Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción general de filtros de firewall sin estado que hacen referencia a los policias

La política o limitación de velocidad es un componente importante de los filtros de firewall que le permite limitar la cantidad de tráfico que entra o sale de una interfaz.

Un filtro de firewall que haga referencia a un agente de policía puede proporcionar protección contra ataques de denegación de servicio (DOS). El tráfico que supera los límites de velocidad configurados para el agente de policía se descarta o se marca como de menor prioridad que el tráfico que cumple con los límites de velocidad configurados. Los paquetes se pueden marcar para una prioridad menor al establecerse en una cola de salida específica, establecerse en un nivel de prioridad de pérdida de paquetes (PLP) específico o ambos. Cuando sea necesario, se puede descartar el tráfico de baja prioridad para evitar la congestión.

Un agente de policía especifica dos tipos de límites de velocidad para el tráfico:

  • Límite de ancho de banda: la velocidad de tráfico promedio permitida, especificada como un número de bits por segundo.

  • Tamaño máximo de ráfagas: tamaño de paquete permitido para ráfagas de datos que superen el límite de ancho de banda.

La política utiliza un algoritmo para aplicar un límite en el ancho de banda promedio mientras permite ráfagas hasta un valor máximo especificado. Puede usar el control de políticas para definir clases específicas de tráfico en una interfaz y aplicar un conjunto de límites de velocidad a cada clase. Después de nombrar y configurar un agente de policía, se almacena como una plantilla. A continuación, puede aplicar el agente de policía en una configuración de interfaz o, solo para limitar la velocidad de tráfico filtrado de paquetes, en una configuración de filtro de firewall.

Para solo un término de filtro de firewall IPv4, también puede especificar una acción específica de prefijo como una acción nominante que aplica un agente de policía a los paquetes coincidentes. Una acción específica de prefijo aplica criterios de coincidencia adicionales en los paquetes coincidentes con filtros basados en bits de prefijo de dirección especificados y, luego, asocia los paquetes coincidentes con un contador y una instancia de policía para ese término de filtro o para todos los términos del filtro de firewall.

Para aplicar una acción de policía o de prefijo al tráfico filtrado de paquetes, puede usar las siguientes acciones nominativas de filtro de firewall:

  • policer policer-name

  • three-color-policer (single-rate | two-rate) policer-name

  • prefix-action action-name

Nota:

Las longitudes de paquete que considera el agente de policía dependen de la familia de direcciones del filtro de firewall. Consulte Descripción de la longitud de trama para la vigilancia de paquetes.

Temas relacionados