- play_arrow Descripción y configuración de las políticas de enrutamiento de Junos
- play_arrow Descripción general
- Descripción general del marco de políticas
- Comparación de políticas de enrutamiento y filtros de firewall
- Descripción general de la priorización de prefijos
- Priorización de prefijos FIB
- Contabilidad del atributo de sobrecarga del aplicador en el nivel de interfaz
- Configuración de la contabilidad de la sobrecarga de Policer en estadísticas de interfaz
- Descripción de las políticas de enrutamiento
- Soporte de protocolo para políticas de importación y exportación
- Ejemplo: Aplicación de políticas de enrutamiento en diferentes niveles de la jerarquía de BGP
- Políticas de enrutamiento predeterminadas
- Ejemplo: Configuración de una directiva de ruta predeterminada condicional
- play_arrow Evaluación de políticas de enrutamiento mediante condiciones, acciones, términos y expresiones de coincidencia
- Cómo se evalúa una directiva de enrutamiento
- Categorías de condiciones de coincidencia de políticas de enrutamiento
- Condiciones de coincidencia de políticas de enrutamiento
- Condiciones de coincidencia del filtro de ruta
- Acciones en términos de política de enrutamiento
- Resumen de acciones de directiva de enrutamiento
- Ejemplo: Configuración de una directiva de enrutamiento para anunciar la mejor ruta externa a pares internos
- Ejemplo: Configuración de BGP para anunciar rutas inactivas
- Ejemplo: Uso de la directiva de enrutamiento para establecer un valor de preferencia para las rutas BGP
- Ejemplo: Habilitación de anuncios de rutas BGP
- Ejemplo: Rechazar rutas no válidas conocidas
- Ejemplo: Uso de la política de enrutamiento en una red de ISP
- Descripción de las expresiones de política
- Descripción de la directiva de selección de copia de seguridad para el protocolo OSPF
- Configuración de la directiva de selección de copia de seguridad para el protocolo OSPF
- Configuración de la directiva de selección de copia de seguridad para el protocolo IS-IS
- Ejemplo: Configuración de la directiva de selección de copia de seguridad para el protocolo OSPF u OSPF3
- play_arrow Evaluación de casos complejos mediante cadenas y subrutinas de políticas
- Descripción de cómo se evalúa una cadena de políticas de enrutamiento
- Ejemplo: Configuración de cadenas de directivas y filtros de ruta
- Ejemplo: Uso de cadenas de filtro de firewall
- Descripción de las subrutinas de políticas en condiciones de coincidencia de políticas de enrutamiento
- Cómo se evalúa una subrutina de directiva de enrutamiento
- Ejemplo: Configuración de una subrutina de directivas
- play_arrow Configuración de filtros de ruta y listas de prefijos como condiciones de coincidencia
- Descripción de los filtros de ruta para su uso en condiciones de coincidencia de políticas de enrutamiento
- Descripción del filtro de ruta y las listas de filtros de direcciones de origen para su uso en condiciones de coincidencia de directivas de enrutamiento
- Descripción del equilibrio de carga solo con IP de origen o destino
- Configuración del equilibrio de carga solo con IP de origen o destino
- Descripción general de Walkup for Route Filters
- Configuración de filtros de ruta para mejorar la eficiencia operativa
- Ejemplo: Configuración de listas de filtros de ruta
- Ejemplo: Configuración de Walkup para filtros de ruta globalmente para mejorar la eficiencia operativa
- Ejemplo: Configuración local de Walkup para filtros de ruta a fin de mejorar la eficiencia operativa
- Ejemplo: Configuración de una directiva de filtro de ruta para especificar la prioridad de los prefijos aprendidos a través de OSPF
- Ejemplo: Configuración del MED mediante filtros de ruta
- Ejemplo: Configuración de calificadores de familia de protocolo VPN de capa 3 para filtros de ruta
- Descripción de las listas de prefijos para su uso en condiciones de coincidencia de políticas de enrutamiento
- Ejemplo: Configuración de listas de prefijos de directiva de enrutamiento
- Ejemplo: Configuración de la prioridad para los prefijos de ruta en la infraestructura RPD
- Configuración de prioridad para prefijos de ruta en infraestructura RPD
- play_arrow Configuración de rutas de AS como condiciones de coincidencia
- Descripción de expresiones regulares de ruta de AS para usarlas como condiciones de coincidencia de políticas de enrutamiento
- Ejemplo: Usar expresiones regulares de ruta de AS
- Descripción de los números de AS antepuestos a rutas de AS de BGP
- Ejemplo: Configuración de una directiva de enrutamiento para la ruta del AS antepuesta
- Descripción de la adición de números de AS a rutas de AS de BGP
- Ejemplo: Publicidad de varias rutas en BGP
- Mejorar el rendimiento de la búsqueda de ruta de AS en la política de BGP
- play_arrow Configuración de comunidades como condiciones de coincidencia
- Descripción de las comunidades BGP, las comunidades extendidas y las comunidades grandes como condiciones de coincidencia de políticas de enrutamiento
- Descripción de cómo definir comunidades BGP y comunidades extendidas
- Cómo se evalúan las comunidades BGP y las comunidades extendidas en condiciones de coincidencia de políticas de enrutamiento
- Ejemplo: Configuración de comunidades en una directiva de enrutamiento
- Ejemplo: Configuración de comunidades extendidas en una directiva de enrutamiento
- Ejemplo: Configuración de grandes comunidades de BGP
- Ejemplo: Configuración de una directiva de enrutamiento basada en el número de comunidades BGP
- Ejemplo: Configuración de una directiva de enrutamiento que quita comunidades BGP
- play_arrow Aumento de la estabilidad de la red con acciones de aleteo de ruta BGP
- Descripción de los parámetros de amortiguación
- Uso de políticas de enrutamiento para amortiguar el aleteo de rutas BGP
- Ejemplo: Configuración de parámetros de amortiguación de aletas de ruta BGP
- Ejemplo: Configuración de la amortiguación de aletas de ruta BGP basada en la familia de direcciones MVPN MBGP
- play_arrow Seguimiento del uso del tráfico con acciones de uso de clase de origen y uso de clase de destino
- Descripción del uso de la clase de origen y de las opciones de uso de la clase de destino
- Información general sobre el uso de clases de origen
- Directrices para configurar SCU
- Requisitos del sistema para SCU
- Términos y siglas de SCU
- Guía básica para configurar SCU
- Hoja de ruta para configurar SCU con VPN de capa 3
- Configuración de filtros de ruta y clases de origen en una directiva de enrutamiento
- Aplicación de la directiva a la tabla de reenvío
- Habilitación de la contabilidad en interfaces entrantes y salientes
- Configuración de SCU de entrada en la interfaz vt del enrutador PE de salida
- Asignación de la interfaz vt habilitada para SCU a la instancia VRF
- Configuración de SCU en la interfaz de salida
- Asociación de un perfil contable con clases de SCU
- Verificación de su perfil contable de SCU
- Configuración de SCU
- Configuración de SCU con VPN de capa 3
- Ejemplo: Agrupar prefijos de origen y destino en una clase de reenvío
- play_arrow Evitar amenazas de enrutamiento de tráfico con políticas de enrutamiento condicional
- Política de importación y publicidad condicional (tabla de enrutamiento) con determinadas condiciones de coincidencia
- Anuncio condicional que habilita la instalación condicional de casos de uso de prefijos
- Ejemplo: Configuración de una directiva de enrutamiento para publicidad condicional Habilitación de la instalación condicional de prefijos en una tabla de enrutamiento
- play_arrow Protección contra ataques DoS mediante el reenvío de tráfico a la interfaz de descarte
- play_arrow Mejora de los tiempos de confirmación con políticas de enrutamiento dinámico
- play_arrow Pruebas antes de aplicar directivas de enrutamiento
-
- play_arrow Configuración de filtros de firewall
- play_arrow Descripción de cómo los filtros de firewall protegen su red
- Descripción general de los filtros de firewall
- Descripción general del flujo de datos del enrutador
- Descripción general del filtro de firewall sin estado
- Descripción de cómo usar filtros de firewall estándar
- Descripción de cómo los filtros de firewall controlan los flujos de paquetes
- Componentes del filtro de firewall sin estado
- Puntos de aplicación de filtro de firewall sin estado
- Cómo los filtros de firewall estándar evalúan los paquetes
- Descripción del filtro de firewall Filtro de búsqueda rápida
- Descripción de los filtros de firewall de salida con PVLAN
- Filtrado selectivo basado en clases en enrutadores PTX
- Directrices para configurar filtros de firewall
- Directrices para aplicar filtros de firewall estándar
- Estándares admitidos para el filtrado
- Supervisión del tráfico de filtro de firewall
- Solución de problemas de filtros de firewall
- play_arrow Condiciones y acciones de coincidencia del filtro de firewall
- Descripción general de los filtros de firewall (serie OCX)
- Descripción general de los perfiles de filtro de firewall en enrutadores de la serie ACX (Junos OS evolucionado)
- Descripción de las condiciones de coincidencia de filtros de firewall
- Descripción de la planeación del filtro de firewall
- Descripción de cómo se evalúan los filtros de firewall
- Descripción de las condiciones de coincidencia de filtros de firewall
- Condiciones de coincidencia flexibles del filtro de firewall
- Acciones de no terminación del filtro de firewall
- Acciones de finalización del filtro de firewall
- Condiciones y acciones de coincidencia del filtro de firewall (enrutadores de la serie ACX)
- Condiciones y acciones de coincidencia del filtro de firewall en enrutadores de la serie ACX (Junos OS evolucionado)
- Condiciones de coincidencia del filtro de firewall para el tráfico independiente del protocolo
- Condiciones de coincidencia del filtro de firewall para el tráfico IPv4
- Condiciones de coincidencia del filtro de firewall para el tráfico IPv6
- El filtro de firewall hace coincidir condiciones basadas en números o alias de texto
- El filtro de firewall coincide con las condiciones según los valores de campo de bits
- El filtro de firewall coincide con las condiciones según los campos de dirección
- El filtro de firewall coincide con condiciones basadas en clases de dirección
- Descripción del filtrado basado en IP y la duplicación selectiva de puertos del tráfico MPLS
- Condiciones de coincidencia del filtro de firewall para el tráfico MPLS
- Condiciones de coincidencia del filtro de firewall para el tráfico IPv4 o IPv6 etiquetado con MPLS
- Condiciones de coincidencia del filtro de firewall para el tráfico VPLS
- Condiciones de coincidencia del filtro de firewall para el tráfico CCC de capa 2
- Condiciones de coincidencia del filtro de firewall para el tráfico de puente de capa 2
- Compatibilidad con filtros de firewall en interfaz de circuito cerrado
- play_arrow Aplicación de filtros de firewall al tráfico del motor de enrutamiento
- Configuración de unidades lógicas en la interfaz de circuito cerrado para instancias de enrutamiento en VPN de capa 3
- Ejemplo: Configuración de un filtro para limitar el acceso TCP a un puerto basado en una lista de prefijos
- Ejemplo: Configuración de un filtro de firewall sin estado para aceptar tráfico de fuentes de confianza
- Ejemplo: Configurar un filtro para bloquear el acceso Telnet y SSH
- Ejemplo: Configuración de un filtro para bloquear el acceso TFTP
- Ejemplo: Configuración de un filtro para aceptar paquetes basados en indicadores TCP IPv6
- Ejemplo: Configuración de un filtro para bloquear el acceso TCP a un puerto, excepto desde pares BGP especificados
- Ejemplo: Configuración de un filtro de firewall sin estado para proteger contra inundaciones TCP e ICMP
- Ejemplo: Protección del motor de enrutamiento con un filtro limitador de velocidad de paquetes por segundo
- Ejemplo: Configuración de un filtro para excluir el tráfico de control DHCPv6 e ICMPv6 para el suscriptor de LAC
- Requisitos de número de puerto para los filtros de firewall DHCP
- Ejemplo: Configuración de un filtro de firewall DHCP para proteger el motor de enrutamiento
- play_arrow Aplicación de filtros de firewall al tráfico de tránsito
- Ejemplo: Configuración de un filtro para su uso como filtro de cola de entrada
- Ejemplo: Configuración de un filtro para que coincida en indicadores IPv6
- Ejemplo: Configuración de un filtro para que coincida en los campos Puerto y Protocolo
- Ejemplo: Configuración de un filtro para contar los paquetes aceptados y rechazados
- Ejemplo: Configuración de un filtro para contar y descartar paquetes de opciones IP
- Ejemplo: Configuración de un filtro para contar paquetes de opciones IP
- Ejemplo: Configuración de un filtro para contar y muestrear paquetes aceptados
- Ejemplo: Configuración de un filtro para establecer el bit DSCP en cero
- Ejemplo: Configuración de un filtro para establecer el bit DSCP en cero
- Ejemplo: Configuración de un filtro para que coincida con dos criterios no relacionados
- Ejemplo: Configuración de un filtro para aceptar paquetes DHCP según la dirección
- Ejemplo: Configuración de un filtro para aceptar paquetes OSPF desde un prefijo
- Ejemplo: Configuración de un filtro de firewall sin estado para controlar fragmentos
- Configuración de un filtro de firewall para impedir o permitir la fragmentación de paquetes IPv4
- Configuración de un filtro de firewall para descartar paquetes IPv6 de entrada con un encabezado de extensión de movilidad
- Ejemplo: Configuración de un filtro de salida basado en direcciones IP de origen o destino IPv6
- Ejemplo: Configuración de un filtro de limitación de velocidad basado en la clase de destino
- play_arrow Configuración de filtros de firewall en sistemas lógicos
- Descripción general de los filtros de firewall en sistemas lógicos
- Directrices para configurar y aplicar filtros de firewall en sistemas lógicos
- Referencias desde un filtro de firewall en un sistema lógico a objetos subordinados
- Referencias de un filtro de firewall en un sistema lógico a objetos que no son firewall
- Referencias de un objeto que no es firewall en un sistema lógico a un filtro de firewall
- Ejemplo: Configuración del reenvío basado en filtros
- Ejemplo: Configuración del reenvío basado en filtros en sistemas lógicos
- Ejemplo: Configuración de un filtro de firewall sin estado para proteger un sistema lógico contra inundaciones ICMP
- Ejemplo: Configuración de un filtro de firewall sin estado para proteger un sistema lógico contra inundaciones ICMP
- Instrucciones de filtro de firewall no compatibles para sistemas lógicos
- Acciones no admitidas para filtros de firewall en sistemas lógicos
- Reenvío basado en filtros para instancias de enrutamiento
- Filtros de tabla de reenvío para instancias de enrutamiento en enrutadores de la serie ACX
- Configuración de filtros de tabla de reenvío
- play_arrow Configuración de la contabilidad y el registro del filtro de firewall
- Información general sobre la contabilidad de los filtros de firewall
- Información general sobre el registro del sistema
- Registro del sistema de eventos generados para la función de firewall
- Acciones de registro de filtro de firewall
- Ejemplo: Configuración de la recopilación de estadísticas para un filtro de firewall
- Ejemplo: Configuración del registro para un término de filtro de firewall
- play_arrow Adjuntar varios filtros de firewall a una sola interfaz
- Aplicación de filtros de firewall a interfaces
- Configuración de filtros de firewall
- Ejemplo de clasificadorde múltiples campos: Configuración de la clasificación de campos múltiples
- Clasificador de múltiples campos para colas de entrada en enrutadores de la serie MX con MPC
- Asignación de clasificadores de varios campos en filtros de firewall para especificar el comportamiento del reenvío de paquetes (procedimiento de la CLI)
- Descripción de varios filtros de firewall en una configuración anidada
- Directrices para anidar referencias a varios filtros de firewall
- Descripción de varios filtros de firewall aplicados como una lista
- Directrices para aplicar varios filtros de firewall como lista
- Ejemplo: Aplicación de listas de varios filtros de firewall
- Ejemplo: Anidamiento de referencias a varios filtros de firewall
- Ejemplo: Filtrado de paquetes recibidos en un conjunto de interfaces
- play_arrow Adjuntar un único filtro de firewall a varias interfaces
- Descripción general de las instancias de filtro de firewall específicas de la interfaz
- Descripción general de las instancias de filtro de firewall específicas de la interfaz
- Información general sobre el filtrado de paquetes recibidos en un conjunto de grupos de interfaces
- Información general sobre el filtrado de paquetes recibidos en un conjunto de interfaces
- Ejemplo: Configuración de contadores de filtro de firewall específicos de la interfaz
- Ejemplo: Configuración de un filtro de firewall sin estado en un grupo de interfaces
- play_arrow Configuración de túneles basados en filtros entre redes IP
- Descripción de la tunelización basada en filtros en redes IPv4
- Descripción general de la tunelización L2TP basada en filtros de firewall en redes IPv4
- Interfaces que admiten tunelización basada en filtros entre redes IPv4
- Componentes de la tunelización basada en filtros en redes IPv4
- Ejemplo: Transporte de tráfico IPv6 a través de IPv4 mediante tunelización basada en filtros
- play_arrow Configuración de filtros de servicio
- Información general sobre el filtro de servicio
- Cómo evalúan los paquetes los filtros de servicio
- Directrices para configurar filtros de servicio
- Directrices para aplicar filtros de servicio
- Ejemplo: Configuración y aplicación de filtros de servicio
- Condiciones de coincidencia del filtro de servicio para el tráfico IPv4 o IPv6
- Acciones de no terminación del filtro de servicio
- Acciones de terminación del filtro de servicio
- play_arrow Configuración de filtros simples
- play_arrow Configuración de filtros de firewall de capa 2
- Descripción de los filtros de firewall utilizados para controlar el tráfico dentro de los dominios de puente y las instancias VPLS
- Ejemplo: Configuración del filtrado de tramas por dirección MAC
- Ejemplo: Configuración del filtrado de tramas por bits IEEE 802.1p
- Ejemplo: Configuración del filtrado de tramas por prioridad de pérdida de paquetes
- Ejemplo: Configuración de la vigilancia y el marcado del tráfico que entra en un núcleo VPLS
- Descripción de los filtros de firewall en interfaces administradas por OVSDB
- Ejemplo: Aplicación de un filtro de firewall a interfaces administradas por OVSDB
- play_arrow Configuración de filtros de firewall para reenvío, fragmentos y vigilancia
- Descripción general del reenvío basado en filtros
- Descripción general de los filtros de firewall que manejan paquetes fragmentados
- Filtros de firewall sin estado que hacen referencia a la descripción general de los aplicadores de políticas
- Ejemplo: Configuración del reenvío basado en filtros en la dirección de origen
- Ejemplo: Configuración del reenvío basado en filtros a una interfaz de salida específica o a una dirección IP de destino
- play_arrow Configuración de filtros de firewall (conmutadores de la serie EX)
- Descripción general de los filtros de firewall para conmutadores de la serie EX
- Descripción de la planeación de filtros de firewall
- Descripción de las condiciones de coincidencia de filtros de firewall
- Descripción de cómo los filtros de firewall controlan los flujos de paquetes
- Descripción de cómo se evalúan los filtros de firewall
- Descripción de los puntos de procesamiento de filtros de firewall para paquetes puenteados y enrutados en conmutadores de la serie EX
- El filtro de firewall coincide con condiciones, acciones y modificadores de acción para conmutadores de la serie EX
- Compatibilidad de la plataforma con condiciones, acciones y modificadores de acción de coincidencia de filtro de firewall en conmutadores de la serie EX
- Compatibilidad con condiciones y acciones de coincidencia para filtros de firewall de circuito cerrado en conmutadores
- Configuración de filtros de firewall (procedimiento de la CLI)
- Descripción de cómo los filtros de firewall prueban el protocolo de un paquete
- Descripción del reenvío basado en filtros para conmutadores de la serie EX
- Ejemplo: Configuración de filtros de firewall para tráfico de puertos, VLAN y enrutadores en conmutadores de la serie EX
- Ejemplo: Configuración de un filtro de firewall en una interfaz de administración en un conmutador de la serie EX
- Ejemplo: Uso del reenvío basado en filtros para enrutar el tráfico de aplicaciones a un dispositivo de seguridad
- Ejemplo: Aplicación de filtros de firewall a varios suplicantes en interfaces habilitadas para autenticación 802.1X o MAC RADIUS
- Comprobación de que los aplicadores de políticas estén operativos
- Solución de problemas de filtros de firewall
- play_arrow Configuración de filtros de firewall (conmutadores de la serie QFX, conmutadores EX4600, enrutadores de la serie PTX)
- Descripción general de los filtros de firewall (serie QFX)
- Descripción de la planeación del filtro de firewall
- Planificación del número de filtros de firewall que se van a crear
- Condiciones y acciones de coincidencia del filtro de firewall (conmutadores de las series QFX y EX)
- Condiciones y acciones de coincidencia del filtro de firewall (conmutadores QFX10000)
- Condiciones y acciones de coincidencia del filtro de firewall (enrutadores de la serie PTX)
- Diferencias de firewall y políticas entre los enrutadores de transporte de paquetes de la serie PTX y los enrutadores de matriz de la serie T
- Configuración de filtros de firewall
- Aplicación de filtros de firewall a interfaces
- Descripción general de los filtros de firewall MPLS en la interfaz de circuito cerrado
- Configuración de políticas y filtros de firewall MPLS en conmutadores
- Configuración de filtros y políticas de firewall MPLS en enrutadores
- Configuración de políticas y filtros de firewall MPLS
- Descripción de cómo un filtro de firewall prueba un protocolo
- Descripción de los puntos de procesamiento de filtros de firewall para paquetes puenteados y enrutados
- Descripción del reenvío basado en filtros
- Ejemplo: Uso del reenvío basado en filtros para enrutar el tráfico de aplicaciones a un dispositivo de seguridad
- Configuración de un filtro de firewall para desencapsular el tráfico GRE o IPIP
- Comprobación de que los filtros de firewall estén operativos
- Supervisión del tráfico de filtro de firewall
- Solución de problemas de configuración del filtro de firewall
- play_arrow Configuración de la contabilidad y el registro de filtros de firewall (conmutadores EX9200)
-
- play_arrow Instrucciones de configuración y comandos operativos
- play_arrow Solución de problemas
- play_arrow Base de conocimientos
-
EN ESTA PÁGINA
Descripción general del conteo y la vigilancia de prefijos específicos
Descripción general del contador específico del filtro y del conjunto de controladores
Descripción general del aplicador de políticas específico del filtro
Ejemplo: Configuración del conteo y la vigilancia específicos del prefijo
Escenarios de configuración de conteo y control específicos de prefijos
Acciones de conteo y control específicos del prefijo
Descripción general del conteo y la vigilancia de prefijos específicos
- Conteo y control separados para cada intervalo de direcciones IPv4
- Configuración de acciones específicas del prefijo
- Tamaño e indexación del conjunto de contadores y aplicadores
Conteo y control separados para cada intervalo de direcciones IPv4
El conteo y la vigilancia específicos del prefijo permiten configurar un término de filtro de firewall IPv4 que coincida con una dirección de origen o destino, aplique un aplicador de dos colores de velocidad única como acción de término, pero asocie el paquete coincidente con un contador específico y una instancia de policía según el origen o el destino en el encabezado del paquete. Puede crear implícitamente una instancia de contador o de policía independiente para una sola dirección o para un grupo de direcciones.
El conteo y la vigilancia específicos del prefijo usan una configuración de acción específica del prefijo que especifica el nombre del policía que desea aplicar, si se va a habilitar el conteo específico del prefijo y un intervalo de prefijos de dirección de origen o destino.
El intervalo de prefijos especifica entre 1 y 16 bits de conjunto secuencial de una máscara de dirección IPv4. La longitud del intervalo de prefijos determina el tamaño del conjunto de contadores y aplicadores, que consta de tan solo 2 o hasta 65.536 instancias de contador y policía. La posición de los bits del rango de prefijos determina la indexación de los paquetes coincidentes con filtro en el conjunto de instancias.
Una acción específica de prefijo es específica de un intervalo de prefijos de origen o destino, pero no es específica de un intervalo de direcciones de origen o destino concreto, y no es específica de una interfaz determinada.
Para aplicar una acción específica del prefijo al tráfico en una interfaz, configure un término de filtro de firewall que coincida con las direcciones de origen o destino y, a continuación, aplique el filtro de firewall a la interfaz. El flujo de tráfico filtrado está limitado por velocidad mediante instancias de contador y aplicador específicas del prefijo que se seleccionan por paquete en función de la dirección de origen o destino en el encabezado del paquete filtrado.
Configuración de acciones específicas del prefijo
Para configurar una acción específica del prefijo, especifique la siguiente información:
Nombre de acción específico del prefijo: nombre al que se puede hacer referencia como la acción de un término de filtro de firewall estándar IPv4 que coincide con paquetes en direcciones de origen o destino.
Nombre del aplicador: nombre de un aplicador de dos colores de velocidad única para el que desea crear implícitamente instancias específicas de prefijo.
Nota:En el caso de interfaces Ethernet agregadas, puede configurar una acción específica del prefijo que haga referencia a un controlador de interfaz lógica (también denominado aplicador de agregado). Puede hacer referencia a este tipo de acción específica del prefijo desde un filtro de firewall estándar IPv4 y, a continuación, aplicar el filtro en el nivel agregado de la interfaz.
Opción de recuento: opción que se incluirá si desea activar contadores específicos de prefijo.
Opción específica del filtro: opción que se incluye si desea que un solo contador y un solo conjunto de políticas se compartan entre todos los términos del filtro de firewall. Se dice que una acción específica del prefijo que funciona de esta manera funciona en modo específico del filtro. Si no habilita esta opción, la acción específica del prefijo funciona en el modo específico del término , lo que significa que se crea un conjunto de contador y aplicador independiente para cada término de filtro que hace referencia a la acción específica del prefijo.
Longitud del prefijo de la dirección de origen: longitud del prefijo de dirección, del 0 al 32, que se utilizará con un paquete coincidente en la dirección de origen.
Longitud del prefijo de la dirección de destino: longitud del prefijo de dirección, del 0 al 32, que se utilizará con un paquete coincidente en la dirección de destino.
Longitud del prefijo de subred: longitud del prefijo de subred, del 0 al 32, que se va a utilizar con un paquete coincidente en la dirección de origen o de destino.
Debe configurar las longitudes de los prefijos de las direcciones de origen y destino para que sean de 1 a 16 bits más largas que la longitud del prefijo de subred. Si configura longitudes de prefijo de dirección de origen o destino para que sean más de 16 bits más allá de la longitud de prefijo de subred configurada, se produce un error cuando intenta confirmar la configuración.
Tamaño e indexación del conjunto de contadores y aplicadores
El número de acciones específicas del prefijo (contadores o policías) creadas implícitamente para una acción específica del prefijo viene determinado por la longitud del prefijo de dirección y la longitud del prefijo de subred:
Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)
Tabla 1 muestra ejemplos de tamaño e indexación de conjuntos de contadores y controladores.
Longitudes de prefijo de ejemplo especificadas en la acción específica del prefijo | Cálculo del tamaño del conjunto de contador o policía | Indización de instancias | |
|---|---|---|---|
source-prefix-length = 32 subnet-prefix-length = 16 | Size = 2^(32 - 16) = 2^16 = 65,536 instances Nota: Este cálculo muestra el mayor tamaño de conjunto de contadores o policías admitidos. | Instancia 0: | x.x.0.0 |
Instancia 1: | x.x. 0.1 | ||
Instancia 65535: | x.x.255.255 | ||
source-prefix-length = 32 subnet-prefix-length = 24 | Size = 2^(32 - 24) = 2^8 = 256 instances | Instancia 0: | x.x..x 0 |
Instancia 1: | x.x..x 1 | ||
Instancia 255: | x.x..x 255 | ||
source-prefix-length = 32 subnet-prefix-length = 25 | Size = 2^(32 - 25) = 2^7 = 128 instances | Instancia 0: | x.x..x 0 |
Instancia 1: | x.x..x 1 | ||
Instancia 127: | x.x..x 127 | ||
source-prefix-length = 24 subnet-prefix-length = 20 | Size = 2^(24 - 20) = 2^4 = 16 instances | Instancia 0: | x.x. 0.x |
Instancia 1: | x.x. 1.x | ||
Instancia 15: | x.x. 15.x | ||
Consulte también
Descripción general del contador específico del filtro y del conjunto de controladores
De forma predeterminada, un conjunto de políticas específicas de prefijo funciona en modo específico de término , de modo que, para un filtro de firewall determinado, Junos OS crea un contador y un conjunto de aplicadores independientes para cada término de filtro que haga referencia a la acción específica del prefijo. Como opción, puede configurar un conjunto de aplicadores específicos de prefijos para que funcione en modo específico de filtro , de modo que todos los términos (dentro del mismo filtro de firewall) que hagan referencia al controlador utilicen un único conjunto de aplicadores específicos de prefijo.
Para un filtro de firewall IPv4 con varios términos que hacen referencia al mismo conjunto de aplicadores específicos del prefijo, configurar el conjunto de aplicadores para que funcione en modo específico del filtro permite contar y supervisar la actividad del conjunto de aplicadores en el nivel de filtro de firewall.
El modo específico de término y el modo específico de filtro también se aplican a los aplicadores de políticas. Consulte Descripción general del aplicador de políticas específico del filtro.
Para permitir que un conjunto de aplicadores específicos de prefijo funcione en modo específico del filtro, puede incluir la filter-specific instrucción en los siguientes niveles de jerarquía:
[edit firewall family inet prefix-action prefix-action-name][edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]
Puede hacer referencia a conjuntos de políticas específicos de filtros y prefijos únicamente desde filtros de firewall IPv4 (family inet).
Consulte también
Descripción general del aplicador de políticas específico del filtro
De forma predeterminada, un aplicador funciona en modo específico del término de modo que, para un filtro de firewall determinado, Junos OS cree una instancia de aplicador independiente para cada término de filtro que haga referencia al aplicador de aplicación. Como opción, puede configurar un aplicador de policía para que funcione en modo específico de filtro , de modo que todos los términos (dentro del mismo filtro de firewall) que hagan referencia al controlador utilicen una única instancia de policía.
Para un filtro de firewall IPv4 con varios términos que hacen referencia al mismo aplicador de aplicación, configurar el controlador para que funcione en modo específico del filtro permite contar y supervisar la actividad del policía en el nivel de filtro de firewall.
El modo específico del término y el modo específico del filtro también se aplican a los conjuntos de políticas específicos del prefijo.
Para permitir que un aplicador de dos colores de velocidad única funcione en modo específico del filtro, puede incluir la filter-specific instrucción en los siguientes niveles de jerarquía:
[edit firewall policer policer-name][edit logical-systems logical-system-name firewall policer policer-name]
Puede hacer referencia a los aplicadores de políticas específicos del filtro únicamente desde los filtros de firewall IPv4 (family inet).
Ejemplo: Configuración del conteo y la vigilancia específicos del prefijo
En este ejemplo se muestra cómo configurar el conteo y la vigilancia específicos del prefijo.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se configuran el conteo y la vigilancia específicos del prefijo en función del último octeto del campo de dirección de origen en paquetes que coincidan con un filtro de firewall IPv4.
El aplicador de dos colores de velocidad única nombrado 1Mbps-policer limita el tráfico a un ancho de banda de 1.000.000 bps y un límite de tamaño de ráfaga de 63.000 bytes, descartando cualquier paquete en un flujo de tráfico que exceda los límites de tráfico.
Independientemente de las direcciones IPv4 contenidas en cualquier paquete pasado desde un filtro de firewall, la acción específica del prefijo denominada psa-1Mbps-per-source-24-32-256 especifica un conjunto de 256 contadores y policíares, numerados del 0 al 255. Para cada paquete, el último octeto del campo de dirección de origen se usa para indizar en el contador y aplicador de políticas específico del prefijo asociado en el conjunto:
Los paquetes con una dirección de origen que termina con el índice del octeto 0x0000 00000 , el primer contador y el primer aplicador de control del conjunto.
Los paquetes con una dirección de origen que termina con el índice del octeto 0x0000 0001 , el segundo contador y el aplicador de políticas del conjunto.
Los paquetes con una dirección de origen que termina con el índice del octeto 0x1111 1111 , el último contador y el aplicador de control del conjunto.
El limit-source-one-24 filtro de firewall contiene un único término que coincide con todos los paquetes de la subred de la /24 dirección 10.10.10.0de origen , pasando estos paquetes a la acción psa-1Mbps-per-source-24-32-256específica del prefijo.
Topología
En este ejemplo, dado que el término filtro coincide con la /24 subred de una única dirección de origen, cada instancia de recuento y vigilancia del conjunto específico del prefijo se usa para una sola dirección de origen.
Los paquetes con una dirección
10.10.10.0de origen indexan el primer contador y el primer aplicador de políticas del conjunto.Los paquetes con una dirección
10.10.10.1de origen indexan el segundo contador y el aplicador de control del conjunto.Los paquetes con una dirección
10.10.10.255de origen indexan el último contador y el último aplicador de políticas del conjunto.
En este ejemplo se muestra el caso más simple de acciones específicas de prefijo, en el que el término filtro coincide en una dirección con una longitud de prefijo que es la misma que la longitud del prefijo especificada en la acción específica del prefijo para la indización en el conjunto de contadores y aplicadores de políticas específicos del prefijo.
Para obtener descripciones de otras configuraciones para el conteo y la vigilancia específicos del prefijo, consulte Escenarios de configuración de conteo y control específicos de prefijos.
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configuración de un aplicador de políticas para el conteo y la vigilancia específicos del prefijo
- Configuración de una acción específica de prefijo basada en el aplicador de políticas
- Configuración de un filtro IPv4 que haga referencia a la acción específica del prefijo
- Aplicación del filtro de firewall al tráfico de entrada IPv4 en una interfaz lógica
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit] jerarquía.
set firewall policer 1Mbps-policer if-exceeding bandwidth-limit 1m set firewall policer 1Mbps-policer if-exceeding burst-size-limit 63k set firewall policer 1Mbps-policer then discard set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 policer 1Mbps-policer set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 count set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 subnet-prefix-length 24 set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 source-prefix-length 32 set firewall family inet filter limit-source-one-24 term one from source-address 10.10.10.0/24 set firewall family inet filter limit-source-one-24 term one then prefix-action psa-1Mbps-per-source-24-32-256 set interfaces so-0/0/2 unit 0 family inet filter input limit-source-one-24 set interfaces so-0/0/2 unit 0 family inet address 10.39.1.1/16
Configuración de un aplicador de políticas para el conteo y la vigilancia específicos del prefijo
Procedimiento paso a paso
Para configurar un aplicador de policía para usarlo en el conteo y la vigilancia específicos del prefijo:
Habilite la configuración de un aplicador de dos colores de velocidad única.
content_copy zoom_out_map[edit] user@host# edit firewall policer 1Mbps-policer
Defina el límite de tráfico.
content_copy zoom_out_map[edit firewall policer 1Mbps-policer] user@host# set if-exceeding bandwidth-limit 1m user@host# set if-exceeding burst-size-limit 63k
Los paquetes de un flujo de tráfico que se ajusta a este límite se pasan con el PLP establecido en
low.Defina las acciones para el tráfico no conforme.
content_copy zoom_out_map[edit firewall policer 1Mbps-policer] user@host# set then discard
Los paquetes en un flujo de tráfico que supera este límite se descartan. Otras acciones configurables para un aplicador de dos colores de velocidad única son establecer la clase de reenvío y establecer el nivel PLP.
Resultados
Confirme la configuración del aplicador de políticas introduciendo el comando de show firewall modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
Configuración de una acción específica de prefijo basada en el aplicador de políticas
Procedimiento paso a paso
Para configurar una acción específica de prefijo que haga referencia al aplicador de policía y especifique una parte de un prefijo de dirección de origen:
Habilite la configuración de una acción específica del prefijo.
content_copy zoom_out_map[edit] user@host# edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256
El conteo y la vigilancia específicos del prefijo solo se pueden definir para el tráfico IPv4.
Haga referencia al controlador de policía para el que se va a crear un conjunto específico de prefijo.
content_copy zoom_out_map[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set policer 1Mbps-policer user@host# set count
Nota:En el caso de interfaces Ethernet agregadas, puede configurar una acción específica del prefijo que haga referencia a un controlador de interfaz lógica (también denominado aplicador de agregado). Puede hacer referencia a este tipo de acción específica del prefijo desde un filtro de firewall estándar IPv4 y, a continuación, aplicar el filtro en el nivel agregado de la interfaz.
Especifique el intervalo de prefijos en el que se van a indizar las direcciones IPv4 al contador y al conjunto de policías.
content_copy zoom_out_map[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set source-prefix-length 32 user@host# set subnet-prefix-length 24
Resultados
Confirme la configuración de la acción específica del prefijo introduciendo el comando del show firewall modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
}
Configuración de un filtro IPv4 que haga referencia a la acción específica del prefijo
Procedimiento paso a paso
Para configurar un filtro de firewall estándar IPv4 que haga referencia a la acción específica del prefijo:
Habilite la configuración del filtro de firewall estándar IPv4.
content_copy zoom_out_map[edit] user@host# edit firewall family inet filter limit-source-one-24
El conteo y la vigilancia específicos del prefijo solo se pueden definir para el tráfico IPv4.
Configure el término del filtro para que coincida con la dirección de origen o de destino del paquete.
content_copy zoom_out_map[edit firewall family inet filter limit-source-one-24] user@host# set term one from source-address 10.10.10.0/24
Configure el término del filtro para hacer referencia a la acción específica del prefijo.
content_copy zoom_out_map[edit firewall family inet filter limit-source-one-24] user@host# set term one then prefix-action psa-1Mbps-per-source-24-32-256
También puede usar la acción para configurar todo el
next termtráfico del Protocolo de transferencia de hipertexto (HTTP) a cada host para transmitir a 500 Kbps y tener el tráfico HTTP total limitado a 1 Mbps.
Resultados
Confirme la configuración de la acción específica del prefijo introduciendo el comando del show firewall modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
Aplicación del filtro de firewall al tráfico de entrada IPv4 en una interfaz lógica
Procedimiento paso a paso
Para aplicar el filtro de firewall al tráfico de entrada IPv4 en una interfaz lógica:
Habilite la configuración de IPv4 en la interfaz lógica.
content_copy zoom_out_map[edit] user@host# edit interfaces so-0/0/2 unit 0 family inet
Configure una dirección IP.
content_copy zoom_out_map[edit interfaces so-0/0/2 unit 0 family inet] user@host# set address 10.39.1.1/16
Aplique el filtro de firewall sin estado estándar IPv4.
content_copy zoom_out_map[edit interfaces so-0/0/2 unit 0 family inet] user@host# set filter input limit-source-one-24
Resultados
Confirme la configuración de la acción específica del prefijo introduciendo el comando del show interfaces modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit]
user@host# show interfaces
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Visualización de los filtros de firewall aplicados a una interfaz
- Visualización de estadísticas de acciones específicas del prefijo para el filtro de firewall
Visualización de los filtros de firewall aplicados a una interfaz
Propósito
Compruebe que el filtro limit-source-one-24 de firewall se aplica al tráfico de entrada IPv4 en la interfaz so-0/0/2.0lógica.
Acción
Utilice el comando de modo operativo para la show interfaces statistics interfaz so-0/0/2.0lógica e incluya la detail opción. En la sección de salida de comandos de Protocol inet, el campo muestra limit-source-one-24, Input Filters lo que indica que el filtro se aplica al tráfico IPv4 en la dirección de entrada:
user@host> show interfaces statistics so-0/0/2.0 detail
Logical interface so-0/0/2.0 (Index 79) (SNMP ifIndex 510) (Generation 149)
Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP
Protocol inet, MTU: 4470, Generation: 173, Route table: 0
Flags: Sendbcast-pkt-to-re, Protocol-Down
Input Filters: limit-source-one-24
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
Visualización de estadísticas de acciones específicas del prefijo para el filtro de firewall
Propósito
Verifique el número de paquetes evaluados por el policía.
Acción
Utilice el comando del modo operativo para mostrar estadísticas sobre una acción específica de show firewall prefix-action-stats filter filter-name prefix-action name prefijo configurada en un filtro de firewall.
Como opción, puede utilizar la opción de from set-index to set-index comando para especificar el contador inicial y final o el aplicador de control que se mostrará. Un conjunto de políticas se indexa del 0 al 65535.
El resultado del comando muestra el nombre de filtro especificado seguido de una lista del número de bytes y paquetes procesados por cada aplicador de policía en el conjunto de aplicadores de policía.
Para un aplicador de policía específico del término, cada aplicador del conjunto se identifica de la siguiente manera:
prefix-specific-action-name-term-name-set-index
Para un controlador de policía específico del filtro, cada controlador de policía se identifica en el resultado del comando de la siguiente manera:
prefix-specific-action-name-set-index
Dado que solo un término del filtro limit-source-one-24de ejemplo hace referencia a la acción psa-1Mbps-per-source-24-32-256 específica del prefijo de ejemplo, el aplicador 1Mbps-policer de políticas de ejemplo se configura como específico del término. En la salida del show firewall prefix-action-stats comando, las estadísticas de policía se muestran como psa-1Mbps-per-source-24-32-256-one-0, psa-1Mbps-per-source-24-32-256-one-1, y así sucesivamente hasta psa-1Mbps-per-source-24-32-256-one-255.
user@host> show firewall prefix-action-stats filter limit-source-one-24 prefix-action psa-1Mbps-per-source-24-32-256 from 0 to 9 Filter: limit-source-one-24 Counters: Name Bytes Packets psa-1Mbps-per-source-24-32-256-one-0 0 0 psa-1Mbps-per-source-24-32-256-one-1 0 0 psa-1Mbps-per-source-24-32-256-one-2 0 0 psa-1Mbps-per-source-24-32-256-one-3 0 0 psa-1Mbps-per-source-24-32-256-one-4 0 0 psa-1Mbps-per-source-24-32-256-one-5 0 0 psa-1Mbps-per-source-24-32-256-one-6 0 0 psa-1Mbps-per-source-24-32-256-one-7 0 0 psa-1Mbps-per-source-24-32-256-one-8 0 0 psa-1Mbps-per-source-24-32-256-one-9 0 0
Escenarios de configuración de conteo y control específicos de prefijos
- Longitud del prefijo de la acción y longitud del prefijo de las direcciones en paquetes filtrados
- Escenario 1: Coincidencias de términos de filtro de firewall en varias direcciones
- Escenario 2: El prefijo de subred es más largo que el prefijo en la condición de coincidencia de filtro
- Escenario 3: SubredEl prefijo contador y policía número 128 es más corto que el prefijo de la condición de coincidencia de filtro de firewall
Longitud del prefijo de la acción y longitud del prefijo de las direcciones en paquetes filtrados
Tabla 2 Describe la relación entre la longitud del prefijo especificada en la acción específica del prefijo y la longitud del prefijo de las direcciones que coincide con el término de filtro de firewall que hace referencia a la acción específica del prefijo.
Conjunto de contadores y policías | Criterios de filtrado de paquetes | Indización de instancias | ||
|---|---|---|---|---|
Escenario de acción específico del prefijo: Ejemplo: Configuración del conteo y la vigilancia específicos del prefijo | ||||
source-prefix-length = 32 subnet-prefix-length = 24 Tamaño del conjunto: 2^8 = 256Números de instancia: 0 - 255 | source-address = 10.10.10.0/24 | Instancia 0 | 10.10.10.0 | |
Instancia 1: | 10.10.10.1 | |||
|
| |||
Instancia 255: | 10.10.10.255 | |||
Escenario de acción específico del prefijo: Escenario 1: Coincidencias de términos de filtro de firewall en varias direcciones | ||||
source-prefix-length = 32 subnet-prefix-length = 24 Tamaño del conjunto: 2^8 = 256Números de instancia: 0 - 255 | source-address = 10.10.10.0/24 source-address = 10.11.0.0/16 | Instancia 0 | 10.10.10.0,10.11.x.0 | |
Instancia 1: | 10.10.10.1,10.11.x.1 | |||
|
| |||
Instancia 255: | 10.10.10.255,10.11.x.255 | |||
Para las direcciones de la subred /16, x oscila entre 0 y 255. | ||||
Escenario de acción específico del prefijo: Escenario 2: El prefijo de subred es más largo que el prefijo en la condición de coincidencia de filtro | ||||
source-prefix-length = 32 subnet-prefix-length = 25 Tamaño del conjunto: 2^7 = 128Números de instancia: 0 - 127 | source-address = 10.10.10.0/24 | Instancia 0 | 10.10.10.0,10.10.10.128 | |
Instancia 1: | 10.10.10.1,10.10.10.120 | |||
|
| |||
Instancia 127: | 10.10.10.255,10.10.10.127 | |||
Escenario de acción específico del prefijo: Escenario 3: SubredEl prefijo contador y policía número 128 es más corto que el prefijo de la condición de coincidencia de filtro de firewall | ||||
source-prefix-length = 32 subnet-prefix-length = 24 Tamaño del conjunto: 2^8 = 256Números de instancia: 0 - 255 | source-address = 10.10.10.0/25 Nota: Sólo los paquetes con direcciones de origen que van desde el final | Instancia 0 | 10.10.10.0 | |
Instancia 1: | 10.10.10.1 | |||
|
| |||
Instancia 127: | 10.10.10.127 | |||
Casos 128 – 255: no usado | ||||
Escenario 1: Coincidencias de términos de filtro de firewall en varias direcciones
El ejemplo completo, Ejemplo: Configuración del conteo y la vigilancia específicos del prefijo, muestra el caso más simple de acciones específicas de prefijo, en el que un filtro de firewall de un solo término coincide en una dirección con una longitud de prefijo que es la misma que la longitud del prefijo de subred especificada en la acción específica del prefijo. A diferencia del ejemplo, este escenario describe una configuración en la que un filtro de firewall de término único coincide en dos direcciones de origen IPv4. Además, la condición adicional coincide en una dirección de origen con una longitud de prefijo que es diferente de la longitud del prefijo de subred definida en la acción específica del prefijo. En este caso, la condición adicional coincide en la /16 subred de la dirección 10.11.0.0de origen.
A diferencia de los paquetes que coinciden con la dirección 10.10.10.0/24de origen, los paquetes que coinciden con la dirección 10.11.0.0/16 de origen se encuentran en una correspondencia varios a uno con las instancias del contador y el conjunto de policías.
Los paquetes coincidentes con filtro que se pasan al índice de acción específico del prefijo en el contador y el conjunto de políticas de tal manera que los paquetes que contienen direcciones 10.10.10.0/24 de origen en las subredes y las instancias de conteo y 10.11.0.0/16 control se compartan de la siguiente manera:
El primer contador y el aplicador de policía del conjunto se indexan por paquetes con direcciones
10.10.10.0de origen y10.11.x.0, donde x oscila0entre .255El segundo contador y el aplicador de políticas del conjunto están indexados por paquetes con direcciones
10.10.10.1de origen y10.11.x.1, donde x oscila0entre .255El contador 256 (último) y el aplicador de políticas del conjunto están indexados por paquetes con direcciones
10.10.10.255de origen y10.11.x.255, donde x oscila0entre .255
La siguiente configuración muestra las instrucciones para configurar el aplicador de dos colores de velocidad única, la acción específica del prefijo que hace referencia al aplicador y el filtro de firewall sin estado estándar IPv4 que hace referencia a la acción específica del prefijo:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-two-24-16 {
term one {
from {
source-address {
10.10.10.0/24;
10.11.0.0/16;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-two-24-16;
}
address 10.39.1.1/16;
}
}
}
}
Escenario 2: El prefijo de subred es más largo que el prefijo en la condición de coincidencia de filtro
El ejemplo completo, Ejemplo: Configuración del conteo y la vigilancia específicos del prefijo, muestra el caso más simple de acciones específicas de prefijo, en las que el filtro de firewall de término único coincide en una dirección con una longitud de prefijo que es la misma que la longitud del prefijo de subred especificada en la acción específica del prefijo. A diferencia del ejemplo, este escenario describe una configuración en la que la acción específica del prefijo define una longitud de prefijo de subred que es mayor que el prefijo de la dirección de origen que coincide con el filtro de firewall. En este caso, la acción específica del prefijo define un valor de prefijo de subred de 25, mientras que el filtro del firewall coincide en una dirección de origen de la /24 subred.
El filtro de firewall pasa los paquetes de acción específicos del prefijo con direcciones de origen que van desde 10.10.10.0 , 10.10.10.255mientras que la acción específica del prefijo especifica un conjunto de sólo 128 contadores y policíares, numerados del 0 al 127.
Los paquetes coincidentes con filtros que se pasan al índice de acción específico del prefijo en el contador y el conjunto de políticas de tal manera que las instancias de conteo y control sean compartidas por paquetes que contienen cualquiera de las dos direcciones de origen dentro de la 10.10.10.0/24 subred:
El primer contador y el aplicador de políticas del conjunto se indexan por paquetes con direcciones
10.10.10.0de origen y10.10.10.128.El segundo contador y el aplicador de políticas del conjunto se indexan por paquetes con direcciones
10.10.10.1de origen y10.10.10.129.El contador 128 (último) y el aplicador de políticas del conjunto están indexados por paquetes con direcciones
10.10.10.127de origen y10.10.10.255.
La siguiente configuración muestra las instrucciones para configurar el aplicador de dos colores de velocidad única, la acción específica del prefijo que hace referencia al aplicador y el filtro de firewall sin estado estándar IPv4 que hace referencia a la acción específica del prefijo:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-25-32-128 {
policer 1Mbps-policer;
subnet-prefix-length 25;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-25-32-128;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
}
Escenario 3: SubredEl prefijo contador y policía número 128 es más corto que el prefijo de la condición de coincidencia de filtro de firewall
El ejemplo completo, Ejemplo: Configuración del conteo y la vigilancia específicos del prefijo, muestra el caso más simple de acciones específicas de prefijo, en las que el filtro de firewall de término único coincide en una dirección con una longitud de prefijo que es la misma que la longitud del prefijo de subred especificada en la acción específica del prefijo. A diferencia del ejemplo, este escenario describe una configuración en la que la acción específica del prefijo define una longitud de prefijo de subred que es más corta que el prefijo de la dirección de origen que coincide con el filtro de firewall. En este caso, el término de filtro coincide en la /25 subred de la dirección 10.10.10.0de origen.
El filtro de firewall pasa la acción específica del prefijo sólo a los paquetes con direcciones de origen que van del 10.10.10.0 a , 10.10.10.127mientras que la acción específica del prefijo especifica un conjunto de 256 contadores y policíares, numerados del 0 al 255.
Los paquetes coincidentes que se pasan al índice de acción específico del prefijo solo en la mitad inferior del conjunto de contador y aplicador de policía:
El primer contador y aplicador de políticas del conjunto se indexan por paquetes con dirección
10.10.10.0de origen.El segundo contador y el aplicador de políticas del conjunto se indexan por paquetes con dirección
10.10.10.1de origen y10.10.10.129.El contador 128 y el aplicador de políticas del conjunto están indexados por paquetes con dirección
10.10.10.127de origen.La mitad superior del conjunto (instancias numeradas del 128 al 255) no se indexan mediante paquetes pasados a la acción específica del prefijo desde este filtro de firewall en particular.
La siguiente configuración muestra las instrucciones para configurar el aplicador de dos colores de velocidad única, la acción específica del prefijo que hace referencia al aplicador y el filtro de firewall sin estado estándar IPv4 que hace referencia a la acción específica del prefijo:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-25 {
term one {
from {
source-address {
10.10.10.0/25;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-25;
}
address 10.39.1.1/16;
}
}
}
}
