- play_arrow Compreensão e configuração das políticas de roteamento do Junos
- play_arrow Visão geral
- Visão geral da estrutura de políticas
- Comparação entre políticas de roteamento e filtros de firewall
- Visão geral da priorização de prefixo
- Priorização de prefixo da FIB
- Contabilidade do atributo de sobrecarga do policial no nível de interface
- Configuração da contabilidade da sobrecarga do policiamento em estatísticas de interface
- Entendendo as políticas de roteamento
- Suporte de protocolo para políticas de importação e exportação
- Exemplo: Aplicação de políticas de roteamento em diferentes níveis da hierarquia BGP
- Políticas de roteamento padrão
- Exemplo: Configuração de uma política de rota padrão condicional
- play_arrow Avaliação de políticas de roteamento usando condições, ações, termos e expressões de correspondência
- Como uma política de roteamento é avaliada
- Categorias de condições de correspondência da política de roteamento
- Condições de correspondência da política de roteamento
- Condições de correspondência do filtro de rota
- Ações em termos de política de roteamento
- Resumo das ações de políticas de roteamento
- Exemplo: Configuração de uma política de roteamento para anunciar a melhor rota externa para pares internos
- Exemplo: Configuração do BGP para anunciar rotas inativas
- Exemplo: Usando a política de roteamento para definir um valor de preferência para rotas BGP
- Exemplo: Habilitação de anúncios de rotas BGP
- Exemplo: Rejeitar rotas inválidas conhecidas
- Exemplo: Usando a política de roteamento em uma rede ISP
- Entendendo expressões de políticas
- Entendendo a política de seleção de backup para o protocolo OSPF
- Configuração da política de seleção de backup para o protocolo OSPF
- Configuração da política de seleção de backup para o protocolo IS-IS
- Exemplo: Configuração da política de seleção de backup para o protocolo OSPF ou OSPF3
- play_arrow Avaliação de casos complexos usando cadeias de políticas e subrotinas
- Entenda como uma cadeia de políticas de roteamento é avaliada
- Exemplo: Configuração de cadeias de políticas e filtros de rota
- Exemplo: Usando cadeias de filtro de firewall
- Entendendo as subrotinas de políticas em condições de correspondência de políticas de roteamento
- Como uma subrotina de política de roteamento é avaliada
- Exemplo: Configuração de uma subrotina de políticas
- play_arrow Configuração de filtros de rota e listas de prefixo como condições de correspondência
- Entender os filtros de rota para uso em condições de correspondência da política de roteamento
- Entenda as listas de filtro de rota e filtro de endereço de origem para uso em condições de correspondência da política de roteamento
- Entendendo o balanceamento de carga usando apenas IP de origem ou destino
- Configuração de balanceamento de carga usando apenas IP de origem ou destino
- Visão geral do walkup for Route Filters
- Configuração do walkup para filtros de rota para melhorar a eficiência operacional
- Exemplo: Configuração de listas de filtro de rota
- Exemplo: Configuração do walkup para filtros de rota globalmente para melhorar a eficiência operacional
- Exemplo: Configuração do walkup para filtros de rota localmente para melhorar a eficiência operacional
- Exemplo: Configuração de uma política de filtro de rota para especificar prioridade para prefixos aprendidos através do OSPF
- Exemplo: Configuração do MED usando filtros de rota
- Exemplo: Configuração das qualificações da família de protocolo VPN de Camada 3 para filtros de rota
- Entendendo listas de prefixo para uso em condições de correspondência de políticas de roteamento
- Exemplo: Configuração de listas de prefixo de políticas de roteamento
- Exemplo: Configurando a prioridade para prefixos de rota na infraestrutura de RPD
- Configuração da prioridade para prefixos de rota em infraestrutura de RPD
- play_arrow Configuração de caminhos AS como condições de correspondência
- Entender como caminho expressões regulares para uso como condições de correspondência da política de roteamento
- Exemplo: Usando expressões regulares do caminho AS
- Entendendo a preparação dos números de AS para caminhos DE BGP
- Exemplo: Configuração de uma política de roteamento para preparação de caminhos AS
- Entendendo a inclusão de números AS nos caminhos DO BGP
- Exemplo: Publicidade Múltiplos caminhos no BGP
- Melhore o desempenho da busca por caminhos AS na política BGP
- play_arrow Configuração de comunidades como condições de correspondência
- Entender as comunidades BGP, comunidades estendidas e grandes comunidades como condições de correspondência da política de roteamento
- Entender como definir comunidades BGP e comunidades estendidas
- Como as comunidades BGP e comunidades estendidas são avaliadas em condições de correspondência de políticas de roteamento
- Exemplo: Configuração de comunidades em uma política de roteamento
- Exemplo: Configuração de comunidades estendidas em uma política de roteamento
- Exemplo: Configuração de grandes comunidades BGP
- Exemplo: Configuração de uma política de roteamento com base no número de comunidades BGP
- Exemplo: Configuração de uma política de roteamento que remove comunidades BGP
- play_arrow Aumentando a estabilidade da rede com ações de flapping de rota BGP
- play_arrow Rastreamento do uso de tráfego com ações de uso de classe de origem e de classe de destino
- Entendendo as opções de uso de classe de origem e de classe de destino
- Visão geral da classe de origem
- Diretrizes para configuração do SCU
- Requisitos do sistema para SCU
- Termos e siglas para SCU
- Roteiro de configuração do SCU
- Roteiro de configuração de SCU com VPNs de camada 3
- Configuração de filtros de rota e aulas de origem em uma política de roteamento
- Aplicar a política à tabela de encaminhamento
- Habilitando a contabilidade em interfaces de entrada e saída
- Configuração de SCU de entrada na interface vt do roteador PE de saída
- Mapeamento da interface vt habilitada para SCU para a instância VRF
- Configuração de SCU na interface de saída
- Associação de um perfil de contabilidade com aulas de SCU
- Verificando seu perfil de contabilidade na SCU
- Configuração do SCU
- Configuração de SCU com VPNs de camada 3
- Exemplo: Prefixos de origem e destino de agrupamento em uma classe de encaminhamento
- play_arrow Evitando ameaças de roteamento de tráfego com políticas condicionais de roteamento
- Política de anúncio e importação condicionais (Tabela de roteamento) com determinadas condições de correspondência
- Anúncio condicional que permite a instalação condicional de casos de uso de prefixos
- Exemplo: Configuração de uma política de roteamento para anúncio condicional que permite a instalação condicional de prefixos em uma tabela de roteamento
- play_arrow Proteção contra ataques do DoS encaminhando o tráfego para a interface de descarte
- play_arrow Melhorando os tempos de compromisso com políticas de roteamento dinâmico
- play_arrow Teste antes de aplicar políticas de roteamento
-
- play_arrow Configuração de filtros de firewall
- play_arrow Entenda como os filtros de firewall protegem sua rede
- Visão geral dos filtros de firewall
- Visão geral do fluxo de dados do roteador
- Visão geral do filtro de firewall sem estado
- Entender como usar filtros de firewall padrão
- Entenda como o firewall filtra fluxos de pacotes de controle
- Componentes de filtro de firewall sem estado
- Pontos de aplicativo de filtro de firewall stateless
- Como os filtros de firewall padrão avaliam pacotes
- Entendendo o filtro de pesquisa rápida do filtro de firewall
- Entendendo os filtros de firewall de saída com PVLANs
- Filtragem seletiva baseada em classe em roteadores PTX
- Diretrizes para configurar filtros de firewall
- Diretrizes para a aplicação de filtros de firewall padrão
- Padrões suportados para filtragem
- Monitoramento do tráfego de filtro de firewall
- Solução de problemas de filtros de firewall
- play_arrow Condições e ações de correspondência do filtro de firewall
- Visão geral dos filtros de firewall (Série OCX)
- Visão geral dos perfis de filtro de firewall nos roteadores da Série ACX (Junos OS Evolved)
- Entendendo as condições de correspondência do filtro de firewall
- Entendendo o planejamento de filtros de firewall
- Entendendo como os filtros de firewall são avaliados
- Entendendo as condições de correspondência do filtro de firewall
- Condições flexíveis de correspondência do filtro de firewall
- Firewall filtra ações sem administração
- Ações de terminação de filtros de firewall
- Condições e ações de correspondência do filtro de firewall (roteadores da Série ACX)
- Condições e ações de correspondência do filtro de firewall em roteadores da Série ACX (Junos OS Evolved)
- Condições de correspondência do filtro de firewall para tráfego independente de protocolo
- Condições de correspondência do filtro de firewall para tráfego IPv4
- Condições de correspondência do filtro de firewall para tráfego IPv6
- Condições de correspondência do filtro de firewall com base em números ou vulses de texto
- Condições de correspondência do filtro de firewall com base em valores de campo bit
- Condições de correspondência do filtro de firewall com base em campos de endereço
- Condições de correspondência do filtro de firewall com base em aulas de endereço
- Entendendo a filtragem baseada em IP e o espelhamento seletivo de portas do tráfego MPLS
- Condições de correspondência do filtro de firewall para tráfego MPLS
- Condições de correspondência do filtro de firewall para tráfego IPv4 ou IPv6 com tag MPLS
- Condições de correspondência do filtro de firewall para tráfego VPLS
- Condições de correspondência do filtro de firewall para tráfego CCC de Camada 2
- Condições de correspondência do filtro de firewall para tráfego de ponte de camada 2
- Suporte a filtros de firewall na interface de loopback
- play_arrow Aplicação de filtros de firewall ao tráfego de mecanismos de roteamento
- Configuração de unidades lógicas na interface de loopback para instâncias de roteamento em VPNs de camada 3
- Exemplo: Configuração de um filtro para limitar o acesso TCP a uma porta com base em uma lista de prefixo
- Exemplo: Configuração de um filtro de firewall sem estado para aceitar tráfego de fontes confiáveis
- Exemplo: Configure um filtro para bloquear o acesso à Telnet e SSH
- Exemplo: Configuração de um filtro para bloquear o acesso TFTP
- Exemplo: Configuração de um filtro para aceitar pacotes com base em bandeiras IPv6 TCP
- Exemplo: Configuração de um filtro para bloquear o acesso TCP a uma porta, exceto de peers BGP especificados
- Exemplo: Configuração de um filtro de firewall sem estado para proteger contra inundações de TCP e ICMP
- Exemplo: Protegendo o mecanismo de roteamento com um filtro de limitação de taxa de pacotes por segundo
- Exemplo: Configuração de um filtro para excluir o tráfego de controle DHCPv6 e ICMPv6 para assinantes LAC
- Requisitos de número de porta para filtros de firewall DHCP
- Exemplo: Configuração de um filtro de firewall DHCP para proteger o mecanismo de roteamento
- play_arrow Aplicação de filtros de firewall ao tráfego de trânsito
- Exemplo: Configuração de um filtro para uso como filtro de fila de entrada
- Exemplo: Configuração de um filtro para combinar em bandeiras IPv6
- Exemplo: Configuração de um filtro para combinar em campos de porta e protocolo
- Exemplo: Configuração de um filtro para contar pacotes aceitos e rejeitados
- Exemplo: Configuração de um filtro para contar e descartar pacotes de opções de IP
- Exemplo: Configuração de um filtro para contar pacotes de opções de IP
- Exemplo: Configuração de um filtro para contagem e amostra de pacotes aceitos
- Exemplo: Configurando um filtro para definir o DSCP Bit a zero
- Exemplo: Configurando um filtro para definir o DSCP Bit a zero
- Exemplo: Configuração de um filtro para combinar com dois critérios não relacionados
- Exemplo: Configuração de um filtro para aceitar pacotes DHCP com base no endereço
- Exemplo: Configurando um filtro para aceitar pacotes OSPF a partir de um prefixo
- Exemplo: Configuração de um filtro de firewall sem estado para lidar com fragmentos
- Configuração de um filtro de firewall para evitar ou permitir a fragmentação de pacotes IPv4
- Configurando um filtro de firewall para descartar pacotes IPv6 de entrada com um cabeçalho de extensão de mobilidade
- Exemplo: Configuração de um filtro de saída com base em endereços IP de origem ou destino IPv6
- Exemplo: Configuração de um filtro de limitação de taxa com base na classe de destino
- play_arrow Configuração de filtros de firewall em sistemas lógicos
- Filtros de firewall em visão geral dos sistemas lógicos
- Diretrizes para configurar e aplicar filtros de firewall em sistemas lógicos
- Referências de um filtro de firewall em um sistema lógico para objetos subordinados
- Referências de um filtro de firewall em um sistema lógico para objetos nonfirewall
- Referências de um objeto nonfirewall em um sistema lógico para um filtro de firewall
- Exemplo: Configuração do encaminhamento baseado em filtro
- Exemplo: Configuração do encaminhamento baseado em filtros em sistemas lógicos
- Exemplo: Configuração de um filtro de firewall sem estado para proteger um sistema lógico contra inundações de ICMP
- Exemplo: Configuração de um filtro de firewall sem estado para proteger um sistema lógico contra inundações de ICMP
- Declarações de filtro de firewall sem suporte para sistemas lógicos
- Ações sem suporte para filtros de firewall em sistemas lógicos
- Encaminhamento baseado em filtros para instâncias de roteamento
- Filtros de tabela de encaminhamento para instâncias de roteamento em roteadores da Série ACX
- Configuração de filtros de tabela de encaminhamento
- play_arrow Configuração de registro e contabilidade de filtro de firewall
- Visão geral da contabilidade dos filtros de firewall
- Visão geral do registro do sistema
- Registro de sistemas de eventos gerados para a instalação do firewall
- Ações de registro de filtro de firewall
- Exemplo: Configuração da coleta de estatísticas para um filtro de firewall
- Exemplo: Configuração de registro para um termo de filtro de firewall
- play_arrow Anexação de vários filtros de firewall a uma única interface
- Aplicação de filtros de firewall em interfaces
- Configuração de filtros de firewall
- Exemplo de classificador multicampo: Configuração da classificação multicampo
- Classificador multicampo para enfileiramento de entrada em roteadores da Série MX com MPC
- Atribuição de classificadores multicampo em filtros de firewall para especificar o comportamento de encaminhamento de pacotes (procedimento CLI)
- Entendendo vários filtros de firewall em uma configuração aninhada
- Diretrizes para referências de nesting a vários filtros de firewall
- Entendendo vários filtros de firewall aplicados como uma lista
- Diretrizes para a aplicação de vários filtros de firewall como lista
- Exemplo: Aplicando listas de vários filtros de firewall
- Exemplo: Referências de nesting a vários filtros de firewall
- Exemplo: Filtragem de pacotes recebidos em um conjunto de interface
- play_arrow Anexando um único filtro de firewall a várias interfaces
- Visão geral das instâncias de filtro de firewall específicas da interface
- Visão geral das instâncias de filtro de firewall específicas da interface
- Filtragem de pacotes recebidos em um conjunto de grupos de interface visão geral
- Filtragem de pacotes recebidos em uma visão geral do conjunto de interface
- Exemplo: Configuração de contadores de filtro de firewall específicos para interface
- Exemplo: Configuração de um filtro de firewall sem estado em um grupo de interface
- play_arrow Configuração de tunelamento baseado em filtro em redes IP
- Entendendo o tunelamento baseado em filtros em redes IPv4
- Tunelamento L2TP baseado em filtro de firewall em visão geral da IPv4 Networks
- Interfaces que oferecem suporte a tunelamento baseado em filtros em redes IPv4
- Componentes do tunelamento baseado em filtros em redes IPv4
- Exemplo: Transporte de tráfego IPv6 pelo IPv4 usando tunelamento baseado em filtro
- play_arrow Configuração de filtros de serviço
- Visão geral do filtro de serviço
- Como os filtros de serviço avaliam pacotes
- Diretrizes para configurar filtros de serviço
- Diretrizes para a aplicação de filtros de serviço
- Exemplo: Configuração e aplicação de filtros de serviço
- Condições de correspondência do filtro de serviço para tráfego IPv4 ou IPv6
- Ações sem gerenciamento do filtro de serviço
- Ações de terminação de filtro de serviço
- play_arrow Configuração de filtros simples
- play_arrow Configuração de filtros de firewall de camada 2
- Entendendo os filtros de firewall usados para controlar o tráfego em domínios de ponte e instâncias VPLS
- Exemplo: Configuração da filtragem de quadros por endereço MAC
- Exemplo: Configuração da filtragem de quadros por bits IEEE 802.1p
- Exemplo: Configuração da filtragem de quadros pela prioridade de perda de pacotes
- Exemplo: Configuração do policiamento e marcação do tráfego entrando em um núcleo VPLS
- Entendendo os filtros de firewall em interfaces gerenciadas por OVSDB
- Exemplo: Aplicando um filtro de firewall em interfaces gerenciadas por OVSDB
- play_arrow Configuração de filtros de firewall para encaminhamento, fragmentos e policiamento
- Visão geral de encaminhamento com base em filtros
- Filtros de firewall que lidam com a visão geral de pacotes fragmentados
- Filtros de firewall stateless que fazem referência à visão geral dos policiais
- Exemplo: Configuração do encaminhamento baseado em filtro no endereço de origem
- Exemplo: Configuração do encaminhamento baseado em filtro para uma interface de saída específica ou endereço IP de destino
- play_arrow Configuração de filtros de firewall (switches da Série EX)
- Visão geral dos filtros de firewall para switches da Série EX
- Entendendo o planejamento de filtros de firewall
- Entendendo as condições de correspondência do filtro de firewall
- Entenda como o firewall filtra fluxos de pacotes de controle
- Entendendo como os filtros de firewall são avaliados
- Entendendo os pontos de processamento de filtro de firewall para pacotes em pontes e roteados em switches da Série EX
- Firewall filtrar condições, ações e modificadores de ação para switches da Série EX
- Suporte de plataforma para condições de correspondência de filtro de firewall, ações e modificadores de ação em switches da Série EX
- Suporte para condições e ações de correspondência para filtros de firewall de loopback em switches
- Configuração de filtros de firewall (procedimento CLI)
- Entenda como os filtros de firewall testam o protocolo de um pacote
- Entendendo o encaminhamento baseado em filtros para switches da Série EX
- Exemplo: Configuração de filtros de firewall para tráfego de portas, VLAN e roteadores em switches da Série EX
- Exemplo: Configuração de um filtro de firewall em uma interface de gerenciamento em um switch da Série EX
- Exemplo: Usando o encaminhamento baseado em filtro para rotear o tráfego de aplicativos para um dispositivo de segurança
- Exemplo: Aplicação de filtros de firewall a vários suplicantes em interfaces habilitadas para autenticação 802.1X ou MAC RADIUS
- Verificando se os policiais estão operacionais
- Solução de problemas de filtros de firewall
- play_arrow Configuração de filtros de firewall (switches da Série QFX, switches EX4600, roteadores da Série PTX)
- Visão geral dos filtros de firewall (Série QFX)
- Entendendo o planejamento de filtros de firewall
- Planejando o número de filtros de firewall para criar
- Condições e ações de correspondência do filtro de firewall (switches da série QFX e EX)
- Condições e ações de correspondência do filtro de firewall (QFX10000 switches)
- Condições e ações de correspondência do filtro de firewall (roteadores da Série PTX)
- Diferenças de firewall e policiamento entre roteadores de transporte de pacotes da Série PTX e roteadores matrix da Série T
- Configuração de filtros de firewall
- Aplicação de filtros de firewall em interfaces
- Visão geral dos filtros de firewall MPLS na interface de loopback
- Configuração de filtros de firewall MPLS e policiais em switches
- Configuração de filtros de firewall MPLS e policiais em roteadores
- Configuração de filtros de firewall MPLS e policiais
- Entender como um filtro de firewall testa um protocolo
- Entendendo os pontos de processamento de filtro de firewall para pacotes roteados e em pontes
- Entendendo o encaminhamento baseado em filtros
- Exemplo: Usando o encaminhamento baseado em filtro para rotear o tráfego de aplicativos para um dispositivo de segurança
- Configuração de um filtro de firewall para des encapsular o tráfego GRE ou IPIP
- Verificando se os filtros de firewall estão operacionais
- Monitoramento do tráfego de filtro de firewall
- Resolução de problemas da configuração do filtro de firewall
- play_arrow Configuração da contabilidade e registro de filtros de firewall (switches EX9200)
-
- play_arrow Declarações de configuração e comandos operacionais
- play_arrow Solução de problemas
- play_arrow Base de conhecimento
-
Ações de contagem e policiamento específicas de prefixo
Visão geral de contagem e policiamento específicos de prefixo
- Contagem e policiamento separados para cada faixa de endereço IPv4
- Configuração de ação específica para prefixo
- Tamanho e indexação de conjuntos de contadores e policiais
Contagem e policiamento separados para cada faixa de endereço IPv4
A contagem e o policiamento específicos de prefixo permitem que você configure um termo de filtro de firewall IPv4 que corresponda a um endereço de origem ou destino, aplica um policiador de duas cores de taxa única como o termo ação, mas associa o pacote combinado com uma instância específica de contador e policiador com base na origem ou destino no cabeçalho do pacote. Você pode criar implicitamente um contador ou instância policial separada para um único endereço ou para um grupo de endereços.
A contagem e o policiamento específicos de prefixo usam uma configuração de ação específica para prefixo que especifica o nome do policiador que você deseja aplicar, se a contagem específica de prefixo deve ser habilitada e um intervalo de prefixo de endereço de origem ou destino.
A faixa de prefixo especifica entre 1 e 16 bits de conjunto sequencial de uma máscara de endereço IPv4. O comprimento da faixa de prefixo determina o tamanho do contador e do conjunto de policiais, que consiste em apenas 2 ou até 65.536 instâncias de contador e policial. A posição dos bits da faixa de prefixo determina a indexação de pacotes combinados com filtros no conjunto de instâncias.
Uma ação específica de prefixo é específica para uma faixa de prefixo de origem ou destino, mas não é específica para uma determinada faixa de endereço de origem ou destino, e não é específica para uma interface específica.
Para aplicar uma ação específica de prefixo ao tráfego em uma interface, você configura um termo de filtro de firewall que corresponde a endereços de origem ou destino e, em seguida, você aplica o filtro de firewall na interface. O fluxo de tráfego filtrado é limitado por taxa usando instâncias de contador e policiamento específicas de prefixo que são selecionadas por pacote com base na origem ou endereço de destino no cabeçalho do pacote filtrado.
Configuração de ação específica para prefixo
Para configurar uma ação específica de prefixo, você especifica as seguintes informações:
Nome de ação específico para prefixo — Nome que pode ser mencionado como ação de um termo de filtro de firewall padrão IPv4 que corresponde a pacotes em endereços de origem ou destino.
Nome do policiador — Nome de um policiador de duas cores de taxa única para o qual você deseja criar implicitamente instâncias específicas de prefixo.
Nota:Para interfaces Ethernet agregadas, você pode configurar uma ação específica de prefixo que faz referência a um policiador de interface lógica (também chamado de policiador agregado). Você pode fazer referência a esse tipo de ação específica de prefixo a partir de um filtro de firewall padrão IPv4 e, em seguida, aplicar o filtro no nível agregado da interface.
Opção de contagem — opção de incluir se você quiser ativar contadores específicos de prefixo.
Opção específica para o filtro — opção de incluir se você quiser que um único contador e um policial sejam compartilhados em todos os termos no filtro de firewall. Diz-se que uma ação específica de prefixo que opera dessa forma opera no modo específico do filtro. Se você não habilitar essa opção, a ação específica de prefixo opera no modo específico do termo , o que significa que um contador separado e um conjunto de policiadores são criados para cada termo de filtro que faz referência à ação específica de prefixo.
Comprimento do prefixo do endereço de origem — comprimento do prefixo do endereço, de 0 a 32, para ser usado com um pacote combinado no endereço de origem.
Comprimento do prefixo do endereço de destino — comprimento do prefixo do endereço, de 0 a 32, a ser usado com um pacote combinado no endereço de destino.
Comprimento do prefixo de sub-rede — comprimento do prefixo da sub-rede, de 0 a 32, para ser usado com um pacote combinado no endereço de origem ou destino.
Você deve configurar comprimentos de prefixo de endereço de origem e destino a serem de 1 a 16 bits mais longos do que o comprimento do prefixo da sub-rede. Se você configurar comprimentos de prefixo de endereço de origem ou destino a mais de 16 bits além do comprimento de prefixo de sub-rede configurado, ocorre um erro ao tentar confirmar a configuração.
Tamanho e indexação de conjuntos de contadores e policiais
O número de ações específicas de prefixo (contadores ou policiais) criadas implicitamente para uma ação específica de prefixo é determinada pela duração do prefixo do endereço e pelo comprimento do prefixo da sub-rede:
Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)
Tabela 1 mostra exemplos de contador e policiador definir tamanho e indexação.
Comprimentos de prefixo de exemplo especificados na ação específica para prefixo | Cálculo do contador ou tamanho do conjunto do policial | Indexação de instâncias | |
|---|---|---|---|
source-prefix-length = 32 subnet-prefix-length = 16 | Size = 2^(32 - 16) = 2^16 = 65,536 instances Nota: Este cálculo mostra o maior contador ou tamanho do conjunto de policiais suportado. | Instância 0: | x.x.0.0 |
Instância 1: | x.x. 0.1 | ||
Instância 65535: | x.x.255.255 | ||
source-prefix-length = 32 subnet-prefix-length = 24 | Size = 2^(32 - 24) = 2^8 = 256 instances | Instância 0: | x.x.x. 0 |
Instância 1: | x.x.x. 1 | ||
Instância 255: | x.x.x. 255 | ||
source-prefix-length = 32 subnet-prefix-length = 25 | Size = 2^(32 - 25) = 2^7 = 128 instances | Instância 0: | x.x.x. 0 |
Instância 1: | x.x.x. 1 | ||
Instância 127: | x.x.x. 127 | ||
source-prefix-length = 24 subnet-prefix-length = 20 | Size = 2^(24 - 20) = 2^4 = 16 instances | Instância 0: | x.x. 0.x |
Instância 1: | x.x. 1.x | ||
Instância 15: | x.x. 15.x | ||
Consulte também
Visão geral do contador e do policiamento específico do filtro
Por padrão, um conjunto de policiamento específico para prefixo opera em modo específico de prazo para que, para um determinado filtro de firewall, o Junos OS crie um contador e um conjunto de policiamento separados para cada termo de filtro que faz referência à ação específica do prefixo. Como opção, você pode configurar um conjunto de policiamento específico para prefixo para operar no modo específico do filtro para que um único conjunto de policiamento específico de prefixo seja usado por todos os termos (dentro do mesmo filtro de firewall) que fazem referência ao policiador.
Para um filtro de firewall IPv4 com vários termos que fazem referência ao mesmo conjunto de policiamento específico para prefixo, a configuração do conjunto de policiais para operar no modo específico do filtro permite que você conte e monitore a atividade do policiador no nível do filtro de firewall.
O modo específico de termo e o modo específico do filtro também se aplicam aos policiais. Veja Visão geral de um policial específico para filtros.
Para permitir que um conjunto de policiais específico para prefixo opere no modo específico do filtro, você pode incluir a filter-specific declaração nos seguintes níveis de hierarquia:
[edit firewall family inet prefix-action prefix-action-name][edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]
Você pode fazer referência a conjuntos de policiais específicos para o filtro e específicos de prefixo somente a partir de filtros de firewall IPv4 (family inet).
Consulte também
Visão geral de um policial específico para filtros
Por padrão, um policial opera em modo específico para que, para um determinado filtro de firewall, o Junos OS crie uma instância policial separada para cada termo de filtro que faz referência ao policiador. Como opção, você pode configurar um policial para operar no modo específico do filtro para que uma única instância policial seja usada por todos os termos (dentro do mesmo filtro de firewall) que fazem referência ao policial.
Para um filtro de firewall IPv4 com vários termos que fazem referência ao mesmo policiador, configurar o policial para operar no modo específico do filtro permite que você conte e monitore a atividade do policiador no nível do filtro de firewall.
O modo específico de termo e o modo específico do filtro também se aplicam a conjuntos de policiais específicos para prefixo.
Para permitir que um policial de duas cores de taxa única opere no modo específico do filtro, você pode incluir a filter-specific declaração nos seguintes níveis de hierarquia:
[edit firewall policer policer-name][edit logical-systems logical-system-name firewall policer policer-name]
Você pode fazer referência a policiadores específicos do filtro somente com filtros de firewall IPv4 (family inet).
Exemplo: Configuração de contagem e policiamento específicos de prefixo
Este exemplo mostra como configurar a contagem e o policiamento específicos de prefixo.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
Neste exemplo, você configura a contagem e o policiamento específicos de prefixo com base no último octeto do campo de endereço de origem em pacotes compatíveis com um filtro de firewall IPv4.
O policial de duas cores de taxa única nomeado limita 1Mbps-policer o tráfego a uma largura de banda de 1.000.000 bps e um limite de tamanho estourado de 63.000 bytes, descartando quaisquer pacotes em um fluxo de tráfego que exceda os limites de tráfego.
Independentemente dos endereços IPv4 contidos em quaisquer pacotes passados de um filtro de firewall, a ação específica de prefixo nomeada psa-1Mbps-per-source-24-32-256 especifica um conjunto de 256 contadores e policiais, numerados de 0 a 255. Para cada pacote, o último octeto do campo de endereço de origem é usado para indexar o contador e o policiador específicos para prefixos associados no conjunto:
Pacotes com endereço de origem terminando com o índice de octet 0x0000 00000 o primeiro contador e policiador no set.
Pacotes com endereço de origem terminando com o índice de octeto 0x0000 0001 o segundo contador e policiador no set.
Pacotes com um endereço de origem terminando com o índice de octeto 0x1111 1111 o último contador e policiador no set.
O limit-source-one-24 filtro de firewall contém um único termo que corresponde a /24 todos os pacotes da sub-rede do endereço 10.10.10.0fonte, passando esses pacotes para a ação psa-1Mbps-per-source-24-32-256específica do prefixo.
Topologia
Neste exemplo, como o termo filtro corresponde à /24 sub-rede de um único endereço de origem, cada instância de contagem e policiamento no conjunto específico do prefixo é usada para apenas um endereço de origem.
Pacotes com um índice de endereço
10.10.10.0de origem o primeiro contador e policiador no conjunto.Pacotes com um índice de endereço
10.10.10.1de origem o segundo contador e policiador no conjunto.Pacotes com um índice de endereço
10.10.10.255de origem o último contador e policiador no conjunto.
Este exemplo mostra o caso mais simples de ações específicas de prefixo, em que o termo filtro combina em um endereço com um comprimento de prefixo que é o mesmo que o comprimento do prefixo especificado na ação específica de prefixo para indexação no conjunto de contadores e policiais específicos para prefixo.
Para obter descrições de outras configurações para contagem e policiamento específicos de prefixo, veja Cenários de configuração de contagem e policiamento específicos de prefixo.
Configuração
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, veja Use o editor de CLI no modo de configuração.
Para configurar este exemplo, execute as seguintes tarefas:
- Configuração rápida da CLI
- Configuração de um policiador para contagem e policiamento específicos de prefixo
- Configurando uma ação específica de prefixo com base no policiador
- Configuração de um filtro IPv4 que faz referência à ação específica do prefixo
- Aplicando o filtro de firewall ao tráfego de entrada IPv4 em uma interface lógica
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos de configuração em um arquivo de texto, remova qualquer quebra de linha e cole os comandos na CLI no nível de [edit] hierarquia.
set firewall policer 1Mbps-policer if-exceeding bandwidth-limit 1m set firewall policer 1Mbps-policer if-exceeding burst-size-limit 63k set firewall policer 1Mbps-policer then discard set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 policer 1Mbps-policer set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 count set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 subnet-prefix-length 24 set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 source-prefix-length 32 set firewall family inet filter limit-source-one-24 term one from source-address 10.10.10.0/24 set firewall family inet filter limit-source-one-24 term one then prefix-action psa-1Mbps-per-source-24-32-256 set interfaces so-0/0/2 unit 0 family inet filter input limit-source-one-24 set interfaces so-0/0/2 unit 0 family inet address 10.39.1.1/16
Configuração de um policiador para contagem e policiamento específicos de prefixo
Procedimento passo a passo
Para configurar um policial a ser usado para contagem e policiamento específicos de prefixo:
Habilite a configuração de um policiador de duas cores de taxa única.
content_copy zoom_out_map[edit] user@host# edit firewall policer 1Mbps-policer
Definir o limite de tráfego.
content_copy zoom_out_map[edit firewall policer 1Mbps-policer] user@host# set if-exceeding bandwidth-limit 1m user@host# set if-exceeding burst-size-limit 63k
Os pacotes em um fluxo de tráfego que esteja em conformidade com este limite são aprovados com o plp definido para
low.Definir as ações para tráfego sem conformidade.
content_copy zoom_out_map[edit firewall policer 1Mbps-policer] user@host# set then discard
Os pacotes em um fluxo de tráfego que excede esse limite são descartados. Outras ações configuráveis para um policiador de duas cores de taxa única são definir a classe de encaminhamento e definir o nível de PLP.
Resultados
Confirme a configuração do policiador inserindo o comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
Configurando uma ação específica de prefixo com base no policiador
Procedimento passo a passo
Para configurar uma ação específica de prefixo que faz referência ao policiador e especifica uma parte de um prefixo de endereço de origem:
Habilite a configuração de uma ação específica de prefixo.
content_copy zoom_out_map[edit] user@host# edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256
A contagem e o policiamento específicos de prefixo podem ser definidos apenas para tráfego IPv4.
Faça referência ao policiador para o qual um conjunto específico de prefixo deve ser criado.
content_copy zoom_out_map[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set policer 1Mbps-policer user@host# set count
Nota:Para interfaces Ethernet agregadas, você pode configurar uma ação específica de prefixo que faz referência a um policiador de interface lógica (também chamado de policiador agregado). Você pode fazer referência a esse tipo de ação específica de prefixo a partir de um filtro de firewall padrão IPv4 e, em seguida, aplicar o filtro no nível agregado da interface.
Especifique o intervalo de prefixo em que os endereços IPv4 devem ser indexados ao balcão e ao conjunto de policiais.
content_copy zoom_out_map[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set source-prefix-length 32 user@host# set subnet-prefix-length 24
Resultados
Confirme a configuração da ação específica do prefixo entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
}
Configuração de um filtro IPv4 que faz referência à ação específica do prefixo
Procedimento passo a passo
Para configurar um filtro de firewall padrão IPv4 que faz referência à ação específica do prefixo:
Habilite a configuração do filtro de firewall padrão IPv4.
content_copy zoom_out_map[edit] user@host# edit firewall family inet filter limit-source-one-24
A contagem e o policiamento específicos de prefixo podem ser definidos apenas para tráfego IPv4.
Configure o termo filtro para combinar no endereço de origem do pacote ou endereço de destino.
content_copy zoom_out_map[edit firewall family inet filter limit-source-one-24] user@host# set term one from source-address 10.10.10.0/24
Configure o termo filtro para fazer referência à ação específica do prefixo.
content_copy zoom_out_map[edit firewall family inet filter limit-source-one-24] user@host# set term one then prefix-action psa-1Mbps-per-source-24-32-256
Você também pode usar a ação para configurar todo o
next termtráfego do Hypertext Transfer Protocol (HTTP) para cada host para transmitir a 500 Kbps e ter o tráfego HTTP total limitado a 1 Mbps.
Resultados
Confirme a configuração da ação específica do prefixo entrando no comando do show firewall modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
Aplicando o filtro de firewall ao tráfego de entrada IPv4 em uma interface lógica
Procedimento passo a passo
Para aplicar o filtro de firewall ao tráfego de entrada IPv4 em uma interface lógica:
Habilite a configuração do IPv4 na interface lógica.
content_copy zoom_out_map[edit] user@host# edit interfaces so-0/0/2 unit 0 family inet
Configure um endereço IP.
content_copy zoom_out_map[edit interfaces so-0/0/2 unit 0 family inet] user@host# set address 10.39.1.1/16
Aplique o filtro de firewall sem estado padrão IPv4.
content_copy zoom_out_map[edit interfaces so-0/0/2 unit 0 family inet] user@host# set filter input limit-source-one-24
Resultados
Confirme a configuração da ação específica do prefixo entrando no comando do show interfaces modo de configuração. Se a saída de comando não exibir a configuração pretendida, repita as instruções neste procedimento para corrigir a configuração.
[edit]
user@host# show interfaces
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
Se você terminar de configurar o dispositivo, entre no commit modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Exibição dos filtros de firewall aplicados a uma interface
- Exibindo estatísticas de ações específicas de prefixo para o filtro de firewall
Exibição dos filtros de firewall aplicados a uma interface
Propósito
Verifique se o filtro limit-source-one-24 de firewall é aplicado ao tráfego de entrada IPv4 na interface so-0/0/2.0lógica.
Ação
Use o comando de show interfaces statistics modo operacional para interface so-0/0/2.0lógica e inclua a opção detail . Na seção de saída de comando para Protocol inet, os Input Filters monitores limit-source-one-24de campo, indicando que o filtro é aplicado ao tráfego IPv4 na direção de entrada:
user@host> show interfaces statistics so-0/0/2.0 detail
Logical interface so-0/0/2.0 (Index 79) (SNMP ifIndex 510) (Generation 149)
Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP
Protocol inet, MTU: 4470, Generation: 173, Route table: 0
Flags: Sendbcast-pkt-to-re, Protocol-Down
Input Filters: limit-source-one-24
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
Exibindo estatísticas de ações específicas de prefixo para o filtro de firewall
Propósito
Verifique o número de pacotes avaliados pelo policial.
Ação
Use o comando do show firewall prefix-action-stats filter filter-name prefix-action name modo operacional para exibir estatísticas sobre uma ação específica de prefixo configurada em um filtro de firewall.
Como opção, você pode usar a opção from set-index to set-index de comando para especificar o contador de partida e final ou o policial a ser exibido. Um conjunto de policiais é indexado de 0 a 65535.
A saída de comando exibe o nome do filtro especificado seguido de uma listagem do número de bytes e pacotes processados por cada policiador no conjunto do policiador.
Para um policial específico, cada policial no conjunto é identificado da seguinte forma:
prefix-specific-action-name-term-name-set-index
Para um policial específico do filtro, cada policial é identificado na saída de comando da seguinte forma:
prefix-specific-action-name-set-index
Como o exemplo de ação psa-1Mbps-per-source-24-32-256 específica do prefixo é referenciado por apenas um termo do filtro limit-source-one-24de exemplo, o policiador 1Mbps-policer exemplo é configurado como específico do termo. Na saída de show firewall prefix-action-stats comando, as estatísticas do policiador são exibidas como psa-1Mbps-per-source-24-32-256-one-0, psa-1Mbps-per-source-24-32-256-one-1e assim por diante psa-1Mbps-per-source-24-32-256-one-255.
user@host> show firewall prefix-action-stats filter limit-source-one-24 prefix-action psa-1Mbps-per-source-24-32-256 from 0 to 9 Filter: limit-source-one-24 Counters: Name Bytes Packets psa-1Mbps-per-source-24-32-256-one-0 0 0 psa-1Mbps-per-source-24-32-256-one-1 0 0 psa-1Mbps-per-source-24-32-256-one-2 0 0 psa-1Mbps-per-source-24-32-256-one-3 0 0 psa-1Mbps-per-source-24-32-256-one-4 0 0 psa-1Mbps-per-source-24-32-256-one-5 0 0 psa-1Mbps-per-source-24-32-256-one-6 0 0 psa-1Mbps-per-source-24-32-256-one-7 0 0 psa-1Mbps-per-source-24-32-256-one-8 0 0 psa-1Mbps-per-source-24-32-256-one-9 0 0
Cenários de configuração de contagem e policiamento específicos de prefixo
- Comprimento de prefixo da ação e comprimento de prefixo dos endereços em pacotes filtrados
- Cenário 1: Termo do filtro de firewall corresponde a vários endereços
- Cenário 2: O prefixo de sub-rede é mais longo que o prefixo na condição de correspondência do filtro
- Cenário 3: Sub-redeO 128º contador e prefixo do policiador é mais curto que o prefixo na condição de correspondência do filtro de firewall
Comprimento de prefixo da ação e comprimento de prefixo dos endereços em pacotes filtrados
Tabela 2 descreve a relação entre o comprimento do prefixo especificado na ação específica do prefixo e o comprimento do prefixo dos endereços combinado com o termo do filtro de firewall que faz referência à ação específica do prefixo.
Conjunto de contadores e policiais | Critérios de filtragem de pacotes | Indexação de instâncias | ||
|---|---|---|---|---|
Cenário de ação específico para prefixo: Exemplo: Configuração de contagem e policiamento específicos de prefixo | ||||
source-prefix-length = 32 subnet-prefix-length = 24 Definir tamanho: 2^8 = 256Números de instâncias: 0 - 255 | source-address = 10.10.10.0/24 | Instância 0 | 10.10.10.0 | |
Instância 1: | 10.10.10.1 | |||
|
| |||
Instância 255: | 10.10.10.255 | |||
Cenário de ação específico para prefixo: Cenário 1: Termo do filtro de firewall corresponde a vários endereços | ||||
source-prefix-length = 32 subnet-prefix-length = 24 Definir tamanho: 2^8 = 256Números de instâncias: 0 - 255 | source-address = 10.10.10.0/24 source-address = 10.11.0.0/16 | Instância 0 | 10.10.10.0,10.11.0x | |
Instância 1: | 10.10.10.1,10.11.x.1 | |||
|
| |||
Instância 255: | 10.10.10.255,10.11.x.255 | |||
Para endereços na sub-rede /16, x varia de 0 a 255. | ||||
Cenário de ação específico para prefixo: Cenário 2: O prefixo de sub-rede é mais longo que o prefixo na condição de correspondência do filtro | ||||
source-prefix-length = 32 subnet-prefix-length = 25 Definir tamanho: 2^7 = 128Números de instâncias: 0 - 127 | source-address = 10.10.10.0/24 | Instância 0 | 10.10.10.0,10.10.10.128 | |
Instância 1: | 10.10.10.1,10.10.10.120 | |||
|
| |||
Instância 127: | 10.10.10.255,10.10.10.127 | |||
Cenário de ação específico para prefixo: Cenário 3: Sub-redeO 128º contador e prefixo do policiador é mais curto que o prefixo na condição de correspondência do filtro de firewall | ||||
source-prefix-length = 32 subnet-prefix-length = 24 Definir tamanho: 2^8 = 256Números de instâncias: 0 - 255 | source-address = 10.10.10.0/25 Nota: Apenas pacotes com endereços de origem que vão de | Instância 0 | 10.10.10.0 | |
Instância 1: | 10.10.10.1 | |||
|
| |||
Instância 127: | 10.10.10.127 | |||
Instâncias 128 – 255: Utilizadas | ||||
Cenário 1: Termo do filtro de firewall corresponde a vários endereços
O exemplo completo, Exemplo: Configuração de contagem e policiamento específicos de prefixomostra o caso mais simples de ações específicas de prefixo, em que um filtro de firewall de um único termo é combinado em um endereço com um comprimento de prefixo que é o mesmo que o comprimento de prefixo de sub-rede especificado na ação específica do prefixo. Ao contrário do exemplo, este cenário descreve uma configuração na qual um filtro de firewall de um único termo corresponde a dois endereços de origem IPv4. Além disso, a condição adicional corresponde a um endereço de origem com um comprimento de prefixo diferente do comprimento de prefixo de sub-rede definido na ação específica do prefixo. Neste caso, a condição adicional corresponde à /16 sub-rede do endereço 10.11.0.0fonte.
Ao contrário dos pacotes que combinam com o endereço 10.10.10.0/24de origem, os pacotes que correspondem ao endereço 10.11.0.0/16 de origem estão em uma correspondência de muitos para um com as instâncias no balcão e no conjunto de policiais.
Os pacotes combinados com filtros que são passados para o índice de ação específico de prefixo no balcão e ao policiador definem de tal forma que as instâncias de contagem e policiamento são compartilhadas por pacotes que contêm endereços de origem em todo o balcão e 10.11.0.0/16 sub-redes da 10.10.10.0/24 seguinte forma:
O primeiro contador e o policiador no conjunto são indexados por pacotes com endereços
10.10.10.0de origem e10.11.x.0, onde x variam de0até255.O segundo contador e o policiador no conjunto são indexados por pacotes com endereços
10.10.10.1de origem e10.11.x.1, onde x variam de0até255.O 256º (último) contador e policiador no conjunto são indexados por pacotes com endereços
10.10.10.255de origem e10.11.x.255, onde x varia de0até255.
A configuração a seguir mostra as declarações para configurar o policiador de duas cores de taxa única, a ação específica de prefixo que faz referência ao policiador e o filtro de firewall sem estado padrão IPv4 que faz referência à ação específica do prefixo:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-two-24-16 {
term one {
from {
source-address {
10.10.10.0/24;
10.11.0.0/16;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-two-24-16;
}
address 10.39.1.1/16;
}
}
}
}
Cenário 2: O prefixo de sub-rede é mais longo que o prefixo na condição de correspondência do filtro
O exemplo completo mostra Exemplo: Configuração de contagem e policiamento específicos de prefixoo caso mais simples de ações específicas de prefixo, em que o filtro de firewall de prazo único é combinado em um endereço com um comprimento de prefixo que é o mesmo que o comprimento de prefixo de sub-rede especificado na ação específica do prefixo. Ao contrário do exemplo, este cenário descreve uma configuração na qual a ação específica do prefixo define um comprimento de prefixo de sub-rede que é mais longo do que o prefixo do endereço de origem combinado com o filtro de firewall. Neste caso, a ação específica do prefixo define um valor de prefixo de sub-rede, enquanto o filtro de 25firewall é igual a um endereço de origem na /24 sub-rede.
O filtro de firewall passa os pacotes de ação específicos do prefixo com endereços de origem que variam de 10.10.10.0 até 10.10.10.255, enquanto a ação específica do prefixo especifica um conjunto de apenas 128 contadores e policiais, numerados de 0 a 127.
Os pacotes combinados com filtros que são passados para o índice de ação específico de prefixo no balcão e no policiamento definem de tal forma que as instâncias de contagem e policiamento são compartilhadas por pacotes que contêm qualquer um dos dois endereços de origem dentro da 10.10.10.0/24 sub-rede:
O primeiro contador e o policiador no conjunto são indexados por pacotes com endereços
10.10.10.0de origem e10.10.10.128.O segundo contador e o policiador no conjunto são indexados por pacotes com endereços
10.10.10.1de origem e10.10.10.129.O 128º (último) contador e policial no conjunto são indexados por pacotes com endereços
10.10.10.127de origem e10.10.10.255.
A configuração a seguir mostra as declarações para configurar o policiador de duas cores de taxa única, a ação específica de prefixo que faz referência ao policiador e o filtro de firewall sem estado padrão IPv4 que faz referência à ação específica do prefixo:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-25-32-128 {
policer 1Mbps-policer;
subnet-prefix-length 25;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-25-32-128;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
}
Cenário 3: Sub-redeO 128º contador e prefixo do policiador é mais curto que o prefixo na condição de correspondência do filtro de firewall
O exemplo completo mostra Exemplo: Configuração de contagem e policiamento específicos de prefixoo caso mais simples de ações específicas de prefixo, em que o filtro de firewall de prazo único é combinado em um endereço com um comprimento de prefixo que é o mesmo que o comprimento de prefixo de sub-rede especificado na ação específica do prefixo. Ao contrário do exemplo, este cenário descreve uma configuração na qual a ação específica do prefixo define um comprimento de prefixo de sub-rede que é mais curto que o prefixo do endereço de origem combinado com o filtro de firewall. Neste caso, o termo filtro corresponde à /25 sub-rede do endereço 10.10.10.0de origem.
O filtro de firewall passa os pacotes de ação específicos do prefixo apenas com endereços de origem que variam de 10.10.10.0 até 10.10.10.127, enquanto a ação específica do prefixo especifica um conjunto de 256 contadores e policiais, numerados de 0 a 255.
Os pacotes combinados que são passados para o índice de ação específico de prefixo na metade inferior do balcão e conjunto de policiais apenas:
O primeiro contador e o policiador no conjunto são indexados por pacotes com endereço
10.10.10.0fonte.O segundo contador e o policiador no conjunto são indexados por pacotes com endereço
10.10.10.1fonte e10.10.10.129.O 128º contador e o policial no conjunto são indexados por pacotes com endereço
10.10.10.127fonte.A metade superior do conjunto (instâncias numeradas de 128 a 255) não são indexadas por pacotes passados para a ação específica de prefixo a partir deste filtro de firewall específico.
A configuração a seguir mostra as declarações para configurar o policiador de duas cores de taxa única, a ação específica de prefixo que faz referência ao policiador e o filtro de firewall sem estado padrão IPv4 que faz referência à ação específica do prefixo:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-25 {
term one {
from {
source-address {
10.10.10.0/25;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-25;
}
address 10.39.1.1/16;
}
}
}
}
