プレフィックス固有のカウントおよびポリシングアクション
プレフィックス固有のカウントとポリシングの概要
IPv4アドレス範囲ごとに個別のカウントとポリシング
プレフィックス固有のカウントとポリシングにより、送信元または宛先アドレスに一致するIPv4 ファイアウォールフィルター 条件を設定し、条件アクションとしてシングルレートの2カラーポリサーを適用しますが、一致したパケットをパケットヘッダーの送信元または宛先に基づいて特定のカウンターとポリサーインスタンスに関連付けます。1つのアドレスまたはアドレスのグループに対して、個別のカウンターまたはポリサーインスタンスを暗黙的に作成することができます。
プレフィックス固有のカウントとポリシー実行では、適用するポリサーの名前、 プレフィックス固有 のカウントを有効にするかどうか、送信元または宛先アドレスのプレフィックス範囲を指定する、プレフィックス固有のアクション設定を使用します。
プレフィックス範囲は、IPv4アドレスマスクの1~16の順次セットビットを指定します。プレフィックス範囲の長さは、カウンターとポリサー セットのサイズを決定します。これは、2つまたは65,536のカウンターとポリサーのインスタンスで構成されています。プレフィックス範囲のビットの位置によって、フィルターに一致したパケットのインスタンスセットへのインデックス付けを決定します。
プレフィックス固有のアクションは、送信元または宛先 のプレフィックス範囲に固有のものですが、特定の送信元または宛先 アドレス範囲に固有のものではなく、特定のインターフェイスに固有ではありません。
インターフェイスのトラフィックにプレフィックス固有のアクションを適用するには、送信元または宛先アドレスに一致するファイアウォールフィルター条件を設定し、ファイアウォールフィルターをインターフェイスに適用します。フィルタリングされたトラフィックのフローは、フィルタリングされたパケットのヘッダー内の送信元または宛先アドレスに基づいてパケットごとに選択されるプレフィックス固有のカウンターとポリサーインスタンスを使用してレート制限されます。
プレフィックス固有のアクション設定
プレフィックス固有のアクションを設定するには、以下の情報を指定します。
プレフィックス固有のアクション名 — 送信元または宛先アドレス上のパケットに一致する IPv4 標準ファイアウォール フィルター条件のアクションとして参照できる名前。
ポリサー名—プレフィックス固有のインスタンスを暗黙的に作成するシングルレート 2 カラー ポリサーの名前。
注:集合型イーサネット・インターフェースの場合、論理インターフェース・ポリサー(アグリゲート・ポリサーとも呼ばれる)を参照するプレフィックス固有のアクションを設定できます。IPv4標準ファイアウォールフィルターからこのタイプのプレフィックス固有のアクションを参照し、インターフェイスの集合レベルでフィルターを適用できます。
カウントオプション — プレフィックス固有のカウンターを有効にしたい場合に含めるオプション。
フィルター固有のオプション — ファイアウォール フィルターのすべての条件で単一のカウンターとポリサーを共有する場合に含めるオプション。この方法で動作するプレフィックス固有のアクションは、 フィルター固有のモードで動作すると言われます。このオプションを有効にしない場合、プレフィックス固有のアクションは 条件固有 モードで動作します。つまり、プレフィックス固有のアクションを参照するフィルター条件ごとに個別のカウンターとポリサーセットが作成されます。
送信元アドレスプレフィックス長—送信元アドレスで一致したパケットで使用するアドレスプレフィックスの長さ(0~32)。
宛先アドレスプレフィックス長—宛先アドレスに一致するパケットで使用されるアドレスプレフィックスの長さ(0~32)。
サブネットプレフィックス長—送信元または宛先アドレスで一致するパケットで使用されるサブネットプレフィックスの長さ(0~32)。
送信元アドレスと宛先アドレスのプレフィックス長を、サブネットプレフィックス長よりも1~16ビット長く設定する必要があります。送信元または宛先アドレスのプレフィックス長が、設定されたサブネットプレフィックス長を16ビット以上に設定した場合、設定をコミットしようとするとエラーが発生します。
カウンターとポリサーのセット サイズとインデックス作成
プレフィックス固有のアクションに対して暗黙的に作成されるプレフィックス固有のアクション(カウンターまたはポリサー)の数は、アドレスプレフィックスの長さとサブネットプレフィックスの長さによって決定されます。
Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)
表 1 は、カウンターとポリサーのセット サイズとインデックスの例を示しています。
プレフィックス固有のアクションで指定されたプレフィックス長の例 |
カウンターまたはポリサー セット サイズの計算 |
インスタンスのインデックス作成 |
|
|---|---|---|---|
source-prefix-length = 32 subnet-prefix-length = 16 |
Size = 2^(32 - 16) = 2^16 = 65,536 instances 注:
この計算は、サポートされている最大カウンターまたはポリサー セット サイズを示しています。 |
インスタンス 0: |
x.x.0.0 |
インスタンス1: |
x.x.0.1 |
||
インスタンス65535: |
x.x.255.255 |
||
source-prefix-length = 32 subnet-prefix-length = 24 |
Size = 2^(32 - 24) = 2^8 = 256 instances |
インスタンス 0: |
x.x.x.0 |
インスタンス1: |
x.x.x.1 |
||
インスタンス255: |
x.x.x.255 |
||
source-prefix-length = 32 subnet-prefix-length = 25 |
Size = 2^(32 - 25) = 2^7 = 128 instances |
インスタンス 0: |
x.x.x.0 |
インスタンス1: |
x.x.x.1 |
||
インスタンス127: |
x.x.x.127 |
||
source-prefix-length = 24 subnet-prefix-length = 20 |
Size = 2^(24 - 20) = 2^4 = 16 instances |
インスタンス 0: |
x.x.0.x |
インスタンス1: |
x.x.1.x |
||
インスタンス15: |
x.x.15.x |
||
関連項目
フィルター固有のカウンターとポリサー セットの概要
デフォルトでは、プレフィックス固有のポリサーセットは 条件固有 モードで動作するため、特定の ファイアウォールフィルターでは、Junos OSはプレフィックス固有のアクションを参照するすべてのフィルター条件に個別のカウンターとポリサーセットを作成します。オプションとして、プレフィックス固有のポリサーセットを フィルター固有 のモードで動作するように設定して、ポリサーを参照するすべての条件(同じファイアウォールフィルター内)で単一のプレフィックス固有のポリサーセットを使用することができます。
同じプレフィックス固有のポリサーセットを参照する複数の条件を持つIPv4ファイアウォールフィルターでは、ポリサーセットをフィルター固有のモードで動作するよう設定することで、ファイアウォールフィルターレベルでポリサーセットのアクティビティをカウントおよび監視できます。
条件固有モードとフィルター固有モードもポリサーに適用されます。を参照してください フィルター固有ポリサーの概要。
プレフィックス固有ポリサー セットがフィルター固有モードで動作するようにするには、以下の filter-specific 階層レベルで ステートメントを含めることができます。
[edit firewall family inet prefix-action prefix-action-name][edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]
IPv4(family inet)ファイアウォールフィルターからのみ、フィルター固有のプレフィックス固有のポリサーセットを参照できます。
関連項目
フィルター固有ポリサーの概要
デフォルトでは、ポリサーは 条件固有 モードで動作するため、特定の ファイアウォールフィルターに対して、Junos OSはポリサーを参照するすべてのフィルター条件に対して個別のポリサーインスタンスを作成します。オプションとして、 フィルター固有 のモードで動作するようにポリサーを設定して、ポリサーを参照するすべての条件(同じファイアウォール フィルター内)で単一のポリサー インスタンスを使用することができます。
同じポリサーを参照する複数の条件を持つIPv4ファイアウォールフィルターでは、フィルター固有のモードで動作するようポリサーを設定することで、ファイアウォールフィルターレベルでポリサーのアクティビティをカウントして監視できます。
用語固有モードおよびフィルター固有モードは、プレフィックス固有のポリサー セットにも適用されます。
単一レートの 2 カラー ポリサーをフィルター固有のモードで動作させるためには、以下の filter-specific 階層レベルで ステートメントを含めることができます。
[edit firewall policer policer-name][edit logical-systems logical-system-name firewall policer policer-name]
IPv4(family inet)ファイアウォールフィルターからのみフィルター固有のポリサーを参照できます。
例:プレフィックス固有のカウントとポリシングの設定
この例では、プレフィックス固有のカウントとポリシー設定を設定する方法を示しています。
要件
この例を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
この例では、IPv4ファイアウォールフィルターが一致するパケットの送信元アドレスフィールドの最後のオクテットに基づいて、プレフィックス固有のカウントとポリシングを設定します。
rate-limitsという名前 1Mbps-policer のシングルレート2カラーポリサーは、トラフィックを1,000,000bpsの帯域幅と63,000バイトのバーストサイズ制限に制限し、トラフィック制限を超えるトラフィックフロー内のパケットを破棄します。
ファイアウォールフィルターから通過したパケットに含まれるIPv4アドレスとは独立して、 という名前 psa-1Mbps-per-source-24-32-256 のプレフィックス固有のアクションは、0~255の番号が付いた256のカウンターとポリサーのセットを指定します。各パケットでは、送信元アドレスフィールドの最後のオクテットを使用して、セット内の関連するプレフィックス固有のカウンターとポリサーにインデックスを付けます。
オクテット 0x0000 00000 インデックスセット内の最初のカウンターとポリサーで終わる送信元アドレスを持つパケット。
オクテット 0x0000 0001 インデックスセット内の 2 番目のカウンターとポリサーで終わる送信元アドレスを持つパケット。
オクテット 0x1111 1111 インデックスで終わる送信元アドレスを持つパケットは、セット内の最後のカウンターとポリサーです。
limit-source-one-24ファイアウォールフィルターには、送信元アドレス10.10.10.0のサブネットからのすべてのパケットに一致する単一の条件が/24含まれており、これらのパケットはプレフィックス固有のアクションpsa-1Mbps-per-source-24-32-256に渡されます。
トポロジ
この例では、フィルター条件が単一の送信元アドレスのサブネットと一致 /24 するため、プレフィックス固有のセット内の各カウントおよびポリシー実行インスタンスは、1 つの送信元アドレスにのみ使用されます。
送信元アドレス
10.10.10.0を持つパケットは、セット内の最初のカウンターとポリサーにインデックスを付けます。送信元アドレス
10.10.10.1を持つパケットは、セット内の 2 番目のカウンターとポリサーにインデックスを付けます。送信元アドレス
10.10.10.255を持つパケットは、セット内の最後のカウンターとポリサーにインデックスを付けます。
この例では、プレフィックス固有のアクションの最も簡単なケースを示しています。この場合、フィルター条件は、プレフィックス固有のカウンターとポリサーのセットにインデックスを付けるプレフィックス固有のアクションで指定されたプレフィックス長と同じプレフィックス長の 1 つのアドレスで一致します。
プレフィックス固有のカウントとポリシー設定に関するその他の設定については、 を参照してください プレフィックス固有のカウントとポリシー設定シナリオ。
設定
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLI のナビゲーションについては、 を参照してください 設定モードでのCLIエディターの使用。
この例を設定するには、以下のタスクを実行します。
- CLI クイックコンフィギュレーション
- プレフィックス固有のカウントとポリシングのポリサーの設定
- ポリサーに基づくプレフィックス固有のアクションの設定
- プレフィックス固有のアクションを参照するIPv4フィルターの設定
- 論理インターフェイスでの IPv4 入力トラフィックへのファイアウォール フィルターの適用
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 階層レベルの CLI にコマンドを [edit] 貼り付けます。
set firewall policer 1Mbps-policer if-exceeding bandwidth-limit 1m set firewall policer 1Mbps-policer if-exceeding burst-size-limit 63k set firewall policer 1Mbps-policer then discard set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 policer 1Mbps-policer set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 count set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 subnet-prefix-length 24 set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 source-prefix-length 32 set firewall family inet filter limit-source-one-24 term one from source-address 10.10.10.0/24 set firewall family inet filter limit-source-one-24 term one then prefix-action psa-1Mbps-per-source-24-32-256 set interfaces so-0/0/2 unit 0 family inet filter input limit-source-one-24 set interfaces so-0/0/2 unit 0 family inet address 10.39.1.1/16
プレフィックス固有のカウントとポリシングのポリサーの設定
手順
プレフィックス固有のカウントとポリシー設定に使用するポリサーを設定するには:
シングルレート 2 カラー ポリサーの設定を有効にします。
[edit] user@host# edit firewall policer 1Mbps-policer
トラフィック制限を定義します。
[edit firewall policer 1Mbps-policer] user@host# set if-exceeding bandwidth-limit 1m user@host# set if-exceeding burst-size-limit 63k
この制限に準拠したトラフィック フロー内のパケットは、PLP が に
low設定されたで渡されます。不適合トラフィックのアクションを定義します。
[edit firewall policer 1Mbps-policer] user@host# set then discard
この制限を超えるトラフィック フロー内のパケットは破棄されます。シングルレート 2 カラー ポリサーのその他の設定可能なアクションは、転送クラスを設定し、PLP レベルを設定することです。
結果
設定モードコマンドを入力して、ポリサーの設定を show firewall 確認します。コマンド出力に意図した設定が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
ポリサーに基づくプレフィックス固有のアクションの設定
手順
ポリサーを参照し、送信元アドレスプレフィックスの一部を指定するプレフィックス固有のアクションを設定するには:
プレフィックス固有のアクションの設定を有効にします。
[edit] user@host# edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256
プレフィックス固有のカウントとポリシー実行は、IPv4 トラフィックに対してのみ定義できます。
プレフィックス固有のセットを作成するポリサーを参照します。
[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set policer 1Mbps-policer user@host# set count
注:集合型イーサネット・インターフェースの場合、論理インターフェース・ポリサー(アグリゲート・ポリサーとも呼ばれる)を参照するプレフィックス固有のアクションを設定できます。IPv4標準ファイアウォールフィルターからこのタイプのプレフィックス固有のアクションを参照し、インターフェイスの集合レベルでフィルターを適用できます。
カウンターとポリサーにインデックスを付けるプレフィックス範囲を指定します。
[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set source-prefix-length 32 user@host# set subnet-prefix-length 24
結果
設定モードコマンドを入力して、プレフィックス固有のアクションの設定を show firewall 確認します。コマンド出力に意図した設定が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
}
プレフィックス固有のアクションを参照するIPv4フィルターの設定
手順
プレフィックス固有のアクションを参照するIPv4標準ファイアウォールフィルターを設定するには:
IPv4 標準ファイアウォール フィルターの設定を有効にします。
[edit] user@host# edit firewall family inet filter limit-source-one-24
プレフィックス固有のカウントとポリシー実行は、IPv4 トラフィックに対してのみ定義できます。
パケット送信元アドレスまたは宛先アドレスで一致するようにフィルター条件を設定します。
[edit firewall family inet filter limit-source-one-24] user@host# set term one from source-address 10.10.10.0/24
フィルター条件を設定して、プレフィックス固有のアクションを参照します。
[edit firewall family inet filter limit-source-one-24] user@host# set term one then prefix-action psa-1Mbps-per-source-24-32-256
この アクションを
next term使用して、すべてのハイパーテキスト転送プロトコル(HTTP)トラフィックを各ホストに設定し、500 Kbps で送信し、合計 HTTP トラフィックを 1 Mbps に制限することもできます。
結果
設定モードコマンドを入力して、プレフィックス固有のアクションの設定を show firewall 確認します。コマンド出力に意図した設定が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
論理インターフェイスでの IPv4 入力トラフィックへのファイアウォール フィルターの適用
手順
論理インターフェイスで IPv4 入力トラフィックにファイアウォール フィルターを適用するには:
論理インターフェイスで IPv4 の設定を有効にします。
[edit] user@host# edit interfaces so-0/0/2 unit 0 family inet
IPアドレスを設定します。
[edit interfaces so-0/0/2 unit 0 family inet] user@host# set address 10.39.1.1/16
IPv4 標準のステートレス ファイアウォール フィルターを適用します。
[edit interfaces so-0/0/2 unit 0 family inet] user@host# set filter input limit-source-one-24
結果
設定モードコマンドを入力して、プレフィックス固有のアクションの設定を show interfaces 確認します。コマンド出力に意図した設定が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正しく機能していることを確認します。
インターフェイスに適用されたファイアウォール フィルターの表示
目的
ファイアウォールフィルター limit-source-one-24 が論理インターフェイスのIPv4入力トラフィックに適用されていることを確認します so-0/0/2.0。
対処
論理インターフェイスso-0/0/2.0には show interfaces statistics 動作モード コマンドを使用し、 オプションをdetail含めます。のコマンド出力セクションProtocol inetInput Filtersでは、 フィールドに 、 が表示limit-source-one-24され、入力方向のIPv4トラフィックにフィルターが適用されていることを示します。
user@host> show interfaces statistics so-0/0/2.0 detail
Logical interface so-0/0/2.0 (Index 79) (SNMP ifIndex 510) (Generation 149)
Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP
Protocol inet, MTU: 4470, Generation: 173, Route table: 0
Flags: Sendbcast-pkt-to-re, Protocol-Down
Input Filters: limit-source-one-24
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
ファイアウォールフィルターのプレフィックス固有のアクション統計の表示
目的
ポリサーが評価するパケット数を検証します。
対処
動作モードコマンドを show firewall prefix-action-stats filter filter-name prefix-action name 使用して、ファイアウォールフィルターで設定されたプレフィックス固有のアクションに関する統計情報を表示します。
オプションとして、 コマンド オプションを from set-index to set-index 使用して、表示する開始および終了カウンターまたはポリサーを指定できます。ポリサー セットのインデックスは 0~65535 です。
コマンド出力には、指定されたフィルター名の後に、ポリサー セット内の各ポリサーが処理するバイト数とパケットのリストが表示されます。
用語固有のポリサーの場合、セット内の各ポリサーは次のように識別されます。
prefix-specific-action-name-term-name-set-index
フィルター固有のポリサーの場合、各ポリサーは次のようにコマンド出力で識別されます。
prefix-specific-action-name-set-index
プレフィックス固有のアクション psa-1Mbps-per-source-24-32-256 の例は、 limit-source-one-24フィルター例の 1 つの条件でのみ参照されるため、例ポリサー 1Mbps-policer は用語固有として設定されます。show firewall prefix-action-statsコマンド出力では、ポリサーの統計情報は、 を通じて psa-1Mbps-per-source-24-32-256-one-255、 psa-1Mbps-per-source-24-32-256-one-1などのとしてpsa-1Mbps-per-source-24-32-256-one-0表示されます。
user@host> show firewall prefix-action-stats filter limit-source-one-24 prefix-action psa-1Mbps-per-source-24-32-256 from 0 to 9 Filter: limit-source-one-24 Counters: Name Bytes Packets psa-1Mbps-per-source-24-32-256-one-0 0 0 psa-1Mbps-per-source-24-32-256-one-1 0 0 psa-1Mbps-per-source-24-32-256-one-2 0 0 psa-1Mbps-per-source-24-32-256-one-3 0 0 psa-1Mbps-per-source-24-32-256-one-4 0 0 psa-1Mbps-per-source-24-32-256-one-5 0 0 psa-1Mbps-per-source-24-32-256-one-6 0 0 psa-1Mbps-per-source-24-32-256-one-7 0 0 psa-1Mbps-per-source-24-32-256-one-8 0 0 psa-1Mbps-per-source-24-32-256-one-9 0 0
プレフィックス固有のカウントとポリシー設定シナリオ
- フィルタリングされたパケットにおけるアクションのプレフィックス長とアドレスのプレフィックス長
- シナリオ 1: 複数のアドレスでのファイアウォール フィルター条件の一致
- シナリオ 2: サブネットプレフィックスがフィルター一致条件のプレフィックスよりも長い
- シナリオ 3: サブネットファイアウォール フィルター一致条件の 128 番目のカウンターとポリサーのプレフィックスがプレフィックスよりも短い
フィルタリングされたパケットにおけるアクションのプレフィックス長とアドレスのプレフィックス長
表 2 は、プレフィックス固有のアクションで指定されたプレフィックス長と、プレフィックス固有のアクションを参照するファイアウォールフィルター条件で一致するアドレスのプレフィックス長の関係を説明します。
カウンターとポリサーセット |
パケットフィルタリングの基準 |
インスタンスのインデックス作成 |
||
|---|---|---|---|---|
プレフィックス固有のアクションシナリオ: 例:プレフィックス固有のカウントとポリシングの設定 |
||||
source-prefix-length = 32 subnet-prefix-length = 24 サイズの設定: 2^8 = 256インスタンス番号: 0 - 255 |
source-address = 10.10.10.0/24 |
インスタンス0 |
10.10.10.0 |
|
インスタンス1: |
10.10.10.1 |
|||
|
|
|||
インスタンス255: |
10.10.10.255 |
|||
プレフィックス固有のアクションシナリオ: シナリオ 1: 複数のアドレスでのファイアウォール フィルター条件の一致 |
||||
source-prefix-length = 32 subnet-prefix-length = 24 サイズの設定: 2^8 = 256インスタンス番号: 0 - 255 |
source-address = 10.10.10.0/24 source-address = 10.11.0.0/16 |
インスタンス0 |
10.10.10.0,10.11.0x |
|
インスタンス1: |
10.10.10.1,10.11.1x |
|||
|
|
|||
インスタンス255: |
10.10.10.255,10.11.255x |
|||
/16 サブネット内のアドレスの場合、 x 0~255 の範囲です。 |
||||
プレフィックス固有のアクションシナリオ: シナリオ 2: サブネットプレフィックスがフィルター一致条件のプレフィックスよりも長い |
||||
source-prefix-length = 32 subnet-prefix-length = 25 サイズの設定: 2^7 = 128インスタンス番号: 0 - 127 |
source-address = 10.10.10.0/24 |
インスタンス0 |
10.10.10.0,10.10.10.128 |
|
インスタンス1: |
10.10.10.1,10.10.10.120 |
|||
|
|
|||
インスタンス127: |
10.10.10.255,10.10.10.127 |
|||
プレフィックス固有のアクションシナリオ: シナリオ 3: サブネットファイアウォール フィルター一致条件の 128 番目のカウンターとポリサーのプレフィックスがプレフィックスよりも短い |
||||
source-prefix-length = 32 subnet-prefix-length = 24 サイズの設定: 2^8 = 256インスタンス番号: 0 - 255 |
source-address = 10.10.10.0/25 注:
~ |
インスタンス0 |
10.10.10.0 |
|
インスタンス1: |
10.10.10.1 |
|||
|
|
|||
インスタンス127: |
10.10.10.127 |
|||
インスタンス 128~255: 未使用 |
||||
シナリオ 1: 複数のアドレスでのファイアウォール フィルター条件の一致
完全な例である、 例:プレフィックス固有のカウントとポリシングの設定は、プレフィックス固有のアクションの最も簡単なケースを示しています。このケースでは、単一条件 のファイアウォールフィルター が、プレフィックス固有のアクションで指定されたサブネットプレフィックス長と同じプレフィックス長の1つのアドレスで一致します。この例とは異なり、このシナリオでは、単一条件のファイアウォール フィルターが 2 つの IPv4 送信元アドレスで一致する構成について説明します。さらに、追加条件は、プレフィックス固有のアクションで定義されたサブネットプレフィックス長とは異なるプレフィックス長の送信元アドレスで一致します。この場合、追加条件は送信元アドレスのサブネットで /16 一致します 10.11.0.0。
送信元アドレス 10.10.10.0/24と一致するパケットとは異なり、送信元アドレス 10.11.0.0/16 と一致するパケットは、カウンターおよびポリサー セット内のインスタンスと多対 1 で対応しています。
プレフィックス固有のアクションインデックスにカウンターおよびポリサーに渡されるフィルター一致パケットは、カウントおよびポリシー実行インスタンスが、以下のように、および10.11.0.0/16サブネット全体10.10.10.0/24の送信元アドレスを含むパケットによって共有されるように設定されます。
セット内の最初のカウンターとポリサーは、 から
0255の範囲で、送信元アドレス10.10.10.0と10.11.x.0をx持つパケットによってインデックスが作成されます。セット内の2番目のカウンターとポリサーは、 から
0255の範囲で、送信元アドレス10.10.10.1と10.11.x.1をx持つパケットによってインデックスが作成されます。セット内の 256 番目の(最後の)カウンターとポリサーは、送信元アドレス
10.10.10.255を持つパケットによってインデックスが作成されます。25510.11.x.255x0
以下の設定は、シングルレートの2カラーポリサー、ポリサーを参照するプレフィックス固有のアクション、およびプレフィックス固有のアクションを参照するIPv4標準ステートレスファイアウォールフィルターを設定するためのステートメントを示しています。
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-two-24-16 {
term one {
from {
source-address {
10.10.10.0/24;
10.11.0.0/16;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-two-24-16;
}
address 10.39.1.1/16;
}
}
}
}
シナリオ 2: サブネットプレフィックスがフィルター一致条件のプレフィックスよりも長い
完全な例である、 例:プレフィックス固有のカウントとポリシングの設定は、プレフィックス固有のアクションの最も簡単なケースを示しています。このケースでは、単一条件のファイアウォールフィルターが、プレフィックス固有のアクションで指定されたサブネットプレフィックス長と同じプレフィックス長の 1 つのアドレスで一致します。この例とは異なり、このシナリオでは、プレフィックス固有のアクションで、ファイアウォール フィルターが一致する送信元アドレスのプレフィックスよりも長いサブネット プレフィックス長を定義する設定について説明します。この場合、プレフィックス固有のアクションは、 の 25サブネットプレフィックス値を定義し、ファイアウォールフィルターはサブネット内の送信元アドレスで /24 一致します。
ファイアウォールフィルターは、 から 10.10.10.010.10.10.255までの範囲の送信元アドレスを持つプレフィックス固有のアクションパケットを渡します。一方、プレフィックス固有のアクションは、0~127の番号が付けられた128のカウンターとポリサーのセットのみを指定します。
カウンターとポリサーにプレフィックス固有のアクション インデックスに渡されるフィルター一致パケットは、カウントおよびポリシー実行インスタンスがサブネット内 10.10.10.0/24 の 2 つのソース アドレスのいずれかを含むパケットによって共有されるように設定されます。
セット内の最初のカウンターとポリサーは、送信元アドレス
10.10.10.0と10.10.10.128を持つパケットによってインデックスが付されます。セット内の2番目のカウンターとポリサーは、送信元アドレス
10.10.10.1と10.10.10.129を持つパケットによってインデックスが付されます。セット内の128番目(最後の)カウンターとポリサーは、 と
10.10.10.255の送信元アドレス10.10.10.127を持つパケットによってインデックスが作成されます。
以下の設定は、シングルレートの2カラーポリサー、ポリサーを参照するプレフィックス固有のアクション、およびプレフィックス固有のアクションを参照するIPv4標準ステートレスファイアウォールフィルターを設定するためのステートメントを示しています。
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-25-32-128 {
policer 1Mbps-policer;
subnet-prefix-length 25;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-25-32-128;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
}
シナリオ 3: サブネットファイアウォール フィルター一致条件の 128 番目のカウンターとポリサーのプレフィックスがプレフィックスよりも短い
完全な例である、 例:プレフィックス固有のカウントとポリシングの設定は、プレフィックス固有のアクションの最も簡単なケースを示しています。このケースでは、単一条件のファイアウォールフィルターが、プレフィックス固有のアクションで指定されたサブネットプレフィックス長と同じプレフィックス長の 1 つのアドレスで一致します。この例とは異なり、このシナリオでは、プレフィックス固有のアクションで、ファイアウォール フィルターが一致する送信元アドレスのプレフィックスよりも短いサブネット プレフィックス長を定義する設定について説明します。この場合、フィルター条件は送信元アドレスのサブネットで /25 一致します 10.10.10.0。
ファイアウォールフィルターは、 から 10.10.10.010.10.10.127までの範囲の送信元アドレスを持つパケットにのみプレフィックス固有のアクションを渡します。一方、プレフィックス固有のアクションは、0~255の番号が付けられた256のカウンターとポリサーのセットを指定します。
プレフィックス固有のアクションインデックスにカウンターとポリサーの下半分に渡される一致したパケットは、以下のみを設定します。
セット内の最初のカウンターとポリサーは、送信元アドレス
10.10.10.0を持つパケットによってインデックスが作成されます。セット内の2番目のカウンターとポリサーは、送信元アドレス
10.10.10.1と10.10.10.129を持つパケットによってインデックスが付されます。セット内の 128 番目のカウンターとポリサーは、送信元アドレス
10.10.10.127を持つパケットによってインデックスが作成されます。セットの上半分(128~255の番号が付いたインスタンス)は、この特定のファイアウォールフィルターからプレフィックス固有のアクションに渡されたパケットによってインデックス付けされません。
以下の設定は、シングルレートの2カラーポリサー、ポリサーを参照するプレフィックス固有のアクション、およびプレフィックス固有のアクションを参照するIPv4標準ステートレスファイアウォールフィルターを設定するためのステートメントを示しています。
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-25 {
term one {
from {
source-address {
10.10.10.0/25;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-25;
}
address 10.39.1.1/16;
}
}
}
}