Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

プレフィックス固有のカウントとポリシングアクション

プレフィックス固有のカウントとポリシーの概要

IPv4 アドレス範囲ごとの個別のカウントとポリシング

プレフィックス特定のカウントとポリシー適用により、送信元または宛先アドレスに一致する IPv4ファイアウォールフィルター条件を構成し、単一レートの2色のポリサーをアクションとして使用し、一致したパケットを特定のcounter とポリサーのインスタンスを作成し、パケットヘッダーの送信元または宛先に基づいています。単一のアドレスまたはアドレスグループに対して、個別の counter またはポリサーインスタンスを暗黙的に作成できます。

プレフィックス固有のカウントとポリシングでは、適用するポリサーの名前、プレフィックス固有のカウントを有効にするかどうか、送信元または宛先のアドレス プレフィックス範囲を指定する、プレフィックス固有のアクション設定を使用します。

プレフィックスの範囲は、IPv4 アドレスマスクの 1 ~ 16 個のシーケンシャルセットビットを指定します。プレフィックス範囲の長さは、カウンターとサーサー セットのサイズを決定します。これは、最大 2 または最大 65,536 のカウンターおよび 65,536 のインスタンスで構成されます。プレフィックス範囲のビットの位置によって、フィルター一致パケットのインスタンス セットへのインデックス作成が決定されます。

注:

プレフィックス固有のアクションは送信元または宛先プレフィックス範囲に固有のアクションですが、特定の送信元または宛先アドレス範囲に固有ではなく、特定のインターフェイスに固有のアクションではありません。

プレフィックス固有のアクションをインターフェイスのトラフィックに適用するには、送信元または宛先のアドレスに一致するファイアウォールフィルター条件を構成してから、ファイアウォールフィルターをインターフェイスに適用します。フィルタリングされたトラフィックのフローは、フィルタリングされたパケットのヘッダーにある送信元または宛先アドレスに基づいてパケット単位で選択されるプレフィックス固有のカウンターとポリシー インスタンスを使用してレート制限されます。

接頭番号に固有のアクションの構成

プリフィックス固有のアクションを設定するには、以下の情報を指定します。

  • プレフィックス固有のアクション名 — 送信元または宛先アドレスのパケットと一致する、IPv4標準ファイアウォール フィルタ条件のアクションとして参照できる名前。

  • ポリシー名 — 明示的にプレフィックス固有のインスタンスを作成する、シングルレートの 2 カラー ポリシーの名前。

    注:

    アグリゲート イーサネット インターフェイスでは、論理インターフェイス ポリシー(アグリゲート ポリシーとも呼ばれる)を参照するプレフィックス固有のアクションを設定できます。IPv4 標準ファイアウォールフィルターからこの種のプレフィックス固有のアクションを参照し、インターフェイスのアグリゲーションレベルでフィルターを適用できます。

  • カウント オプション — プレフィックス固有のカウンターを有効にする場合に含めるオプション。

  • フィルター固有のオプション — ファイアウォール フィルタのすべての条件で 1 つのカウンターとポリシーを共有したい場合に含めるオプション。このような方法で動作するプレフィックス固有のアクションは、フィルタ固有のモード で動作すると言います。このオプションを有効にしない場合、プレフィックス固有のアクションは用語固有モードで動作します。つまり、プレフィックス固有のアクションを参照する各フィルター条件に対して、個別のカウンターとポリシー セットが作成されます。

  • 送信元アドレス プレフィックスの長さ — 送信元アドレスで一致したパケットと一緒に使用するアドレス プレフィックスの長さ(0 ~32)。

  • 宛先アドレス プレフィックス長 — 宛先アドレスで一致したパケットと一緒に使用するアドレス プレフィックスの長さ(0 ~32)。

  • サブネット プレフィックス長 — 送信元または宛先アドレスで一致したパケットと一緒に使用するサブネット プレフィックスの長さ(0 ~32)。

送信元と宛先のアドレス プレフィックス長は、サブネット プレフィックス長よりも1~16ビット長く設定する必要があります。送信元または宛先アドレスのプレフィックス長を、設定されたサブネット プレフィックス長を超える 16 ビット超に設定すると、設定をコミットしようとするときにエラーが発生します。

カウンターとポリサーのセットサイズおよびインデックス作成

プレフィックス固有のアクションに対して暗黙的に作成されるプレフィックス固有のアクション (カウンターまたはポリサー) の数は、アドレスプレフィックスの長さとサブネットプレフィックスの長さによって決定されます。

  1. Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)

表 1カウンターとポリサーのセットサイズとインデックス作成の例を示します。

表 1: Counter およびポリサーセットサイズとインデックス作成の例

プレフィックス固有のアクションで指定されたプレフィックス長の例

カウンターまたはポリサーセットサイズの計算

インスタンスのインデックス作成

source-prefix-length = 32 subnet-prefix-length = 16

Size = 2^(32 - 16) = 2^16 = 65,536 instances

注:

この計算は、サポートされている最大のカウンターまたはポリサーセットサイズを示します。

インスタンス 0:

x.x.0.0

インスタンス 1:

x.x.0.1

インスタンス 65535:

x.x.255.255

source-prefix-length = 32 subnet-prefix-length = 24

Size = 2^(32 - 24) = 2^8 = 256 instances

インスタンス 0:

x.x.x.0

インスタンス 1:

x.x.x.1

インスタンス 255:

x.x.x.255

source-prefix-length = 32 subnet-prefix-length = 25

Size = 2^(32 - 25) = 2^7 = 128 instances

インスタンス 0:

x.x.x.0

インスタンス 1:

x.x.x.1

インスタンス 127:

x.x.x.127

source-prefix-length = 24 subnet-prefix-length = 20

Size = 2^(24 - 20) = 2^4 = 16 instances

インスタンス 0:

x.x.0.x

インスタンス 1:

x.x.1。x

インスタンス 15:

x.x.15。x

フィルター固有のカウンターとポリサーセットの概要

デフォルトでは、プレフィックス固有のポリシー セットは用語固有モードで動作し、特定のファイアウォール フィルタに対して、Junos OS はプレフィックス固有のアクションを参照する各フィルタ条件に対して個別のカウンターとポリシー セットを作成します。オプションとして、ポリシーを参照するすべての条件(同じファイアウォール フィルタ内)で 1 つのプレフィックス固有のポリシー セットが使用されるに従って、プレフィックス固有のポリシー セットをフィルタ固有モードで動作として設定できます。

同じプレフィックス固有のポリサーセットを参照する複数の用語を持つ IPv4 ファイアウォールフィルターの場合、ポリサーをフィルター固有モードで動作するように設定することで、ファイアウォールフィルタレベルで設定されたポリサーのアクティビティをカウントして監視できます。

注:

用語固有モードとフィルター固有モードは、ポリサーにも適用されます。参照フィルタ固有のポリサーの概要してください。

フィルタ固有のモードでプリフィックス固有のポリサーを有効にするには、以下の階層filter-specificレベルでステートメントを含めることができます。

  • [edit firewall family inet prefix-action prefix-action-name]

  • [edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]

フィルタ固有の接頭辞固有のポリサーセットは、IPv4 (family inet) ファイアウォールフィルタからのみ参照できます。

フィルタ固有のポリサーの概要

デフォルトでは、ポリシーは用語固有のモードで動作し、特定のファイアウォール フィルタに対して Junos OS は、ポリシーを参照するフィルタ条件ごとに個別のポリシー インスタンスを作成します。オプションとして、ポリシーを参照するすべての条件(同じファイアウォールフィルタ内)で 1 つのポリシー インスタンスが使用されるのを確認するには、フィルタ固有モードで動作するポリシーを設定できます。

同一のポリサーを参照する複数の条件を持つ IPv4 ファイアウォールフィルターでは、フィルタ固有のモードで動作するように、ポリサーを構成することで、ポリサーのアクティビティをファイアウォールフィルタレベルでカウントおよび監視できます。

注:

用語固有モードとフィルター固有モードは、プレフィックス固有のポリサーセットにも適用されます。

単一レートの2色のポリサーがフィルター固有のモードで動作するようにするには、以下filter-specificの階層レベルでステートメントを含めることができます。

  • [edit firewall policer policer-name]

  • [edit logical-systems logical-system-name firewall policer policer-name]

フィルタ固有のポリサーを参照するには、family inetIPv4 () ファイアウォールフィルターのみを使用できます。

例:プレフィックス固有の棚卸とポリシーの設定

この例では、プレフィックス固有の棚卸とポリシーを設定する方法を示します。

要件

この例を設定する前に、デバイス初期化以外に特別な設定を行う必要はありません。

概要

この例では、IPv4 ファイアウォールフィルターによって一致したパケットの送信元アドレスフィールドの最後のオクテットに基づいて、プレフィックス固有のカウントとポリシー適用を構成します。

レート制限という名前の単一レート 2 カラー ポリシーは、トラフィックを 1Mbps-policer 1,000,000 bps の帯域幅と 63,000 バイトのバースト サイズ制限に制限し、トラフィック制限を超えるトラフィック フロー内のパケットを破棄します。

ファイアウォール フィルターから渡されるパケットに含まれる IPv4 アドレスに依存しないプレフィックス固有のアクションは、0~255 の番号が付けられた一連の 256 のカウンターとポリシーを指定します。 psa-1Mbps-per-source-24-32-256 各パケットに対して、送信元アドレスフィールドの最後のオクテットが、関連付けられたプレフィックス固有のカウンターと、セット内の各ポリサーのインデックスに使用されます。

  • オクテットインデックスで終わる送信元アドレスを持つパケット、セット内の最初のカウンターと 0x0000 00000 サーサー。

  • オクテットインデックスで終わる送信元アドレスを持つパケット、2番目のカウンターとセット 0x0000 0001 内のパサー。

  • オクテットインデックスで終わる送信元アドレスを持つパケット、セット内の最後のカウンターと 0x1111 1111 サーサー。

limit-source-one-24ファイアウォールフィルターには、送信元アドレス/2410.10.10.0のサブネットからのすべてのパケットに一致する単一の用語が含まれてpsa-1Mbps-per-source-24-32-256おり、これらのパケットをプレフィックス固有のアクションに渡します。

Topology

この例では、フィルタ条件が単一の/24送信元アドレスのサブネットと一致しているため、プレフィックス固有のセットの各カウントとポリシーインスタンスは、1つの送信元アドレスにのみ使用されます。

  • 送信元アドレス10.10.10.0インデックスを持つパケットは、そのセットの最初のカウンターとポリサーを使用します。

  • 送信元アドレス10.10.10.1インデックスを持つパケットは、セット内の2番目のカウンターおよびポリサーが使用されます。

  • 送信元アドレス10.10.10.255インデックスを持つパケットは、セット内の最後のカウンターおよびポリサーが使用されます。

この例では、プリフィックス固有のアクションの最もシンプルな動作を示しています。この場合、フィルタ用語はプレフィックス固有のアクションで指定されたプレフィックス長と同じプレフィックス長を持つ1つのアドレスで一致し、プレフィックス固有のカウンターセットにインデックスを作成します。、ポリサーがあります。

プレフィックス固有のカウントとポリシングのその他の設定の説明については、 を参照 プレフィックス固有のカウントとポリシー設定のシナリオ してください。

構成

次の例では、構成階層のさまざまなレベルを移動する必要があります。詳細については、 を参照してください。詳細CLIを参照 設定モードでの CLI エディターの使用 してください。

この例を構成するには、以下のタスクを実行します。

CLI クイック構成

この例を簡単に構成するには、以下の構成コマンドをテキストファイルにコピーし、改行を削除してから、コマンドを[edit]階層レベルで CLI に貼り付けます。

プレフィックス固有のカウントとポリシーのためのポリサーの構成

順を追った手順

プレフィックス固有のカウントとポリシーを使用するようにポリサーを設定するには、以下のようにします。

  1. シングルレート2色のポリサーの構成を可能にします。

  2. トラフィックの制限を定義します。

    この制限に準拠しているトラフィックフロー内のパケットは、PLP セットがlowに渡されます。

  3. 不適合トラフィックのアクションを定義します。

    この制限を超えるトラフィックフロー内のパケットは破棄されます。2色の1対のポリサーでは、転送クラスを設定して PLP レベルを設定することで、その他の設定可能なアクションを実行できます。

結果

show firewall設定モードのコマンドを入力して、ポリサーの構成を確認します。コマンドの出力に意図した構成が表示されない場合は、この手順の手順を繰り返して設定を修正します。

ポリサーに基づいてプレフィックス固有のアクションを設定

順を追った手順

ポリサーを参照するプレフィックス固有の動作を設定し、送信元アドレスプレフィックスの一部を指定するには、次の操作を行います。

  1. プレフィックス固有のアクションの設定を可能にします。

    プレフィックス固有のカウントとポリシーは、IPv4 トラフィックに対してのみ定義できます。

  2. プレフィックス固有のセットが作成されるようにするには、対象のポリサーを参照してください。

    注:

    アグリゲート イーサネット インターフェイスでは、論理インターフェイス ポリシー(アグリゲート ポリシーとも呼ばれる)を参照するプレフィックス固有のアクションを設定できます。IPv4 標準ファイアウォールフィルターからこの種のプレフィックス固有のアクションを参照し、インターフェイスのアグリゲーションレベルでフィルターを適用できます。

  3. IPv4 アドレスがカウンターおよびポリサーセットにインデックス付けされるプレフィックス範囲を指定します。

結果

show firewall設定モードのコマンドを入力して、プレフィックス固有のアクションの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この手順の手順を繰り返して設定を修正します。

プレフィックス固有のアクションを参照する IPv4 フィルターの構成

順を追った手順

プレフィックス固有のアクションを参照する IPv4 標準ファイアウォールフィルターを構成するには、次のようにします。

  1. IPv4 標準ファイアウォールフィルターの設定を有効にします。

    プレフィックス固有のカウントとポリシーは、IPv4 トラフィックに対してのみ定義できます。

  2. パケット送信元アドレスまたは宛先アドレスに一致するようにフィルター条件を設定します。

  3. プレフィックス固有のアクションを参照するようにフィルター条件を設定します。

    また、このアクションを使用して、すべてのハイパーテキスト転送プロトコル(HTTP)トラフィックを各ホストに対して、500 Kbps で送信し、HTTP トラフィックの合計は 1 Mbps に制限できます next term

結果

show firewall設定モードのコマンドを入力して、プレフィックス固有のアクションの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この手順の手順を繰り返して設定を修正します。

論理インタフェースでの IPv4 入力トラフィックへのファイアウォールフィルタの適用

順を追った手順

論理インターフェイスで IPv4 入力トラフィックにファイアウォールフィルターを適用するには、次のようにします。

  1. 論理インタフェースでの IPv4 の設定を有効にします。

  2. IP アドレスを設定します。

  3. IPv4 標準のステートレスファイアウォールフィルターを適用します。

結果

show interfaces設定モードのコマンドを入力して、プレフィックス固有のアクションの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この手順の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

インターフェイスに適用されているファイアウォールフィルターを表示する

目的

論理インターフェイスlimit-source-one-24で、IPv4 so-0/0/2.0入力トラフィックにファイアウォールフィルターが適用されていることを確認します。

アクション

論理インタフェースshow interfaces statisticsso-0/0/2.0の運用モードコマンドを使用し、 detailオプションを含めます。の コマンド出力セクションで、 フィールドに、フィルターが入力方向の IPv4 トラフィックに適用 Protocol inetInput Filterslimit-source-one-24 されたことを示します。

ファイアウォールフィルタのプリフィックス固有のアクションの統計情報を表示する

目的

ポリサーによって評価されたパケット数を確認します。

アクション

動作モードshow firewall prefix-action-stats filter filter-name prefix-action nameコマンドを使用して、ファイアウォールフィルターに設定されたプレフィックス固有のアクションに関する統計情報を表示します。

オプションとして、 from set-index to set-indexコマンドオプションを使用して、表示する開始および終了のカウンターまたはポリサーを指定できます。ポリサーセットには、0 ~ 65535 のインデックスが設定されています。

このコマンド出力には、指定したフィルタ名に続いて、ポリサーセット内の各ポリサーによって処理されるバイト数とパケットのリストが表示されます。

用語固有のポリサーの場合、セット内の各ポリサーは次のように識別されます。

フィルタ固有のポリサーの場合、各ポリサーは次のようにコマンド出力で識別されます。

接頭辞固有のアクションpsa-1Mbps-per-source-24-32-256の例はフィルター limit-source-one-24例の1つだけで参照されているため、この1Mbps-policer例の「ポリサー」は、用語固有として設定されています。コマンドの出力では、ポリサーの統計情報がshow firewall prefix-action-statspsa-1Mbps-per-source-24-32-256-one-0で、などとしpsa-1Mbps-per-source-24-32-256-one-1て表示されます。 psa-1Mbps-per-source-24-32-256-one-255

プレフィックス固有のカウントとポリシー設定のシナリオ

フィルタリングされたパケットにおけるアクションのプレフィックス長とプレフィックス長

表 2プレフィックス固有のアクションで指定されたプレフィックス長と、プレフィックス固有のアクションを参照するファイアウォールフィルター条件に一致するアドレスのプレフィックス長との関係について説明します。

表 2: 接頭辞固有のアクションシナリオのまとめ

Counter およびポリサーセット

パケットフィルタリングの基準

インスタンスのインデックス作成

プレフィックス固有のアクションシナリオ: 例:プレフィックス固有の棚卸とポリシーの設定

 

source-prefix-length = 32  subnet-prefix-length = 24

セットサイズ: 2^8 = 256インスタンス番号: 0 - 255

source-address = 10.10.10.0/24

インスタンス0

10.10.10.0

インスタンス 1:

10.10.10.1

...

...

インスタンス 255:

10.10.10.255

プレフィックス固有のアクションシナリオ: シナリオ 1: 複数のアドレスでのファイアウォールフィルタ条件の一致

source-prefix-length = 32  subnet-prefix-length = 24

セットサイズ: 2^8 = 256インスタンス番号: 0 - 255

source-address = 10.10.10.0/24

source-address = 10.11.0.0/16

インスタンス0

10.10.10.0,10.11.x.0

インスタンス 1:

10.10.10.1,10.11.x.1

...

...

インスタンス 255:

10.10.10.255,10.11x.255

/16 サブネット内のアドレスの 場合、x の 範囲は 0~255 です。

プレフィックス固有のアクションシナリオ: シナリオ 2: サブネットプレフィックスがフィルタマッチ条件のプレフィックスより長くなっています

source-prefix-length = 32  subnet-prefix-length = 25

セットサイズ: 2^7 = 128インスタンス番号: 0 - 127

source-address = 10.10.10.0/24

インスタンス0

10.10.10.0,10.10.10.128

インスタンス 1:

10.10.10.1,10.10.10.120

...

...

インスタンス 127:

10.10.10.255,10.10.10.127

プレフィックス固有のアクションシナリオ: シナリオ 3: サブネットプレフィックスがファイアウォールフィルターの一致条件のプレフィックスよりも短い

source-prefix-length = 32  subnet-prefix-length = 24

セットサイズ: 2^8 = 256インスタンス番号: 0 - 255

source-address = 10.10.10.0/25

注:

10.10.10.0経由10.10.10.127で送信元アドレスを持つパケットのみが、プレフィックス固有のアクションに渡されます。

インスタンス0

10.10.10.0

インスタンス 1:

10.10.10.1

...

...

インスタンス 127:

10.10.10.127

インスタンス 128 ~ 255: 使わ

シナリオ 1: 複数のアドレスでのファイアウォールフィルタ条件の一致

の完全な例は、 で示しています。 は、単一期間ファイアウォール フィルタが、プレフィックス固有のアクションで指定されたサブネット プレフィックス長と同じ、プレフィックス長を持つ 1 つのアドレスで一致する、プレフィックス固有のアクションの最も簡単なケースを示しています。 例:プレフィックス固有の棚卸とポリシーの設定例とは異なり、このシナリオでは、単一のファイアウォールフィルターが2つの IPv4 送信元アドレスで一致する構成について説明します。さらに、この追加条件は、プレフィックス固有のアクションに定義されたサブネットプレフィックス長とは異なるプレフィックス長を持つ送信元アドレスに一致します。この場合、送信元アドレス/1610.11.0.0のサブネット上で追加条件が一致します。

注:

送信元アドレス10.10.10.0/24に一致するパケットとは異なり、送信元アドレス10.11.0.0/16と一致するパケットは、カウンターおよびポリサーセット内のインスタンスと、多対1の対応関係にあります。

カウンターと10.10.10.0/2410.11.0.0/16サブネット全体のパケットによって、プレフィックス固有の action インデックスに渡されたパケットとポリサーを設定したフィルターを適用しています。これは、です

  • セットの最初のカウンターとサーサーは、送信元アドレスを持つパケットによってインデックス化され、 ~ の x 範囲 10.10.10.010.11.x.00255

  • セット内の 2 つ目のカウンターとサーサーは、送信元アドレスを持つパケットによってインデックス化され、 ~ の x 範囲 10.10.10.110.11.x.10255

  • セット内の 256 番目の(最後の)カウンターとサーサーは、送信元アドレスを持つパケットでインデックス化され、 x から の 10.10.10.25510.11.x.255範囲0255

以下の構成は、シングルレートの2色のポリサー、ポリサーを参照するプレフィックス固有のアクション、およびプレフィックス固有のアクションを参照する IPv4 標準のステートレスファイアウォールフィルターを構成するためのステートメントを示しています。

シナリオ 2: サブネットプレフィックスがフィルタマッチ条件のプレフィックスより長くなっています

の完全な例は、 で示しています。 は、単一条件ファイアウォール フィルタが、プレフィックス固有のアクションで指定されたサブネット プレフィックス長と同じ、プレフィックス長を持つ 1 つのアドレスで一致する、最も簡単なプレフィックス固有のアクションを示しています。 例:プレフィックス固有の棚卸とポリシーの設定例とは異なり、このシナリオでは、プレフィックス固有のアクションが、ファイアウォールフィルタに一致した送信元アドレスのプレフィックスより長いサブネットプレフィックス長を定義する構成について説明します。この場合は、プレフィックス固有の25アクションによってサブネットプレフィックス値が定義され、ファイアウォールフィルターは/24サブネット内の送信元アドレスで照合を実行します。

注:

ファイアウォール フィルターは、 から の範囲の送信元アドレスを持つプレフィックス固有のアクション パケットを通過します。一方、プレフィックス固有のアクションは 10.10.10.0 、0~127 の番号が付された 128 のカウンターとポリシーのセットのみを指定します。 10.10.10.255

カウントとポリサーのインスタンスが、 10.10.10.0/24サブネット内の2つのソースアドレスのどちらかを含むパケットによって共有されるように、プレフィックスに一致したパケットがカウンタおよびポリシー er に渡されます。これはこのような方法で設定できます。

  • セット内の最初のカウンタとポリサーは、送信元アドレス10.10.10.0と、その10.10.10.128パケットによってインデックスが作成されます。

  • このセットの2つ目の counter とポリサーは、送信元アドレス10.10.10.110.10.10.129のパケットによってインデックスが作成されます。

  • セット内の128番目 (最終) カウンターとポリサーは、ソースアドレス10.10.10.12710.10.10.255のパケットによってインデックス化されています。

以下の構成は、シングルレートの2色のポリサー、ポリサーを参照するプレフィックス固有のアクション、およびプレフィックス固有のアクションを参照する IPv4 標準のステートレスファイアウォールフィルターを構成するためのステートメントを示しています。

シナリオ 3: サブネットプレフィックスがファイアウォールフィルターの一致条件のプレフィックスよりも短い

の完全な例は、 で示しています。 は、単一条件ファイアウォール フィルタが、プレフィックス固有のアクションで指定されたサブネット プレフィックス長と同じ、プレフィックス長を持つ 1 つのアドレスで一致する、最も簡単なプレフィックス固有のアクションを示しています。 例:プレフィックス固有の棚卸とポリシーの設定例とは異なり、このシナリオでは、プレフィックス固有のアクションが、ファイアウォールフィルタに一致した送信元アドレスのプリフィックスよりも短いサブネットプレフィックス長を定義する構成について説明します。この場合は、ソースアドレス/2510.10.10.0のサブネット上でフィルター条件に一致します。

注:

ファイアウォール フィルターは、 から の範囲の送信元アドレスを持つパケットのみをプレフィックス固有のアクションパケットに渡します。一方、プレフィックス固有のアクションは 10.10.10.0 、0~255 の番号が付された一連の 256 のカウンターとポリシーを指定します。 10.10.10.127

プレフィックス固有のアクションインデックスに渡されたパケットは、カウンターとポリサーセットの下位半分に限定します。

  • セット内の最初のカウンタとポリサーは、送信元アドレス10.10.10.0を持つパケットのインデックスを作成します。

  • このセットの2つ目の counter とポリサーは、発信元アドレス10.10.10.110.10.10.129のパケットによってインデックスが作成されます。

  • セット内の128番目のカウンターとポリサーは、送信元アドレス10.10.10.127を持つパケットのインデックスを作成します。

  • セットの上半分 (128 ~ 255 の番号が付いているインスタンス) は、この特定のファイアウォールフィルタからプレフィックス固有のアクションに渡されるパケットによってインデックス化されません。

以下の構成は、シングルレートの2色のポリサー、ポリサーを参照するプレフィックス固有のアクション、およびプレフィックス固有のアクションを参照する IPv4 標準のステートレスファイアウォールフィルターを構成するためのステートメントを示しています。