compteur et de mécanismes de contrôle pouvant aller jusqu’à 65 536. La position des bits de la plage de préfixes détermine l’indexation des paquets filtrés dans l’ensemble d’instances.

REMARQUE :

Une action spécifique au préfixe est spécifique à une plage de préfixes source ou de destination, mais elle n’est pas spécifique à une plage d’adresses source ou de destination particulière, ni à une interface particulière.

Pour appliquer une action spécifique au préfixe au trafic d’une interface, vous devez configurer un terme de filtre de pare-feu qui correspond aux adresses source ou de destination, puis appliquer le filtre de pare-feu à l’interface. Le flux de trafic filtré est limité en débit à l’aide d’instances de comptage et de contrôle spécifiques aux préfixes qui sont sélectionnées par paquet en fonction de l’adresse source ou de destination dans l’en-tête du paquet filtré.

Configuration de l’action spécifique au préfixe

Pour configurer une action spécifique au préfixe, vous devez spécifier les informations suivantes :

  • Nom de l’action spécifique au préfixe : nom qui peut être référencé en tant qu’action d’un terme de filtre de pare-feu standard IPv4 qui correspond aux paquets sur les adresses source ou de destination.

  • Nom du mécanisme de contrôle : nom d’un mécanisme de contrôle bicolore à taux unique pour lequel vous souhaitez créer implicitement des instances spécifiques au préfixe.

    REMARQUE :

    Pour les interfaces Ethernet agrégées, vous pouvez configurer une action spécifique au préfixe qui fait référence à un mécanisme de contrôle d’interface logique (également appelé mécanisme de contrôle d’agrégation). Vous pouvez référencer ce type d’action spécifique au préfixe à partir d’un filtre de pare-feu standard IPv4, puis appliquer le filtre au niveau agrégé de l’interface.

  • Counting option (Comptage) : option à inclure si vous souhaitez activer des compteurs spécifiques aux préfixes.

  • Option spécifique au filtre : option à inclure si vous souhaitez qu’un seul compteur et un seul ensemble de mécanismes de contrôle soient partagés entre tous les termes du filtre de pare-feu. On dit qu’une action spécifique au préfixe qui fonctionne de cette manière fonctionne en mode spécifique au filtre. Si vous n’activez pas cette option, l’action spécifique au préfixe fonctionne en mode spécifique au terme, ce qui signifie qu’un jeu de compteurs et de mécanismes de contrôle distinct est créé pour chaque terme de filtre qui fait référence à l’action spécifique au préfixe.

  • Longueur du préfixe de l’adresse source : longueur du préfixe d’adresse, comprise entre 0 et 32, à utiliser avec un paquet correspondant à l’adresse source.

  • Longueur du préfixe d’adresse de destination : longueur du préfixe d’adresse, comprise entre 0 et 32, à utiliser avec un paquet correspondant à l’adresse de destination.

  • Longueur du préfixe de sous-réseau : longueur du préfixe de sous-réseau, comprise entre 0 et 32, à utiliser avec un paquet correspondant à l’adresse source ou à l’adresse de destination.

Vous devez configurer la longueur des préfixes d’adresse source et de destination pour qu’elle soit de 1 à 16 bits plus longue que la longueur du préfixe de sous-réseau. Si vous configurez la longueur du préfixe de l’adresse source ou de destination pour qu’elle dépasse de plus de 16 bits la longueur du préfixe de sous-réseau configurée, une erreur se produit lorsque vous essayez de valider la configuration.

Taille et indexation de l’ensemble des compteurs et des mécanismes de contrôle

Le nombre d’actions spécifiques au préfixe (compteurs ou mécanismes de contrôle) créées implicitement pour une action spécifique au préfixe est déterminé par la longueur du préfixe d’adresse et la longueur du préfixe de sous-réseau :

  1. Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)

Tableau 1 Montre des exemples de taille et d’indexation des ensembles de compteurs et de mécanismes de contrôle.

Tableau 1 : Exemples de taille et d’indexation d’ensembles de compteurs et de mécanismes de contrôle

Exemples de longueurs de préfixe spécifiées dans l’action spécifique au préfixe

Calcul de la taille de l’ensemble de compteurs ou de mécanismes de contrôle

Indexation des instances

source-prefix-length = 32 subnet-prefix-length = 16

Size = 2^(32 - 16) = 2^16 = 65,536 instances

REMARQUE :

Ce calcul indique la plus grande taille de jeu de compteurs ou de mécanismes de contrôle prise en charge.

Instance 0 :

x.x.0.0

Instance 1 :

x.x. 0.1

Instance 65535 :

x.x.255.255

source-prefix-length = 32 subnet-prefix-length = 24

Size = 2^(32 - 24) = 2^8 = 256 instances

Instance 0 :

x..x.x 0

Instance 1 :

x..x.x 1

Instance 255 :

x.x.x.255

source-prefix-length = 32 subnet-prefix-length = 25

Size = 2^(32 - 25) = 2^7 = 128 instances

Instance 0 :

x..x.x 0

Instance 1 :

x..x.x 1

Instance 127 :

x..x.x 127

source-prefix-length = 24 subnet-prefix-length = 20

Size = 2^(24 - 20) = 2^4 = 16 instances

Instance 0 :

x.x. 0.x

Instance 1 :

x.x. 1.x

Instance 15 :

x.x. 15.x

Vue d’ensemble de l’ensemble de compteurs et de mécanismes de contrôle spécifiques aux filtres

Par défaut, un jeu de mécanismes de contrôle spécifique à un préfixe fonctionne en mode spécifique au terme de sorte que, pour un filtre de pare-feu donné, Junos OS crée un compteur et un jeu de mécanismes de contrôle distincts pour chaque terme de filtre qui fait référence à l’action spécifique au préfixe. En option, vous pouvez configurer un jeu de mécanismes de contrôle spécifiques aux préfixes pour qu’il fonctionne en mode spécifique au filtre afin qu’un seul jeu de mécanismes de contrôle spécifique au préfixe soit utilisé par tous les termes (dans le même filtre de pare-feu) qui font référence au mécanisme de contrôle.

Dans le cas d’un filtre de pare-feu IPv4 comportant plusieurs termes faisant référence au même jeu de mécanismes de contrôle spécifique au préfixe, la configuration du jeu de mécanismes de contrôle pour qu’il fonctionne en mode spécifique au filtre vous permet de compter et de surveiller l’activité du mécanisme de contrôle défini au niveau du filtre de pare-feu.

REMARQUE :

Le mode spécifique au terme et le mode spécifique au filtre s’appliquent également aux mécanismes de contrôle. Reportez-vous à la section Vue d’ensemble du mécanisme de contrôle spécifique aux filtres.

Pour activer un mécanisme de contrôle spécifique au préfixe pour qu’il fonctionne en mode spécifique au filtre, vous pouvez inclure l’instruction filter-specific aux niveaux hiérarchiques suivants :

  • [edit firewall family inet prefix-action prefix-action-name]

  • [edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]

Vous pouvez référencer des jeux de mécanismes de contrôle spécifiques à un filtre et à un préfixe à partir des filtres de pare-feu IPv4 (family inet) uniquement.

Vue d’ensemble du mécanisme de contrôle spécifique aux filtres

Par défaut, un mécanisme de contrôle fonctionne en mode spécifique à un terme, de sorte que, pour un filtre de pare-feu donné, Junos OS crée une instance de mécanisme de contrôle distincte pour chaque terme de filtre qui fait référence au mécanisme de contrôle. En option, vous pouvez configurer un mécanisme de contrôle pour qu’il fonctionne en mode spécifique au filtre afin qu’une seule instance de mécanisme de contrôle soit utilisée par tous les termes (au sein du même filtre de pare-feu ) qui font référence au mécanisme de contrôle.

Dans le cas d’un filtre de pare-feu IPv4 comportant plusieurs termes faisant référence au même mécanisme de contrôle, la configuration du mécanisme de contrôle pour qu’il fonctionne en mode spécifique au filtre vous permet de compter et de surveiller l’activité du mécanisme de contrôle au niveau du filtre de pare-feu.

REMARQUE :

Le mode spécifique au terme et le mode spécifique au filtre s’appliquent également aux jeux de mécanismes de contrôle spécifiques aux préfixes.

Pour permettre à un mécanisme de contrôle bicolore à débit unique de fonctionner en mode spécifique au filtre, vous pouvez inclure l’instruction filter-specific aux niveaux hiérarchiques suivants :

  • [edit firewall policer policer-name]

  • [edit logical-systems logical-system-name firewall policer policer-name]

Vous pouvez référencer des mécanismes de contrôle spécifiques aux filtres à partir des filtres de pare-feu IPv4 (family inet) uniquement.

Exemple : Configuration du comptage et du contrôle spécifiques aux préfixes

Cet exemple montre comment configurer le comptage et le contrôle spécifiques aux préfixes.

Conditions préalables

Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.

Présentation

Dans cet exemple, vous configurez le comptage et le contrôle spécifiques aux préfixes en fonction du dernier octet du champ d’adresse source dans les paquets correspondant à un filtre de pare-feu IPv4.

Le mécanisme de contrôle bicolore à débit unique limite le trafic à une bande passante de 1 000 000 bps et à 1Mbps-policer une limite de taille de rafale de 63 000 octets, en excluant tous les paquets d’un flux de trafic qui dépasse les limites de trafic.

Indépendamment des adresses IPv4 contenues dans les paquets transmis par un filtre de pare-feu, l’action spécifique au préfixe nommée psa-1Mbps-per-source-24-32-256 spécifie un ensemble de 256 compteurs et mécanismes de contrôle, numérotés de 0 à 255. Pour chaque paquet, le dernier octet du champ d’adresse source est utilisé pour indexer le compteur et le mécanisme de contrôle spécifiques au préfixe associés dans l’ensemble :

  • Paquets dont l’adresse source se termine par l’index d’octet 0x0000 00000 , premier compteur et premier mécanisme de contrôle de l’ensemble.

  • Paquets dont l’adresse source se termine par l’index d’octet 0x0000 0001 , le deuxième compteur et le mécanisme de contrôle de l’ensemble.

  • Paquets dont l’adresse source se termine par l’index d’octet 0x1111 1111 , dernier compteur et mécanisme de contrôle de l’ensemble.

Le limit-source-one-24 filtre de pare-feu contient un terme unique qui correspond à tous les paquets du sous-réseau de l’adresse 10.10.10.0source , en transmettant ces paquets à l’action psa-1Mbps-per-source-24-32-256/24 spécifique au préfixe .

Topologie

Dans cet exemple, étant donné que le terme de filtre correspond au /24 sous-réseau d’une seule adresse source, chaque instance de comptage et de contrôle de l’ensemble spécifique au préfixe n’est utilisée que pour une seule adresse source.

  • Les paquets avec une adresse 10.10.10.0 source indexent le premier compteur et le premier mécanisme de contrôle de l’ensemble.

  • Les paquets avec une adresse 10.10.10.1 source indexent le deuxième compteur et le mécanisme de contrôle de l’ensemble.

  • Les paquets avec une adresse 10.10.10.255 source indexent le dernier compteur et le dernier mécanisme de contrôle de l’ensemble.

Cet exemple montre le cas le plus simple des actions spécifiques au préfixe, dans lequel le terme de filtre correspond à une adresse avec une longueur de préfixe identique à la longueur de préfixe spécifiée dans l’action spécifique au préfixe pour l’indexation dans l’ensemble de compteurs et de mécanismes de contrôle spécifiques au préfixe.

Pour obtenir une description des autres configurations de comptage et de contrôle spécifiques aux préfixes, reportez-vous à la section Scénarios de configuration de comptage et de contrôle spécifiques aux préfixes.

Configuration

L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utiliser l’éditeur CLI en mode configuration.

Pour configurer cet exemple, effectuez les tâches suivantes :

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les sauts de ligne, puis collez-les dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.

Configuration d’un mécanisme de contrôle pour le comptage et le contrôle spécifiques aux préfixes

Procédure étape par étape

Pour configurer un mécanisme de contrôle à utiliser pour le comptage et le contrôle spécifiques aux préfixes :

  1. Activez la configuration d’un mécanisme de contrôle bicolore à taux unique.

  2. Définissez la limite de trafic.

    Les paquets d’un flux de trafic conforme à cette limite sont transmis avec le PLP défini sur low.

  3. Définissez les actions pour le trafic non conforme.

    Les paquets d’un flux de trafic qui dépasse cette limite sont ignorés. D’autres actions configurables pour un mécanisme de contrôle bicolore à débit unique consistent à définir la classe de transfert et à définir le niveau PLP.

Résultats

Confirmez la configuration du mécanisme de contrôle en entrant la show firewall commande de mode de configuration. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration d’une action spécifique au préfixe en fonction du mécanisme de contrôle

Procédure étape par étape

Pour configurer une action spécifique au préfixe qui fait référence au mécanisme de contrôle et spécifie une partie d’un préfixe d’adresse source :

  1. Activez la configuration d’une action spécifique au préfixe.

    Le comptage et le contrôle spécifiques aux préfixes peuvent être définis pour le trafic IPv4 uniquement.

  2. Référencez le mécanisme de contrôle pour lequel un jeu spécifique au préfixe doit être créé.

    REMARQUE :

    Pour les interfaces Ethernet agrégées, vous pouvez configurer une action spécifique au préfixe qui fait référence à un mécanisme de contrôle d’interface logique (également appelé mécanisme de contrôle d’agrégation). Vous pouvez référencer ce type d’action spécifique au préfixe à partir d’un filtre de pare-feu standard IPv4, puis appliquer le filtre au niveau agrégé de l’interface.

  3. Spécifiez la plage de préfixes sur laquelle les adresses IPv4 doivent être indexées dans le jeu de compteurs et de mécanismes de contrôle.

Résultats

Confirmez la configuration de l’action spécifique au préfixe en entrant la show firewall commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration d’un filtre IPv4 qui fait référence à l’action spécifique au préfixe

Procédure étape par étape

Pour configurer un filtre de pare-feu standard IPv4 qui fait référence à l’action spécifique au préfixe :

  1. Activez la configuration du filtre de pare-feu standard IPv4.

    Le comptage et le contrôle spécifiques aux préfixes peuvent être définis pour le trafic IPv4 uniquement.

  2. Configurez le terme de filtre pour qu’il corresponde à l’adresse source ou à l’adresse de destination du paquet.

  3. Configurez le terme de filtre pour qu’il fasse référence à l’action spécifique au préfixe.

    Vous pouvez également utiliser cette next term action pour configurer tout le trafic HTTP (Hypertext Transfer Protocol) vers chaque hôte afin qu’il transmette à 500 Kbits/s et que le trafic HTTP total soit limité à 1 Mbit/s.

Résultats

Confirmez la configuration de l’action spécifique au préfixe en entrant la show firewall commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Application du filtre de pare-feu au trafic d’entrée IPv4 au niveau d’une interface logique

Procédure étape par étape

Pour appliquer le filtre de pare-feu au trafic d’entrée IPv4 au niveau d’une interface logique :

  1. Activez la configuration d’IPv4 sur l’interface logique.

  2. Configurez une adresse IP.

  3. Appliquez le filtre de pare-feu sans état standard IPv4.

Résultats

Confirmez la configuration de l’action spécifique au préfixe en entrant la show interfaces commande configuration mode. Si la sortie de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Si vous avez terminé de configurer l’appareil, passez commit en mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Affichage des filtres de pare-feu appliqués à une interface

But

Vérifiez que le filtre limit-source-one-24 de pare-feu est appliqué au trafic d’entrée IPv4 au niveau de l’interface so-0/0/2.0logique .

Action

Utilisez la commande mode opérationnel pour l’interface show interfaces statisticsso-0/0/2.0logique et incluez l’option detail . Dans la section de sortie de la commande pour Protocol inet, le champ affiche limit-source-one-24, indiquant que le filtre est appliqué au trafic IPv4 dans le Input Filters sens d’entrée :

Affichage des statistiques d’actions spécifiques au préfixe pour le filtre de pare-feu

But

Vérifiez le nombre de paquets évalués par le mécanisme de contrôle.

Action

Utilisez la show firewall prefix-action-stats filter filter-name prefix-action name commande mode opérationnel pour afficher les statistiques d’une action spécifique au préfixe configurée sur un filtre de pare-feu.

En option, vous pouvez utiliser l’option from set-index to set-index de commande pour spécifier le compteur ou le mécanisme de contrôle de début et de fin à afficher. Un jeu de mécanismes de contrôle est indexé de 0 à 65535.

La sortie de la commande affiche le nom du filtre spécifié, suivi d’une liste du nombre d’octets et de paquets traités par chaque mécanisme de contrôle du jeu de mécanismes de contrôle.

Dans le cas d’un mécanisme de contrôle spécifique à un terme, chaque mécanisme de contrôle de l’ensemble est identifié comme suit :

Dans le cas d’un mécanisme de contrôle spécifique à un filtre, chaque mécanisme de contrôle est identifié dans la sortie de la commande comme suit :

Étant donné que l’exemple d’action psa-1Mbps-per-source-24-32-256 spécifique au préfixe n’est référencé que par un seul terme du filtre limit-source-one-24d’exemple , le mécanisme de contrôle 1Mbps-policer de l’exemple est configuré comme étant spécifique au terme. Dans la sortie de la commande, les statistiques du mécanisme de contrôle sont affichées sous la forme psa-1Mbps-per-source-24-32-256-one-0, psa-1Mbps-per-source-24-32-256-one-1, et ainsi de show firewall prefix-action-stats suite jusqu’à .psa-1Mbps-per-source-24-32-256-one-255

Scénarios de configuration de comptage et de contrôle spécifiques aux préfixes

Longueur du préfixe de l’action et longueur du préfixe des adresses dans les paquets filtrés

Tableau 2 Décrit la relation entre la longueur du préfixe spécifiée dans l’action spécifique au préfixe et la longueur du préfixe des adresses correspondant au terme de filtre du pare-feu qui fait référence à l’action spécifique au préfixe.

Tableau 2 : Récapitulatif des scénarios d’action spécifiques aux préfixes

Ensemble de compteurs et de contrôleurs

Critères de filtrage des paquets

Indexation des instances

Scénario d’action spécifique au préfixe : Exemple : Configuration du comptage et du contrôle spécifiques aux préfixes

 

source-prefix-length = 32  subnet-prefix-length = 24

Taille de l’ensemble : 2^8 = 256Numéros d’instance : 0 - 255

source-address = 10.10.10.0/24

Instance 0

10.10.10.0

Instance 1 :

10.10.10.1

...

...

Instance 255 :

10.10.10.255

Scénario d’action spécifique au préfixe : Scénario 1 : Correspondances de termes de filtre de pare-feu sur plusieurs adresses

source-prefix-length = 32  subnet-prefix-length = 24

Taille de l’ensemble : 2^8 = 256Numéros d’instance : 0 - 255

source-address = 10.10.10.0/24

source-address = 10.11.0.0/16

Instance 0

10.10.10.0,10.11.x.0

Instance 1 :

10.10.10.1,10.11.x.1

...

...

Instance 255 :

10.10.10.255,10.11.x.255

Pour les adresses du sous-réseau /16, x est comprise entre 0 et 255.

Scénario d’action spécifique au préfixe : Scénario 2 : Le préfixe de sous-réseau est plus long que le préfixe dans la condition de correspondance du filtre

source-prefix-length = 32  subnet-prefix-length = 25

Taille de l’ensemble : 2^7 = 128Numéros d’instance : 0 - 127

source-address = 10.10.10.0/24

Instance 0

10.10.10.0,10.10.10.128

Instance 1 :

10.10.10.1,10.10.10.120

...

...

Instance 127 :

10.10.10.255,10.10.10.127

Scénario d’action spécifique au préfixe : Scénario 3 : sous-réseauLe préfixe du 128e compteur et du mécanisme de contrôle est plus court que le préfixe dans la condition de correspondance du filtre de pare-feu

source-prefix-length = 32  subnet-prefix-length = 24

Taille de l’ensemble : 2^8 = 256Numéros d’instance : 0 - 255

source-address = 10.10.10.0/25

REMARQUE :

Seuls les paquets dont l’adresse source est comprise entre 10.10.10.0 « et » 10.10.10.127 sont transmis à l’action spécifique au préfixe.

Instance 0

10.10.10.0

Instance 1 :

10.10.10.1

...

...

Instance 127 :

10.10.10.127

Instances 128 à 255 : Inutilisés

Scénario 1 : Correspondances de termes de filtre de pare-feu sur plusieurs adresses

L’exemple complet, , montre le cas le plus simple des actions spécifiques au préfixe, Exemple : Configuration du comptage et du contrôle spécifiques aux préfixesdans lesquelles un filtre de pare-feu à terme unique correspond à une adresse dont la longueur du préfixe est identique à la longueur du préfixe de sous-réseau spécifiée dans l’action spécifique au préfixe. Contrairement à l’exemple, ce scénario décrit une configuration dans laquelle un filtre de pare-feu à terme unique correspond sur deux adresses source IPv4. En outre, la condition supplémentaire correspond à une adresse source dont la longueur de préfixe est différente de la longueur de préfixe de sous-réseau définie dans l’action spécifique au préfixe. Dans ce cas, la condition supplémentaire correspond sur le /16 sous-réseau de l’adresse 10.11.0.0source.

REMARQUE :

Contrairement aux paquets qui correspondent à l’adresse source, les paquets qui correspondent à l’adresse 10.10.10.0/2410.11.0.0/16 source sont en correspondance plusieurs-à-un avec les instances de l’ensemble des compteurs et des mécanismes de contrôle.

Les paquets filtrés qui sont transmis à l’index d’action spécifique au préfixe dans le compteur et le mécanisme de contrôle sont définis de manière à ce que les instances de comptage et de contrôle soient partagées par les paquets qui contiennent des adresses source sur les 10.10.10.0/24 sous-réseaux et 10.11.0.0/16 comme suit :

  • Le premier compteur et le premier mécanisme de contrôle de l’ensemble sont indexés par des paquets dont l’adresse 10.10.10.0 source est et 10.11.x.0, où x les intervalles sont compris entre 0255.

  • Le deuxième compteur et le mécanisme de contrôle de l’ensemble sont indexés par des paquets avec des adresses 10.10.10.1 sources et 10.11.x.1, où x les intervalles sont compris entre 0 .255

  • Le 256e (dernier) compteur et le mécanisme de contrôle de l’ensemble sont indexés par des paquets avec des adresses sources et , où x les intervalles sont compris entre 0255.10.11.x.25510.10.10.255

La configuration suivante montre les instructions de configuration du mécanisme de contrôle bicolore à débit unique, de l’action spécifique au préfixe qui fait référence au mécanisme de contrôle et du filtre de pare-feu sans état standard IPv4 qui fait référence à l’action spécifique au préfixe :

Scénario 2 : Le préfixe de sous-réseau est plus long que le préfixe dans la condition de correspondance du filtre

L’exemple complet, , montre le cas le plus simple des actions spécifiques au préfixe, Exemple : Configuration du comptage et du contrôle spécifiques aux préfixesdans lesquelles le filtre de pare-feu à terme unique correspond à une adresse dont la longueur du préfixe est identique à la longueur du préfixe de sous-réseau spécifiée dans l’action spécifique au préfixe. Contrairement à l’exemple, ce scénario décrit une configuration dans laquelle l’action spécifique au préfixe définit une longueur de préfixe de sous-réseau supérieure au préfixe de l’adresse source correspondant au filtre de pare-feu. Dans ce cas, l’action spécifique au préfixe définit une valeur de préfixe de sous-réseau , tandis que le filtre de 25pare-feu correspond à une adresse source dans le /24 sous-réseau.

REMARQUE :

Le filtre de pare-feu transmet les paquets d’actions spécifiques au préfixe avec des adresses sources comprises entre 10.10.10.010.10.10.255, tandis que l’action spécifique au préfixe spécifie un ensemble de 128 compteurs et mécanismes de contrôle, numérotés de 0 à 127.

Les paquets filtrés qui sont transmis à l’index d’action spécifique au préfixe dans le compteur et le mécanisme de contrôle sont définis de manière à ce que les instances de comptage et de contrôle soient partagées par les paquets qui contiennent l’une des deux adresses source dans le 10.10.10.0/24 sous-réseau :

  • Le premier compteur et le premier mécanisme de contrôle de l’ensemble sont indexés par des paquets avec des adresses 10.10.10.0 sources et 10.10.10.128.

  • Le deuxième compteur et le mécanisme de contrôle de l’ensemble sont indexés par des paquets avec des adresses 10.10.10.1 sources et 10.10.10.129.

  • Le 128e (dernier) compteur et le mécanisme de contrôle de l’ensemble sont indexés par des paquets avec des adresses 10.10.10.127 sources et 10.10.10.255.

La configuration suivante montre les instructions de configuration du mécanisme de contrôle bicolore à débit unique, de l’action spécifique au préfixe qui fait référence au mécanisme de contrôle et du filtre de pare-feu sans état standard IPv4 qui fait référence à l’action spécifique au préfixe :

Scénario 3 : sous-réseauLe préfixe du 128e compteur et du mécanisme de contrôle est plus court que le préfixe dans la condition de correspondance du filtre de pare-feu

L’exemple complet, , montre le cas le plus simple des actions spécifiques au préfixe, Exemple : Configuration du comptage et du contrôle spécifiques aux préfixesdans lesquelles le filtre de pare-feu à terme unique correspond à une adresse dont la longueur du préfixe est identique à la longueur du préfixe de sous-réseau spécifiée dans l’action spécifique au préfixe. Contrairement à l’exemple, ce scénario décrit une configuration dans laquelle l’action spécifique au préfixe définit une longueur de préfixe de sous-réseau inférieure au préfixe de l’adresse source correspondant au filtre de pare-feu. Dans ce cas, le terme de filtre correspond sur le /25 sous-réseau de l’adresse 10.10.10.0source.

REMARQUE :

Le filtre de pare-feu ne transmet l’action spécifique au préfixe qu’aux paquets dont les adresses sources sont comprises entre 10.10.10.010.10.10.127, tandis que l’action spécifique au préfixe spécifie un ensemble de 256 compteurs et mécanismes de contrôle, numérotés de 0 à 255.

Les paquets correspondants qui sont transmis à l’index d’action spécifique au préfixe dans la moitié inférieure de l’ensemble de compteurs et de mécanismes de contrôle uniquement :

  • Le premier compteur et le premier mécanisme de contrôle de l’ensemble sont indexés par paquets avec l’adresse 10.10.10.0source.

  • Le deuxième compteur et le mécanisme de contrôle de l’ensemble sont indexés par des paquets dont l’adresse 10.10.10.1 source est et 10.10.10.129.

  • Le 128e compteur et le mécanisme de contrôle de l’ensemble sont indexés par des paquets avec l’adresse 10.10.10.127source.

  • La moitié supérieure de l’ensemble (instances numérotées de 128 à 255) n’est pas indexée par les paquets passés à l’action spécifique au préfixe à partir de ce filtre de pare-feu particulier.

La configuration suivante montre les instructions de configuration du mécanisme de contrôle bicolore à débit unique, de l’action spécifique au préfixe qui fait référence au mécanisme de contrôle et du filtre de pare-feu sans état standard IPv4 qui fait référence à l’action spécifique au préfixe :