プレフィックス固有のカウントおよびポリシングアクション
プレフィックス固有のカウントとポリシングの概要
IPv4 アドレス範囲ごとに個別のカウントとポリシング
プレフィックス固有のカウントとポリシングにより、送信元または宛先アドレスに一致する IPv4 ファイアウォール フィルター 条件を設定し、条件アクションとしてシングルレート 2 カラー ポリサーを適用しますが、パケットヘッダー内の送信元または宛先に基づいて、一致したパケットを特定のカウンターおよびポリサーインスタンスに関連付けることができます。単一のアドレスまたはアドレスのグループに対して、個別のカウンターまたはポリサーインスタンスを暗黙的に作成できます。
プレフィックス固有のカウントおよびポリシングでは、適用するポリサーの名前、プレフィックス固有のカウントを有効にするかどうか、送信元アドレスまたは宛先アドレスのプレフィックス範囲を指定する プレフィックス固有のアクション 設定を使用します。
プレフィックス範囲は、IPv4 アドレス マスクの 1 から 16 の順次セット ビットを指定します。プレフィックス範囲の長さによって、カウンターとポリサー セットのサイズが決まります。この セットは、わずか 2 個から最大 65,536 個のカウンター インスタンスとポリサー インスタンスで構成されます。プレフィックス範囲のビットの位置によって、フィルターマッチしたパケットのインスタンスセットへのインデックス付けが決まります。
プレフィックス固有のアクションは、送信元または宛先 のプレフィックス範囲に固有ですが、特定の送信元 または宛先アドレス範囲に固有ではなく、特定のインターフェイスにも固有ではありません。
インターフェイスのトラフィックにプレフィックス固有のアクションを適用するには、送信元アドレスまたは宛先アドレスで一致するファイアウォールフィルター条件を設定し、そのファイアウォールフィルターをインターフェイスに適用します。フィルタリングされたトラフィックのフローは、フィルタリングされたパケットのヘッダー内の送信元アドレスまたは宛先アドレスに基づいてパケットごとに選択されるプレフィックス固有のカウンターおよびポリサーインスタンスを使用してレート制限されます。
プレフィックス固有のアクション設定
プレフィックス固有のアクションを設定するには、以下の情報を指定します。
プレフィックス固有アクション名—送信元または宛先アドレス上のパケットに一致するIPv4標準ファイアウォールフィルター条件のアクションとして参照できる名前。
ポリサー名—プレフィックス固有のインスタンスを暗黙的に作成したいシングルレート2カラーポリサーの名前。
注:集合型イーサネットインターフェイスでは、論理インターフェイスポリサー(集合型ポリサーとも呼ばれる)を参照するプレフィックス固有のアクションを設定できます。IPv4標準ファイアウォールフィルターからこのタイプのプレフィックス固有のアクションを参照し、インターフェイスの集約レベルでフィルターを適用できます。
カウント オプション:プレフィックス固有のカウンターを有効にする場合に含めるオプション。
フィルター固有オプション - 単一のカウンターとポリサー セットをファイアウォール フィルター内のすべての条件で共有する場合に含めるオプション。このように動作するプレフィックス固有のアクションは、 フィルター固有モードで動作すると言います。このオプションを有効にしない場合、プレフィックス固有アクションは用語固有モードで動作し、プレフィックス固有のアクションを参照するフィルター 用語 ごとに個別のカウンターとポリサーセットが作成されます。
送信元アドレスプレフィックス長—送信元アドレスに一致するパケットに使用する、0〜32のアドレスプレフィックスの長さ。
宛先アドレスプレフィックス長—宛先アドレスに一致するパケットで使用される、0〜32のアドレスプレフィックスの長さ。
サブネットプレフィックス長—送信元アドレスまたは宛先アドレスのいずれかで一致するパケットに使用するサブネットプレフィックスの長さ(0〜32)。
送信元アドレスと宛先アドレスのプレフィックス長は、サブネットのプレフィックス長より 1 から 16 ビット長く設定する必要があります。送信元または宛先アドレスのプレフィックス長が、設定したサブネット プレフィックス長より 16 ビットを超えるように設定した場合、設定をコミットしようとするとエラーが発生します。
カウンターとポリサーのセットサイズとインデックス
プレフィックス固有アクションに対して暗黙的に作成されるプレフィックス固有アクション(カウンターまたはポリサー)の数は、アドレスプレフィックスの長さとサブネットプレフィックスの長さによって決まります。
Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)
表 1 に、カウンターとポリサーのセットサイズとインデックス作成の例を示します。
プレフィックス固有のアクションで指定されたプレフィックス長の例 |
カウンターまたはポリサー セット サイズの計算 |
インスタンスのインデックス作成 |
|
---|---|---|---|
source-prefix-length = 32 subnet-prefix-length = 16 |
Size = 2^(32 - 16) = 2^16 = 65,536 instances 注:
この計算は、サポートされている最大のカウンターまたはポリサー セット サイズを示しています。 |
インスタンス 0: |
..0.0xx |
インスタンス 1: |
..0.1xx |
||
インスタンス 65535: |
x.x.255.255 |
||
source-prefix-length = 32 subnet-prefix-length = 24 |
Size = 2^(32 - 24) = 2^8 = 256 instances |
インスタンス 0: |
...0xxx |
インスタンス 1: |
...1xxx |
||
インスタンス 255: |
...255xxx |
||
source-prefix-length = 32 subnet-prefix-length = 25 |
Size = 2^(32 - 25) = 2^7 = 128 instances |
インスタンス 0: |
...0xxx |
インスタンス 1: |
...1xxx |
||
インスタンス 127: |
...127xxx |
||
source-prefix-length = 24 subnet-prefix-length = 20 |
Size = 2^(24 - 20) = 2^4 = 16 instances |
インスタンス 0: |
..0.xxx |
インスタンス 1: |
..1.xxx |
||
インスタンス 15: |
..15.xxx |
関連項目
フィルター固有のカウンターとポリサー セットの概要
デフォルトでは、プレフィックス固有ポリサー セットは 条件固有 モードで動作するため、Junos OS は、特定の ファイアウォール フィルターに対して、プレフィックス固有のアクションを参照するフィルター条件ごとに個別のカウンターとポリサー セットを作成します。オプションとして、プレフィックス固有ポリサーセットをフィルター固有モードで動作するように設定し、単一のプレフィックス固有ポリサーセットが、ポリサーを参照するすべての用語(同じファイアウォール フィルター 内)で使用されるようにすることができます。
同じプレフィックス固有のポリサーセットを参照する複数の用語を持つIPv4ファイアウォールフィルターの場合、フィルター固有のモードで動作するようにポリサーセットを構成することで、ファイアウォールフィルターレベルでポリサーセットのアクティビティをカウントおよび監視できます。
条件固有モードとフィルター固有モードもポリサーに適用されます。「フィルター固有のポリサーの概要」を参照してください。
プレフィックス固有ポリサー セットをフィルター固有モードで動作できるようにするには、以下の階層レベルで ステートメントを含め ます。filter-specific
[edit firewall family inet prefix-action prefix-action-name]
[edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]
IPv4()ファイアウォールフィルターからのみ、フィルター固有のプレフィックス固有のポリサーセットを参照できます。family inet
関連項目
フィルター固有のポリサーの概要
デフォルトでは、ポリサーは 用語固有の モードで動作するため、Junos OSは、特定のファイアウォールフィルターに対して、ポリサーを参照する フィルター用語ごとに個別のポリサーインスタンスを作成します。オプションとして、ポリサーをフィルター固有モードで動作するように設定し、単一のポリサー インスタンスが、ポリサーを参照するすべての用語(同じファイアウォール フィルター 内)で使用されるようにすることができます。
同じポリサーを参照する複数の用語を持つ IPv4 ファイアウォール フィルターの場合、フィルター固有のモードで動作するようにポリサーを構成すると、ファイアウォール フィルター レベルでポリサーのアクティビティをカウントおよび監視できます。
条件固有モードとフィルター固有モードは、プレフィックス固有のポリサーセットにも適用されます。
シングルレート2カラーポリサーをフィルター固有モードで動作できるようにするには、次の階層レベルにステートメントを含めることができます 。filter-specific
[edit firewall policer policer-name]
[edit logical-systems logical-system-name firewall policer policer-name]
フィルター固有のポリサーは、IPv4()ファイアウォールフィルターからのみ参照できます。family inet
例:プレフィックス固有のカウントおよびポリシングの設定
この例では、プレフィックス固有のカウントとポリシングを設定する方法を示しています。
要件
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、IPv4 ファイアウォール フィルターに一致するパケットの送信元アドレス フィールドの最後のオクテットに基づいて、プレフィックス固有のカウントとポリシングを設定します。
rateという名前のシングルレート2カラーポリサー は、トラフィックを1,000,000 bpsの帯域幅と63,000バイトのバーストサイズ制限に制限し、トラフィック制限を超えるトラフィックフロー内のパケットを破棄します。1Mbps-policer
ファイアウォールフィルターから渡されたパケットに含まれるIPv4アドレスとは無関係に、 という名前の プレフィックス固有のアクションは、0から255までの番号が付けられた256個のカウンターとポリサーのセットを指定します。psa-1Mbps-per-source-24-32-256
各パケットについて、送信元アドレスフィールドの最後のオクテットを使用して、セット内の関連するプレフィックス固有のカウンターとポリサーにインデックスを付けます。
オクテット インデックスで終わる送信元アドレスを持つパケット、セット内の最初のカウンターとポリサー。0x0000 00000
送信元アドレスがオクテット インデックスで終わるパケット、セット内の 2 番目のカウンターとポリサー。0x0000 0001
送信元アドレスがオクテット で終わるパケットは、セット内の最後のカウンターとポリサーをインデックス化します。0x1111 1111
ファイアウォールフィルターには、送信元アドレスのサブネットからのすべてのパケットに一致する単一の条件が含まれており、これらのパケットをプレフィックス固有のアクションに渡します。limit-source-one-24
/24
10.10.10.0
psa-1Mbps-per-source-24-32-256
トポロジー
この例では、フィルター条件が 1 つの送信元アドレスのサブネットと一致する ため、プレフィックス固有のセット内の各カウントおよびポリシング インスタンスは、1 つの送信元アドレスに対してのみ使用されます。/24
送信元アドレス を持つパケットは、セット内の最初のカウンターとポリサーのインデックスを作成します。
10.10.10.0
送信元アドレス を持つパケットは、セット内の2番目のカウンターとポリサーをインデックス化します。
10.10.10.1
送信元アドレス を持つパケットは、セット内の最後のカウンターとポリサーのインデックスを作成します。
10.10.10.255
この例では、プレフィックス固有のアクションの最も単純なケースを示しており、プレフィックス固有のカウンターとポリサーのセットにインデックスを付けるためのプレフィックス固有アクションで指定されたプレフィックス長と同じプレフィックス長を持つ1つのアドレスでフィルター条件が一致します。
プレフィックス固有のカウントとポリシングのその他の設定については、「」を参照してください 。プレフィックス固有のカウントおよびポリシング設定シナリオ
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、を参照してください 。設定モードでのCLIエディターの使用
この例を設定するには、以下のタスクを実行します。
- CLIクイック構成
- プレフィックス固有のカウントとポリシングのためのポリサーの設定
- ポリサーに基づくプレフィックス固有のアクションの設定
- プレフィックス固有のアクションを参照する IPv4 フィルターの設定
- 論理インターフェイスでの IPv4 入力トラフィックへのファイアウォールフィルターの適用
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを貼り付けます。[edit]
set firewall policer 1Mbps-policer if-exceeding bandwidth-limit 1m set firewall policer 1Mbps-policer if-exceeding burst-size-limit 63k set firewall policer 1Mbps-policer then discard set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 policer 1Mbps-policer set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 count set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 subnet-prefix-length 24 set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 source-prefix-length 32 set firewall family inet filter limit-source-one-24 term one from source-address 10.10.10.0/24 set firewall family inet filter limit-source-one-24 term one then prefix-action psa-1Mbps-per-source-24-32-256 set interfaces so-0/0/2 unit 0 family inet filter input limit-source-one-24 set interfaces so-0/0/2 unit 0 family inet address 10.39.1.1/16
プレフィックス固有のカウントとポリシングのためのポリサーの設定
ステップバイステップでの手順
プレフィックス固有のカウントとポリシングに使用するポリサーを設定するには:
シングルレート 2 カラー ポリサーの設定を有効にします。
[edit] user@host# edit firewall policer 1Mbps-policer
トラフィック制限を定義します。
[edit firewall policer 1Mbps-policer] user@host# set if-exceeding bandwidth-limit 1m user@host# set if-exceeding burst-size-limit 63k
この制限に適合するトラフィック フロー内のパケットは、PLP が に 設定された状態で渡されます。
low
不適合トラフィックに対するアクションを定義します。
[edit firewall policer 1Mbps-policer] user@host# set then discard
この制限を超えるトラフィックフローのパケットは破棄されます。シングルレート ツー カラー ポリサーのその他の設定可能なアクションには、転送クラスの設定と PLP レベルの設定があります。
結果
設定モード コマンドを入力して 、ポリサーの設定を確認します。show firewall
コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit] user@host# show firewall policer 1Mbps-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 63k; } then discard; }
ポリサーに基づくプレフィックス固有のアクションの設定
ステップバイステップでの手順
ポリサーを参照し、送信元アドレスのプレフィックスの一部を指定するプレフィックス固有のアクションを設定するには:
プレフィックス固有のアクションの設定を有効にします。
[edit] user@host# edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256
プレフィックス固有のカウントとポリシングは、IPv4 トラフィックに対してのみ定義できます。
プレフィックス固有のセットを作成するポリサーを参照します。
[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set policer 1Mbps-policer user@host# set count
注:集合型イーサネットインターフェイスでは、論理インターフェイスポリサー(集合型ポリサーとも呼ばれる)を参照するプレフィックス固有のアクションを設定できます。IPv4標準ファイアウォールフィルターからこのタイプのプレフィックス固有のアクションを参照し、インターフェイスの集約レベルでフィルターを適用できます。
IPv4アドレスがカウンターとポリサーセットにインデックス付けされるプレフィックス範囲を指定します。
[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set source-prefix-length 32 user@host# set subnet-prefix-length 24
結果
設定モード コマンドを入力して 、プレフィックス固有のアクションの設定を確認します。show firewall
コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit] user@host# show firewall policer 1Mbps-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 63k; } then discard; } family inet { prefix-action psa-1Mbps-per-source-24-32-256 { policer 1Mbps-policer; subnet-prefix-length 24; source-prefix-length 32; } }
プレフィックス固有のアクションを参照する IPv4 フィルターの設定
ステップバイステップでの手順
プレフィックス固有のアクションを参照する IPv4 標準ファイアウォールフィルターを設定するには:
IPv4 標準ファイアウォールフィルターの設定を有効にします。
[edit] user@host# edit firewall family inet filter limit-source-one-24
プレフィックス固有のカウントとポリシングは、IPv4 トラフィックに対してのみ定義できます。
パケットの送信元アドレスまたは宛先アドレスに一致するようにフィルター条件を設定します。
[edit firewall family inet filter limit-source-one-24] user@host# set term one from source-address 10.10.10.0/24
プレフィックス固有のアクションを参照するようにフィルター条件を設定します。
[edit firewall family inet filter limit-source-one-24] user@host# set term one then prefix-action psa-1Mbps-per-source-24-32-256
また、アクションを使用して、 各ホストへのすべてのハイパーテキスト転送プロトコル(HTTP)トラフィックを 500 Kbps で送信するように設定し、HTTP トラフィックの合計を 1 Mbps に制限することもできます。
next term
結果
設定モード コマンドを入力して 、プレフィックス固有のアクションの設定を確認します。show firewall
コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit] user@host# show firewall policer 1Mbps-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 63k; } then discard; } family inet { prefix-action psa-1Mbps-per-source-24-32-256 { policer 1Mbps-policer; subnet-prefix-length 24; source-prefix-length 32; } filter limit-source-one-24 { term one { from { source-address { 10.10.10.0/24; } } then prefix-action psa-1Mbps-per-source-24-32-256; } } }
論理インターフェイスでの IPv4 入力トラフィックへのファイアウォールフィルターの適用
ステップバイステップでの手順
論理インターフェイスの IPv4 入力トラフィックにファイアウォールフィルターを適用するには:
論理インターフェイスで IPv4 の設定を有効にします。
[edit] user@host# edit interfaces so-0/0/2 unit 0 family inet
IP アドレスを設定します。
[edit interfaces so-0/0/2 unit 0 family inet] user@host# set address 10.39.1.1/16
IPv4 標準のステートレス ファイアウォール フィルターを適用します。
[edit interfaces so-0/0/2 unit 0 family inet] user@host# set filter input limit-source-one-24
結果
設定モード コマンドを入力して 、プレフィックス固有のアクションの設定を確認します。show interfaces
コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit] user@host# show interfaces so-0/0/2 { unit 0 { family inet { filter { input limit-source-one-24; } address 10.39.1.1/16; } } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
検証
設定が正常に機能していることを確認します。
インターフェイスに適用されたファイアウォールフィルターの表示
目的
ファイアウォールフィルター が論理インターフェイス のIPv4入力トラフィックに適用されていることを確認します。limit-source-one-24
so-0/0/2.0
アクション
論理インターフェイスには 運用モードコマンド を使用し、 オプションを含めます。show interfaces statistics
so-0/0/2.0
detail
のコマンド出力セクション では、 フィールドに が表示され、フィルターが入力方向の IPv4 トラフィックに適用されていることを示します。Protocol inetInput Filterslimit-source-one-24
user@host> show interfaces statistics so-0/0/2.0 detail Logical interface so-0/0/2.0 (Index 79) (SNMP ifIndex 510) (Generation 149) Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP Protocol inet, MTU: 4470, Generation: 173, Route table: 0 Flags: Sendbcast-pkt-to-re, Protocol-Down Input Filters: limit-source-one-24 Addresses, Flags: Dest-route-down Is-Preferred Is-Primary Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
ファイアウォールフィルターのプレフィックス別アクション統計情報の表示
目的
ポリサーによって評価されたパケットの数を確認します。
アクション
ファイアウォールフィルターに設定されたプレフィックス固有のアクションに関する統計情報を表示するには、 操作モードコマンドを使用します。show firewall prefix-action-stats filter filter-name prefix-action name
オプションとして、コマンド オプションを使用して 、表示する開始カウンターまたは終了カウンターまたはポリサーを指定できます。from set-index to set-index
ポリサー セットのインデックスは、0 から 65535 までです。
コマンド出力は、指定されたフィルター名の後に、ポリサー セット内の各ポリサーが処理したバイト数とパケット数のリストを表示します。
用語固有のポリサーの場合、セット内の各ポリサーは次のように識別されます。
prefix-specific-action-name-term-name-set-index
フィルター固有のポリサーの場合、各ポリサーはコマンド出力内で以下のように識別されます。
prefix-specific-action-name-set-index
プレフィックス固有アクション の例は、 フィルター例 の 1 つの項によってのみ参照されるため、例のポリサー は項固有として設定されます。psa-1Mbps-per-source-24-32-256
limit-source-one-24
1Mbps-policer
コマンド出力では、ポリサーの統計情報は 、 、 などに表示されます。show firewall prefix-action-stats
psa-1Mbps-per-source-24-32-256-one-0
psa-1Mbps-per-source-24-32-256-one-1
psa-1Mbps-per-source-24-32-256-one-255
user@host> show firewall prefix-action-stats filter limit-source-one-24 prefix-action psa-1Mbps-per-source-24-32-256 from 0 to 9 Filter: limit-source-one-24 Counters: Name Bytes Packets psa-1Mbps-per-source-24-32-256-one-0 0 0 psa-1Mbps-per-source-24-32-256-one-1 0 0 psa-1Mbps-per-source-24-32-256-one-2 0 0 psa-1Mbps-per-source-24-32-256-one-3 0 0 psa-1Mbps-per-source-24-32-256-one-4 0 0 psa-1Mbps-per-source-24-32-256-one-5 0 0 psa-1Mbps-per-source-24-32-256-one-6 0 0 psa-1Mbps-per-source-24-32-256-one-7 0 0 psa-1Mbps-per-source-24-32-256-one-8 0 0 psa-1Mbps-per-source-24-32-256-one-9 0 0
プレフィックス固有のカウントおよびポリシング設定シナリオ
- アクションのプレフィックス長と、フィルタリングされたパケット内のアドレスのプレフィックス長
- シナリオ 1: 複数のアドレスで一致するファイアウォールフィルター条件
- シナリオ 2: サブネット プレフィックスがフィルター一致条件のプレフィックスより長い
- シナリオ 3: サブネット128番目のカウンターとポリサーのプレフィックスは、ファイアウォールフィルターの一致条件のプレフィックスより短いです
アクションのプレフィックス長と、フィルタリングされたパケット内のアドレスのプレフィックス長
表 2 は、プレフィックス固有アクションで指定されたプレフィックス長と、プレフィックス固有のアクションを参照するファイアウォールフィルター条件に一致するアドレスのプレフィックス長との関係を説明します。
カウンターとポリサーのセット |
パケットフィルタリング基準 |
インスタンスのインデックス作成 |
||
---|---|---|---|---|
プレフィックス固有のアクション シナリオ: 例:プレフィックス固有のカウントおよびポリシングの設定 |
||||
source-prefix-length = 32 subnet-prefix-length = 24 セットサイズ: 2^8 = 256インスタンス番号: 0 - 255 |
source-address = 10.10.10.0/24 |
インスタンス 0 |
10.10.10.0 |
|
インスタンス 1: |
10.10.10.1 |
|||
|
|
|||
インスタンス 255: |
10.10.10.255 |
|||
プレフィックス固有のアクション シナリオ: シナリオ 1: 複数のアドレスで一致するファイアウォールフィルター条件 |
||||
source-prefix-length = 32 subnet-prefix-length = 24 セットサイズ: 2^8 = 256インスタンス番号: 0 - 255 |
source-address = 10.10.10.0/24 source-address = 10.11.0.0/16 |
インスタンス 0 |
10.10.10.0,10.11.x.0 |
|
インスタンス 1: |
10.10.10.1,10.11..1x |
|||
|
|
|||
インスタンス 255: |
10.10.10.255,10.11.x.255 |
|||
/16 サブネット内のアドレスの場合、 範囲は 0 から 255 です。x |
||||
プレフィックス固有のアクション シナリオ: シナリオ 2: サブネット プレフィックスがフィルター一致条件のプレフィックスより長い |
||||
source-prefix-length = 32 subnet-prefix-length = 25 セットサイズ: 2^7 = 128インスタンス番号: 0 - 127 |
source-address = 10.10.10.0/24 |
インスタンス 0 |
10.10.10.0,10.10.10.128 |
|
インスタンス 1: |
10.10.10.1,10.10.10.120 |
|||
|
|
|||
インスタンス 127: |
10.10.10.255,10.10.10.127 |
|||
プレフィックス固有のアクション シナリオ: シナリオ 3: サブネット128番目のカウンターとポリサーのプレフィックスは、ファイアウォールフィルターの一致条件のプレフィックスより短いです |
||||
source-prefix-length = 32 subnet-prefix-length = 24 セットサイズ: 2^8 = 256インスタンス番号: 0 - 255 |
source-address = 10.10.10.0/25 注:
送信元アドレスの範囲が から までのパケットのみが、プレフィックス固有のアクションに渡されます。 |
インスタンス 0 |
10.10.10.0 |
|
インスタンス 1: |
10.10.10.1 |
|||
|
|
|||
インスタンス 127: |
10.10.10.127 |
|||
インスタンス 128 – 255: 未使用 |
シナリオ 1: 複数のアドレスで一致するファイアウォールフィルター条件
完全な例の は、プレフィックス固有アクションの最も単純なケースを示しており、 プレフィックス固有アクションで指定されたサブネットプレフィックス長と同じプレフィックス長を持つ1つのアドレスに対して、シングルターム ファイアウォールフィルター がマッチします。例:プレフィックス固有のカウントおよびポリシングの設定この例とは異なり、このシナリオでは、2 つの IPv4 送信元アドレスでシングルタームファイアウォールフィルターが一致する設定について説明します。さらに、追加の条件は、プレフィックス固有のアクションで定義されたサブネットプレフィックス長と異なるプレフィックス長を持つ送信元アドレスで一致します。この場合、追加の条件は送信元アドレスのサブネットで一致します。/16
10.11.0.0
送信元アドレスに一致するパケットとは異なり、送信元アドレスに一致するパケットは、カウンターおよびポリサーセット内のインスタンスと多対1で対応しています。10.10.10.0/24
10.11.0.0/16
プレフィックス固有のアクション インデックスに渡されるフィルターマッチ済みパケットをカウンターとポリサーに設定し、 と サブネットにまたがる送信元アドレスを含むパケットでカウント インスタンスとポリシング インスタンスを共有します。10.10.10.0/24
10.11.0.0/16
セット内の最初のカウンターとポリサーは、送信元アドレス と を持つパケットによってインデックスが作成されます。ここで、 の範囲は から までです。
10.10.10.0
10.11.x.0
x0
255
セット内の 2 番目のカウンターとポリサーは、送信元アドレス と を持つパケットによってインデックスが付けられます。ここで 、範囲は から までです。
10.10.10.1
10.11.x.1
x0
255
セット内の 256 番目(最後)のカウンターとポリサーは、送信元アドレス と を持つパケットによってインデックスが作成されます。ここで 、範囲は から までです。
10.10.10.255
10.11.x.255
x0
255
以下の設定は、シングルレート 2 カラー ポリサー、ポリサーを参照するプレフィックス固有アクション、およびプレフィックス固有のアクションを参照する IPv4 標準ステートレス ファイアウォール フィルターを設定するためのステートメントを示しています。
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-two-24-16 {
term one {
from {
source-address {
10.10.10.0/24;
10.11.0.0/16
;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-two-24-16;
}
address 10.39.1.1/16;
}
}
}
}
シナリオ 2: サブネット プレフィックスがフィルター一致条件のプレフィックスより長い
完全な例の は、プレフィックス固有アクションの最も単純なケースを示しており、プレフィックス固有アクションで指定されたサブネットプレフィックス長と同じプレフィックス長を持つ1つのアドレスに対して、単一用語の ファイアウォールフィルターがマッチします。例:プレフィックス固有のカウントおよびポリシングの設定例とは異なり、このシナリオでは、プレフィックス固有のアクションが、ファイアウォールフィルターに一致する送信元アドレスのプレフィックスよりも長いサブネットプレフィックス長を定義する設定について説明します。この場合、プレフィックス固有のアクションは のサブネットプレフィックス値 を定義しますが、ファイアウォールフィルターはサブネット内の送信元アドレスで一致します 。25
/24
ファイアウォール フィルターは、 から の範囲の送信元アドレスを持つプレフィックス固有のアクション パケットにパスしますが、プレフィックス固有のアクションは、0 から 127 までの番号が付けられた 128 個のカウンターとポリサーのセットのみを指定します。10.10.10.0
10.10.10.255
プレフィックス固有のアクション インデックスに渡されるフィルターマッチ済みパケットは、サブネット内の 2 つの送信元アドレスのいずれかを含むパケットでカウント インスタンスとポリシング インスタンスが共有されるように設定されます。10.10.10.0/24
セット内の最初のカウンターとポリサーは、送信元アドレス と を持つパケットによってインデックスが作成されます。
10.10.10.0
10.10.10.128
セット内の 2 番目のカウンターとポリサーは、送信元アドレス と を持つパケットによってインデックスが付けられます。
10.10.10.1
10.10.10.129
セット内の 128 番目(最後)のカウンターとポリサーは、送信元アドレス と を持つパケットによってインデックスが作成されます。
10.10.10.127
10.10.10.255
以下の設定は、シングルレート 2 カラー ポリサー、ポリサーを参照するプレフィックス固有アクション、およびプレフィックス固有のアクションを参照する IPv4 標準ステートレス ファイアウォール フィルターを設定するためのステートメントを示しています。
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-25-32-128 {
policer 1Mbps-policer;
subnet-prefix-length 25
;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-25-32-128;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
}
シナリオ 3: サブネット128番目のカウンターとポリサーのプレフィックスは、ファイアウォールフィルターの一致条件のプレフィックスより短いです
完全な例の は、プレフィックス固有アクションの最も単純なケースを示しており、プレフィックス固有アクションで指定されたサブネットプレフィックス長と同じプレフィックス長を持つ1つのアドレスに対して、単一用語の ファイアウォールフィルターがマッチします。例:プレフィックス固有のカウントおよびポリシングの設定例とは異なり、このシナリオでは、プレフィックス固有のアクションが、ファイアウォールフィルターに一致する送信元アドレスのプレフィックスよりも短いサブネットプレフィックス長を定義する設定について説明します。この場合、フィルター条件は送信元アドレスのサブネット上で一致します。/25
10.10.10.0
ファイアウォール フィルターは、 から までの範囲の送信元アドレスを持つパケットのみをプレフィックス固有アクションに渡しますが、プレフィックス固有アクションは、0 から 255 までの番号が付けられた 256 個のカウンターとポリサーのセットを指定します。10.10.10.0
10.10.10.127
プレフィックス固有のアクション インデックスに渡され、カウンターとポリサー セットの下半分に渡される一致したパケットのみ:
セット内の最初のカウンターとポリサーは、送信元アドレス を持つパケットによってインデックスが付けられます。
10.10.10.0
セット内の 2 番目のカウンターとポリサーは、送信元アドレス と を持つパケットによってインデックスが付けられます。
10.10.10.1
10.10.10.129
セット内の 128 番目のカウンターとポリサーは、送信元アドレス を持つパケットによってインデックスが付けられます。
10.10.10.127
セットの上半分(128〜255の番号が付けられたインスタンス)は、この特定のファイアウォールフィルターからプレフィックス固有のアクションに渡されたパケットによってインデックス付けされません。
以下の設定は、シングルレート 2 カラー ポリサー、ポリサーを参照するプレフィックス固有アクション、およびプレフィックス固有のアクションを参照する IPv4 標準ステートレス ファイアウォール フィルターを設定するためのステートメントを示しています。
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-25 {
term one {
from {
source-address {
10.10.10.0/25
;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-25;
}
address 10.39.1.1/16;
}
}
}
}