Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

プレフィックス固有のカウントおよびポリシングアクション

プレフィックス固有のカウントとポリシングの概要

IPv4 アドレス範囲ごとに個別のカウントとポリシング

プレフィックス固有のカウントとポリシングにより、送信元または宛先アドレスに一致する IPv4 ファイアウォール フィルター 条件を設定し、条件アクションとしてシングルレート 2 カラー ポリサーを適用しますが、パケットヘッダー内の送信元または宛先に基づいて、一致したパケットを特定のカウンターおよびポリサーインスタンスに関連付けることができます。単一のアドレスまたはアドレスのグループに対して、個別のカウンターまたはポリサーインスタンスを暗黙的に作成できます。

プレフィックス固有のカウントおよびポリシングでは、適用するポリサーの名前、プレフィックス固有のカウントを有効にするかどうか、送信元アドレスまたは宛先アドレスのプレフィックス範囲を指定する プレフィックス固有のアクション 設定を使用します。

プレフィックス範囲は、IPv4 アドレス マスクの 1 から 16 の順次セット ビットを指定します。プレフィックス範囲の長さによって、カウンターとポリサー セットのサイズが決まります。この セットは、わずか 2 個から最大 65,536 個のカウンター インスタンスとポリサー インスタンスで構成されます。プレフィックス範囲のビットの位置によって、フィルターマッチしたパケットのインスタンスセットへのインデックス付けが決まります。

注:

プレフィックス固有のアクションは、送信元または宛先 のプレフィックス範囲に固有ですが、特定の送信元 または宛先アドレス範囲に固有ではなく、特定のインターフェイスにも固有ではありません。

インターフェイスのトラフィックにプレフィックス固有のアクションを適用するには、送信元アドレスまたは宛先アドレスで一致するファイアウォールフィルター条件を設定し、そのファイアウォールフィルターをインターフェイスに適用します。フィルタリングされたトラフィックのフローは、フィルタリングされたパケットのヘッダー内の送信元アドレスまたは宛先アドレスに基づいてパケットごとに選択されるプレフィックス固有のカウンターおよびポリサーインスタンスを使用してレート制限されます。

プレフィックス固有のアクション設定

プレフィックス固有のアクションを設定するには、以下の情報を指定します。

  • プレフィックス固有アクション名—送信元または宛先アドレス上のパケットに一致するIPv4標準ファイアウォールフィルター条件のアクションとして参照できる名前。

  • ポリサー名—プレフィックス固有のインスタンスを暗黙的に作成したいシングルレート2カラーポリサーの名前。

    注:

    集合型イーサネットインターフェイスでは、論理インターフェイスポリサー(集合型ポリサーとも呼ばれる)を参照するプレフィックス固有のアクションを設定できます。IPv4標準ファイアウォールフィルターからこのタイプのプレフィックス固有のアクションを参照し、インターフェイスの集約レベルでフィルターを適用できます。

  • カウント オプション:プレフィックス固有のカウンターを有効にする場合に含めるオプション。

  • フィルター固有オプション - 単一のカウンターとポリサー セットをファイアウォール フィルター内のすべての条件で共有する場合に含めるオプション。このように動作するプレフィックス固有のアクションは、 フィルター固有モードで動作すると言います。このオプションを有効にしない場合、プレフィックス固有アクションは用語固有モードで動作し、プレフィックス固有のアクションを参照するフィルター 用語 ごとに個別のカウンターとポリサーセットが作成されます。

  • 送信元アドレスプレフィックス長—送信元アドレスに一致するパケットに使用する、0〜32のアドレスプレフィックスの長さ。

  • 宛先アドレスプレフィックス長—宛先アドレスに一致するパケットで使用される、0〜32のアドレスプレフィックスの長さ。

  • サブネットプレフィックス長—送信元アドレスまたは宛先アドレスのいずれかで一致するパケットに使用するサブネットプレフィックスの長さ(0〜32)。

送信元アドレスと宛先アドレスのプレフィックス長は、サブネットのプレフィックス長より 1 から 16 ビット長く設定する必要があります。送信元または宛先アドレスのプレフィックス長が、設定したサブネット プレフィックス長より 16 ビットを超えるように設定した場合、設定をコミットしようとするとエラーが発生します。

カウンターとポリサーのセットサイズとインデックス

プレフィックス固有アクションに対して暗黙的に作成されるプレフィックス固有アクション(カウンターまたはポリサー)の数は、アドレスプレフィックスの長さとサブネットプレフィックスの長さによって決まります。

  1. Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)

表 1 に、カウンターとポリサーのセットサイズとインデックス作成の例を示します。

表 1: カウンターとポリサーのセットサイズとインデックスの例

プレフィックス固有のアクションで指定されたプレフィックス長の例

カウンターまたはポリサー セット サイズの計算

インスタンスのインデックス作成

source-prefix-length = 32 subnet-prefix-length = 16

Size = 2^(32 - 16) = 2^16 = 65,536 instances

注:

この計算は、サポートされている最大のカウンターまたはポリサー セット サイズを示しています。

インスタンス 0:

..0.0xx

インスタンス 1:

..0.1xx

インスタンス 65535:

x.x.255.255

source-prefix-length = 32 subnet-prefix-length = 24

Size = 2^(32 - 24) = 2^8 = 256 instances

インスタンス 0:

...0xxx

インスタンス 1:

...1xxx

インスタンス 255:

...255xxx

source-prefix-length = 32 subnet-prefix-length = 25

Size = 2^(32 - 25) = 2^7 = 128 instances

インスタンス 0:

...0xxx

インスタンス 1:

...1xxx

インスタンス 127:

...127xxx

source-prefix-length = 24 subnet-prefix-length = 20

Size = 2^(24 - 20) = 2^4 = 16 instances

インスタンス 0:

..0.xxx

インスタンス 1:

..1.xxx

インスタンス 15:

..15.xxx

フィルター固有のカウンターとポリサー セットの概要

デフォルトでは、プレフィックス固有ポリサー セットは 条件固有 モードで動作するため、Junos OS は、特定の ファイアウォール フィルターに対して、プレフィックス固有のアクションを参照するフィルター条件ごとに個別のカウンターとポリサー セットを作成します。オプションとして、プレフィックス固有ポリサーセットをフィルター固有モードで動作するように設定し、単一のプレフィックス固有ポリサーセットが、ポリサーを参照するすべての用語(同じファイアウォール フィルター 内)で使用されるようにすることができます。

同じプレフィックス固有のポリサーセットを参照する複数の用語を持つIPv4ファイアウォールフィルターの場合、フィルター固有のモードで動作するようにポリサーセットを構成することで、ファイアウォールフィルターレベルでポリサーセットのアクティビティをカウントおよび監視できます。

注:

条件固有モードとフィルター固有モードもポリサーに適用されます。「フィルター固有のポリサーの概要」を参照してください。

プレフィックス固有ポリサー セットをフィルター固有モードで動作できるようにするには、以下の階層レベルで ステートメントを含め ます。filter-specific

  • [edit firewall family inet prefix-action prefix-action-name]

  • [edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]

IPv4()ファイアウォールフィルターからのみ、フィルター固有のプレフィックス固有のポリサーセットを参照できます。family inet

フィルター固有のポリサーの概要

デフォルトでは、ポリサーは 用語固有の モードで動作するため、Junos OSは、特定のファイアウォールフィルターに対して、ポリサーを参照する フィルター用語ごとに個別のポリサーインスタンスを作成します。オプションとして、ポリサーをフィルター固有モードで動作するように設定し、単一のポリサー インスタンスが、ポリサーを参照するすべての用語(同じファイアウォール フィルター 内)で使用されるようにすることができます。

同じポリサーを参照する複数の用語を持つ IPv4 ファイアウォール フィルターの場合、フィルター固有のモードで動作するようにポリサーを構成すると、ファイアウォール フィルター レベルでポリサーのアクティビティをカウントおよび監視できます。

注:

条件固有モードとフィルター固有モードは、プレフィックス固有のポリサーセットにも適用されます。

シングルレート2カラーポリサーをフィルター固有モードで動作できるようにするには、次の階層レベルにステートメントを含めることができます 。filter-specific

  • [edit firewall policer policer-name]

  • [edit logical-systems logical-system-name firewall policer policer-name]

フィルター固有のポリサーは、IPv4()ファイアウォールフィルターからのみ参照できます。family inet

例:プレフィックス固有のカウントおよびポリシングの設定

この例では、プレフィックス固有のカウントとポリシングを設定する方法を示しています。

要件

この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、IPv4 ファイアウォール フィルターに一致するパケットの送信元アドレス フィールドの最後のオクテットに基づいて、プレフィックス固有のカウントとポリシングを設定します。

rateという名前のシングルレート2カラーポリサー は、トラフィックを1,000,000 bpsの帯域幅と63,000バイトのバーストサイズ制限に制限し、トラフィック制限を超えるトラフィックフロー内のパケットを破棄します。1Mbps-policer

ファイアウォールフィルターから渡されたパケットに含まれるIPv4アドレスとは無関係に、 という名前の プレフィックス固有のアクションは、0から255までの番号が付けられた256個のカウンターとポリサーのセットを指定します。psa-1Mbps-per-source-24-32-256 各パケットについて、送信元アドレスフィールドの最後のオクテットを使用して、セット内の関連するプレフィックス固有のカウンターとポリサーにインデックスを付けます。

  • オクテット インデックスで終わる送信元アドレスを持つパケット、セット内の最初のカウンターとポリサー。0x0000 00000

  • 送信元アドレスがオクテット インデックスで終わるパケット、セット内の 2 番目のカウンターとポリサー。0x0000 0001

  • 送信元アドレスがオクテット で終わるパケットは、セット内の最後のカウンターとポリサーをインデックス化します。0x1111 1111

ファイアウォールフィルターには、送信元アドレスのサブネットからのすべてのパケットに一致する単一の条件が含まれており、これらのパケットをプレフィックス固有のアクションに渡します。limit-source-one-24/2410.10.10.0psa-1Mbps-per-source-24-32-256

トポロジー

この例では、フィルター条件が 1 つの送信元アドレスのサブネットと一致する ため、プレフィックス固有のセット内の各カウントおよびポリシング インスタンスは、1 つの送信元アドレスに対してのみ使用されます。/24

  • 送信元アドレス を持つパケットは、セット内の最初のカウンターとポリサーのインデックスを作成します。10.10.10.0

  • 送信元アドレス を持つパケットは、セット内の2番目のカウンターとポリサーをインデックス化します。10.10.10.1

  • 送信元アドレス を持つパケットは、セット内の最後のカウンターとポリサーのインデックスを作成します。10.10.10.255

この例では、プレフィックス固有のアクションの最も単純なケースを示しており、プレフィックス固有のカウンターとポリサーのセットにインデックスを付けるためのプレフィックス固有アクションで指定されたプレフィックス長と同じプレフィックス長を持つ1つのアドレスでフィルター条件が一致します。

プレフィックス固有のカウントとポリシングのその他の設定については、「」を参照してください 。プレフィックス固有のカウントおよびポリシング設定シナリオ

設定

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、を参照してください 。設定モードでのCLIエディターの使用

この例を設定するには、以下のタスクを実行します。

CLIクイック構成

この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを貼り付けます。[edit]

プレフィックス固有のカウントとポリシングのためのポリサーの設定

ステップバイステップでの手順

プレフィックス固有のカウントとポリシングに使用するポリサーを設定するには:

  1. シングルレート 2 カラー ポリサーの設定を有効にします。

  2. トラフィック制限を定義します。

    この制限に適合するトラフィック フロー内のパケットは、PLP が に 設定された状態で渡されます。low

  3. 不適合トラフィックに対するアクションを定義します。

    この制限を超えるトラフィックフローのパケットは破棄されます。シングルレート ツー カラー ポリサーのその他の設定可能なアクションには、転送クラスの設定と PLP レベルの設定があります。

結果

設定モード コマンドを入力して 、ポリサーの設定を確認します。show firewall コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。

ポリサーに基づくプレフィックス固有のアクションの設定

ステップバイステップでの手順

ポリサーを参照し、送信元アドレスのプレフィックスの一部を指定するプレフィックス固有のアクションを設定するには:

  1. プレフィックス固有のアクションの設定を有効にします。

    プレフィックス固有のカウントとポリシングは、IPv4 トラフィックに対してのみ定義できます。

  2. プレフィックス固有のセットを作成するポリサーを参照します。

    注:

    集合型イーサネットインターフェイスでは、論理インターフェイスポリサー(集合型ポリサーとも呼ばれる)を参照するプレフィックス固有のアクションを設定できます。IPv4標準ファイアウォールフィルターからこのタイプのプレフィックス固有のアクションを参照し、インターフェイスの集約レベルでフィルターを適用できます。

  3. IPv4アドレスがカウンターとポリサーセットにインデックス付けされるプレフィックス範囲を指定します。

結果

設定モード コマンドを入力して 、プレフィックス固有のアクションの設定を確認します。show firewall コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。

プレフィックス固有のアクションを参照する IPv4 フィルターの設定

ステップバイステップでの手順

プレフィックス固有のアクションを参照する IPv4 標準ファイアウォールフィルターを設定するには:

  1. IPv4 標準ファイアウォールフィルターの設定を有効にします。

    プレフィックス固有のカウントとポリシングは、IPv4 トラフィックに対してのみ定義できます。

  2. パケットの送信元アドレスまたは宛先アドレスに一致するようにフィルター条件を設定します。

  3. プレフィックス固有のアクションを参照するようにフィルター条件を設定します。

    また、アクションを使用して、 各ホストへのすべてのハイパーテキスト転送プロトコル(HTTP)トラフィックを 500 Kbps で送信するように設定し、HTTP トラフィックの合計を 1 Mbps に制限することもできます。next term

結果

設定モード コマンドを入力して 、プレフィックス固有のアクションの設定を確認します。show firewall コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。

論理インターフェイスでの IPv4 入力トラフィックへのファイアウォールフィルターの適用

ステップバイステップでの手順

論理インターフェイスの IPv4 入力トラフィックにファイアウォールフィルターを適用するには:

  1. 論理インターフェイスで IPv4 の設定を有効にします。

  2. IP アドレスを設定します。

  3. IPv4 標準のステートレス ファイアウォール フィルターを適用します。

結果

設定モード コマンドを入力して 、プレフィックス固有のアクションの設定を確認します。show interfaces コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

インターフェイスに適用されたファイアウォールフィルターの表示

目的

ファイアウォールフィルター が論理インターフェイス のIPv4入力トラフィックに適用されていることを確認します。limit-source-one-24so-0/0/2.0

アクション

論理インターフェイスには 運用モードコマンド を使用し、 オプションを含めます。show interfaces statisticsso-0/0/2.0detail のコマンド出力セクション では、 フィールドに が表示され、フィルターが入力方向の IPv4 トラフィックに適用されていることを示します。Protocol inetInput Filterslimit-source-one-24

ファイアウォールフィルターのプレフィックス別アクション統計情報の表示

目的

ポリサーによって評価されたパケットの数を確認します。

アクション

ファイアウォールフィルターに設定されたプレフィックス固有のアクションに関する統計情報を表示するには、 操作モードコマンドを使用します。show firewall prefix-action-stats filter filter-name prefix-action name

オプションとして、コマンド オプションを使用して 、表示する開始カウンターまたは終了カウンターまたはポリサーを指定できます。from set-index to set-index ポリサー セットのインデックスは、0 から 65535 までです。

コマンド出力は、指定されたフィルター名の後に、ポリサー セット内の各ポリサーが処理したバイト数とパケット数のリストを表示します。

用語固有のポリサーの場合、セット内の各ポリサーは次のように識別されます。

フィルター固有のポリサーの場合、各ポリサーはコマンド出力内で以下のように識別されます。

プレフィックス固有アクション の例は、 フィルター例 の 1 つの項によってのみ参照されるため、例のポリサー は項固有として設定されます。psa-1Mbps-per-source-24-32-256limit-source-one-241Mbps-policer コマンド出力では、ポリサーの統計情報は 、 、 などに表示されます。show firewall prefix-action-statspsa-1Mbps-per-source-24-32-256-one-0psa-1Mbps-per-source-24-32-256-one-1psa-1Mbps-per-source-24-32-256-one-255

プレフィックス固有のカウントおよびポリシング設定シナリオ

アクションのプレフィックス長と、フィルタリングされたパケット内のアドレスのプレフィックス長

表 2 は、プレフィックス固有アクションで指定されたプレフィックス長と、プレフィックス固有のアクションを参照するファイアウォールフィルター条件に一致するアドレスのプレフィックス長との関係を説明します。

表 2: プレフィックス固有のアクションシナリオの概要

カウンターとポリサーのセット

パケットフィルタリング基準

インスタンスのインデックス作成

プレフィックス固有のアクション シナリオ: 例:プレフィックス固有のカウントおよびポリシングの設定

 

source-prefix-length = 32  subnet-prefix-length = 24

セットサイズ: 2^8 = 256インスタンス番号: 0 - 255

source-address = 10.10.10.0/24

インスタンス 0

10.10.10.0

インスタンス 1:

10.10.10.1

...

...

インスタンス 255:

10.10.10.255

プレフィックス固有のアクション シナリオ: シナリオ 1: 複数のアドレスで一致するファイアウォールフィルター条件

source-prefix-length = 32  subnet-prefix-length = 24

セットサイズ: 2^8 = 256インスタンス番号: 0 - 255

source-address = 10.10.10.0/24

source-address = 10.11.0.0/16

インスタンス 0

10.10.10.0,10.11.x.0

インスタンス 1:

10.10.10.1,10.11..1x

...

...

インスタンス 255:

10.10.10.255,10.11.x.255

/16 サブネット内のアドレスの場合、 範囲は 0 から 255 です。x

プレフィックス固有のアクション シナリオ: シナリオ 2: サブネット プレフィックスがフィルター一致条件のプレフィックスより長い

source-prefix-length = 32  subnet-prefix-length = 25

セットサイズ: 2^7 = 128インスタンス番号: 0 - 127

source-address = 10.10.10.0/24

インスタンス 0

10.10.10.0,10.10.10.128

インスタンス 1:

10.10.10.1,10.10.10.120

...

...

インスタンス 127:

10.10.10.255,10.10.10.127

プレフィックス固有のアクション シナリオ: シナリオ 3: サブネット128番目のカウンターとポリサーのプレフィックスは、ファイアウォールフィルターの一致条件のプレフィックスより短いです

source-prefix-length = 32  subnet-prefix-length = 24

セットサイズ: 2^8 = 256インスタンス番号: 0 - 255

source-address = 10.10.10.0/25

注:

送信元アドレスの範囲が から までのパケットのみが、プレフィックス固有のアクションに渡されます。10.10.10.010.10.10.127

インスタンス 0

10.10.10.0

インスタンス 1:

10.10.10.1

...

...

インスタンス 127:

10.10.10.127

インスタンス 128 – 255: 未使用

シナリオ 1: 複数のアドレスで一致するファイアウォールフィルター条件

完全な例の は、プレフィックス固有アクションの最も単純なケースを示しており、 プレフィックス固有アクションで指定されたサブネットプレフィックス長と同じプレフィックス長を持つ1つのアドレスに対して、シングルターム ファイアウォールフィルター がマッチします。例:プレフィックス固有のカウントおよびポリシングの設定この例とは異なり、このシナリオでは、2 つの IPv4 送信元アドレスでシングルタームファイアウォールフィルターが一致する設定について説明します。さらに、追加の条件は、プレフィックス固有のアクションで定義されたサブネットプレフィックス長と異なるプレフィックス長を持つ送信元アドレスで一致します。この場合、追加の条件は送信元アドレスのサブネットで一致します。/1610.11.0.0

注:

送信元アドレスに一致するパケットとは異なり、送信元アドレスに一致するパケットは、カウンターおよびポリサーセット内のインスタンスと多対1で対応しています。10.10.10.0/2410.11.0.0/16

プレフィックス固有のアクション インデックスに渡されるフィルターマッチ済みパケットをカウンターとポリサーに設定し、 と サブネットにまたがる送信元アドレスを含むパケットでカウント インスタンスとポリシング インスタンスを共有します。10.10.10.0/2410.11.0.0/16

  • セット内の最初のカウンターとポリサーは、送信元アドレス と を持つパケットによってインデックスが作成されます。ここで、 の範囲は から までです。10.10.10.010.11.x.0x0255

  • セット内の 2 番目のカウンターとポリサーは、送信元アドレス と を持つパケットによってインデックスが付けられます。ここで 、範囲は から までです。10.10.10.110.11.x.1x0255

  • セット内の 256 番目(最後)のカウンターとポリサーは、送信元アドレス と を持つパケットによってインデックスが作成されます。ここで 、範囲は から までです。10.10.10.25510.11.x.255x0255

以下の設定は、シングルレート 2 カラー ポリサー、ポリサーを参照するプレフィックス固有アクション、およびプレフィックス固有のアクションを参照する IPv4 標準ステートレス ファイアウォール フィルターを設定するためのステートメントを示しています。

シナリオ 2: サブネット プレフィックスがフィルター一致条件のプレフィックスより長い

完全な例の は、プレフィックス固有アクションの最も単純なケースを示しており、プレフィックス固有アクションで指定されたサブネットプレフィックス長と同じプレフィックス長を持つ1つのアドレスに対して、単一用語の ファイアウォールフィルターがマッチします。例:プレフィックス固有のカウントおよびポリシングの設定例とは異なり、このシナリオでは、プレフィックス固有のアクションが、ファイアウォールフィルターに一致する送信元アドレスのプレフィックスよりも長いサブネットプレフィックス長を定義する設定について説明します。この場合、プレフィックス固有のアクションは のサブネットプレフィックス値 を定義しますが、ファイアウォールフィルターはサブネット内の送信元アドレスで一致します 。25/24

注:

ファイアウォール フィルターは、 から の範囲の送信元アドレスを持つプレフィックス固有のアクション パケットにパスしますが、プレフィックス固有のアクションは、0 から 127 までの番号が付けられた 128 個のカウンターとポリサーのセットのみを指定します。10.10.10.010.10.10.255

プレフィックス固有のアクション インデックスに渡されるフィルターマッチ済みパケットは、サブネット内の 2 つの送信元アドレスのいずれかを含むパケットでカウント インスタンスとポリシング インスタンスが共有されるように設定されます。10.10.10.0/24

  • セット内の最初のカウンターとポリサーは、送信元アドレス と を持つパケットによってインデックスが作成されます。10.10.10.010.10.10.128

  • セット内の 2 番目のカウンターとポリサーは、送信元アドレス と を持つパケットによってインデックスが付けられます。10.10.10.110.10.10.129

  • セット内の 128 番目(最後)のカウンターとポリサーは、送信元アドレス と を持つパケットによってインデックスが作成されます。10.10.10.12710.10.10.255

以下の設定は、シングルレート 2 カラー ポリサー、ポリサーを参照するプレフィックス固有アクション、およびプレフィックス固有のアクションを参照する IPv4 標準ステートレス ファイアウォール フィルターを設定するためのステートメントを示しています。

シナリオ 3: サブネット128番目のカウンターとポリサーのプレフィックスは、ファイアウォールフィルターの一致条件のプレフィックスより短いです

完全な例の は、プレフィックス固有アクションの最も単純なケースを示しており、プレフィックス固有アクションで指定されたサブネットプレフィックス長と同じプレフィックス長を持つ1つのアドレスに対して、単一用語の ファイアウォールフィルターがマッチします。例:プレフィックス固有のカウントおよびポリシングの設定例とは異なり、このシナリオでは、プレフィックス固有のアクションが、ファイアウォールフィルターに一致する送信元アドレスのプレフィックスよりも短いサブネットプレフィックス長を定義する設定について説明します。この場合、フィルター条件は送信元アドレスのサブネット上で一致します。/2510.10.10.0

注:

ファイアウォール フィルターは、 から までの範囲の送信元アドレスを持つパケットのみをプレフィックス固有アクションに渡しますが、プレフィックス固有アクションは、0 から 255 までの番号が付けられた 256 個のカウンターとポリサーのセットを指定します。10.10.10.010.10.10.127

プレフィックス固有のアクション インデックスに渡され、カウンターとポリサー セットの下半分に渡される一致したパケットのみ:

  • セット内の最初のカウンターとポリサーは、送信元アドレス を持つパケットによってインデックスが付けられます。10.10.10.0

  • セット内の 2 番目のカウンターとポリサーは、送信元アドレス と を持つパケットによってインデックスが付けられます。10.10.10.110.10.10.129

  • セット内の 128 番目のカウンターとポリサーは、送信元アドレス を持つパケットによってインデックスが付けられます。10.10.10.127

  • セットの上半分(128〜255の番号が付けられたインスタンス)は、この特定のファイアウォールフィルターからプレフィックス固有のアクションに渡されたパケットによってインデックス付けされません。

以下の設定は、シングルレート 2 カラー ポリサー、ポリサーを参照するプレフィックス固有アクション、およびプレフィックス固有のアクションを参照する IPv4 標準ステートレス ファイアウォール フィルターを設定するためのステートメントを示しています。