EN ESTA PÁGINA
Descripción general del conteo y la política específicos de los prefijos
Descripción general del contador específico para filtros y el conjunto de policías
Descripción general del agente de policía específico para filtros
Ejemplo: Configuración de conteo y políticas específicos de prefijos
Escenarios de configuración de conteo y control específicos de prefijos
Acciones de conteo y policía específicos de prefijos
Descripción general del conteo y la política específicos de los prefijos
- Conteo y políticas independientes para cada rango de direcciones IPv4
- Configuración de acción específica para prefijos
- Tamaño e indexación del conjunto de contador y policer
Conteo y políticas independientes para cada rango de direcciones IPv4
El conteo y la política específicos de los prefijos le permiten configurar un término de filtro de firewall IPv4 que coincide en una dirección de origen o destino, aplica un policiador de dos colores de velocidad única como acción de término, pero asocia el paquete coincidente con un contador específico y una instancia de policía según el origen o el destino en el encabezado del paquete. Puede crear implícitamente una instancia de contador o policía independiente para una sola dirección o para un grupo de direcciones.
El conteo y el control específicos de los prefijos usan una configuración de acción específica de un prefijo que especifica el nombre del agente de políticas que desea aplicar, si se va a habilitar el conteo específico de un prefijo y un intervalo de prefijos de dirección de origen o destino.
El intervalo de prefijos especifica entre 1 y 16 bits de conjunto secuencial de una máscara de dirección IPv4. La longitud del intervalo de prefijos determina el tamaño del conjunto de contador y policía, que consta de tan solo 2 o tan solo 65 536 instancias de contador y agente de policía. La posición de los bits del intervalo de prefijos determina la indexación de paquetes coincidentes con filtros en el conjunto de instancias.
Una acción específica de un prefijo es específica de un rango de prefijo de origen o destino, pero no es específica de un rango de dirección de origen o destino determinado y no es específico de una interfaz determinada.
Para aplicar una acción específica de prefijo al tráfico de una interfaz, configure un término de filtro de firewall que coincida con las direcciones de origen o destino y, luego, aplique el filtro de firewall a la interfaz. El flujo de tráfico filtrado está limitado por velocidad mediante el uso de contadores específicos de prefijo e instancias de agente de políticas que se seleccionan por paquete según la dirección de origen o destino en el encabezado del paquete filtrado.
Configuración de acción específica para prefijos
Para configurar una acción específica de un prefijo, especifique la siguiente información:
Nombre de acción específico del prefijo: nombre al que se puede hacer referencia como la acción de un término de filtro de firewall estándar IPv4 que coincide con paquetes en direcciones de origen o destino.
Nombre del agente de policía: nombre de un policiador de dos colores de velocidad única para el que desea crear implícitamente instancias específicas de prefijos.
Nota:En el caso de interfaces Ethernet agregadas, puede configurar una acción específica de prefijo que haga referencia a un agente de policía de interfaz lógica (también llamado agente de policía agregado). Puede hacer referencia a este tipo de acción específica de prefijo desde un filtro de firewall estándar IPv4 y, luego, aplicar el filtro en el nivel agregado de la interfaz.
Opción de conteo: opción de incluir si desea habilitar contadores específicos de prefijos.
Opción específica del filtro: opción para incluir si desea que se compartan un contador único y un agente de policía en todos los términos del filtro de firewall. Se dice que una acción específica de prefijo que funciona de esta manera funciona en modo específico del filtro. Si no habilita esta opción, la acción específica del prefijo funciona en modo específico de término , lo que significa que se crea un conjunto de contador y policía independientes para cada término de filtro que haga referencia a la acción específica del prefijo.
Longitud del prefijo de dirección de origen: longitud del prefijo de dirección, del 0 al 32, que se utilizará con un paquete coincidente en la dirección de origen.
Longitud del prefijo de dirección de destino: longitud del prefijo de dirección, del 0 al 32, que se utilizará con un paquete coincidente en la dirección de destino.
Longitud del prefijo de subred: longitud del prefijo de subred, del 0 al 32, que se utilizará con un paquete coincidente en la dirección de origen o destino.
Debe configurar las longitudes del prefijo de dirección de origen y destino para que sean de 1 a 16 bits más largas que la longitud del prefijo de subred. Si configura las longitudes del prefijo de dirección de origen o destino para que sean más de 16 bits más allá de la longitud del prefijo de subred configurada, se produce un error cuando intenta confirmar la configuración.
Tamaño e indexación del conjunto de contador y policer
El número de acciones específicas de prefijo (contadores o politistas) creadas implícitamente para una acción específica de prefijo se determina por la longitud del prefijo de dirección y la longitud del prefijo de subred:
Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)
Tabla 1 muestra ejemplos de tamaño e indexación de conjunto de contadores y policías.
Longitudes de prefijo de ejemplo especificadas en la acción específica del prefijo |
Cálculo del tamaño del contador o del conjunto de policías |
Indexación de instancias |
|
|---|---|---|---|
source-prefix-length = 32 subnet-prefix-length = 16 |
Size = 2^(32 - 16) = 2^16 = 65,536 instances Nota:
En este cálculo, se muestra el tamaño de conjunto de policías o contador más grande admitido. |
Instancia 0: |
x.x. 0.0 |
Instancia 1: |
x.x. 0.1 |
||
Instancia 65535: |
x.x. 255.255 |
||
source-prefix-length = 32 subnet-prefix-length = 24 |
Size = 2^(32 - 24) = 2^8 = 256 instances |
Instancia 0: |
x.x.x. 0 |
Instancia 1: |
x.x.x. 1 |
||
Instancia 255: |
x.x.x. 255 |
||
source-prefix-length = 32 subnet-prefix-length = 25 |
Size = 2^(32 - 25) = 2^7 = 128 instances |
Instancia 0: |
x.x.x. 0 |
Instancia 1: |
x.x.x. 1 |
||
Instancia 127: |
x.x.x. 127 |
||
source-prefix-length = 24 subnet-prefix-length = 20 |
Size = 2^(24 - 20) = 2^4 = 16 instances |
Instancia 0: |
x.x. 0.x |
Instancia 1: |
x.x. 1.x |
||
Instancia 15: |
x.x. 15.x |
||
Consulte también
Descripción general del contador específico para filtros y el conjunto de policías
De forma predeterminada, un conjunto de policiadores específicos de prefijo funciona en modo específico de términos , de modo que, para un filtro de firewall determinado, Junos OS crea un contador y un conjunto de policía separados para cada término de filtro que hace referencia a la acción específica del prefijo. Como opción, puede configurar un policiador específico de prefijo para que funcione en modo específico de filtro , de modo que todos los términos (dentro del mismo filtro de firewall) que hacen referencia al agente de policía utilicen un conjunto de policiado específico de prefijo único.
Para un filtro de firewall IPv4 con varios términos que hacen referencia al mismo conjunto de policiadores específicos de prefijo, configurar el configurador de policía para que funcione en modo específico de filtro le permite contar y supervisar la actividad del agente de policía establecido en el nivel del filtro de firewall.
El modo específico de término y el modo específico del filtro también se aplican a los agentes de políticas. Consulte Descripción general del agente de policía específico para filtros.
Para habilitar un conjunto de policiadores específicos de prefijo para funcionar en modo específico de filtro, puede incluir la filter-specific instrucción en los siguientes niveles jerárquicos:
[edit firewall family inet prefix-action prefix-action-name][edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]
Solo puede hacer referencia a conjuntos de policias específicos de filtro y prefijos desde filtros de firewall IPv4 (family inet).
Consulte también
Descripción general del agente de policía específico para filtros
De forma predeterminada, un agente de policía funciona en modo específico de términos de modo que, para un filtro de firewall determinado, Junos OS crea una instancia de agente de policía independiente para cada término de filtro que hace referencia al agente de policía. Como opción, puede configurar un agente de política para que funcione en modo específico de filtro para que todos los términos (dentro del mismo filtro de firewall) usen una sola instancia de policía que haga referencia al agente de policía.
Para un filtro de firewall IPv4 con varios términos que hacen referencia al mismo agente de policía, configurar el agente de policía para que funcione en modo específico de filtro le permite contar y supervisar la actividad del agente de policía en el nivel del filtro de firewall.
El modo específico de término y el modo específico del filtro también se aplican a los conjuntos de policias específicos de prefijo.
Para permitir que un policiador de dos colores de velocidad única funcione en modo específico de filtro, puede incluir la filter-specific instrucción en los siguientes niveles jerárquicos:
[edit firewall policer policer-name][edit logical-systems logical-system-name firewall policer policer-name]
Solo puede hacer referencia a los policiadores específicos de filtro desde filtros de firewall IPv4 (family inet).
Ejemplo: Configuración de conteo y políticas específicos de prefijos
En este ejemplo, se muestra cómo configurar el conteo y la vigilancia específicos de prefijos.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se configura el conteo y la vigilancia específicos de los prefijos según el último octeto del campo de dirección de origen en paquetes coincidentes con un filtro de firewall IPv4.
El policiador de dos colores de velocidad única denominado 1Mbps-policer velocidad limita el tráfico a un ancho de banda de 1.000.000 bps y un límite de tamaño de ráfaga de 63 000 bytes, lo que descarta cualquier paquete en un flujo de tráfico que supere los límites de tráfico.
Independientemente de las direcciones IPv4 contenidas en cualquier paquete pasado de un filtro de firewall, la acción específica del prefijo denominada psa-1Mbps-per-source-24-32-256 especifica un conjunto de 256 contadores y policías, numerados del 0 al 255. Para cada paquete, se utiliza el último octeto del campo de dirección de origen para indizar en el contador específico del prefijo asociado y el agente de policía del conjunto:
Paquetes con una dirección de origen que termina con el índice de octeto 0x0000 00000 en el primer contador y el agente de policía del conjunto.
Paquetes con una dirección de origen que termina con el índice de octeto 0x0000 0001 en el segundo contador y el agente de policía en el conjunto.
Paquetes con una dirección de origen que termina con el índice de octeto 0x1111 1111 y el último contador y el agente de policía del conjunto.
El limit-source-one-24 filtro de firewall contiene un único término que coincide con todos los paquetes de la /24 subred de la dirección 10.10.10.0de origen, pasando estos paquetes a la acción psa-1Mbps-per-source-24-32-256específica del prefijo.
Topología
En este ejemplo, dado que el término de filtro coincide con la /24 subred de una única dirección de origen, cada instancia de conteo y control en el conjunto específico de prefijos se usa para una sola dirección de origen.
Paquetes con un índice de dirección
10.10.10.0de origen el primer contador y el agente de policía del conjunto.Paquetes con un índice de dirección
10.10.10.1de origen en el segundo contador y un agente de policía en el conjunto.Paquetes con un índice de dirección
10.10.10.255de origen el último contador y un agente de policía del conjunto.
En este ejemplo, se muestra el caso más simple de acciones específicas de prefijo, en el que el término de filtro coincide en una dirección con una longitud de prefijo que es la misma que la longitud del prefijo especificada en la acción específica del prefijo para indexar en el conjunto de contadores y polirizadores específicos de prefijo.
Para obtener descripciones de otras configuraciones para el conteo y la vigilancia específicos de prefijos, consulte Escenarios de configuración de conteo y control específicos de prefijos.
Configuración
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Usar el Editor de CLI en modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configuración de un agente de policía para un conteo y control específicos de prefijos
- Configuración de una acción específica de prefijo basada en el agente de policía
- Configurar un filtro IPv4 que hace referencia a la acción específica del prefijo
- Aplicación del filtro de firewall al tráfico de entrada IPv4 en una interfaz lógica
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, elimine los saltos de línea y, a continuación, pegue los comandos en la CLI en el [edit] nivel de jerarquía.
set firewall policer 1Mbps-policer if-exceeding bandwidth-limit 1m set firewall policer 1Mbps-policer if-exceeding burst-size-limit 63k set firewall policer 1Mbps-policer then discard set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 policer 1Mbps-policer set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 count set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 subnet-prefix-length 24 set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 source-prefix-length 32 set firewall family inet filter limit-source-one-24 term one from source-address 10.10.10.0/24 set firewall family inet filter limit-source-one-24 term one then prefix-action psa-1Mbps-per-source-24-32-256 set interfaces so-0/0/2 unit 0 family inet filter input limit-source-one-24 set interfaces so-0/0/2 unit 0 family inet address 10.39.1.1/16
Configuración de un agente de policía para un conteo y control específicos de prefijos
Procedimiento paso a paso
Para configurar un agente de políticas que se utilizará para el conteo y la vigilancia específicos de prefijos:
Habilite la configuración de un policia de dos colores de velocidad única.
[edit] user@host# edit firewall policer 1Mbps-policer
Defina el límite de tráfico.
[edit firewall policer 1Mbps-policer] user@host# set if-exceeding bandwidth-limit 1m user@host# set if-exceeding burst-size-limit 63k
Los paquetes en un flujo de tráfico que se ajuste a este límite se pasan con el PLP establecido en
low.Defina las acciones para el tráfico no conformidad.
[edit firewall policer 1Mbps-policer] user@host# set then discard
Los paquetes en un flujo de tráfico que supere este límite se descartan. Otras acciones configurables para un policiador de dos colores de velocidad única son establecer la clase de reenvío y establecer el nivel PLP.
Resultados
Para confirmar la configuración del agente de policía, ingrese el comando del modo de show firewall configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
Configuración de una acción específica de prefijo basada en el agente de policía
Procedimiento paso a paso
Para configurar una acción específica de un prefijo que haga referencia al agente de policía y especifique una parte de un prefijo de dirección de origen:
Habilite la configuración de una acción específica para un prefijo.
[edit] user@host# edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256
El conteo y la vigilancia específicos de los prefijos se pueden definir solo para el tráfico IPv4.
Hacer referencia al agente de policía para el que se va a crear un conjunto específico de prefijo.
[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set policer 1Mbps-policer user@host# set count
Nota:En el caso de interfaces Ethernet agregadas, puede configurar una acción específica de prefijo que haga referencia a un agente de policía de interfaz lógica (también llamado agente de policía agregado). Puede hacer referencia a este tipo de acción específica de prefijo desde un filtro de firewall estándar IPv4 y, luego, aplicar el filtro en el nivel agregado de la interfaz.
Especifique el rango de prefijo en el que las direcciones IPv4 se indexarán al conjunto de contador y policia.
[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set source-prefix-length 32 user@host# set subnet-prefix-length 24
Resultados
Confirme la configuración de la acción específica del prefijo ingresando el comando del modo de show firewall configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
}
Configurar un filtro IPv4 que hace referencia a la acción específica del prefijo
Procedimiento paso a paso
Para configurar un filtro de firewall estándar IPv4 que haga referencia a la acción específica del prefijo:
Habilite la configuración del filtro de firewall estándar IPv4.
[edit] user@host# edit firewall family inet filter limit-source-one-24
El conteo y la vigilancia específicos de los prefijos se pueden definir solo para el tráfico IPv4.
Configure el término de filtro para que coincida en la dirección de origen o destino del paquete.
[edit firewall family inet filter limit-source-one-24] user@host# set term one from source-address 10.10.10.0/24
Configure el término del filtro para hacer referencia a la acción específica del prefijo.
[edit firewall family inet filter limit-source-one-24] user@host# set term one then prefix-action psa-1Mbps-per-source-24-32-256
También puede usar la acción para configurar todo el
next termtráfico del Protocolo de transferencia de hipertexto (HTTP) a cada host para transmitir a 500 Kbps y tener el tráfico HTTP total limitado a 1 Mbps.
Resultados
Confirme la configuración de la acción específica del prefijo ingresando el comando del modo de show firewall configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
Aplicación del filtro de firewall al tráfico de entrada IPv4 en una interfaz lógica
Procedimiento paso a paso
Para aplicar el filtro de firewall al tráfico de entrada IPv4 en una interfaz lógica:
Habilite la configuración de IPv4 en la interfaz lógica.
[edit] user@host# edit interfaces so-0/0/2 unit 0 family inet
Configure una dirección IP.
[edit interfaces so-0/0/2 unit 0 family inet] user@host# set address 10.39.1.1/16
Aplique el filtro de firewall sin estado estándar IPv4.
[edit interfaces so-0/0/2 unit 0 family inet] user@host# set filter input limit-source-one-24
Resultados
Confirme la configuración de la acción específica del prefijo ingresando el comando del modo de show interfaces configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones en este procedimiento para corregir la configuración.
[edit]
user@host# show interfaces
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Mostrar los filtros de firewall aplicados a una interfaz
- Mostrar estadísticas de acciones específicas de prefijo para el filtro de firewall
Mostrar los filtros de firewall aplicados a una interfaz
Propósito
Compruebe que el filtro limit-source-one-24 de firewall se aplica al tráfico de entrada IPv4 en la interfaz so-0/0/2.0lógica.
Acción
Utilice el show interfaces statistics comando de modo operativo para la interfaz so-0/0/2.0lógica e incluya la detail opción. En la sección de salida de comandos para Protocol inet, el Input Filters campo muestra limit-source-one-24, lo que indica que el filtro se aplica al tráfico IPv4 en la dirección de entrada:
user@host> show interfaces statistics so-0/0/2.0 detail
Logical interface so-0/0/2.0 (Index 79) (SNMP ifIndex 510) (Generation 149)
Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP
Protocol inet, MTU: 4470, Generation: 173, Route table: 0
Flags: Sendbcast-pkt-to-re, Protocol-Down
Input Filters: limit-source-one-24
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
Mostrar estadísticas de acciones específicas de prefijo para el filtro de firewall
Propósito
Verifique el número de paquetes evaluados por el agente de policía.
Acción
Utilice el show firewall prefix-action-stats filter filter-name prefix-action name comando de modo operativo para mostrar estadísticas sobre una acción específica de prefijo configurada en un filtro de firewall.
Como opción, puede usar la opción de from set-index to set-index comando para especificar el contador de inicio y final o el agente de policía que se mostrará. Un conjunto de policías se indexa del 0 al 65535.
El resultado del comando muestra el nombre de filtro especificado seguido de una lista del número de bytes y paquetes procesados por cada agente de policía en el conjunto de policias.
Para un agente de policía específico del término, cada agente del conjunto se identifica de la siguiente manera:
prefix-specific-action-name-term-name-set-index
Para un agente de policía específico de filtro, cada agente de policía se identifica en la salida del comando de la siguiente manera:
prefix-specific-action-name-set-index
Dado que la acción psa-1Mbps-per-source-24-32-256 específica de prefijo de ejemplo se hace referencia a un solo término del filtro limit-source-one-24de ejemplo, el agente de policía de 1Mbps-policer ejemplo se configura como específico de término. En la salida del show firewall prefix-action-stats comando, las estadísticas del agente de policía se muestran como psa-1Mbps-per-source-24-32-256-one-0, psa-1Mbps-per-source-24-32-256-one-1, y así sucesivamente a través de psa-1Mbps-per-source-24-32-256-one-255.
user@host> show firewall prefix-action-stats filter limit-source-one-24 prefix-action psa-1Mbps-per-source-24-32-256 from 0 to 9 Filter: limit-source-one-24 Counters: Name Bytes Packets psa-1Mbps-per-source-24-32-256-one-0 0 0 psa-1Mbps-per-source-24-32-256-one-1 0 0 psa-1Mbps-per-source-24-32-256-one-2 0 0 psa-1Mbps-per-source-24-32-256-one-3 0 0 psa-1Mbps-per-source-24-32-256-one-4 0 0 psa-1Mbps-per-source-24-32-256-one-5 0 0 psa-1Mbps-per-source-24-32-256-one-6 0 0 psa-1Mbps-per-source-24-32-256-one-7 0 0 psa-1Mbps-per-source-24-32-256-one-8 0 0 psa-1Mbps-per-source-24-32-256-one-9 0 0
Escenarios de configuración de conteo y control específicos de prefijos
- Longitud del prefijo de la acción y longitud del prefijo de direcciones en paquetes filtrados
- Escenario 1: Coincidencias de términos del filtro de firewall en varias direcciones
- Escenario 2: El prefijo de subred es más largo que el prefijo en la condición de coincidencia de filtro
- Escenario 3: SubredEl prefijo del contador 128 y del agente de policía es más corto que el prefijo en la condición de coincidencia de filtro de firewall
Longitud del prefijo de la acción y longitud del prefijo de direcciones en paquetes filtrados
Tabla 2 describe la relación entre la longitud del prefijo especificada en la acción específica del prefijo y la longitud del prefijo de las direcciones coincidentes con el término de filtro de firewall que hace referencia a la acción específica del prefijo.
Conjunto de contadores y policías |
Criterios de filtrado de paquetes |
Indexación de instancias |
||
|---|---|---|---|---|
Escenario de acción específico del prefijo: Ejemplo: Configuración de conteo y políticas específicos de prefijos |
||||
source-prefix-length = 32 subnet-prefix-length = 24 Tamaño del conjunto: 2^8 = 256Números de instancia: 0 - 255 |
source-address = 10.10.10.0/24 |
Instancia 0 |
10.10.10.0 |
|
Instancia 1: |
10.10.10.1 |
|||
|
|
|||
Instancia 255: |
10.10.10.255 |
|||
Escenario de acción específico del prefijo: Escenario 1: Coincidencias de términos del filtro de firewall en varias direcciones |
||||
source-prefix-length = 32 subnet-prefix-length = 24 Tamaño del conjunto: 2^8 = 256Números de instancia: 0 - 255 |
source-address = 10.10.10.0/24 source-address = 10.11.0.0/16 |
Instancia 0 |
10.10.10.0,10.11.x.0 |
|
Instancia 1: |
10.10.10.1,10.11.x.1 |
|||
|
|
|||
Instancia 255: |
10.10.10.255,10.11.x.255 |
|||
Para direcciones en la subred /16, x oscila entre 0 y 255. |
||||
Escenario de acción específico del prefijo: Escenario 2: El prefijo de subred es más largo que el prefijo en la condición de coincidencia de filtro |
||||
source-prefix-length = 32 subnet-prefix-length = 25 Tamaño del conjunto: 2^7 = 128Números de instancia: 0 - 127 |
source-address = 10.10.10.0/24 |
Instancia 0 |
10.10.10.0,10.10.10.128 |
|
Instancia 1: |
10.10.10.1,10.10.10.120 |
|||
|
|
|||
Instancia 127: |
10.10.10.255,10.10.10.127 |
|||
Escenario de acción específico del prefijo: Escenario 3: SubredEl prefijo del contador 128 y del agente de policía es más corto que el prefijo en la condición de coincidencia de filtro de firewall |
||||
source-prefix-length = 32 subnet-prefix-length = 24 Tamaño del conjunto: 2^8 = 256Números de instancia: 0 - 255 |
source-address = 10.10.10.0/25 Nota:
Solo se pasan los paquetes con direcciones de origen que van desde |
Instancia 0 |
10.10.10.0 |
|
Instancia 1: |
10.10.10.1 |
|||
|
|
|||
Instancia 127: |
10.10.10.127 |
|||
Instancias 128 – 255: Inusitado |
||||
Escenario 1: Coincidencias de términos del filtro de firewall en varias direcciones
El ejemplo completo, Ejemplo: Configuración de conteo y políticas específicos de prefijos, muestra el caso más simple de acciones específicas de prefijo, en el que un filtro de firewall de un solo término coincide en una dirección con una longitud de prefijo que es la misma que la longitud del prefijo de subred especificada en la acción específica del prefijo. A diferencia del ejemplo, esta situación describe una configuración en la que un filtro de firewall de un solo término coincide en dos direcciones de origen IPv4. Además, la condición adicional coincide en una dirección de origen con una longitud de prefijo diferente de la longitud del prefijo de subred definida en la acción específica del prefijo. En este caso, la condición adicional coincide en la /16 subred de la dirección de origen 10.11.0.0.
A diferencia de los paquetes que coinciden con la dirección 10.10.10.0/24de origen, los paquetes que coinciden con la dirección 10.11.0.0/16 de origen se encuentran en una correspondencia varios a uno con las instancias en el contador y el conjunto de policía.
Los paquetes coincidentes con filtros que se pasan al índice de acción específico del prefijo en el contador y el policiado de tal manera que las instancias de conteo y control sean compartidas por paquetes que contienen direcciones de origen en las subredes y 10.11.0.0/16 en las subredes de la 10.10.10.0/24 siguiente manera:
El primer contador y el agente de políticas del conjunto están indexados por paquetes con direcciones
10.10.10.0de origen y10.11.x.0, donde x varía desde0hasta255.El segundo contador y el agente de políticas del conjunto están indexados por paquetes con direcciones
10.10.10.1de origen y10.11.x.1, donde x varía desde0hasta255.El contador 256 (último) y el agente de políticas del conjunto se indexan por paquetes con direcciones
10.10.10.255de origen y10.11.x.255, donde x oscila desde0hasta .255
La siguiente configuración muestra las instrucciones para configurar el policiador de dos colores de velocidad única, la acción específica del prefijo que hace referencia al policiador y el filtro de firewall sin estado estándar IPv4 que hace referencia a la acción específica del prefijo:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-two-24-16 {
term one {
from {
source-address {
10.10.10.0/24;
10.11.0.0/16;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-two-24-16;
}
address 10.39.1.1/16;
}
}
}
}
Escenario 2: El prefijo de subred es más largo que el prefijo en la condición de coincidencia de filtro
El ejemplo completo, Ejemplo: Configuración de conteo y políticas específicos de prefijos, muestra el caso más simple de acciones específicas de prefijo, en el que el filtro de firewall de un solo término coincide en una dirección con una longitud de prefijo que es la misma que la longitud del prefijo de subred especificada en la acción específica del prefijo. A diferencia del ejemplo, este escenario describe una configuración en la que la acción específica del prefijo define una longitud del prefijo de subred que es más larga que el prefijo de la dirección de origen coincidente con el filtro de firewall. En este caso, la acción específica del prefijo define un valor de prefijo de subred de , mientras que el filtro de 25firewall coincide con una dirección de origen en la /24 subred.
El filtro de firewall pasa los paquetes de acción específicos del prefijo con direcciones de origen que van desde 10.10.10.0 hasta, 10.10.10.255mientras que la acción específica del prefijo especifica un conjunto de solo 128 contadores y politizaciones, numerados del 0 al 127.
Los paquetes coincidentes con filtros que se pasan al índice de acción específico del prefijo en el contador y el agente de políticas establecido de tal manera que las instancias de conteo y control sean compartidas por paquetes que contienen cualquiera de las dos direcciones de origen dentro de la 10.10.10.0/24 subred:
El primer contador y el agente de políticas del conjunto están indexados por paquetes con direcciones de origen
10.10.10.0y10.10.10.128.El segundo contador y el agente de políticas del conjunto están indexados por paquetes con direcciones
10.10.10.1de origen y10.10.10.129.El contador 128 (último) y el agente de políticas del conjunto se indexan por paquetes con direcciones
10.10.10.127de origen y10.10.10.255.
La siguiente configuración muestra las instrucciones para configurar el policiador de dos colores de velocidad única, la acción específica del prefijo que hace referencia al policiador y el filtro de firewall sin estado estándar IPv4 que hace referencia a la acción específica del prefijo:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-25-32-128 {
policer 1Mbps-policer;
subnet-prefix-length 25;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-25-32-128;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
}
Escenario 3: SubredEl prefijo del contador 128 y del agente de policía es más corto que el prefijo en la condición de coincidencia de filtro de firewall
El ejemplo completo, Ejemplo: Configuración de conteo y políticas específicos de prefijos, muestra el caso más simple de acciones específicas de prefijo, en el que el filtro de firewall de un solo término coincide en una dirección con una longitud de prefijo que es la misma que la longitud del prefijo de subred especificada en la acción específica del prefijo. A diferencia del ejemplo, esta situación describe una configuración en la que la acción específica del prefijo define una longitud del prefijo de subred que es más corta que el prefijo de la dirección de origen coincidente con el filtro de firewall. En este caso, el término de filtro coincide en la /25 subred de la dirección de origen 10.10.10.0.
El filtro de firewall pasa solo los paquetes de acción específicos de los prefijos con direcciones de origen que van desde 10.10.10.0 hasta , 10.10.10.127mientras que la acción específica del prefijo especifica un conjunto de 256 contadores y policías, numerados del 0 al 255.
Los paquetes coincidentes que se pasan al índice de acciones específicos del prefijo en la mitad inferior del contador y el conjunto de policías:
El primer contador y el agente de policía del conjunto están indexados por paquetes con dirección de origen
10.10.10.0.El segundo contador y el agente de policía del conjunto están indexados por paquetes con dirección de origen
10.10.10.1y10.10.10.129.El contador 128 y el agente de policía del conjunto están indexados por paquetes con dirección de origen
10.10.10.127.La mitad superior del conjunto (instancias numeradas del 128 al 255) no se indexan mediante paquetes que se pasan a la acción específica del prefijo de este filtro de firewall en particular.
La siguiente configuración muestra las instrucciones para configurar el policiador de dos colores de velocidad única, la acción específica del prefijo que hace referencia al policiador y el filtro de firewall sin estado estándar IPv4 que hace referencia a la acción específica del prefijo:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-25 {
term one {
from {
source-address {
10.10.10.0/25;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-25;
}
address 10.39.1.1/16;
}
}
}
}