Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Подсчет префиксов и действия по у политикам

Обзор подсчета префиксов и у политика

Отдельный подсчет и у политика для каждого диапазона адресов IPv4

За счет подсчета префиксов и функций управления политиками можно настроить термин фильтра межсетевых экранов IPv4, который совпадает с адресом источника или адреса назначения, применяет двухзвенным двухцветный план управления в качестве действия, но связывает совпаный пакет с определенным счетчиком и экземпляром фильтра на основе источника или адресата в заглавной области пакета. Можно неявно создать отдельный счетчик или экземпляр policer для одного адреса или для группы адресов.

Для подсчета префиксов и применения к этому политика используется конфигурация действий, определенная префиксом, которая определяет имя применяемого политика, независимо от того, включен ли отсчет, указанный в префиксе, и диапазон адресов источника или адреса назначения.

Диапазон префиксов определяет от 1 до 16 бит последовательного набора маски адреса IPv4. Длина диапазона префиксов определяет размер счетчика и набора policer,который состоит всего из 2 или 65536 экземпляров счетчика и экземпляра policer. Расположение битов диапазона префиксов определяет индексацию пакетов, совпадающих с фильтром, в набор экземпляров.

Прим.:

Действие, определенное префиксом, является специфическим для диапазона префиксов источника или назначения,но не для определенного диапазона адресов источника или назначения ине предназначено для определенного интерфейса.

Для применения к трафику интерфейса определенного префикса необходимо настроить термин фильтра брандмауэра, который совпадает с адресами источника или назначения, а затем применяется к интерфейсу фильтр брандмауэра. Поток отфильтрованного трафика ограничен скоростью с помощью счетчика, определенного префиксом, и экземпляров применения правил, которые выбираются для каждого пакета в зависимости от адреса источника или адреса назначения в главе фильтруемого пакета.

Настройка действий, определенных префиксом

Для настройки определенного префикса необходимо указать следующую информацию:

  • Prefix-specific action name — имя, которое можно рассматривать как действие стандартного термина фильтра межсетевых экранов IPv4, который соответствует пакетам по адресам источника или назначения.

  • Название policer — имя одно скоростного двухцветного фиксера, для которого необходимо создать экземпляры, специфические для префиксов.

    Прим.:

    Для агрегированных интерфейсов Ethernet можно настроить определенное префиксом действие, которое ссылается на логический policer интерфейса (также называемый агрегированной службой policer). Этот тип действия, определенного префиксу, можно использовать с помощью стандартного фильтра межсетевых экранов IPv4, а затем применить фильтр на агрегированном уровне интерфейса.

  • Параметр подсчета — параметр, который будет включаться, если необходимо включить счетчики, специфические для префикса.

  • Параметр фильтрации — параметр, который следует включать, если необходимо, чтобы один счетчик и набор policer были общими для всех терминов в фильтре межсетевых экранов. Действие, определенное префиксом, которое действует таким образом, обычно действует в режиме, заданной для фильтрации. Если этот параметр не был введен, действие, определенное префиксом, действует в определенном режиме, т.е. отдельный счетчик и набор policer создаются для каждого термина фильтра, который ссылается на определенное префиксом действие.

  • Длина префикса адреса источника — длина префикса адреса от 0 до 32, которая будет использоваться с пакетом, совпадать с адресом источника.

  • Длина префикса адреса назначения — длина префикса адреса от 0 до 32, которая будет использоваться с пакетом, совпадать с адресом назначения.

  • Длина префикса подсети — длина префикса подсети от 0 до 32, которая будет использоваться с пакетом, совпадать с адресом источника или адреса назначения.

Длина префикса адреса источника и назначения должна быть от 1 до 16 бит больше, чем длина префикса подсети. Если длина префикса адреса источника или назначения должна быть больше 16 битов, префиксов настроенной подсети, при попытке сфиксировать конфигурацию возникает ошибка.

Размер и индексация счетчика и счетчика

Число действий, определенных префиксами (счетчиками или политиками), неявно созданных для определенного префикса, определяется длиной префикса адреса и длиной префикса подсети:

  1. Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)

Табл. 1 показывает примеры размера и индексации счетчика, а также установленного сотрудника службы policer.

Табл. 1: Примеры счетчика и размера набора policer и индексации

Пример длины префикса, указанной в действии, определенном префиксом

Расчет размера счетчика или набора policer

Индексация экземпляров

source-prefix-length = 32 subnet-prefix-length = 16

Size = 2^(32 - 16) = 2^16 = 65,536 instances

Прим.:

Этот расчет показывает, что поддерживается наибольший поддерживаемый размер счетчика или установленного policer.

Экземпляр 0:

x. x.0.0

Экземпляр 1:

x. x.0.1

Экземпляр 65535:

x. x.255.255

source-prefix-length = 32 subnet-prefix-length = 24

Size = 2^(32 - 24) = 2^8 = 256 instances

Экземпляр 0:

x. x. x.0

Экземпляр 1:

x. x. x.1

Экземпляр 255:

x. x. x.255

source-prefix-length = 32 subnet-prefix-length = 25

Size = 2^(32 - 25) = 2^7 = 128 instances

Экземпляр 0:

x. x. x.0

Экземпляр 1:

x. x. x.1

Экземпляр 127:

x. x. x.127

source-prefix-length = 24 subnet-prefix-length = 20

Size = 2^(24 - 20) = 2^4 = 16 instances

Экземпляр 0:

x. x.0. x

Экземпляр 1:

x. x.1. x

Экземпляр 15:

x. x.15. x

Обзор фильтрации счетчика и набора policer

По умолчанию набор policer, специфический для префикса, работает в определенном термине режиме, поэтому для данного фильтра межсетевых экранов Junos OS создает отдельный счетчик и установленный для каждого термина фильтра, который ссылается на определенное префиксом действие. В качестве параметра можно настроить настраиваемый префикс-специфический policer для работы в режиме, определенном фильтром, так что один набор, специфический для префикса, используется всеми терминами (в пределах одного фильтра межсетевых экранов), которые ссылаются на этот policer.

Для фильтра межсетевых экранов IPv4 с несколькими терминами, которые ссылаются на один и тот же набор контрольных условий, определенных префиксом, настройка набора policer для работы в режиме, определенном фильтром, позволяет отсчитывать и отслеживать активность контролера, установленного на уровне фильтра межсетевых экранов.

Прим.:

Термин-специфический режим и режим фильтра также применяются к сотрудникам управления. См. Обзор фильтруемого policer .

Чтобы позволить определенному префиксу политика работать в режиме, определенном фильтром, можно включить утверждение на следующих уровнях filter-specific иерархии:

  • [edit firewall family inet prefix-action prefix-action-name]

  • [edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]

Можно ссылаться только на фильтры, а также наборы определенного префикса в фильтрах IPv4 family inet () межсетевых экранов.

Обзор фильтруемого policer

По умолчанию, policer работает в определенном термине, так что для данного фильтра межсетевых экранов Junos OS создает отдельный экземпляр policer для каждого термина фильтра, который ссылается на policer. В качестве параметра можно настроить policer для работы в режиме, определенном фильтром, так что один экземпляр policer используется всеми терминами (в пределах одного фильтра межсетевых экранов), которые ссылаются на этот policer.

Для фильтра межсетевых экранов IPv4 с несколькими терминами, которые ссылаются на один и тот же policer, настройка этого контрольного пункта для работы в режиме фильтрации позволяет отсчитывать и отслеживать активность этого контролера на уровне фильтра межсетевых экранов.

Прим.:

Режим, определенный термину, и режим фильтра также применяются к наборам, специфическим для префиксов.

Для работы двухцветного двухцветного политика в режиме фильтрации можно включить утверждение на следующих filter-specific уровнях иерархии:

  • [edit firewall policer policer-name]

  • [edit logical-systems logical-system-name firewall policer policer-name]

Можно ссылаться только на фильтры, специфические для функции безопасности, в IPv4 family inet () фильтрах межсетевых экранов.

Примере: Настройка подсчета и утачиния префиксов

В данном примере показано, как настраивать подсчет и утачиение, определенное префиксом.

Требования

Перед настройкой в этом примере не требуется специальная настройка после инициализации устройства.

Обзор

В этом примере настраивается подсчет и устрашение в зависимости от префикса на основе последнего октета поля адреса источника в пакетах, которые соответствуют фильтру межсетевого экрана IPv4.

Двухцветный ограничитер скорости, именующийся ограничением скорости трафика в 1 000 000 бит/с, и ограничение размера пакета 1Mbps-policer в 63 000 бит, сбрасывая любые пакеты в потоке трафика, превышающий пределы трафика.

Независимо от адресов IPv4, содержащихся в пакетах, которые передаются от фильтра межсетевых экранов, действие, определенное префиксом, определяет набор из 256 счетчиков и фиксаторов, пронумерованных от psa-1Mbps-per-source-24-32-256 0 до 255. Для каждого пакета используется последний октет поля адреса источника для индексации в связанный счетчик, связанный с префиксом, и policer в наборе:

  • Пакеты с адресом источника, оконечные индексом окта первого счетчика и 0x0000 00000 счетчиком в наборе.

  • Пакеты с адресом источника, оконечные индексом окта второго счетчика и 0x0000 0001 счетчиком в наборе.

  • Пакеты с адресом источника, оконечные индексом последнего счетчика и 0x1111 1111 счетчиком в наборе.

Фильтр межсетевых экранов содержит один термин, который соответствует всем пакетам из подсети адреса источника, передающего эти пакеты к определенному limit-source-one-24/24 префиксу 10.10.10.0psa-1Mbps-per-source-24-32-256 действие.

Топологии

В этом примере, поскольку термин фильтра соответствует подсети одного адреса источника, каждый экземпляр подсчета и устранения проблем в наборе, заданной для префикса, используется только для /24 одного адреса источника.

  • Пакеты с индексом адреса 10.10.10.0 источника первого счетчика и счетчика в наборе.

  • Пакеты с адресом источника 10.10.10.1 индексировать второй счетчик и счетчик в наборе.

  • Пакеты с индексом адреса 10.10.10.255 источника последнего счетчика и счетчиком в наборе.

В этом примере показан простейший случай действий, специфических для префикса, в котором термин фильтра совпадает с одним адресом с длиной префикса, которая совпадает с длиной префикса, указанной в определенном префиксе действие для индексации в наборе счетчиков и фиксаторов, определенных префиксом.

Описание других конфигураций для подсчета префиксов и управления политиками Сценарии настройки подсчета, определенного префиксом, и настройки функций управления политиками см. в .

Конфигурации

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Для получения информации о навигации по интерфейс командной строки E. редактор интерфейс командной строки в режиме конфигурации см. . .

Чтобы настроить этот пример, выполните следующие задачи:

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды конфигурации в текстовый файл, удалите все разрывы строк и затем вкопировать команды в интерфейс командной строки на [edit] иерархии.

Настройка policer для подсчета и уполначивания, определенного префиксом

Пошаговая процедура

Чтобы настроить policer, который будет использоваться для подсчета префиксов и укачивания:

  1. В включить конфигурацию одно скоростного двухцветного огомера.

  2. Определение предела трафика.

    Пакеты в потоке трафика, соответствующем данному пределу, передаются с установленным low PLP.

  3. Определите действия для несодержания трафика.

    Пакеты в потоке трафика, превышают этот предел, отбрасываются. Другие настраиваемые действия для одноконфигурного двухцветного оговарварающего коэффициента – это настройка класса переадрежимирования и настройка уровня PLP.

Результаты

Подтвердить конфигурацию policer, введите команду show firewall configuration mode. Если в выходных данных команды не отображается указанная конфигурация, повторите инструкции в этой процедуре, чтобы исправить конфигурацию.

Настройка определенного префикса действий на основе policer

Пошаговая процедура

Для настройки определенного префикса действия, которое ссылается на policer и указывает часть префикса адреса источника:

  1. В включить настройку определенного префикса действия.

    Функции подсчета префиксов и их функции можно определить только для трафика IPv4.

  2. Со ссылкой на policer, для которого должен быть создан набор, определенный префиксом.

    Прим.:

    Для агрегированных интерфейсов Ethernet можно настроить определенное префиксом действие, которое ссылается на логический policer интерфейса (также называемый агрегированной службой policer). Этот тип действия, определенного префиксу, можно использовать с помощью стандартного фильтра межсетевых экранов IPv4, а затем применить фильтр на агрегированном уровне интерфейса.

  3. Укажите диапазон префиксов, на которых адреса IPv4 будут проиндексироваться на счетчик и набор policer.

Результаты

Подтвердить конфигурацию определенного префикса действия, введите команду show firewall configuration mode. Если в выходных данных команды не отображается указанная конфигурация, повторите инструкции в этой процедуре, чтобы исправить конфигурацию.

Настройка фильтра IPv4, который ссылается на определенное префиксом действие

Пошаговая процедура

Для настройки стандартного фильтра межсетевых экранов IPv4, который ссылается на определенное префиксом действие:

  1. В enable configuration of the IPv4 standard firewall filter (Включить конфигурацию стандартного фильтра межсетевых экранов IPv4).

    Функции подсчета префиксов и их функции можно определить только для трафика IPv4.

  2. Настройте термин фильтра так, чтобы он совпадал с адресом источника пакета или адресом назначения.

  3. Настройте термин фильтра для ссылки на определенное префиксом действие.

    Можно также использовать действие для настройки всего трафика Hypertext Transfer Protocol (HTTP) на каждый хост для передачи совокупным объемом HTTP-трафика 500 Кбит/с и ограничениями общего next term HTTP-трафика в 1 Мбит/с.

Результаты

Подтвердить конфигурацию определенного префикса действия, введите команду show firewall configuration mode. Если в выходных данных команды не отображается указанная конфигурация, повторите инструкции в этой процедуре, чтобы исправить конфигурацию.

Применение фильтра брандмауэра к вводимму трафику IPv4 на логическом интерфейсе

Пошаговая процедура

Применение фильтра межсетевых экранов к вводимму трафику IPv4 на логическом интерфейсе:

  1. В включить конфигурацию IPv4 на логическом интерфейсе.

  2. Настройте IP-адрес.

  3. Применение стандартного фильтра межсетевых экранов IPv4 без с состоянием состояния.

Результаты

Подтвердить конфигурацию определенного префикса действия, введите команду show interfaces configuration mode. Если в выходных данных команды не отображается указанная конфигурация, повторите инструкции в этой процедуре, чтобы исправить конфигурацию.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Подтвердим, что конфигурация работает правильно.

Отображение фильтров межсетевых экранов, применяемых к интерфейсу

Цель

Убедитесь, что фильтр limit-source-one-24 брандмауэра применяется к вводимом трафику IPv4 на логическом so-0/0/2.0 интерфейсе.

Действий

Используйте команду show interfaces statistics operational mode для логического интерфейса so-0/0/2.0 и включив detail этот параметр. В разделе выходных данных команды for (для поля) отображается поле, указывающее, что фильтр применяется к трафику Protocol inetInput Filterslimit-source-one-24 IPv4 в вводимом направлении:

Отображение статистики действий, определенных префиксом, для фильтра брандмауэра

Цель

Проверьте число пакетов, оцененных policer.

Действий

Используйте команду show firewall prefix-action-stats filter filter-name prefix-action name operational mode для отображения статистики действий, определенных префиксом, настроенных на фильтре межсетевых экранов.

В качестве параметра можно использовать параметр команды для указания начального и конечном счетчика from set-index to set-index или отображаемого счетчика. Набор policer индексуется от 0 до 65535.

В выходных данных команды отображается заданное имя фильтра с перечислением числа bytes и пакетов, обработанных каждым policer в наборе policer.

Для определенного термину политика каждый из них в наборе идентифицироваться следующим образом:

Для фильтруемого политика каждый из них определен в выходных данных команды следующим образом:

Так как в примере действие, определенное префиксом, ссылается только на один термин фильтра примера, пример такого действия настраивается как psa-1Mbps-per-source-24-32-256limit-source-one-241Mbps-policer конкретный термин. В show firewall prefix-action-stats выходных данных команды статистика policer отображается как psa-1Mbps-per-source-24-32-256-one-0 , и psa-1Mbps-per-source-24-32-256-one-1 так далее psa-1Mbps-per-source-24-32-256-one-255 через.

Сценарии настройки подсчета, определенного префиксом, и настройки функций управления политиками

Длина префикса действия и длины префикса адресов в отфильтрованных пакетах

Табл. 2 описывает взаимосвязь между длиной префикса, указанной в определенном префиксе действием, и длиной префикса адресов, которые соответствуют термину фильтра межсетевых экранов, которые ссылаются на определенное префиксом действие.

Табл. 2: Сводка сценариев действий, специфических для префиксов

Набор счетчиков и policer

Критерии фильтрации пакетов

Индексация экземпляров

Сценарий действий, определенных префиксом: Примере: Настройка подсчета и утачиния префиксов

 

source-prefix-length = 32  subnet-prefix-length = 24

Установленный размер: 2^8 = 256Число экземпляров: 0 - 255

source-address = 10.10.10.0/24

Экземпляр 0

10.10.10.0

Экземпляр 1:

10.10.10.1

...

...

Экземпляр 255:

10.10.10.255

Сценарий действий, определенных префиксом: Сценарий 1: Термин фильтра брандмауэра совпадает с несколькими адресами

source-prefix-length = 32  subnet-prefix-length = 24

Установленный размер: 2^8 = 256Число экземпляров: 0 - 255

source-address = 10.10.10.0/24

source-address = 10.11.0.0/16

Экземпляр 0

10.10.10.0,10.11.x.0

Экземпляр 1:

10.10.10.1,10.11.x.1

...

...

Экземпляр 255:

10.10.10.255,10.11.x.255

Для адресов в подсети/16 x диапазон от 0 до 255.

Сценарий действий, определенных префиксом: Сценарий 2: Префикс подсети длиннее префикса в условии совпадения фильтра

source-prefix-length = 32  subnet-prefix-length = 25

Установленный размер: 2^7 = 128Число экземпляров: 0 - 127

source-address = 10.10.10.0/24

Экземпляр 0

10.10.10.0,10.10.10.128

Экземпляр 1:

10.10.10.1,10.10.10.120

...

...

Экземпляр 127:

10.10.10.255,10.10.10.127

Сценарий действий, определенных префиксом: Сценарий 3: Префикс подсети короче префикса в условии совпадения фильтра брандмауэра

source-prefix-length = 32  subnet-prefix-length = 24

Установленный размер: 2^8 = 256Число экземпляров: 0 - 255

source-address = 10.10.10.0/25

Прим.:

К определенному префиксу действие передаются только пакеты с исходными адресами, которые могут быть в 10.10.10.010.10.10.127 пределах сквозного.

Экземпляр 0

10.10.10.0

Экземпляр 1:

10.10.10.1

...

...

Экземпляр 127:

10.10.10.127

Экземпляры 128 – 255: Неиспользуемые

Сценарий 1: Термин фильтра брандмауэра совпадает с несколькими адресами

В полном примере показан простейший случай действий, специфических к префиксу, при котором односторядный фильтр межсетевых экранов сопостает по одному адресу с длиной префикса, такой же, как длина префикса подсети, заданная в определенном префиксе Примере: Настройка подсчета и утачиния префиксов действие. В отличие от примера, в этом сценарии описывается конфигурация, в которой односрочный фильтр межсетевых экранов соответствует двум исходным адресам IPv4. Кроме того, дополнительное условие соответствует адресу источника с длиной префикса, которая отличается от длины префикса подсети, определенной в действии, определенном префиксом. В этом случае дополнительное состояние соответствует /16 подсети адреса 10.11.0.0 источника.

Прим.:

В отличие от пакетов, которые совпадают с адресом источника, пакеты, совпадают с адресом источника, находятся в много-одной корреспонденции с экземплярами в наборе счетчиков и 10.10.10.0/2410.11.0.0/16 policer.

Пакеты, совпадающие с фильтрами, которые передаются в индекс действия, определенный префиксом, в счетчик и в настройках политика таким образом, что экземпляры подсчета и устранения проблем совместно передаются пакетам, которые содержат адреса источников в подсетях и подсетях 10.10.10.0/2410.11.0.0/16 следующим образом:

  • Первый счетчик и счетчик в наборе индексются пакетами с адресами источника и , где x находится в 10.10.10.010.11.x.0 пределах от 0255 конца.

  • Второй счетчик и счетчик в наборе индексются пакетами с адресами источника и , где x находится в 10.10.10.110.11.x.1 пределах от 0255 конца.

  • 256-й (последний) счетчик и счетчик в наборе индексются пакетами с адресами источника и , где x находится в пределах 10.10.10.25510.11.x.255 от 0255 конца.

В следующей конфигурации показаны действия по настройке одноконфигурного двухцветного фиксатора, действие, которое будет действовать в зависимости от префикса, которое будет ссылается на этот policer, и стандартный фильтр межсетевых экранов без справок IPv4, который будет ссылаться на определенное префиксом действие:

Сценарий 2: Префикс подсети длиннее префикса в условии совпадения фильтра

В полном примере показан простейший случай действий, специфических к префиксу, в котором односторядный фильтр межсетевых экранов сопостает по одному адресу с длиной префикса, которая совпадает с длиной префикса подсети, указанной в определенном Примере: Настройка подсчета и утачиния префиксов префиксе. В отличие от примера, данный сценарий описывает конфигурацию, в которой определенное префиксом действие определяет длину префикса подсети, которая длиннее префикса адреса источника, совпадает с фильтром межсетевых экранов. В этом случае определенное префиксом действие определяет значение префикса подсети, в то время как фильтр межсетевых экранов соответствует адресу источника в 25/24 подсети.

Прим.:

Фильтр межсетевых экранов пропускает пакеты действий, специфические для префикса, с адресами источников в диапазоне от 0 до 10.10.10.010.10.10.255 127.

Пакеты, совпадающие с фильтрами, которые передаются в индекс действия, определенный префиксом, в счетчик и в счетчик и в установленный policer таким образом, что экземпляры подсчета и устранения проблем совместно передаются пакетам, содержа двум адресам источника в рамках 10.10.10.0/24 подсети:

  • Первый счетчик и счетчик в наборе индексются пакетами с адресами источника 10.10.10.010.10.10.128 и.

  • Второй счетчик и счетчик в наборе индексются пакетами с адресами источника 10.10.10.110.10.10.129 и.

  • 128-й (последний) счетчик и счетчик в наборе индексются пакетами с адресами 10.10.10.127 источника 10.10.10.255 и.

В следующей конфигурации показаны действия по настройке одноконфигурного двухцветного фиксатора, действие, которое будет действовать в зависимости от префикса, которое будет ссылается на этот policer, и стандартный фильтр межсетевых экранов без справок IPv4, который будет ссылаться на определенное префиксом действие:

Сценарий 3: Префикс подсети короче префикса в условии совпадения фильтра брандмауэра

В полном примере показан простейший случай действий, специфических к префиксу, в котором односторядный фильтр межсетевых экранов сопостает по одному адресу с длиной префикса, которая совпадает с длиной префикса подсети, указанной в определенном Примере: Настройка подсчета и утачиния префиксов префиксе. В отличие от примера, данный сценарий описывает конфигурацию, в которой определенное префиксом действие определяет длину префикса подсети, которая короче префикса адреса источника, совпадаемого с фильтром межсетевых экранов. В этом случае термин фильтра совпадает в /25 подсети адреса 10.10.10.0 источника.

Прим.:

Фильтр межсетевых экранов пропускает только пакеты, специфические для префикса, только пакеты с адресами источника в диапазоне от 0 до 10.10.10.010.10.10.127 255.

Совпадают пакеты, которые передаются в индекс действия, специфический к префиксу, в нижнюю часть счетчика и только в наборе policer:

  • Первый счетчик и счетчик в наборе индексются пакетами с адресом 10.10.10.0 источника.

  • Второй счетчик и счетчик в наборе индексются пакетами с адресом источника 10.10.10.110.10.10.129 и.

  • 128-й счетчик и счетчик в наборе индексются пакетами с адресом 10.10.10.127 источника.

  • Верхняя часть набора (экземпляры с номерами от 128 до 255) не индексуются пакетами, которые передаются на действие, определенное префиксом, с помощью этого конкретного фильтра межсетевых экранов.

В следующей конфигурации показаны действия по настройке одноконфигурного двухцветного фиксатора, действие, которое будет действовать в зависимости от префикса, которое будет ссылается на этот policer, и стандартный фильтр межсетевых экранов без справок IPv4, который будет ссылаться на определенное префиксом действие: