ファイアウォールフィルターでのポリサーの使用について

ポリサーの概要

ポリサーを使用して、トラフィックのレート制限を指定できます。ポリサーで設定されたファイアウォールフィルターは、指定されたレート制限セット内のトラフィックのみを許可するため、サービス拒否(DoS)攻撃からの保護を提供します。ポリサーによって指定されたレート制限を超えるトラフィックは、直ちに破棄されるか、レート制限内のトラフィックよりも低い優先度としてマークされます。スイッチは、トラフィックの輻輳が発生した場合、優先度の低いトラフィックを廃棄します。

ポリサーは、トラフィックに 2 種類のレート制限を適用します。

• 帯域幅 - 平均して許容されるビット/秒の数。

• 最大バースト サイズ - 指定された帯域幅制限を超えるデータのバーストに許可される最大サイズ。

ポリシングは、アルゴリズムを使用して、指定された最大値までのバーストを許可しながら、平均帯域幅に制限を適用します。インターフェイス上で特定のトラフィック クラスを定義し、各クラスに一連のレート制限を適用できます。ポリサーに名前を付けて構成すると、そのポリサーはテンプレートとして保存されます。その後、ファイアウォールフィルター構成でポリサーを使用できます。

ジュニパーネットワークスのEX8200イーサネットスイッチを除くすべてのEXシリーズスイッチでは、設定する各ポリサーに、ポリサーに指定されたレート制限を超えるパケットの数をカウントする暗示的なカウンターが含まれています。各EX8200スイッチには、3つのグローバル管理カウンターがあります。ポリサー統計情報を取得するには、これらのグローバル管理カウンターにイングレス ポリサーを割り当てる必要があります。各グローバル管理カウンターには、任意の数のイングレス ポリサーを割り当てることができます。各グローバル管理カウンターのポリサー統計情報は、そのグローバル管理カウンターに関連付けられているすべてのポリサーのポリサー統計の集計です。

フィルター固有のパケット数を取得するには、ファイアウォール フィルターごとに異なるポリサーを構成する必要があります。ポリサーは、デフォルトで用語固有のカウントを提供します。

ポリサーのタイプ

スイッチは、次の 3 種類のポリサーをサポートします。

• シングルレート ツー カラー - 2 カラー ポリサー(単に「ポリサー」と呼ばれることもあります)は、トラフィック ストリームを計測し、設定された帯域幅とバーストサイズ制限に従って、パケットを PLP(パケット損失の優先度)の 2 つのカテゴリーに分類します。帯域幅とバースト サイズの制限を超えるパケットにマークを付けるか、単に破棄することができます。2 カラー ポリサーは、ポート(物理インターフェイス)レベルでトラフィックを計測する場合に最も役立ちます。

• シングルレート3カラー—このタイプのポリサーは、RFC2697、 シングル レートスリーカラーマーカーで、差別化されたサービス(DiffServ)環境向けの保証転送(AF)ホップごとの動作(PHB)分類システムの一部として定義されています。このタイプのポリサーは、設定された認定情報レート(CIR)、認定バースト サイズ(CBS)、超過バースト サイズ(EBS)に基づいてトラフィックを計測します。トラフィックは、パケットが CBS を下回るレート(緑)、CBS を超えるが EBS は超えないレート(黄色)、または EBS を超えるレート(赤)に基づいて、3 つのカテゴリ(緑、黄、または赤)のいずれかに属するものとしてマークされます。シングルレートの3カラーポリサーは、サービスがピーク到着率ではなくパケットサイズに従って構造化されている場合に最も役立ちます。

• ツー レート スリー カラー—このタイプのポリサーは、差別化サービス(DiffServ)環境向けの確実転送(AF)ホップ動作(PHB)分類システムの一部として、RFC 2698、A Two Rate Three Color Marker で定義されています。このタイプのポリサーは、設定されたCIRとピーク情報レート(PIR)、および関連するバーストサイズに基づいてトラフィックを測定します。CBS、ピーク バースト サイズ(PBS)などがあります。トラフィックは、CIRを下回るレート(緑)、CIRを超えるがPIRは超えないレート(黄)、またはPIR(赤)を超えるパケットに基づいて、3つのカテゴリ(緑、黄、または赤)のいずれかに属するものとしてマークされます。ツー レート スリー カラー ポリサーは、サービスがパケット サイズではなく到着レートに従って構造化されている場合に最も役立ちます。

ポリサーのアクション

ポリサーのアクションは暗黙的または明示的であり、ポリサーのタイプによって異なります。暗黙的という用語は、Junos OSが損失優先度の値を自動的に割り当てることを意味します。explicit は、アクションを設定することを意味します。 ポリサーのアクションを一覧表示します。表 1

ポリサー レベル

ポリサーは、キュー レベル、 論理インターフェイス レベル、またはレイヤー 2(MAC)レベルで設定できます。エグレス キューのパケットに適用されるポリサーは 1 つだけです。ポリサーの検索は、次の順序で行われます。

• キュー レベル

• 論理インターフェイス レベル

• レイヤー 2(MAC)レベル

カラーモード

TCM(トリカラー マーキング)ポリサーは、緑-黄-赤の彩色規則に拘束されません。パケットは、色に基づいて低または高PLPビット設定でマークされます。そのため、両方の3カラーポリサータイプ(シングルレートとツーレート)は、ポリサーで通常利用可能な2つのレベルではなく、3つのレベルのドロップ優先順位(損失優先度)を提供することによって、サービスクラス(CoS)トラフィックポリシングの機能を拡張します。シングルレートとツーレートの両方の3カラーポリサータイプは、2つのモードで動作できます。

• 色覚異常—色覚異常モードでは、3 色ポリサーは、検査されたパケットが以前にマーキングされたか、または計測されたかを参照せずに動作します。つまり、3 カラー ポリサーは、パケットが以前に持っていた可能性のあるカラーリングを 認識 できません。

• カラー認識:カラー認識モードでは、3 カラー ポリサーは、検査されたパケットの以前のマーキングまたはメータリングを参照して動作します。つまり、3 カラー ポリ サーは、 パケットが以前に持っていた可能性のあるカラーを認識しています。カラー認識モードでは、3 カラー ポリサーはパケットの PLP を増やすことはできますが、減らすことはできません。たとえば、カラー認識の 3 カラー ポリサーが PLP マーキングが低いパケットを計測した場合、PLP レベルを高に上げることができます。ただし、高いPLPレベルを低いレベルに下げることはできません。

ポリサーの命名規則

3 カラー ポリサーを設定する場合は、この命名規則 を使用することを推奨します。rate-TCMnumber-colortype TCM は トリコロール マーキング を表します。ポリサーは多数存在する可能性があり、機能するには正しく適用する必要があるため、単純な命名規則を守ることで、ポリサーを適切に適用しやすくなります。

たとえば、シングルレート、スリーカラー、カラー認識ポリサーを設定する場合、srTCM1-caという名前を付けます。ツーレート、スリーカラー、カラーブラインドポリサーを設定する場合は、trTCM2-cbという名前を付けます。