プレフィックス固有のカウントおよびポリシングアクション
プレフィックス固有のカウントとポリシングの概要
IPv4 アドレス範囲ごとに個別のカウントとポリシング
プレフィックス固有のカウントとポリシングにより、送信元または宛先アドレスに一致する IPv4 ファイアウォール フィルター 条件を設定し、条件アクションとしてシングルレート 2 カラー ポリサーを適用しますが、パケットヘッダー内の送信元または宛先に基づいて、一致したパケットを特定のカウンターおよびポリサーインスタンスに関連付けることができます。単一のアドレスまたはアドレスのグループに対して、個別のカウンターまたはポリサーインスタンスを暗黙的に作成できます。
プレフィックス固有のカウントおよびポリシングでは、適用するポリサーの名前、プレフィックス固有のカウントを有効にするかどうか、送信元アドレスまたは宛先アドレスのプレフィックス範囲を指定する プレフィックス固有の アクション 設定を使用します。
プレフィックス範囲は、IPv4 アドレス マスクの 1 から 16 の順次セット ビットを指定します。プレフィックス範囲の長さによって、カウンターとポリサー セットのサイズが決まります。このセットは、わずか 2 個から最大 65,536 個のカウンター インスタンスとポリサー インスタンスで構成されます。プレフィックス範囲のビットの位置によって、フィルターマッチしたパケットのインスタンスセットへのインデックス付けが決まります。
プレフィックス固有のアクションは、送信元または宛先 のプレフィックス 範囲に固有ですが 、特定の送信元 または宛先アドレス 範囲に固有ではなく、特定のインターフェイスに も固有ではありません。
インターフェイスのトラフィックにプレフィックス固有のアクションを適用するには、送信元アドレスまたは宛先アドレスで一致するファイアウォールフィルター条件を設定し、そのファイアウォールフィルターをインターフェイスに適用します。フィルタリングされたトラフィックのフローは、フィルタリングされたパケットのヘッダー内の送信元アドレスまたは宛先アドレスに基づいてパケットごとに選択されるプレフィックス固有のカウンターおよびポリサーインスタンスを使用してレート制限されます。
プレフィックス固有のアクション設定
プレフィックス固有のアクションを設定するには、以下の情報を指定します。
プレフィックス固有アクション名—送信元または宛先アドレス上のパケットに一致するIPv4標準ファイアウォールフィルター条件のアクションとして参照できる名前。
ポリサー名—プレフィックス固有のインスタンスを暗黙的に作成したいシングルレート2カラーポリサーの名前。
注:集合型イーサネットインターフェイスでは、論理インターフェイスポリサー(集合型ポリサーとも呼ばれる)を参照するプレフィックス固有のアクションを設定できます。IPv4標準ファイアウォールフィルターからこのタイプのプレフィックス固有のアクションを参照し、インターフェイスの集約レベルでフィルターを適用できます。
カウント オプション:プレフィックス固有のカウンターを有効にする場合に含めるオプション。
フィルター固有オプション - 単一のカウンターとポリサー セットをファイアウォール フィルター内のすべての条件で共有する場合に含めるオプション。このように動作するプレフィックス固有のアクションは、 フィルター固有 モードで動作すると言います。このオプションを有効にし ない場合、プレフィックス固有アクションは 用語固有 モードで動作し、プレフィックス固有のアクションを参照するフィルター用語ごとに個別のカウンターとポリサーセットが作成されます。
送信元アドレスプレフィックス長—送信元アドレスに一致するパケットに使用する、0〜32のアドレスプレフィックスの長さ。
宛先アドレスプレフィックス長—宛先アドレスに一致するパケットで使用される、0〜32のアドレスプレフィックスの長さ。
サブネットプレフィックス長—送信元アドレスまたは宛先アドレスのいずれかで一致するパケットに使用するサブネットプレフィックスの長さ(0〜32)。
送信元アドレスと宛先アドレスのプレフィックス長は、サブネットのプレフィックス長より 1 から 16 ビット長く設定する必要があります。送信元または宛先アドレスのプレフィックス長が、設定したサブネット プレフィックス長より 16 ビットを超えるように設定した場合、設定をコミットしようとするとエラーが発生します。
カウンターとポリサーのセットサイズとインデックス
プレフィックス固有アクションに対して暗黙的に作成されるプレフィックス固有アクション(カウンターまたはポリサー)の数は、アドレスプレフィックスの長さとサブネットプレフィックスの長さによって決まります。
Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)
表 1 に、カウンターとポリサーのセットサイズとインデックス作成の例を示します。
プレフィックス固有のアクションで指定されたプレフィックス長の例 |
カウンターまたはポリサー セット サイズの計算 |
インスタンスのインデックス作成 |
|
|---|---|---|---|
source-prefix-length = 32 subnet-prefix-length = 16 |
Size = 2^(32 - 16) = 2^16 = 65,536 instances 注:
この計算は、サポートされている最大のカウンターまたはポリサー セット サイズを示しています。 |
インスタンス 0: |
x.x.0.0 |
インスタンス 1: |
x.x.0.1 |
||
インスタンス 65535: |
x.x.255.255 |
||
source-prefix-length = 32 subnet-prefix-length = 24 |
Size = 2^(32 - 24) = 2^8 = 256 instances |
インスタンス 0: |
x.x.x.0 |
インスタンス 1: |
x.x.x.1 |
||
インスタンス 255: |
x.x.x.255 |
||
source-prefix-length = 32 subnet-prefix-length = 25 |
Size = 2^(32 - 25) = 2^7 = 128 instances |
インスタンス 0: |
x.x.x.0 |
インスタンス 1: |
x.x.x.1 |
||
インスタンス 127: |
x.x.x.127 |
||
source-prefix-length = 24 subnet-prefix-length = 20 |
Size = 2^(24 - 20) = 2^4 = 16 instances |
インスタンス 0: |
x.x.0.x |
インスタンス 1: |
x.x.1.x |
||
インスタンス 15: |
x.x.15.x |
||
関連項目
フィルター固有のカウンターとポリサー セットの概要
デフォルトでは、プレフィックス固有ポリサー セットは 条件固有 モードで動作するため、Junos OS は、特定の ファイアウォール フィルターに対して、プレフィックス固有のアクションを参照するフィルター条件ごとに個別のカウンターとポリサー セットを作成します。オプションとして、プレフィックス固有ポリサーセットを フィルター固有 モードで動作するように 設定し、単一のプレフィックス固有ポリサーセットが、ポリサーを参照するすべての用語(同じファイアウォールフィルター内)で使用されるようにすることができます。
同じプレフィックス固有のポリサーセットを参照する複数の用語を持つIPv4ファイアウォールフィルターの場合、フィルター固有のモードで動作するようにポリサーセットを構成することで、ファイアウォールフィルターレベルでポリサーセットのアクティビティをカウントおよび監視できます。
条件固有モードとフィルター固有モードもポリサーに適用されます。「フィルター固有のポリサーの概要」を参照してください。
プレフィックス固有のポリサー セットをフィルター固有のモードで動作できるようにするには、以下の階層レベルで filter-specific ステートメントを含めます。
[edit firewall family inet prefix-action prefix-action-name][edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]
IPv4(family inet)ファイアウォールフィルターからのみ、フィルター固有のプレフィックス固有のポリサーセットを参照できます。
関連項目
フィルター固有のポリサーの概要
デフォルトでは、ポリサーは 用語固有の モードで動作するため、Junos OSは、特定の ファイアウォールフィルターに対して、ポリサーを参照するフィルター用語ごとに個別のポリサーインスタンスを作成します。オプションとして、ポリサーを フィルター固有 モードで動作するように設定し、単一のポリサー インスタンスが、ポリサーを参照するすべての用語(同じファイアウォール フィルター内)で使用されるようにすることができます。
同じポリサーを参照する複数の用語を持つ IPv4 ファイアウォール フィルターの場合、フィルター固有のモードで動作するようにポリサーを構成すると、ファイアウォール フィルター レベルでポリサーのアクティビティをカウントおよび監視できます。
条件固有モードとフィルター固有モードは、プレフィックス固有のポリサーセットにも適用されます。
シングルレート 2 カラー ポリサーをフィルター固有モードで動作できるようにするには、以下の階層レベルで filter-specific ステートメントを含めます。
[edit firewall policer policer-name][edit logical-systems logical-system-name firewall policer policer-name]
フィルター固有のポリサーは、IPv4(family inet)ファイアウォールフィルターからのみ参照できます。
例:プレフィックス固有のカウントおよびポリシングの設定
この例では、プレフィックス固有のカウントとポリシングを設定する方法を示しています。
要件
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、IPv4 ファイアウォール フィルターに一致するパケットの送信元アドレス フィールドの最後のオクテットに基づいて、プレフィックス固有のカウントとポリシングを設定します。
1Mbps-policer という名前のシングルレート 2 カラー ポリサーは、トラフィックを 1,000,000 bps の帯域幅と 63,000 バイトのバーストサイズ制限に制限 し、トラフィック制限を超えるトラフィック フロー内のパケットを廃棄します。
ファイアウォールフィルターから渡されたパケットに含まれるIPv4アドレスとは無関係に、 psa-1Mbps-per-source-24-32-256 という名前のプレフィックス固有のアクションは、0から255までの番号が付けられた256の カウンターとポリサーのセットを指定します。各パケットについて、送信元アドレスフィールドの最後のオクテットを使用して、セット内の関連するプレフィックス固有のカウンターとポリサーにインデックスを付けます。
送信元アドレスがオクテットで終わるパケットは 0x0000 00000 セット内の最初のカウンターとポリサーのインデックスを作成します。
送信元アドレスがオクテットで終わるパケットは 0x0000 0001 セット内の2番目のカウンターとポリサーのインデックスを作成します。
送信元アドレスがオクテットで終わるパケットは 0x1111 1111 セット内の最後のカウンターとポリサーのインデックスを作成します。
limit-source-one-24ファイアウォールフィルターには、送信元アドレス10.10.10.0の/24サブネットからのすべてのパケットに一致する単一の条件が含まれており、これらのパケットをプレフィックス固有のアクションpsa-1Mbps-per-source-24-32-256に渡します。
トポロジー
この例では、フィルター条件が 1 つの送信元アドレスの /24 サブネットに一致するため、プレフィックス固有セット内の各カウントおよびポリシング インスタンスは、1 つの送信元アドレスに対してのみ使用されます。
送信元アドレスを持つパケットは
10.10.10.0セット内の最初のカウンターとポリサーのインデックスを作成します。送信元アドレスを持つパケットは
10.10.10.1セット内の 2 番目のカウンターとポリサーのインデックスを作成します。送信元アドレスを持つパケットは
10.10.10.255セット内の最後のカウンターとポリサーのインデックスを作成します。
この例では、プレフィックス固有のアクションの最も単純なケースを示しており、プレフィックス固有のカウンターとポリサーのセットにインデックスを付けるためのプレフィックス固有アクションで指定されたプレフィックス長と同じプレフィックス長を持つ1つのアドレスでフィルター条件が一致します。
プレフィックス固有のカウントとポリシングのその他の設定については、 プレフィックス固有のカウントおよびポリシング設定シナリオを参照してください。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
この例を設定するには、以下のタスクを実行します。
- CLIクイック構成
- プレフィックス固有のカウントとポリシングのためのポリサーの設定
- ポリサーに基づくプレフィックス固有のアクションの設定
- プレフィックス固有のアクションを参照する IPv4 フィルターの設定
- 論理インターフェイスでの IPv4 入力トラフィックへのファイアウォールフィルターの適用
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。
set firewall policer 1Mbps-policer if-exceeding bandwidth-limit 1m set firewall policer 1Mbps-policer if-exceeding burst-size-limit 63k set firewall policer 1Mbps-policer then discard set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 policer 1Mbps-policer set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 count set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 subnet-prefix-length 24 set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 source-prefix-length 32 set firewall family inet filter limit-source-one-24 term one from source-address 10.10.10.0/24 set firewall family inet filter limit-source-one-24 term one then prefix-action psa-1Mbps-per-source-24-32-256 set interfaces so-0/0/2 unit 0 family inet filter input limit-source-one-24 set interfaces so-0/0/2 unit 0 family inet address 10.39.1.1/16
プレフィックス固有のカウントとポリシングのためのポリサーの設定
ステップバイステップでの手順
プレフィックス固有のカウントとポリシングに使用するポリサーを設定するには:
シングルレート 2 カラー ポリサーの設定を有効にします。
[edit] user@host# edit firewall policer 1Mbps-policer
トラフィック制限を定義します。
[edit firewall policer 1Mbps-policer] user@host# set if-exceeding bandwidth-limit 1m user@host# set if-exceeding burst-size-limit 63k
この制限に適合するトラフィック フロー内のパケットは、PLP が
lowに設定された状態で渡されます。不適合トラフィックに対するアクションを定義します。
[edit firewall policer 1Mbps-policer] user@host# set then discard
この制限を超えるトラフィックフローのパケットは破棄されます。シングルレート ツー カラー ポリサーのその他の設定可能なアクションには、転送クラスの設定と PLP レベルの設定があります。
結果
show firewall 設定モード コマンドを入力して、ポリサーの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
ポリサーに基づくプレフィックス固有のアクションの設定
ステップバイステップでの手順
ポリサーを参照し、送信元アドレスのプレフィックスの一部を指定するプレフィックス固有のアクションを設定するには:
プレフィックス固有のアクションの設定を有効にします。
[edit] user@host# edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256
プレフィックス固有のカウントとポリシングは、IPv4 トラフィックに対してのみ定義できます。
プレフィックス固有のセットを作成するポリサーを参照します。
[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set policer 1Mbps-policer user@host# set count
注:集合型イーサネットインターフェイスでは、論理インターフェイスポリサー(集合型ポリサーとも呼ばれる)を参照するプレフィックス固有のアクションを設定できます。IPv4標準ファイアウォールフィルターからこのタイプのプレフィックス固有のアクションを参照し、インターフェイスの集約レベルでフィルターを適用できます。
IPv4アドレスがカウンターとポリサーセットにインデックス付けされるプレフィックス範囲を指定します。
[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set source-prefix-length 32 user@host# set subnet-prefix-length 24
結果
show firewall 設定モード コマンドを入力して、プレフィックス固有のアクションの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
}
プレフィックス固有のアクションを参照する IPv4 フィルターの設定
ステップバイステップでの手順
プレフィックス固有のアクションを参照する IPv4 標準ファイアウォールフィルターを設定するには:
IPv4 標準ファイアウォールフィルターの設定を有効にします。
[edit] user@host# edit firewall family inet filter limit-source-one-24
プレフィックス固有のカウントとポリシングは、IPv4 トラフィックに対してのみ定義できます。
パケットの送信元アドレスまたは宛先アドレスに一致するようにフィルター条件を設定します。
[edit firewall family inet filter limit-source-one-24] user@host# set term one from source-address 10.10.10.0/24
プレフィックス固有のアクションを参照するようにフィルター条件を設定します。
[edit firewall family inet filter limit-source-one-24] user@host# set term one then prefix-action psa-1Mbps-per-source-24-32-256
また、
next termアクションを使用して、各ホストへのすべてのハイパーテキスト転送プロトコル (HTTP) トラフィックを 500 Kbps で送信し、HTTP トラフィックの合計を 1 Mbps に制限するように構成することもできます。
結果
show firewall 設定モード コマンドを入力して、プレフィックス固有のアクションの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
論理インターフェイスでの IPv4 入力トラフィックへのファイアウォールフィルターの適用
ステップバイステップでの手順
論理インターフェイスの IPv4 入力トラフィックにファイアウォールフィルターを適用するには:
論理インターフェイスで IPv4 の設定を有効にします。
[edit] user@host# edit interfaces so-0/0/2 unit 0 family inet
IP アドレスを設定します。
[edit interfaces so-0/0/2 unit 0 family inet] user@host# set address 10.39.1.1/16
IPv4 標準のステートレス ファイアウォール フィルターを適用します。
[edit interfaces so-0/0/2 unit 0 family inet] user@host# set filter input limit-source-one-24
結果
show interfaces 設定モード コマンドを入力して、プレフィックス固有のアクションの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
インターフェイスに適用されたファイアウォールフィルターの表示
目的
ファイアウォールフィルター limit-source-one-24 が、論理インターフェイス so-0/0/2.0でIPv4入力トラフィックに適用されていることを確認します。
アクション
論理インターフェイスso-0/0/2.0には show interfaces statistics operational mode コマンドを使用し、detail オプションを含めます。Protocol inet のコマンド出力セクションの Input Filters フィールドに limit-source-one-24 が表示され、入力方向の IPv4 トラフィックにフィルターが適用されていることを示します。
user@host> show interfaces statistics so-0/0/2.0 detail
Logical interface so-0/0/2.0 (Index 79) (SNMP ifIndex 510) (Generation 149)
Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP
Protocol inet, MTU: 4470, Generation: 173, Route table: 0
Flags: Sendbcast-pkt-to-re, Protocol-Down
Input Filters: limit-source-one-24
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
ファイアウォールフィルターのプレフィックス別アクション統計情報の表示
目的
ポリサーによって評価されたパケットの数を確認します。
アクション
show firewall prefix-action-stats filter filter-name prefix-action name 動作モードコマンドを使用して、ファイアウォールフィルターに設定されたプレフィックス固有のアクションに関する統計情報を表示します。
オプションとして、 from set-index to set-index コマンド オプションを使用して、表示する開始カウンターまたは終了カウンターまたはポリサーを指定できます。ポリサー セットのインデックスは、0 から 65535 までです。
コマンド出力は、指定されたフィルター名の後に、ポリサー セット内の各ポリサーが処理したバイト数とパケット数のリストを表示します。
用語固有のポリサーの場合、セット内の各ポリサーは次のように識別されます。
prefix-specific-action-name-term-name-set-index
フィルター固有のポリサーの場合、各ポリサーはコマンド出力内で以下のように識別されます。
prefix-specific-action-name-set-index
プレフィックス固有のアクション psa-1Mbps-per-source-24-32-256 例は、フィルター limit-source-one-24の例の1つの用語によってのみ参照されるため、ポリサー 1Mbps-policer 例は用語固有として設定されます。show firewall prefix-action-stats コマンドの出力では、ポリサーの統計情報が psa-1Mbps-per-source-24-32-256-one-0、psa-1Mbps-per-source-24-32-256-one-1 などから psa-1Mbps-per-source-24-32-256-one-255 まで表示されます。
user@host> show firewall prefix-action-stats filter limit-source-one-24 prefix-action psa-1Mbps-per-source-24-32-256 from 0 to 9 Filter: limit-source-one-24 Counters: Name Bytes Packets psa-1Mbps-per-source-24-32-256-one-0 0 0 psa-1Mbps-per-source-24-32-256-one-1 0 0 psa-1Mbps-per-source-24-32-256-one-2 0 0 psa-1Mbps-per-source-24-32-256-one-3 0 0 psa-1Mbps-per-source-24-32-256-one-4 0 0 psa-1Mbps-per-source-24-32-256-one-5 0 0 psa-1Mbps-per-source-24-32-256-one-6 0 0 psa-1Mbps-per-source-24-32-256-one-7 0 0 psa-1Mbps-per-source-24-32-256-one-8 0 0 psa-1Mbps-per-source-24-32-256-one-9 0 0
プレフィックス固有のカウントおよびポリシング設定シナリオ
- アクションのプレフィックス長と、フィルタリングされたパケット内のアドレスのプレフィックス長
- シナリオ 1: 複数のアドレスで一致するファイアウォールフィルター条件
- シナリオ 2: サブネット プレフィックスがフィルター一致条件のプレフィックスより長い
- シナリオ 3: サブネット128番目のカウンターとポリサーのプレフィックスは、ファイアウォールフィルターの一致条件のプレフィックスより短いです
アクションのプレフィックス長と、フィルタリングされたパケット内のアドレスのプレフィックス長
表 2 は、プレフィックス固有アクションで指定されたプレフィックス長と、プレフィックス固有のアクションを参照するファイアウォールフィルター条件に一致するアドレスのプレフィックス長との関係を説明します。
カウンターとポリサーのセット |
パケットフィルタリング基準 |
インスタンスのインデックス作成 |
||
|---|---|---|---|---|
プレフィックス固有のアクション シナリオ: 例:プレフィックス固有のカウントおよびポリシングの設定 |
||||
source-prefix-length = 32 subnet-prefix-length = 24 セットサイズ: 2^8 = 256インスタンス番号: 0 - 255 |
source-address = 10.10.10.0/24 |
インスタンス 0 |
10.10.10.0 |
|
インスタンス 1: |
10.10.10.1 |
|||
|
|
|||
インスタンス 255: |
10.10.10.255 |
|||
プレフィックス固有のアクション シナリオ: シナリオ 1: 複数のアドレスで一致するファイアウォールフィルター条件 |
||||
source-prefix-length = 32 subnet-prefix-length = 24 セットサイズ: 2^8 = 256インスタンス番号: 0 - 255 |
source-address = 10.10.10.0/24 source-address = 10.11.0.0/16 |
インスタンス 0 |
10.10.10.0,10.11.x.0 |
|
インスタンス 1: |
10.10.10.1,10.11.x.1 |
|||
|
|
|||
インスタンス 255: |
10.10.10.255,10.11.x.255 |
|||
/16 サブネット内のアドレスの場合、 x の範囲は 0 から 255 です。 |
||||
プレフィックス固有のアクション シナリオ: シナリオ 2: サブネット プレフィックスがフィルター一致条件のプレフィックスより長い |
||||
source-prefix-length = 32 subnet-prefix-length = 25 セットサイズ: 2^7 = 128インスタンス番号: 0 - 127 |
source-address = 10.10.10.0/24 |
インスタンス 0 |
10.10.10.0,10.10.10.128 |
|
インスタンス 1: |
10.10.10.1,10.10.10.120 |
|||
|
|
|||
インスタンス 127: |
10.10.10.255,10.10.10.127 |
|||
プレフィックス固有のアクション シナリオ: シナリオ 3: サブネット128番目のカウンターとポリサーのプレフィックスは、ファイアウォールフィルターの一致条件のプレフィックスより短いです |
||||
source-prefix-length = 32 subnet-prefix-length = 24 セットサイズ: 2^8 = 256インスタンス番号: 0 - 255 |
source-address = 10.10.10.0/25 注:
送信元アドレスが |
インスタンス 0 |
10.10.10.0 |
|
インスタンス 1: |
10.10.10.1 |
|||
|
|
|||
インスタンス 127: |
10.10.10.127 |
|||
インスタンス 128 – 255: 未使用 |
||||
シナリオ 1: 複数のアドレスで一致するファイアウォールフィルター条件
完全な例( 例:プレフィックス固有のカウントおよびポリシングの設定)は、プレフィックス固有アクションの最も単純なケースを示しており、プレフィックス固有アクションで指定されたサブネットプレフィックス長と同じプレフィックス長を持つ1つのアドレスで、単一用語 のファイアウォールフィルター が一致します。この例とは異なり、このシナリオでは、2 つの IPv4 送信元アドレスでシングルタームファイアウォールフィルターが一致する設定について説明します。さらに、追加の条件は、プレフィックス固有のアクションで定義されたサブネットプレフィックス長と異なるプレフィックス長を持つ送信元アドレスで一致します。この場合、追加の条件は送信元アドレス 10.11.0.0の/16サブネット上で一致します。
送信元アドレス 10.10.10.0/24に一致するパケットとは異なり、送信元アドレス 10.11.0.0/16 に一致するパケットは、カウンターおよびポリサーセット内のインスタンスと多対1で対応しています。
プレフィックス固有のアクション インデックスに渡されるフィルターマッチ済みパケットは、カウンターとポリサーに設定され、カウント インスタンスとポリシング インスタンスが、 10.10.10.0/24 サブネットと 10.11.0.0/16 サブネット全体の送信元アドレスを含むパケットによって共有されるように設定されます。
セット内の最初のカウンターとポリサーは、送信元アドレスが
10.10.10.0および10.11.x.0( x の範囲が0〜255のパケットによってインデックス付けされます。セット内の 2 番目のカウンターとポリサーは、送信元アドレスが
10.10.10.1および10.11.x.1( x の範囲が0〜255のパケットによってインデックス付けされます。セット内の 256 番目(最後)のカウンターとポリサーは、送信元アドレス
10.10.10.255と10.11.x.255を持つパケットによってインデックスが作成されます。 x の範囲は0から255。
以下の設定は、シングルレート 2 カラー ポリサー、ポリサーを参照するプレフィックス固有アクション、およびプレフィックス固有のアクションを参照する IPv4 標準ステートレス ファイアウォール フィルターを設定するためのステートメントを示しています。
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-two-24-16 {
term one {
from {
source-address {
10.10.10.0/24;
10.11.0.0/16;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-two-24-16;
}
address 10.39.1.1/16;
}
}
}
}
シナリオ 2: サブネット プレフィックスがフィルター一致条件のプレフィックスより長い
完全な例の 例:プレフィックス固有のカウントおよびポリシングの設定 は、プレフィックス固有アクションの最も単純なケースを示しており、プレフィックス固有アクションで指定されたサブネットプレフィックス長と同じプレフィックス長を持つ 1 つのアドレスに対して、単一タームのファイアウォールフィルターが照合されます。例とは異なり、このシナリオでは、プレフィックス固有のアクションが、ファイアウォールフィルターに一致する送信元アドレスのプレフィックスよりも長いサブネットプレフィックス長を定義する設定について説明します。この場合、プレフィックス固有のアクションはサブネットプレフィックス値 25を定義しますが、ファイアウォールフィルターは /24 サブネット内の送信元アドレスで一致します。
ファイアウォールフィルターは、 10.10.10.0 〜 10.10.10.255の範囲の送信元アドレスを持つプレフィックス固有のアクションパケットに渡しますが、プレフィックス固有のアクションは、0〜127の番号が付けられた128個の カウンターとポリサーのセットのみを指定します。
プレフィックス固有のアクション インデックスに渡されるフィルターマッチ済みパケットは、 10.10.10.0/24 サブネット内の 2 つの送信元アドレスのいずれかを含むパケットでカウント インスタンスとポリシング インスタンスが共有されるように設定されます。
セット内の最初のカウンターとポリサーは、送信元アドレスが
10.10.10.0と10.10.10.128を持つパケットによってインデックスが作成されます。セット内の 2 番目のカウンターとポリサーは、送信元アドレスが
10.10.10.1と10.10.10.129のパケットによってインデックス付けされます。セット内の 128 番目(最後)のカウンターとポリサーは、送信元アドレスが
10.10.10.127と10.10.10.255のパケットによってインデックス付けされます。
以下の設定は、シングルレート 2 カラー ポリサー、ポリサーを参照するプレフィックス固有アクション、およびプレフィックス固有のアクションを参照する IPv4 標準ステートレス ファイアウォール フィルターを設定するためのステートメントを示しています。
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-25-32-128 {
policer 1Mbps-policer;
subnet-prefix-length 25;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-25-32-128;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
}
シナリオ 3: サブネット128番目のカウンターとポリサーのプレフィックスは、ファイアウォールフィルターの一致条件のプレフィックスより短いです
完全な例の 例:プレフィックス固有のカウントおよびポリシングの設定 は、プレフィックス固有アクションの最も単純なケースを示しており、プレフィックス固有アクションで指定されたサブネットプレフィックス長と同じプレフィックス長を持つ 1 つのアドレスに対して、単一タームのファイアウォールフィルターが照合されます。例とは異なり、このシナリオでは、プレフィックス固有のアクションが、ファイアウォールフィルターに一致する送信元アドレスのプレフィックスよりも短いサブネットプレフィックス長を定義する設定について説明します。この場合、フィルター条件は送信元アドレス10.10.10.0の/25サブネット上で一致します。
ファイアウォールフィルターは、プレフィックス固有のアクションに、 10.10.10.0 〜 10.10.10.127の範囲の送信元アドレスを持つパケットのみをパスしますが、プレフィックス固有のアクションは、0〜255の番号が付けられた256個の カウンターとポリサーのセットを指定します。
プレフィックス固有のアクション インデックスに渡され、カウンターとポリサー セットの下半分に渡される一致したパケットのみ:
セット内の最初のカウンターとポリサーは、送信元アドレス
10.10.10.0のパケットによってインデックスが付けられます。セット内の 2 番目のカウンターとポリサーは、送信元アドレスが
10.10.10.1と10.10.10.129のパケットによってインデックス付けされます。セット内の 128 番目のカウンターとポリサーは、送信元アドレス
10.10.10.127のパケットによってインデックス付けされます。セットの上半分(128〜255の番号が付けられたインスタンス)は、この特定のファイアウォールフィルターからプレフィックス固有のアクションに渡されたパケットによってインデックス付けされません。
以下の設定は、シングルレート 2 カラー ポリサー、ポリサーを参照するプレフィックス固有アクション、およびプレフィックス固有のアクションを参照する IPv4 標準ステートレス ファイアウォール フィルターを設定するためのステートメントを示しています。
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-25 {
term one {
from {
source-address {
10.10.10.0/25;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-25;
}
address 10.39.1.1/16;
}
}
}
}