Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

プレフィックス固有のカウントとポリシー設定のシナリオ

 

フィルタリングされたパケットにおけるアクションのプレフィックス長とプレフィックス長

表 1プレフィックス固有のアクションで指定されたプレフィックス長と、プレフィックス固有のアクションを参照するファイアウォールフィルター条件に一致するアドレスのプレフィックス長との関係について説明します。

表 1: 接頭辞固有のアクションシナリオのまとめ

Counter およびポリサーセット

パケットフィルタリングの基準

インスタンスのインデックス作成

プレフィックス固有のアクションシナリオ:

Example: Configuring Prefix-Specific Counting and Policing

 

ソースプレフィックス長 = 32 

サブネットプレフィックス長 = 24

セットサイズ: 2 ^ 8 = 256

インスタンス番号: 0 - 255

source-address = 10.10.10.0/24

インスタンス0

10.10.10.0

インスタンス 1:

10.10.10.1

...

...

インスタンス 255:

10.10.10.255

プレフィックス固有のアクションシナリオ:

シナリオ 1: 複数のアドレスでのファイアウォールフィルタ条件の一致

ソースプレフィックス長 = 32 

サブネットプレフィックス長 = 24

セットサイズ: 2 ^ 8 = 256

インスタンス番号: 0 - 255

source-address = 10.10.10.0/24

source-address = 10.11.0.0/16

インスタンス0

10.10.10.0,

10.11.x.0

インスタンス 1:

10.10.10.1,

10.11.x.1

...

...

インスタンス 255:

10.10.10.255,

10.11.x.255

/16 サブネット内のアドレスについては、 x範囲は 0 ~ 255 です。

プレフィックス固有のアクションシナリオ:

シナリオ 2: サブネットプレフィックスがフィルタマッチ条件のプレフィックスより長くなっています

ソースプレフィックス長 = 32 

サブネットプレフィックス長 = 25

セットサイズ: 2 ^ 7 = 128

インスタンス番号: 0 - 127

source-address = 10.10.10.0/24

インスタンス0

10.10.10.0,

10.10.10.128

インスタンス 1:

10.10.10.1,

10.10.10.120

...

...

インスタンス 127:

10.10.10.255,

10.10.10.127

プレフィックス固有のアクションシナリオ:

シナリオ 3: サブネットプレフィックスがファイアウォールフィルターの一致条件のプレフィックスよりも短い

ソースプレフィックス長 = 32 

サブネットプレフィックス長 = 24

セットサイズ: 2 ^ 8 = 256

インスタンス番号: 0 - 255

source-address = 10.10.10.0/25

注: 10.10.10.0経由10.10.10.127で送信元アドレスを持つパケットのみが、プレフィックス固有のアクションに渡されます。

インスタンス0

10.10.10.0

インスタンス 1:

10.10.10.1

...

...

インスタンス 127:

10.10.10.127

インスタンス 128 – 255: 使わ

シナリオ 1: 複数のアドレスでのファイアウォールフィルタ条件の一致

完全な例をExample: Configuring Prefix-Specific Counting and Policingを設定すると、単一のファイアウォールフィルターがプレフィックス特有のアクションを最も簡単に実行できるようになります。これにより、1つの条件下で指定されたサブネットプレフィックス長と同じプレフィックス長を持つアドレスを使用していることを示します。プリフィックス固有のアクション。例とは異なり、このシナリオでは、単一のファイアウォールフィルターが2つの IPv4 送信元アドレスで一致する構成について説明します。さらに、この追加条件は、プレフィックス固有のアクションに定義されたサブネットプレフィックス長とは異なるプレフィックス長を持つ送信元アドレスに一致します。この場合、送信元アドレス/1610.11.0.0のサブネット上で追加条件が一致します。

送信元アドレス10.10.10.0/24に一致するパケットとは異なり、送信元アドレス10.11.0.0/16と一致するパケットは、カウンターおよびポリサーセット内のインスタンスと、多対1の対応関係にあります。

カウンターと10.10.10.0/2410.11.0.0/16サブネット全体のパケットによって、プレフィックス固有の action インデックスに渡されたパケットとポリサーを設定したフィルターを適用しています。これは、です

  • このセットの最初のカウンタとポリサーは、送信元アドレス10.10.10.010.11.x.0ともにパケットのインデックスを作成します。 x~ の0範囲255を使用します。

  • このセットの2つ目の counter とポリサーは、送信元アドレス10.10.10.110.11.x.1ともにパケットのインデックスを作成します。 x~ の0範囲255を使用します。

  • セット内の256番目 (最後) のカウンターとポリサーは、送信元のアドレス10.10.10.25510.11.x.255ともにパケットのインデックスを作成します。 x~ の0範囲255を使用します。

以下の構成は、シングルレートの2色のポリサー、ポリサーを参照するプレフィックス固有のアクション、およびプレフィックス固有のアクションを参照する IPv4 標準のステートレスファイアウォールフィルターを構成するためのステートメントを示しています。

シナリオ 2: サブネットプレフィックスがフィルタマッチ条件のプレフィックスより長くなっています

完全な例をExample: Configuring Prefix-Specific Counting and Policingを設定すると、単一のファイアウォールフィルターがプレフィックス固有のアクションの中で、1つのアドレスとプレフィックス長が一致していることを示します。この場合、プリフィックス固有のアクション。例とは異なり、このシナリオでは、プレフィックス固有のアクションが、ファイアウォールフィルタに一致した送信元アドレスのプレフィックスより長いサブネットプレフィックス長を定義する構成について説明します。この場合は、プレフィックス固有の25アクションによってサブネットプレフィックス値が定義され、ファイアウォールフィルターは/24サブネット内の送信元アドレスで照合を実行します。

ファイアウォールフィルタは、プレフィックス固有のアクションパケットを送信元アドレスを10.10.10.0通過10.10.10.255させることで、プレフィックス固有のアクションは、0 ~ 127 の番号が付けられた128カウンターとポリサーのセットのみを指定します。

カウントとポリサーのインスタンスが、 10.10.10.0/24サブネット内の2つのソースアドレスのどちらかを含むパケットによって共有されるように、プレフィックスに一致したパケットがカウンタおよびポリシー er に渡されます。これはこのような方法で設定できます。

  • セット内の最初のカウンタとポリサーは、送信元アドレス10.10.10.0と、その10.10.10.128パケットによってインデックスが作成されます。

  • このセットの2つ目の counter とポリサーは、送信元アドレス10.10.10.110.10.10.129のパケットによってインデックスが作成されます。

  • セット内の128番目 (最終) カウンターとポリサーは、ソースアドレス10.10.10.12710.10.10.255のパケットによってインデックス化されています。

以下の構成は、シングルレートの2色のポリサー、ポリサーを参照するプレフィックス固有のアクション、およびプレフィックス固有のアクションを参照する IPv4 標準のステートレスファイアウォールフィルターを構成するためのステートメントを示しています。

シナリオ 3: サブネットプレフィックスがファイアウォールフィルターの一致条件のプレフィックスよりも短い

完全な例をExample: Configuring Prefix-Specific Counting and Policingを設定すると、単一のファイアウォールフィルターがプレフィックス固有のアクションの中で、1つのアドレスとプレフィックス長が一致していることを示します。この場合、プリフィックス固有のアクション。例とは異なり、このシナリオでは、プレフィックス固有のアクションが、ファイアウォールフィルタに一致した送信元アドレスのプリフィックスよりも短いサブネットプレフィックス長を定義する構成について説明します。この場合は、ソースアドレス/2510.10.10.0のサブネット上でフィルター条件に一致します。

ファイアウォールフィルターは、プレフィックス固有のアクションのみ、送信元アドレスが10.10.10.0通過10.10.10.127するパケットのみ、プレフィックス固有のアクションは、0 ~ 255 の 番号が付けられた256カウンターとポリサーのセットを指定します。

プレフィックス固有のアクションインデックスに渡されたパケットは、カウンターとポリサーセットの下位半分に限定します。

  • セット内の最初のカウンタとポリサーは、送信元アドレス10.10.10.0を持つパケットのインデックスを作成します。

  • このセットの2つ目の counter とポリサーは、発信元アドレス10.10.10.110.10.10.129のパケットによってインデックスが作成されます。

  • セット内の128番目のカウンターとポリサーは、送信元アドレス10.10.10.127を持つパケットのインデックスを作成します。

  • セットの上半分 (128 ~ 255 の番号が付いているインスタンス) は、この特定のファイアウォールフィルタからプレフィックス固有のアクションに渡されるパケットによってインデックス化されません。

以下の構成は、シングルレートの2色のポリサー、ポリサーを参照するプレフィックス固有のアクション、およびプレフィックス固有のアクションを参照する IPv4 標準のステートレスファイアウォールフィルターを構成するためのステートメントを示しています。