EN ESTA PÁGINA
Descripción general del conteo y la vigilancia de prefijos específicos
Descripción general del contador específico del filtro y del conjunto de controladores
Descripción general del aplicador de políticas específico del filtro
Ejemplo: Configuración del conteo y la vigilancia específicos del prefijo
Escenarios de configuración de conteo y control específicos de prefijos
Acciones de conteo y control específicos del prefijo
Descripción general del conteo y la vigilancia de prefijos específicos
- Conteo y control separados para cada intervalo de direcciones IPv4
- Configuración de acciones específicas del prefijo
- Tamaño e indexación del conjunto de contadores y aplicadores
Conteo y control separados para cada intervalo de direcciones IPv4
El conteo y la vigilancia específicos del prefijo permiten configurar un término de filtro de firewall IPv4 que coincida con una dirección de origen o destino, aplique un aplicador de dos colores de velocidad única como acción de término, pero asocie el paquete coincidente con un contador específico y una instancia de policía según el origen o el destino en el encabezado del paquete. Puede crear implícitamente una instancia de contador o de policía independiente para una sola dirección o para un grupo de direcciones.
El conteo y la vigilancia específicos del prefijo usan una configuración de acción específica del prefijo que especifica el nombre del policía que desea aplicar, si se va a habilitar el conteo específico del prefijo y un intervalo de prefijos de dirección de origen o destino.
El intervalo de prefijos especifica entre 1 y 16 bits de conjunto secuencial de una máscara de dirección IPv4. La longitud del intervalo de prefijos determina el tamaño del conjunto de contadores y aplicadores, que consta de tan solo 2 o hasta 65.536 instancias de contador y policía. La posición de los bits del rango de prefijos determina la indexación de los paquetes coincidentes con filtro en el conjunto de instancias.
Una acción específica de prefijo es específica de un intervalo de prefijos de origen o destino, pero no es específica de un intervalo de direcciones de origen o destino concreto, y no es específica de una interfaz determinada.
Para aplicar una acción específica del prefijo al tráfico en una interfaz, configure un término de filtro de firewall que coincida con las direcciones de origen o destino y, a continuación, aplique el filtro de firewall a la interfaz. El flujo de tráfico filtrado está limitado por velocidad mediante instancias de contador y aplicador específicas del prefijo que se seleccionan por paquete en función de la dirección de origen o destino en el encabezado del paquete filtrado.
Configuración de acciones específicas del prefijo
Para configurar una acción específica del prefijo, especifique la siguiente información:
Nombre de acción específico del prefijo: nombre al que se puede hacer referencia como la acción de un término de filtro de firewall estándar IPv4 que coincide con paquetes en direcciones de origen o destino.
Nombre del aplicador: nombre de un aplicador de dos colores de velocidad única para el que desea crear implícitamente instancias específicas de prefijo.
Nota:En el caso de interfaces Ethernet agregadas, puede configurar una acción específica del prefijo que haga referencia a un controlador de interfaz lógica (también denominado aplicador de agregado). Puede hacer referencia a este tipo de acción específica del prefijo desde un filtro de firewall estándar IPv4 y, a continuación, aplicar el filtro en el nivel agregado de la interfaz.
Opción de recuento: opción que se incluirá si desea activar contadores específicos de prefijo.
Opción específica del filtro: opción que se incluye si desea que un solo contador y un solo conjunto de políticas se compartan entre todos los términos del filtro de firewall. Se dice que una acción específica del prefijo que funciona de esta manera funciona en modo específico del filtro. Si no habilita esta opción, la acción específica del prefijo funciona en el modo específico del término , lo que significa que se crea un conjunto de contador y aplicador independiente para cada término de filtro que hace referencia a la acción específica del prefijo.
Longitud del prefijo de la dirección de origen: longitud del prefijo de dirección, del 0 al 32, que se utilizará con un paquete coincidente en la dirección de origen.
Longitud del prefijo de la dirección de destino: longitud del prefijo de dirección, del 0 al 32, que se utilizará con un paquete coincidente en la dirección de destino.
Longitud del prefijo de subred: longitud del prefijo de subred, del 0 al 32, que se va a utilizar con un paquete coincidente en la dirección de origen o de destino.
Debe configurar las longitudes de los prefijos de las direcciones de origen y destino para que sean de 1 a 16 bits más largas que la longitud del prefijo de subred. Si configura longitudes de prefijo de dirección de origen o destino para que sean más de 16 bits más allá de la longitud de prefijo de subred configurada, se produce un error cuando intenta confirmar la configuración.
Tamaño e indexación del conjunto de contadores y aplicadores
El número de acciones específicas del prefijo (contadores o policías) creadas implícitamente para una acción específica del prefijo viene determinado por la longitud del prefijo de dirección y la longitud del prefijo de subred:
Size of Counter and Policer Set = 2^(source-or-destination-prefix-length - subnet-prefix-length)
Tabla 1 muestra ejemplos de tamaño e indexación de conjuntos de contadores y controladores.
Longitudes de prefijo de ejemplo especificadas en la acción específica del prefijo |
Cálculo del tamaño del conjunto de contador o policía |
Indización de instancias |
|
|---|---|---|---|
source-prefix-length = 32 subnet-prefix-length = 16 |
Size = 2^(32 - 16) = 2^16 = 65,536 instances Nota:
Este cálculo muestra el mayor tamaño de conjunto de contadores o policías admitidos. |
Instancia 0: |
x.x.0.0 |
Instancia 1: |
x.x. 0.1 |
||
Instancia 65535: |
x.x.255.255 |
||
source-prefix-length = 32 subnet-prefix-length = 24 |
Size = 2^(32 - 24) = 2^8 = 256 instances |
Instancia 0: |
x.x..x 0 |
Instancia 1: |
x.x..x 1 |
||
Instancia 255: |
x.x..x 255 |
||
source-prefix-length = 32 subnet-prefix-length = 25 |
Size = 2^(32 - 25) = 2^7 = 128 instances |
Instancia 0: |
x.x..x 0 |
Instancia 1: |
x.x..x 1 |
||
Instancia 127: |
x.x..x 127 |
||
source-prefix-length = 24 subnet-prefix-length = 20 |
Size = 2^(24 - 20) = 2^4 = 16 instances |
Instancia 0: |
x.x. 0.x |
Instancia 1: |
x.x. 1.x |
||
Instancia 15: |
x.x. 15.x |
||
Consulte también
Descripción general del contador específico del filtro y del conjunto de controladores
De forma predeterminada, un conjunto de políticas específicas de prefijo funciona en modo específico de término , de modo que, para un filtro de firewall determinado, Junos OS crea un contador y un conjunto de aplicadores independientes para cada término de filtro que haga referencia a la acción específica del prefijo. Como opción, puede configurar un conjunto de aplicadores específicos de prefijos para que funcione en modo específico de filtro , de modo que todos los términos (dentro del mismo filtro de firewall) que hagan referencia al controlador utilicen un único conjunto de aplicadores específicos de prefijo.
Para un filtro de firewall IPv4 con varios términos que hacen referencia al mismo conjunto de aplicadores específicos del prefijo, configurar el conjunto de aplicadores para que funcione en modo específico del filtro permite contar y supervisar la actividad del conjunto de aplicadores en el nivel de filtro de firewall.
El modo específico de término y el modo específico de filtro también se aplican a los aplicadores de políticas. Consulte Descripción general del aplicador de políticas específico del filtro.
Para permitir que un conjunto de aplicadores específicos de prefijo funcione en modo específico del filtro, puede incluir la filter-specific instrucción en los siguientes niveles de jerarquía:
[edit firewall family inet prefix-action prefix-action-name][edit logical-systems logical-system-name firewall family inet prefix-action prefix-action-name]
Puede hacer referencia a conjuntos de políticas específicos de filtros y prefijos únicamente desde filtros de firewall IPv4 (family inet).
Consulte también
Descripción general del aplicador de políticas específico del filtro
De forma predeterminada, un aplicador funciona en modo específico del término de modo que, para un filtro de firewall determinado, Junos OS cree una instancia de aplicador independiente para cada término de filtro que haga referencia al aplicador de aplicación. Como opción, puede configurar un aplicador de policía para que funcione en modo específico de filtro , de modo que todos los términos (dentro del mismo filtro de firewall) que hagan referencia al controlador utilicen una única instancia de policía.
Para un filtro de firewall IPv4 con varios términos que hacen referencia al mismo aplicador de aplicación, configurar el controlador para que funcione en modo específico del filtro permite contar y supervisar la actividad del policía en el nivel de filtro de firewall.
El modo específico del término y el modo específico del filtro también se aplican a los conjuntos de políticas específicos del prefijo.
Para permitir que un aplicador de dos colores de velocidad única funcione en modo específico del filtro, puede incluir la filter-specific instrucción en los siguientes niveles de jerarquía:
[edit firewall policer policer-name][edit logical-systems logical-system-name firewall policer policer-name]
Puede hacer referencia a los aplicadores de políticas específicos del filtro únicamente desde los filtros de firewall IPv4 (family inet).
Ejemplo: Configuración del conteo y la vigilancia específicos del prefijo
En este ejemplo se muestra cómo configurar el conteo y la vigilancia específicos del prefijo.
Requisitos
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
En este ejemplo, se configuran el conteo y la vigilancia específicos del prefijo en función del último octeto del campo de dirección de origen en paquetes que coincidan con un filtro de firewall IPv4.
El aplicador de dos colores de velocidad única nombrado 1Mbps-policer limita el tráfico a un ancho de banda de 1.000.000 bps y un límite de tamaño de ráfaga de 63.000 bytes, descartando cualquier paquete en un flujo de tráfico que exceda los límites de tráfico.
Independientemente de las direcciones IPv4 contenidas en cualquier paquete pasado desde un filtro de firewall, la acción específica del prefijo denominada psa-1Mbps-per-source-24-32-256 especifica un conjunto de 256 contadores y policíares, numerados del 0 al 255. Para cada paquete, el último octeto del campo de dirección de origen se usa para indizar en el contador y aplicador de políticas específico del prefijo asociado en el conjunto:
Los paquetes con una dirección de origen que termina con el índice del octeto 0x0000 00000 , el primer contador y el primer aplicador de control del conjunto.
Los paquetes con una dirección de origen que termina con el índice del octeto 0x0000 0001 , el segundo contador y el aplicador de políticas del conjunto.
Los paquetes con una dirección de origen que termina con el índice del octeto 0x1111 1111 , el último contador y el aplicador de control del conjunto.
El limit-source-one-24 filtro de firewall contiene un único término que coincide con todos los paquetes de la subred de la /24 dirección 10.10.10.0de origen , pasando estos paquetes a la acción psa-1Mbps-per-source-24-32-256específica del prefijo.
Topología
En este ejemplo, dado que el término filtro coincide con la /24 subred de una única dirección de origen, cada instancia de recuento y vigilancia del conjunto específico del prefijo se usa para una sola dirección de origen.
Los paquetes con una dirección
10.10.10.0de origen indexan el primer contador y el primer aplicador de políticas del conjunto.Los paquetes con una dirección
10.10.10.1de origen indexan el segundo contador y el aplicador de control del conjunto.Los paquetes con una dirección
10.10.10.255de origen indexan el último contador y el último aplicador de políticas del conjunto.
En este ejemplo se muestra el caso más simple de acciones específicas de prefijo, en el que el término filtro coincide en una dirección con una longitud de prefijo que es la misma que la longitud del prefijo especificada en la acción específica del prefijo para la indización en el conjunto de contadores y aplicadores de políticas específicos del prefijo.
Para obtener descripciones de otras configuraciones para el conteo y la vigilancia específicos del prefijo, consulte Escenarios de configuración de conteo y control específicos de prefijos.
Configuración
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Usar el editor de CLI en el modo de configuración.
Para configurar este ejemplo, realice las siguientes tareas:
- Configuración rápida de CLI
- Configuración de un aplicador de políticas para el conteo y la vigilancia específicos del prefijo
- Configuración de una acción específica de prefijo basada en el aplicador de políticas
- Configuración de un filtro IPv4 que haga referencia a la acción específica del prefijo
- Aplicación del filtro de firewall al tráfico de entrada IPv4 en una interfaz lógica
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos de configuración en un archivo de texto, quite los saltos de línea y, a continuación, péguelos en la CLI en el nivel de [edit] jerarquía.
set firewall policer 1Mbps-policer if-exceeding bandwidth-limit 1m set firewall policer 1Mbps-policer if-exceeding burst-size-limit 63k set firewall policer 1Mbps-policer then discard set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 policer 1Mbps-policer set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 count set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 subnet-prefix-length 24 set firewall family inet prefix-action psa-1Mbps-per-source-24-32-256 source-prefix-length 32 set firewall family inet filter limit-source-one-24 term one from source-address 10.10.10.0/24 set firewall family inet filter limit-source-one-24 term one then prefix-action psa-1Mbps-per-source-24-32-256 set interfaces so-0/0/2 unit 0 family inet filter input limit-source-one-24 set interfaces so-0/0/2 unit 0 family inet address 10.39.1.1/16
Configuración de un aplicador de políticas para el conteo y la vigilancia específicos del prefijo
Procedimiento paso a paso
Para configurar un aplicador de policía para usarlo en el conteo y la vigilancia específicos del prefijo:
Habilite la configuración de un aplicador de dos colores de velocidad única.
[edit] user@host# edit firewall policer 1Mbps-policer
Defina el límite de tráfico.
[edit firewall policer 1Mbps-policer] user@host# set if-exceeding bandwidth-limit 1m user@host# set if-exceeding burst-size-limit 63k
Los paquetes de un flujo de tráfico que se ajusta a este límite se pasan con el PLP establecido en
low.Defina las acciones para el tráfico no conforme.
[edit firewall policer 1Mbps-policer] user@host# set then discard
Los paquetes en un flujo de tráfico que supera este límite se descartan. Otras acciones configurables para un aplicador de dos colores de velocidad única son establecer la clase de reenvío y establecer el nivel PLP.
Resultados
Confirme la configuración del aplicador de políticas introduciendo el comando de show firewall modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
Configuración de una acción específica de prefijo basada en el aplicador de políticas
Procedimiento paso a paso
Para configurar una acción específica de prefijo que haga referencia al aplicador de policía y especifique una parte de un prefijo de dirección de origen:
Habilite la configuración de una acción específica del prefijo.
[edit] user@host# edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256
El conteo y la vigilancia específicos del prefijo solo se pueden definir para el tráfico IPv4.
Haga referencia al controlador de policía para el que se va a crear un conjunto específico de prefijo.
[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set policer 1Mbps-policer user@host# set count
Nota:En el caso de interfaces Ethernet agregadas, puede configurar una acción específica del prefijo que haga referencia a un controlador de interfaz lógica (también denominado aplicador de agregado). Puede hacer referencia a este tipo de acción específica del prefijo desde un filtro de firewall estándar IPv4 y, a continuación, aplicar el filtro en el nivel agregado de la interfaz.
Especifique el intervalo de prefijos en el que se van a indizar las direcciones IPv4 al contador y al conjunto de policías.
[edit firewall family inet prefix-action psa-1Mbps-per-source-24-32-256] user@host# set source-prefix-length 32 user@host# set subnet-prefix-length 24
Resultados
Confirme la configuración de la acción específica del prefijo introduciendo el comando del show firewall modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
}
Configuración de un filtro IPv4 que haga referencia a la acción específica del prefijo
Procedimiento paso a paso
Para configurar un filtro de firewall estándar IPv4 que haga referencia a la acción específica del prefijo:
Habilite la configuración del filtro de firewall estándar IPv4.
[edit] user@host# edit firewall family inet filter limit-source-one-24
El conteo y la vigilancia específicos del prefijo solo se pueden definir para el tráfico IPv4.
Configure el término del filtro para que coincida con la dirección de origen o de destino del paquete.
[edit firewall family inet filter limit-source-one-24] user@host# set term one from source-address 10.10.10.0/24
Configure el término del filtro para hacer referencia a la acción específica del prefijo.
[edit firewall family inet filter limit-source-one-24] user@host# set term one then prefix-action psa-1Mbps-per-source-24-32-256
También puede usar la acción para configurar todo el
next termtráfico del Protocolo de transferencia de hipertexto (HTTP) a cada host para transmitir a 500 Kbps y tener el tráfico HTTP total limitado a 1 Mbps.
Resultados
Confirme la configuración de la acción específica del prefijo introduciendo el comando del show firewall modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit]
user@host# show firewall
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
Aplicación del filtro de firewall al tráfico de entrada IPv4 en una interfaz lógica
Procedimiento paso a paso
Para aplicar el filtro de firewall al tráfico de entrada IPv4 en una interfaz lógica:
Habilite la configuración de IPv4 en la interfaz lógica.
[edit] user@host# edit interfaces so-0/0/2 unit 0 family inet
Configure una dirección IP.
[edit interfaces so-0/0/2 unit 0 family inet] user@host# set address 10.39.1.1/16
Aplique el filtro de firewall sin estado estándar IPv4.
[edit interfaces so-0/0/2 unit 0 family inet] user@host# set filter input limit-source-one-24
Resultados
Confirme la configuración de la acción específica del prefijo introduciendo el comando del show interfaces modo de configuración. Si el resultado del comando no muestra la configuración deseada, repita las instrucciones de este procedimiento para corregir la configuración.
[edit]
user@host# show interfaces
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Visualización de los filtros de firewall aplicados a una interfaz
- Visualización de estadísticas de acciones específicas del prefijo para el filtro de firewall
Visualización de los filtros de firewall aplicados a una interfaz
Propósito
Compruebe que el filtro limit-source-one-24 de firewall se aplica al tráfico de entrada IPv4 en la interfaz so-0/0/2.0lógica.
Acción
Utilice el comando de modo operativo para la show interfaces statistics interfaz so-0/0/2.0lógica e incluya la detail opción. En la sección de salida de comandos de Protocol inet, el campo muestra limit-source-one-24, Input Filters lo que indica que el filtro se aplica al tráfico IPv4 en la dirección de entrada:
user@host> show interfaces statistics so-0/0/2.0 detail
Logical interface so-0/0/2.0 (Index 79) (SNMP ifIndex 510) (Generation 149)
Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP
Protocol inet, MTU: 4470, Generation: 173, Route table: 0
Flags: Sendbcast-pkt-to-re, Protocol-Down
Input Filters: limit-source-one-24
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
Visualización de estadísticas de acciones específicas del prefijo para el filtro de firewall
Propósito
Verifique el número de paquetes evaluados por el policía.
Acción
Utilice el comando del modo operativo para mostrar estadísticas sobre una acción específica de show firewall prefix-action-stats filter filter-name prefix-action name prefijo configurada en un filtro de firewall.
Como opción, puede utilizar la opción de from set-index to set-index comando para especificar el contador inicial y final o el aplicador de control que se mostrará. Un conjunto de políticas se indexa del 0 al 65535.
El resultado del comando muestra el nombre de filtro especificado seguido de una lista del número de bytes y paquetes procesados por cada aplicador de policía en el conjunto de aplicadores de policía.
Para un aplicador de policía específico del término, cada aplicador del conjunto se identifica de la siguiente manera:
prefix-specific-action-name-term-name-set-index
Para un controlador de policía específico del filtro, cada controlador de policía se identifica en el resultado del comando de la siguiente manera:
prefix-specific-action-name-set-index
Dado que solo un término del filtro limit-source-one-24de ejemplo hace referencia a la acción psa-1Mbps-per-source-24-32-256 específica del prefijo de ejemplo, el aplicador 1Mbps-policer de políticas de ejemplo se configura como específico del término. En la salida del show firewall prefix-action-stats comando, las estadísticas de policía se muestran como psa-1Mbps-per-source-24-32-256-one-0, psa-1Mbps-per-source-24-32-256-one-1, y así sucesivamente hasta psa-1Mbps-per-source-24-32-256-one-255.
user@host> show firewall prefix-action-stats filter limit-source-one-24 prefix-action psa-1Mbps-per-source-24-32-256 from 0 to 9 Filter: limit-source-one-24 Counters: Name Bytes Packets psa-1Mbps-per-source-24-32-256-one-0 0 0 psa-1Mbps-per-source-24-32-256-one-1 0 0 psa-1Mbps-per-source-24-32-256-one-2 0 0 psa-1Mbps-per-source-24-32-256-one-3 0 0 psa-1Mbps-per-source-24-32-256-one-4 0 0 psa-1Mbps-per-source-24-32-256-one-5 0 0 psa-1Mbps-per-source-24-32-256-one-6 0 0 psa-1Mbps-per-source-24-32-256-one-7 0 0 psa-1Mbps-per-source-24-32-256-one-8 0 0 psa-1Mbps-per-source-24-32-256-one-9 0 0
Escenarios de configuración de conteo y control específicos de prefijos
- Longitud del prefijo de la acción y longitud del prefijo de las direcciones en paquetes filtrados
- Escenario 1: Coincidencias de términos de filtro de firewall en varias direcciones
- Escenario 2: El prefijo de subred es más largo que el prefijo en la condición de coincidencia de filtro
- Escenario 3: SubredEl prefijo contador y policía número 128 es más corto que el prefijo de la condición de coincidencia de filtro de firewall
Longitud del prefijo de la acción y longitud del prefijo de las direcciones en paquetes filtrados
Tabla 2 Describe la relación entre la longitud del prefijo especificada en la acción específica del prefijo y la longitud del prefijo de las direcciones que coincide con el término de filtro de firewall que hace referencia a la acción específica del prefijo.
Conjunto de contadores y policías |
Criterios de filtrado de paquetes |
Indización de instancias |
||
|---|---|---|---|---|
Escenario de acción específico del prefijo: Ejemplo: Configuración del conteo y la vigilancia específicos del prefijo |
||||
source-prefix-length = 32 subnet-prefix-length = 24 Tamaño del conjunto: 2^8 = 256Números de instancia: 0 - 255 |
source-address = 10.10.10.0/24 |
Instancia 0 |
10.10.10.0 |
|
Instancia 1: |
10.10.10.1 |
|||
|
|
|||
Instancia 255: |
10.10.10.255 |
|||
Escenario de acción específico del prefijo: Escenario 1: Coincidencias de términos de filtro de firewall en varias direcciones |
||||
source-prefix-length = 32 subnet-prefix-length = 24 Tamaño del conjunto: 2^8 = 256Números de instancia: 0 - 255 |
source-address = 10.10.10.0/24 source-address = 10.11.0.0/16 |
Instancia 0 |
10.10.10.0,10.11.x.0 |
|
Instancia 1: |
10.10.10.1,10.11.x.1 |
|||
|
|
|||
Instancia 255: |
10.10.10.255,10.11.x.255 |
|||
Para las direcciones de la subred /16, x oscila entre 0 y 255. |
||||
Escenario de acción específico del prefijo: Escenario 2: El prefijo de subred es más largo que el prefijo en la condición de coincidencia de filtro |
||||
source-prefix-length = 32 subnet-prefix-length = 25 Tamaño del conjunto: 2^7 = 128Números de instancia: 0 - 127 |
source-address = 10.10.10.0/24 |
Instancia 0 |
10.10.10.0,10.10.10.128 |
|
Instancia 1: |
10.10.10.1,10.10.10.120 |
|||
|
|
|||
Instancia 127: |
10.10.10.255,10.10.10.127 |
|||
Escenario de acción específico del prefijo: Escenario 3: SubredEl prefijo contador y policía número 128 es más corto que el prefijo de la condición de coincidencia de filtro de firewall |
||||
source-prefix-length = 32 subnet-prefix-length = 24 Tamaño del conjunto: 2^8 = 256Números de instancia: 0 - 255 |
source-address = 10.10.10.0/25 Nota:
Sólo los paquetes con direcciones de origen que van desde el final |
Instancia 0 |
10.10.10.0 |
|
Instancia 1: |
10.10.10.1 |
|||
|
|
|||
Instancia 127: |
10.10.10.127 |
|||
Casos 128 – 255: no usado |
||||
Escenario 1: Coincidencias de términos de filtro de firewall en varias direcciones
El ejemplo completo, Ejemplo: Configuración del conteo y la vigilancia específicos del prefijo, muestra el caso más simple de acciones específicas de prefijo, en el que un filtro de firewall de un solo término coincide en una dirección con una longitud de prefijo que es la misma que la longitud del prefijo de subred especificada en la acción específica del prefijo. A diferencia del ejemplo, este escenario describe una configuración en la que un filtro de firewall de término único coincide en dos direcciones de origen IPv4. Además, la condición adicional coincide en una dirección de origen con una longitud de prefijo que es diferente de la longitud del prefijo de subred definida en la acción específica del prefijo. En este caso, la condición adicional coincide en la /16 subred de la dirección 10.11.0.0de origen.
A diferencia de los paquetes que coinciden con la dirección 10.10.10.0/24de origen, los paquetes que coinciden con la dirección 10.11.0.0/16 de origen se encuentran en una correspondencia varios a uno con las instancias del contador y el conjunto de policías.
Los paquetes coincidentes con filtro que se pasan al índice de acción específico del prefijo en el contador y el conjunto de políticas de tal manera que los paquetes que contienen direcciones 10.10.10.0/24 de origen en las subredes y las instancias de conteo y 10.11.0.0/16 control se compartan de la siguiente manera:
El primer contador y el aplicador de policía del conjunto se indexan por paquetes con direcciones
10.10.10.0de origen y10.11.x.0, donde x oscila0entre .255El segundo contador y el aplicador de políticas del conjunto están indexados por paquetes con direcciones
10.10.10.1de origen y10.11.x.1, donde x oscila0entre .255El contador 256 (último) y el aplicador de políticas del conjunto están indexados por paquetes con direcciones
10.10.10.255de origen y10.11.x.255, donde x oscila0entre .255
La siguiente configuración muestra las instrucciones para configurar el aplicador de dos colores de velocidad única, la acción específica del prefijo que hace referencia al aplicador y el filtro de firewall sin estado estándar IPv4 que hace referencia a la acción específica del prefijo:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-two-24-16 {
term one {
from {
source-address {
10.10.10.0/24;
10.11.0.0/16;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-two-24-16;
}
address 10.39.1.1/16;
}
}
}
}
Escenario 2: El prefijo de subred es más largo que el prefijo en la condición de coincidencia de filtro
El ejemplo completo, Ejemplo: Configuración del conteo y la vigilancia específicos del prefijo, muestra el caso más simple de acciones específicas de prefijo, en las que el filtro de firewall de término único coincide en una dirección con una longitud de prefijo que es la misma que la longitud del prefijo de subred especificada en la acción específica del prefijo. A diferencia del ejemplo, este escenario describe una configuración en la que la acción específica del prefijo define una longitud de prefijo de subred que es mayor que el prefijo de la dirección de origen que coincide con el filtro de firewall. En este caso, la acción específica del prefijo define un valor de prefijo de subred de 25, mientras que el filtro del firewall coincide en una dirección de origen de la /24 subred.
El filtro de firewall pasa los paquetes de acción específicos del prefijo con direcciones de origen que van desde 10.10.10.0 , 10.10.10.255mientras que la acción específica del prefijo especifica un conjunto de sólo 128 contadores y policíares, numerados del 0 al 127.
Los paquetes coincidentes con filtros que se pasan al índice de acción específico del prefijo en el contador y el conjunto de políticas de tal manera que las instancias de conteo y control sean compartidas por paquetes que contienen cualquiera de las dos direcciones de origen dentro de la 10.10.10.0/24 subred:
El primer contador y el aplicador de políticas del conjunto se indexan por paquetes con direcciones
10.10.10.0de origen y10.10.10.128.El segundo contador y el aplicador de políticas del conjunto se indexan por paquetes con direcciones
10.10.10.1de origen y10.10.10.129.El contador 128 (último) y el aplicador de políticas del conjunto están indexados por paquetes con direcciones
10.10.10.127de origen y10.10.10.255.
La siguiente configuración muestra las instrucciones para configurar el aplicador de dos colores de velocidad única, la acción específica del prefijo que hace referencia al aplicador y el filtro de firewall sin estado estándar IPv4 que hace referencia a la acción específica del prefijo:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-25-32-128 {
policer 1Mbps-policer;
subnet-prefix-length 25;
source-prefix-length 32;
}
filter limit-source-one-24 {
term one {
from {
source-address {
10.10.10.0/24;
}
}
then prefix-action psa-1Mbps-per-source-25-32-128;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-24;
}
address 10.39.1.1/16;
}
}
}
}
Escenario 3: SubredEl prefijo contador y policía número 128 es más corto que el prefijo de la condición de coincidencia de filtro de firewall
El ejemplo completo, Ejemplo: Configuración del conteo y la vigilancia específicos del prefijo, muestra el caso más simple de acciones específicas de prefijo, en las que el filtro de firewall de término único coincide en una dirección con una longitud de prefijo que es la misma que la longitud del prefijo de subred especificada en la acción específica del prefijo. A diferencia del ejemplo, este escenario describe una configuración en la que la acción específica del prefijo define una longitud de prefijo de subred que es más corta que el prefijo de la dirección de origen que coincide con el filtro de firewall. En este caso, el término de filtro coincide en la /25 subred de la dirección 10.10.10.0de origen.
El filtro de firewall pasa la acción específica del prefijo sólo a los paquetes con direcciones de origen que van del 10.10.10.0 a , 10.10.10.127mientras que la acción específica del prefijo especifica un conjunto de 256 contadores y policíares, numerados del 0 al 255.
Los paquetes coincidentes que se pasan al índice de acción específico del prefijo solo en la mitad inferior del conjunto de contador y aplicador de policía:
El primer contador y aplicador de políticas del conjunto se indexan por paquetes con dirección
10.10.10.0de origen.El segundo contador y el aplicador de políticas del conjunto se indexan por paquetes con dirección
10.10.10.1de origen y10.10.10.129.El contador 128 y el aplicador de políticas del conjunto están indexados por paquetes con dirección
10.10.10.127de origen.La mitad superior del conjunto (instancias numeradas del 128 al 255) no se indexan mediante paquetes pasados a la acción específica del prefijo desde este filtro de firewall en particular.
La siguiente configuración muestra las instrucciones para configurar el aplicador de dos colores de velocidad única, la acción específica del prefijo que hace referencia al aplicador y el filtro de firewall sin estado estándar IPv4 que hace referencia a la acción específica del prefijo:
[edit]
firewall {
policer 1Mbps-policer {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 63k;
}
then discard;
}
family inet {
prefix-action psa-1Mbps-per-source-24-32-256 {
policer 1Mbps-policer;
subnet-prefix-length 24;
source-prefix-length 32;
}
filter limit-source-one-25 {
term one {
from {
source-address {
10.10.10.0/25;
}
}
then prefix-action psa-1Mbps-per-source-24-32-256;
}
}
}
}
interfaces {
so-0/0/2 {
unit 0 {
family inet {
filter {
input limit-source-one-25;
}
address 10.39.1.1/16;
}
}
}
}