Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Actions de compte et de contrôle spécifiques aux préfixes

Présentation du compte et du contrôle spécifiques aux préfixes

Opérations de compte et de contrôle distinctes pour chaque plage d’adresses IPv4

Le calcul et le contrôle spécifiques des préfixes vous permettent de configurer un terme filtre de pare-feu IPv4 qui correspond à une adresse source ou de destination. Il applique un dispositif de contrôle à double couleur à un seul taux, mais associe le paquet assorti à une instance de compteur et de policer spécifique en fonction de la source ou de la destination dans l’en-tête du paquet. Vous pouvez créer implicitement une instance de compteur ou de policer distincte pour une adresse unique ou pour un groupe d’adresses.

Le compte et le contrôle spécifiques aux préfixes utilisent une configuration d’action spécifique aux préfixes qui spécifie le nom du dispositif de contrôle à appliquer, que le compte spécifique des préfixes soit activé et qu’une plage de préfixes d’adresse source ou de destination soit activée.

La plage de préfixes spécifie entre 1 et 16 bits séquentiels d’un masque d’adresse IPv4. La longueur de la plage de préfixes détermine la taille des compteurs et des policers, qui se composent de 2 ou jusqu’à 65 536 instances de compteurs et de policer. La position des bits de la plage de préfixes détermine l’indexation de paquets assortis de filtres dans l’ensemble d’instances.

Remarque :

Une action spécifique à un préfixe est spécifique à une plage de préfixessource ou de destination, mais pas à une plage d’adresses spécifiques à une source ou àune destination spécifiques, ni à une interface spécifique.

Pour appliquer une action spécifique de préfixe au trafic à une interface, vous configurez un terme de filtre de pare-feu qui correspond aux adresses source ou de destination, puis vous appliquez le filtre de pare-feu à l’interface. Le flux de trafic filtré est limité par le débit à l’aide d’instances de compteur et de contrôle spécifiques aux préfixes qui sont sélectionnées par paquet en fonction de l’adresse source ou de destination dans l’en-tête du paquet filtre.

Configuration des actions spécifiques aux préfixes

Pour configurer une action spécifique à un préfixe, vous spécifiez les informations suivantes:

  • Nom de l’action spécifique aux préfixes: nom qui peut être référencé comme action d’un terme de filtre de pare-feu standard IPv4 qui correspond aux paquets sur l’adresse source ou de destination.

  • Nom du policer: nom d’un policer à deux couleurs à vitesse unique pour lequel vous souhaitez créer des instances spécifiques aux préfixes.

    Remarque :

    Pour les interfaces Ethernet agrégées, vous pouvez configurer une action spécifique aux préfixes qui fait référence à un policeur d’interface logique (également appelé un policer agrégé). Vous pouvez vous référencé à ce type d’action spécifique aux préfixes à partir d’un filtre de pare-feu standard IPv4, puis appliquer le filtre au niveau agrégé de l’interface.

  • Possibilité de compter: option d’inclure si vous souhaitez activer des compteurs spécifiques aux préfixes.

  • Option spécifique aux filtres: option d’inclure si vous souhaitez partager un seul compteur et un seul ensemble de policers entre toutes les conditions dans le filtre de pare-feu. Une action spécifique aux préfixes qui fonctionne de cette manière fonctionne en mode filtre spécifique. Si cette option n’est pas activée, l’action spécifique des préfixes fonctionne en mode spécifique aux termes, ce qui signifie qu’un ensemble distinct de compteurs et de policers est créé pour chaque terme de filtre qui fait référence à l’action spécifique du préfixe.

  • Longueur du préfixe d’adresse source: longueur du préfixe d’adresse, de 0 à 32, à utiliser avec un paquet assorti sur l’adresse source.

  • Longueur du préfixe d’adresse de destination: longueur du préfixe d’adresse, de 0 à 32, à utiliser avec un paquet assorti à l’adresse de destination.

  • Longueur du préfixe de sous-réseau: longueur du préfixe du sous-réseau, de 0 à 32, à utiliser avec un paquet assorti à l’adresse source ou de destination.

Vous devez configurer les longueurs de préfixe des adresses source et de destination de 1 à 16 bits de plus que la longueur des préfixes du sous-réseau. Si vous configurez des longueurs de préfixe d’adresse source ou de destination dépassant de 16 bits la longueur du préfixe du sous-réseau configuré, une erreur se produit lorsque vous tentez de valider la configuration.

Indexation et taille des ensembles de compteurs et de policeurs

Le nombre d’actions spécifiques aux préfixes (compteurs ou policers) créés implicitement pour une action spécifique à un préfixe est déterminé par la longueur du préfixe d’adresse et la longueur du préfixe de sous-réseau:

  1. Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)

Tableau 1 montre des exemples d’indexation et de la taille des ensembles de compteurs et de policeurs.

Tableau 1 : Exemples d’indexation et de taille de policeurs et de contre-attaques

Longueurs de préfixe d’exemple indiquées dans l’action spécifique du préfixe

Calcul de la taille du compteur ou de la policer

Indexation des instances

source-prefix-length = 32 subnet-prefix-length = 16

Size = 2^(32 - 16) = 2^16 = 65,536 instances

Remarque :

Ce calcul montre la taille de compteur ou de policer la plus importante prise en charge.

Instance 0:

x .x0,0

Instance 1:

x .x0,1

Instance 65535:

x .x.255.255

source-prefix-length = 32 subnet-prefix-length = 24

Size = 2^(32 - 24) = 2^8 = 256 instances

Instance 0:

x .x .x0,0

Instance 1:

x .x .x.1

Instance 255:

x .x .x.255

source-prefix-length = 32 subnet-prefix-length = 25

Size = 2^(32 - 25) = 2^7 = 128 instances

Instance 0:

x .x .x0,0

Instance 1:

x .x .x.1

Instance 127:

x .x .x.127

source-prefix-length = 24 subnet-prefix-length = 20

Size = 2^(24 - 20) = 2^4 = 16 instances

Instance 0:

x .x0, x

Instance 1:

x .x.1. x

Instance 15:

x .x.15. x

Présentation des compteurs et des ensembles de policers propres aux filtres

Par défaut, un ensemble de policeurs de préfixe spécifiques fonctionne en mode spécifique aux termes. Ainsi, pour un filtre de pare-feudonné,l’Junos OS crée un ensemble de compteurs et de policers distincts pour chaque terme de filtre faisant référence à l’action spécifique du préfixe. En option, vous pouvez configurer un ensemble de policeurs spécifiques aux préfixes pour qu’ils fonctionnent en mode spécifique aux filtres. Ainsi, un seul ensemble de policeurs de préfixe est utilisé par tous les termes (au sein du même filtre de pare-feu) qui font référence au système de policer.

Pour un filtre de pare-feu IPv4 avec plusieurs termes qui font référence au même ensemble de policeurs spécifiques aux préfixes, la configuration de l’ensemble de policers pour fonctionner en mode filtre spécifique vous permet de compter et de surveiller l’activité des policers au niveau du filtre de pare-feu.

Remarque :

Le mode spécifique aux termes et le mode filtre spécifique s’appliquent également aux policers. Voir Présentation du système de police spécifique aux filtres .

Pour permettre à un ensemble de policeurs de préfixe spécifiques à fonctionner en mode filtre spécifique, vous pouvez inclure l’instruction au niveau de la hiérarchie filter-specific suivante:

  • [edit firewall family inet prefix-action prefix-action-name]

  • [edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]

Vous pouvez référencer des ensembles de policeurs spécifiques aux filtres de pare-feu IPv4 ( ) spécifiques aux filtres de family inet pare-feu, uniquement pour les préfixes.

Présentation du système de police spécifique aux filtres

Par défaut, un policer fonctionne en mode spécifique aux termes. Ainsi, pour un filtre de pare-feudonné,l’Junos OS crée une instance de policer distincte pour chaque terme de filtre faisant référence au système de policer. En option, vous pouvez configurer un policer pour qu’il fonctionne en mode filtre spécifique. Ainsi, toutes les conditions (dans le même filtre de pare-feu) utilisent une seule et même instance de policer.

Pour un filtre de pare-feu IPv4 avec plusieurs termes se référant au même policer, la configuration du policer pour qu’il fonctionne en mode spécifique aux filtres vous permet de compter et de surveiller l’activité du policer au niveau du filtre de pare-feu.

Remarque :

Le mode spécifique aux termes et le mode filtre spécifique s’appliquent également aux ensembles de policers spécifiques aux préfixes.

Pour permettre à un policeur double couleur à vitesse unique de fonctionner en mode spécifique aux filtres, vous pouvez inclure l’instruction au niveau de la hiérarchie filter-specific suivante:

  • [edit firewall policer policer-name]

  • [edit logical-systems logical-system-name firewall policer policer-name]

Vous pouvez uniquement vous référencé aux filtres de pare-feu IPv4 () filtres de family inet pare-feu spécifiques aux filtres de filtres.

Exemple: Configuration du compte et du contrôle spécifiques aux préfixes

Cet exemple montre comment configurer le compte et le contrôle spécifiques aux préfixes.

Conditions préalables

Aucune configuration particulière au-delà de l’initialisation de l’équipement n’est requise avant de configurer cet exemple.

Présentation

Dans cet exemple, vous configurez le compte et le contrôle spécifiques des préfixes en fonction du dernier octet du champ d’adresse source dans des paquets faisant correspondre un filtre de pare-feu IPv4.

Le système de contrôle à débit unique en deux couleurs limite le trafic par débit à une bande passante de 1 000 000 b/s et à une taille maximale de 1Mbps-policer 63 000 octets, écartant ainsi tous les paquets dans un flux de trafic qui dépasse les limites du trafic.

Indépendamment des adresses IPv4 contenues dans les paquets transmis par un filtre de pare-feu, l’action spécifique des préfixes nommée spécifie un ensemble de 256 compteurs et policers, numérodés entre 0 et psa-1Mbps-per-source-24-32-256 255. Pour chaque paquet, le dernier octet du champ d’adresse source est utilisé pour indexer le compteur et le policeur de préfixe spécifiques associés dans l’ensemble:

  • Paquets dont l’adresse source se termine par l’index d’octet et le premier compteur 0x0000 00000 et policer de l’ensemble.

  • Paquets dont l’adresse source se termine par l’index d’octet, le deuxième compteur et le deuxième 0x0000 0001 policeur de l’ensemble.

  • Paquets dont l’adresse source se termine par l’index d’octet et le dernier compteur et 0x1111 1111 policer de l’ensemble.

Le filtre de pare-feu contient un seul terme qui correspond à tous les paquets du sous-réseau de l’adresse source et les transfile à l’action spécifique limit-source-one-24/24 du 10.10.10.0 préfixe. psa-1Mbps-per-source-24-32-256

Topologie

Dans cet exemple, le terme filtre correspond au sous-réseau d’une adresse source unique, chaque instance de compte et de contrôle de l’ensemble de préfixe n’est utilisée que pour une /24 seule adresse source.

  • Les paquets contenant une adresse source indexent le premier compteur et le 10.10.10.0 premier policer de l’ensemble.

  • Les paquets avec une adresse source indexent le deuxième compteur et le 10.10.10.1 policer de l’ensemble.

  • Les paquets avec une adresse source indexent le dernier compteur 10.10.10.255 et policer de l’ensemble.

Cet exemple illustre le cas le plus simple d’actions spécifiques aux préfixes, dans lequel le terme du filtre correspond à une adresse avec une longueur de préfixe identique à la longueur de préfixe spécifiée dans l’action spécifique du préfixe pour l’indexation dans l’ensemble de compteurs et de polices spécifiques aux préfixes.

Pour obtenir des descriptions des autres configurations pour le compte et le contrôle des préfixes, Scénarios de configuration du compte et du contrôle spécifiques aux préfixes consultez.

Configuration

L’exemple suivant vous oblige à naviguer dans différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la CLI, consultez Nous, éditeurs CLI dans le mode configuration .

Pour configurer cet exemple, exécutez les tâches suivantes:

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes de configuration suivantes dans un fichier texte, supprimez les interruptions de ligne, puis collez les commandes dans le CLI au niveau de la [edit] hiérarchie.

Configuration d’un dispositif de contrôle pour le compte et le contrôle des préfixes

Procédure étape par étape

Pour configurer un dispositif de contrôle à utiliser pour le compte et le contrôle des préfixes:

  1. Activer la configuration d’un policeur double couleur à vitesse unique.

  2. Définir la limite du trafic.

    Les paquets dans un flux de trafic conforme à cette limite sont transmis avec le PLP sur low .

  3. Définir les actions pour le trafic non-performant.

    Les paquets dans un flux de trafic qui dépasse cette limite sont éliminés. D’autres actions configurables pour un policeur à deux couleurs à vitesse unique sont de définir la classe de forwarding et de définir le niveau de PLP.

Résultats

Confirmez la configuration du policer en entrant la commande show firewall mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration d’une action spécifique à un préfixe basée sur le policer

Procédure étape par étape

Pour configurer une action spécifique au préfixe qui fait référence au policer et spécifie une partie d’un préfixe d’adresse source:

  1. Permet la configuration d’une action spécifique à un préfixe.

    Le compte et le contrôle spécifiques aux préfixes peuvent être définis uniquement pour le trafic IPv4.

  2. Référencez le policer pour lequel un ensemble spécifique de préfixe doit être créé.

    Remarque :

    Pour les interfaces Ethernet agrégées, vous pouvez configurer une action spécifique aux préfixes qui fait référence à un policeur d’interface logique (également appelé un policer agrégé). Vous pouvez vous référencé à ce type d’action spécifique aux préfixes à partir d’un filtre de pare-feu standard IPv4, puis appliquer le filtre au niveau agrégé de l’interface.

  3. Indiquez la plage de préfixes sur laquelle les adresses IPv4 doivent être indexées au compteur et à l’ensemble de policeurs.

Résultats

Confirmez la configuration de l’action spécifique du préfixe en entrant la commande show firewall du mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Configuration d’un filtre IPv4 qui fait référence à l’action spécifique de préfixe

Procédure étape par étape

Pour configurer un filtre de pare-feu standard IPv4 qui fait référence à l’action spécifique des préfixes:

  1. Activez la configuration du filtre de pare-feu standard IPv4.

    Le compte et le contrôle spécifiques aux préfixes peuvent être définis uniquement pour le trafic IPv4.

  2. Configurez le terme de filtre pour l’assortir de l’adresse source du paquet ou de l’adresse de destination.

  3. Configurez le terme de filtre pour référencer l’action spécifique au préfixe.

    Vous pouvez également utiliser l’action pour configurer tout le trafic HTTP (Hypertext Transfer Protocol) vers chaque hôte afin de l’envoyer à 500 Kb/s et d’avoir le trafic HTTP total limité à next term 1 Mb/s.

Résultats

Confirmez la configuration de l’action spécifique du préfixe en entrant la commande show firewall du mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Application du filtre de pare-feu au trafic d’entrée IPv4 à l’aide d’une interface logique

Procédure étape par étape

Pour appliquer le filtre de pare-feu au trafic d’entrée IPv4 à une interface logique:

  1. Activer la configuration d’IPv4 sur l’interface logique.

  2. Configurez une adresse IP.

  3. Appliquez le filtre de pare-feu sans état IPv4 standard.

Résultats

Confirmez la configuration de l’action spécifique du préfixe en entrant la commande show interfaces du mode de configuration. Si le résultat de la commande n’affiche pas la configuration prévue, répétez les instructions de cette procédure pour corriger la configuration.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.

Vérification

Vérifier que la configuration fonctionne correctement.

Affichage des filtres de pare-feu appliqués à une interface

But

Vérifiez que le filtre de pare-feu est appliqué au trafic d’entrée limit-source-one-24 IPv4 à l’interface logique so-0/0/2.0 .

Action

Utilisez la show interfaces statistics commande du mode opérationnel pour l’interface logique et utilisez so-0/0/2.0detail l’option. Dans la section de sortie de commande pour , le champ s’affiche, ce qui indique que le filtre est appliqué au trafic Protocol inetInput Filters IPv4 dans la direction limit-source-one-24 d’entrée:

Affichage des statistiques sur les actions spécifiques aux préfixes pour le filtre de pare-feu

But

Vérifier le nombre de paquets évalués par le policer.

Action

Utilisez la commande du mode opérationnel pour afficher les statistiques concernant une action spécifique aux show firewall prefix-action-stats filter filter-name prefix-action name préfixes configurée sur un filtre de pare-feu.

En option, vous pouvez utiliser l’option de commande pour spécifier le compteur ou le policer de démarrage et de fin from set-index to set-index à afficher. Un ensemble de policeurs est indexé de 0 à 65535.

La sortie de commande affiche le nom de filtre spécifié, suivi d’une liste du nombre d’octets et de paquets traitées par chaque policer dans l’ensemble de policeurs.

Pour un policer spécifique à un terme, chaque policer de l’ensemble est identifié comme suit:

Chaque policer est identifié dans le résultat de commande suivant:

L’action spécifique de préfixe par exemple étant référencé dans un seul terme du filtre d’exemple, l’exemple de policer est configuré psa-1Mbps-per-source-24-32-256 comme spécifique à un limit-source-one-241Mbps-policer terme. Dans le résultat de commande, les statistiques du policer sont affichées sous la définition , et show firewall prefix-action-statspsa-1Mbps-per-source-24-32-256-one-0 ainsi de psa-1Mbps-per-source-24-32-256-one-1psa-1Mbps-per-source-24-32-256-one-255 suite.

Scénarios de configuration du compte et du contrôle spécifiques aux préfixes

Longueur de l’action et longueur des adresses de préfixe dans les paquets filtrés

Tableau 2 décrit la relation entre la longueur de préfixe indiquée dans l’action spécifique du préfixe et la longueur de préfixe des adresses correspond au terme de filtre de pare-feu faisant référence à l’action spécifique du préfixe.

Tableau 2 : Récapitulatif des scénarios d’action spécifiques aux préfixes

Ensemble de compteurs et de policeurs

Critères de filtrage des paquets

Indexation des instances

Scénario d’action spécifique aux préfixes: Exemple: Configuration du compte et du contrôle spécifiques aux préfixes

 

source-prefix-length = 32  subnet-prefix-length = 24

Taille de l’ensemble: 2^8 = 256Numéros d’instance: 0 - 255

source-address = 10.10.10.0/24

Instance 0

10.10.10.0

Instance 1:

10.10.10.1

...

...

Instance 255:

10.10.10.255

Scénario d’action spécifique aux préfixes: Scénario 1: Correspondances de terme de filtre de pare-feu sur plusieurs adresses

source-prefix-length = 32  subnet-prefix-length = 24

Taille de l’ensemble: 2^8 = 256Numéros d’instance: 0 - 255

source-address = 10.10.10.0/24

source-address = 10.11.0.0/16

Instance 0

10.10.10.0,10,11x0,0

Instance 1:

10.10.10.1,10,11x0,1

...

...

Instance 255:

10.10.10.255,10,11x0,255

Pour les adresses du sous-réseau /16, x varient de 0 à 255.

Scénario d’action spécifique aux préfixes: Scénario 2: Préfixe de sous-réseau plus long que le préfixe dans la condition de correspondance de filtre

source-prefix-length = 32  subnet-prefix-length = 25

Taille de l’ensemble: 2^7 = 128Numéros d’instance: 0 - 127

source-address = 10.10.10.0/24

Instance 0

10.10.10.0,10.10.10.128

Instance 1:

10.10.10.1,10.10.10.120

...

...

Instance 127:

10.10.10.255,10.10.10.127

Scénario d’action spécifique aux préfixes: Scénario 3: Préfixe de sous-réseau plus courte que celle du préfixe de la condition de correspondance des filtres de pare-feu

source-prefix-length = 32  subnet-prefix-length = 24

Taille de l’ensemble: 2^8 = 256Numéros d’instance: 0 - 255

source-address = 10.10.10.0/25

Remarque :

Seuls les paquets contenant des adresses source allant de l’adresse à l’action spécifique du 10.10.10.010.10.10.127 préfixe sont transmis.

Instance 0

10.10.10.0

Instance 1:

10.10.10.1

...

...

Instance 127:

10.10.10.127

Instances 128 –255: Inutilisés

Scénario 1: Correspondances de terme de filtre de pare-feu sur plusieurs adresses

L’exemple complet montre le cas le plus simple d’actions spécifiques aux préfixes, où un filtre de pare-feu à un terme unique s’correspondance sur une adresse avec une longueur de préfixe identique à la longueur de préfixe du sous-réseau spécifiée dans l’action spécifique du Exemple: Configuration du compte et du contrôle spécifiques aux préfixes préfixe. Contrairement à l’exemple, ce scénario décrit une configuration dans laquelle un filtre de pare-feu à un seul terme se correspondance sur deux adresses source IPv4. En outre, cette condition supplémentaire correspond à une adresse source avec une longueur de préfixe différente de la longueur du préfixe du sous-réseau définie dans l’action spécifique du préfixe. Dans ce cas, l’état supplémentaire est indiqué sur le /16 sous-réseau de l’adresse 10.11.0.0 source.

Remarque :

Contrairement aux paquets qui correspondent à l’adresse source, les paquets qui correspondent à l’adresse source sont en correspondance plusieurs-à-un avec les instances du compteur et l’ensemble de 10.10.10.0/2410.11.0.0/16 policer.

Les paquets assortis de filtres, transmis à l’index d’action spécifique du préfixe dans le compteur et le dispositif de contrôle, de manière à ce que les instances de compte et de contrôle soient partagées par des paquets contenant les adresses source dans l’ensemble et les sous-réseaux, de la manière 10.10.10.0/2410.11.0.0/16 suivante:

  • Le premier compteur et le premier système de police de l’ensemble sont indexés par les paquets contenant les adresses source et , où 10.10.10.010.11.x.0x s’viennent. 0255

  • Le deuxième compteur et le système de police de l’ensemble sont indexés par les paquets contenant les adresses source et , où 10.10.10.110.11.x.1x s’viennent. 0255

  • Le 256e (dernier) compteur et policer de l’ensemble sont indexés par les paquets contenant les adresses source et , où 10.10.10.25510.11.x.255x plages 0 entre 255 .

La configuration suivante affiche les instructions de configuration du policer double couleur à vitesse unique, l’action spécifique des préfixes qui fait référence au système de contrôle, et le filtre de pare-feu sans état IPv4 qui fait référence à l’action spécifique des préfixes:

Scénario 2: Préfixe de sous-réseau plus long que le préfixe dans la condition de correspondance de filtre

L’exemple complet montre le cas le plus simple d’actions spécifiques aux préfixes, dans lequel le filtre de pare-feu à terme unique s’correspondance sur une adresse avec une longueur de préfixe identique à la longueur de préfixe du sous-réseau spécifiée dans l’action spécifique du Exemple: Configuration du compte et du contrôle spécifiques aux préfixes préfixe. Contrairement à l’exemple, ce scénario décrit une configuration dans laquelle l’action spécifique du préfixe définit une longueur de préfixe de sous-réseau plus longue que le préfixe de l’adresse source correspondance par le filtre de pare-feu. Dans ce cas, l’action spécifique au préfixe définit une valeur de préfixe de sous-réseau, alors que le filtre de pare-feu correspond à l’adresse 25 source du /24 sous-réseau.

Remarque :

Le filtre de pare-feu transmet les paquets d’action spécifiques aux préfixes avec des adresses source qui varient de 0 à 127, tandis que l’action spécifique du préfixe spécifie un ensemble de 128 compteurs et policers, numérotés de 0 à 10.10.10.010.10.10.255 127.

Les paquets assortis de filtres, transmis à l’index d’action spécifique du préfixe dans le compteur et le dispositif de contrôle, de manière à ce que les instances de compte et de contrôle soient partagées par des paquets contenant l’une des deux adresses source du 10.10.10.0/24 sous-réseau:

  • Le premier compteur et le premier policer de l’ensemble sont indexés par les paquets contenant les adresses source 10.10.10.0 et 10.10.10.128 .

  • Le deuxième compteur et le deuxième policer de l’ensemble sont indexés par les paquets contenant les adresses source 10.10.10.1 et 10.10.10.129 .

  • Le 128e (dernier) compteur et policer de l’ensemble sont indexés par les paquets contenant les adresses source 10.10.10.127 et 10.10.10.255 .

La configuration suivante affiche les instructions de configuration du policer double couleur à vitesse unique, l’action spécifique des préfixes qui fait référence au système de contrôle, et le filtre de pare-feu sans état IPv4 qui fait référence à l’action spécifique des préfixes:

Scénario 3: Préfixe de sous-réseau plus courte que celle du préfixe de la condition de correspondance des filtres de pare-feu

L’exemple complet montre le cas le plus simple d’actions spécifiques aux préfixes, dans lequel le filtre de pare-feu à terme unique s’correspondance sur une adresse avec une longueur de préfixe identique à la longueur de préfixe du sous-réseau spécifiée dans l’action spécifique du Exemple: Configuration du compte et du contrôle spécifiques aux préfixes préfixe. Contrairement à l’exemple, ce scénario décrit une configuration dans laquelle l’action spécifique du préfixe définit une longueur de préfixe de sous-réseau plus courte que le préfixe de l’adresse source correspondance par le filtre de pare-feu. Dans ce cas, le terme filtre est indiqué sur le /25 sous-réseau de l’adresse 10.10.10.0 source.

Remarque :

Le filtre de pare-feu transmet l’action spécifique aux préfixes uniquement les paquets contenant des adresses source qui varient de 0 à 255 , tandis que l’action préfixe spécifie un ensemble de 256 compteurs et policers, numérodés entre 0 et 10.10.10.010.10.10.127 255.

Les paquets correspondance qui sont transmis à l’index d’action spécifique du préfixe dans la moitié inférieure du compteur et du policer uniquement:

  • Le premier compteur et le premier policer de l’ensemble sont indexés par les paquets avec l’adresse 10.10.10.0 source.

  • Le deuxième compteur et le deuxième policer de l’ensemble sont indexés par les paquets avec l’adresse source 10.10.10.1 et 10.10.10.129 .

  • Le 128e compteur et le policer de l’ensemble sont indexés par des paquets avec l’adresse 10.10.10.127 source.

  • La moitié supérieure de l’ensemble (instances dont la valeur passe de 128 à 255) n’est pas indexée par les paquets transmis à l’action spécifique de préfixe à partir de ce filtre de pare-feu particulier.

La configuration suivante affiche les instructions de configuration du policer double couleur à vitesse unique, l’action spécifique des préfixes qui fait référence au système de contrôle, et le filtre de pare-feu sans état IPv4 qui fait référence à l’action spécifique des préfixes: