Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

ポリサーの概要

 

スイッチポリシートラフィックは、ユーザーが定義した条件に従って、トラフィッククラスの入出力転送レートを制限することで実現します。ポリシー管理 (またはレート制限) トラフィックでは、インターフェイスで送信または受信するトラフィックの最大速度を制御し、複数の優先度レベルまたはサービスクラスを提供できます。

また、ポリシーポリシーは、ファイアウォールフィルターの重要な構成要素としても機能します。ファイアウォールフィルタ構成には、ポリサーを含めることで、ポリシー適用を実現できます。

ポリサーの概要

ポリサーを使用して、トラフィックフローに制限を適用したり、これらの制限—を超えたパケットの影響—を設定したりします。これは通常、パケットがダウンストリーム輻輳を発生した場合には、最初に破棄することができるように、損失の優先度を適用します。ポリサーはユニキャストパケットのみに適用されます。

ポリサーは、次の2つの機能を提供します。メータリングとマーキング。各パケットをトラフィック速度とバーストサイズに対して設定する。ポリサーメーター (メジャー)。その後、パケットとメータリング結果をマーカーに渡します。これにより、メータリングの結果に対応するパケットロスの優先度が割り当てられます。図 1は、このプロセスを示しています。

図 1: Tricolor マーキングポリサー運用のフロー
Tricolor マーキングポリサー運用のフロー

1つまたは複数のファイアウォールフィルターでアクションとして指定することで、ポリサーを名前を付けて設定した後、それを使用できます。

ポリサータイプ

スイッチは、次の3種類のポリサーをサポートしています。

  • 単色2色マーカー—2 色のポリサー (認定資格なしで使用“され”た場合はポリサー) によってトラフィックストリームがメートルされ、パケットを2つのカテゴリーに分類しています。構成済みの帯域幅に応じてパケットロス優先度 (PLP) の分類を行います。とバーストサイズの制限があります。指定された PLP を使用して、帯域幅とバーストサイズの制限を超えるパケットをマークしたり、単純に破棄したりすることができます。

    このタイプのポリサーは、入口または出口のファイアウォールで指定できます。

    2色のポリサーは、ポート (物理インターフェイス) レベルでトラフィックをメータリングする場合に非常に便利です。

  • シングルレート3カラーマーカー—このタイプのポリサーは、RFC 2697 で定義されています。 1対3カラーマーカー、差別化されたサービス (DiffServ) 環境におけるホップの挙動 (PHB) 分類システム当たりの、AF 転送の一部として機能します。このタイプのポリサーは、設定された—コミット情報レート (CIR) とコミット済みバーストサイズ (CBS) をベースにした、1つのレートに基づいてトラフィックを伝送します。CIR は、ビットがスイッチに対して受け付けられる平均レートを示します。CBS は通常のバーストサイズをバイト数で指定し、EBS は最大バーストサイズをバイト単位で指定します。EBS は、CBS 以上にする必要があります。また、0にすることはできません。

    このタイプのポリサーは、入口または出口のファイアウォールで指定できます。

    1対の3色マーカー (TCM) は、サービスがパケットの長さに従っており、ピーク時の到達率を設定していない場合に最も有効です。

  • 2レート3色マーカー—このタイプのポリサーは、RFC 2698 で定義されています。 2レート3カラーマーカー差別化されたサービス環境におけるホップ動作分類システム当たりの転送の一部として機能します。このタイプのポリメータトラフィックは、CIR およびピーク—情報レート (pir) と、それに関連するバーストサイズ、CBS およびピークバーストサイズ (PBS) とともに、2つのレートに基づいています。PIR は、ビットがネットワークに対して許容される最大レートを指定します。この値は CIR 以上でなければなりません。

    このタイプのポリサーは、入口または出口のファイアウォールで指定できます。

    2レート3色のポリサーは、サービスが到着率に従って構成され、必ずしもパケット長ではない場合に、最も有効な方法です。

これら表 1の各ポリサータイプに対してメータリング結果が適用される方法については、「」を参照してください。

ポリサーのアクション

ポリサーのアクションは暗黙的または明示的なものであり、ポリサータイプによって異なります。黙示とは、Junos OS が損失の優先度を自動的に割り当てることを意味します。表 1ポリサーアクションについて説明します。

表 1: ポリサーのアクション

ポリサー

マーキング

暗黙のアクション

設定可能なアクション

シングルレート2色

緑 (準拠)

低損失の優先度を割り当てる

なし

赤 (不適合)

なし

捨て

シングルレート3カラー

緑 (準拠)

低損失の優先度を割り当てる

なし

イエロー (CIR と CBS の上)

メディアの割り当て-高損失の優先度

なし

赤 (EBS の上)

高損失の優先度を割り当てる

捨て

2レート3色

緑 (準拠)

低損失の優先度を割り当てる

なし

イエロー (CIR と CBS の上)

メディアの割り当て-高損失の優先度

なし

赤 (PIR と PBS の上)

高損失の優先度を割り当てる

捨て

送信ファイアウォールフィルターでポリサーを指定した場合、サポートされてdiscardいるアクションは [] のみです。

ポリサーの色

シングルレートおよび2レートの3色ポリサーは、次の2つのモードで動作できます。

  • カラーブラインドモード—の場合、3色のポリサーは、すべてのパケットがチェックされていないことを前提としています。言い換えると、3色のポリサーは“、パケットが”以前に保有していた色が前からのものであることを示しています。

  • カラー認識モード—では、3色のポリサーでは、すべてのパケットが前にマークまたはメータリングされていることを前提としています。言い換えると、3色のポリサーは“、パケットが”以前に保有していた色付けを認識しています。カラー認識モードでは、3色のポリサーはパケットの PLP を増加させることができますが、減少させることはできません。たとえば、カラー認識型の3色のポリサーが、中規模 PLP マーキングのあるパケットをメーターである場合、PLP レベルを高に上げることはできますが、PLP レベルを低く抑えることはできません。

フィルタ固有のポリサー

ポリサーをフィルター固有に設定することができます。つまり、Junos OS は、ポリサーの参照回数に関係なく、1つのポリサーインスタンスのみを作成します。一部の QFX スイッチでこれを実行すると、レート制限が集約に適用されます。したがって、1 Gbps を超えるトラフィックを破棄し、3つの異なる条件でそのように使用する場合、このフィルターに よって許可される総帯域幅は1になります。Gbps. ただし、フィルタ固有のポリサーの動作は、ポリサーを参照するファイアウォールフィルター条件が tcam に格納される方法によって異なります。フィルタ固有のポリサー er を作成し、複数のファイアウォールフィルタ条件でそれを参照すると、その条件が異なる TCAM スライスに格納されている場合、ポリサーで予期しているよりも多くのトラフィックを許可します。たとえば、1 Gbps を超えるトラフィックを破棄し、3つの異なるメモリスライスに格納されている3つの用語を参照する場合、このフィルターによって許可される総帯域幅 は、1 ではなく 3 Gbps になります。Gbps. この現象は QFX10000 スイッチでは発生しません。

この予期しない現象が発生しないようにするには、設定ファイルを整理するためにPlanning the Number of Firewall Filters to Createtcam slice に関する情報を使用して、指定されたを参照するすべてのファイアウォールフィルタ条件をフィルター固有のポリサーは、同じ TCAM スライスに格納されています。

ポリサーの推奨される命名規則

3色のポリサーを構成するpolicertypeTCM#-color type場合、および2色のポリサー policer#を構成する場合は、命名規則を使用することをお勧めします。TCM とは、3色のマーカーを意味します。ポリサーは多数の場合があり、正しく適用する必要があるため、単純な名前付け規則によって、ポリサーを適切に適用することが容易になります。たとえば、最初に設定された単一レートのカラー認識型3色のポリサーにはsrTCM1-ca名前が付いています。2つ目の2対の色ブラインド3色を設定すると、 trTCM2-cb名前が付けられます。この名前付け規則の要素について、以下で説明します。

  • sr (シングルレート)

  • tr (2 レート)

  • TCM (tricolor マーキング)

  • 1または 2 (マーカー数)

  • ca (カラー認識)

  • cb (カラーブラインド)

ポリサーカウンター

一部の QFX スイッチでは、構成する各ポリサーには、ポリサーに指定されたレート制限を超えたパケット数をカウントする暗黙のカウンターが含まれています。同じフィルタ内または異なるフィルタ内で複数—の条件で同じポリサーを使用する—場合、暗黙的なカウンターによって、これらのすべての条件に該当するすべてのパケットがカウントされ、合計量が示されます。(これは QFX10000 スイッチには適用されません)。影響を受けるスイッチ上で、条件に応じて個別のパケット数を取得するには、以下のオプションを使用します。

  • 各用語の固有のポリサーを構成します。

  • 1つのポリサーを構成しますが、各用語には一意の明示的なカウンターを使用します。

ポリサーアルゴリズム

「ポリシー適用」はトークンバケツアルゴリズムを使用し、平均帯域幅を制限し、指定された最大値までバーストを許容します。Leaky バケットアルゴリズムよりも柔軟性が高く、パケットの破棄を開始する前に一定量のバーストトラフィックを許可することができます。

軽いバーストトラフィックの環境では、QFX5200 はすべてのマルチキャストパケットを2つ以上のダウンストリームインターフェイスに複製することはできません。これは、トラフィックが一貫して—いる場合にのみラインレートバーストで発生します。この問題は発生しません。さらに、この問題は、パケットサイズが1ギガビットのトラフィックフローで6k を越えて増加する場合にのみ発生します。

サポートされているポリサーの数を教えてください。

QFX10000 のスイッチは、8K のポリサータイプ (すべてのポリサー型) をサポートしています。QFX5100 および QFX5200 スイッチは、1535受信ポリサーと1024送信ポリサーをサポートしています (ファイアウォールフィルタ条件ごとに1つのポリサーを前提としています)。QFX5110 のスイッチは、6144受信ポリサーと1024送信ポリサーをサポートしています (ファイアウォールフィルタ条件ごとに1つのポリサーを前提としています)。

QFX3500 と QFX3600 のスタンドアロンスイッチと QFabric Node デバイスは、以下の数のポリサーをサポートしています (ファイアウォールフィルタ条件ごとに1つのポリサーを前提としている場合)。

  • 入口ファイアウォールフィルターで使用される2色のポリサー: 767

  • 入口ファイアウォールフィルターで使用される3色のポリサー: 767

  • 送信ファイアウォールフィルタで使用する2色のポリサー。1022

  • 送信ファイアウォールフィルターで使用される3色のポリサー: 512

ポリサーで送信ファイアウォールフィルターを制限できます。

一部のスイッチでは、設定した送信ポリサーの数が、許容される送信ファイアウォールフィルターの合計数に影響を与えることがあります。各ポリサーには、1024エントリ TCAM で2つのエントリを取得する2つの暗黙のカウンターがあります。これらは、ファイアウォールフィルタ条件でアクション修飾子として設定されたカウンターなど、カウンターに使用されます。(ポリサーは、緑のパケットに使用されているため、2つのエントリを使用します。また、ポリサータイプに関係なく、非緑パケットに使われます)。TCAM がいっぱいになると、カウンターを使用した条件を持つ送信ファイアウォールフィルターをコミットできなくなります。たとえば、512送信ポリサーを構成してコミットした場合 (2 色、3色、またはその両方の種類のポリサーの組み合わせ)、カウンターのメモリエントリすべてが使用されます。構成ファイルで後から追加の送信ファイアウォールフィルターを挿入する場合は、カウンターに関する利用可能なメモリ領域がないため、これらのフィルターのいずれの条件もコミットされません。

その他の例をいくつか示します。

  • 合計512ポリサーとカウンターを含まない出力フィルターを構成すると仮定します。あとで設定ファイルを使用する場合、10個の条件を持つもう1つの出力フィルタ (counter action 修飾子が含まれます) を含めることができます。カウンターに十分な TCAM スペースがないため、このフィルターの条件はどれもコミットされていません。

  • 合計500ポリサーを含む出力フィルターを構成しているため、1000 TCAM エントリが使用されていることを前提としています。設定ファイルの後に、以下の2つの出力フィルターを指定します。

    • 20個の条件と20個のカウンターを使用してフィルターを適用します。すべてのカウンターに十分な TCAM 空間があるため、このフィルターの条件はすべてコミットされます。

    • Filter B はフィルター A の後にあり、5つの用語と5つのカウンターを持っています。すべてのカウンターに十分なメモリ領域がないため、このフィルターの条件はどれもコミットされません。(5 つの TCAM エントリーが必要ですが、使用可能なのは4つだけです)。

この問題を回避するには、counter アクションを含む送信ファイアウォールフィルター条件を、ポリサーを含む用語よりも前に設定ファイルに配置します。このような状況では、Junos OS は、暗黙的カウンターのための TCAM 空間が十分にない場合でも、ポリサーをコミットします。たとえば、以下のような場合を想定します。

  • 1024送信ファイアウォールフィルタ条件にカウンタアクションが含まれています。

  • 設定ファイルの後半では、10個の条件を持つ送信フィルターを使用しています。どの条件にもカウンターはありませんが、1つはポリサーアクション修飾子を持っています。

フィルターを10個の条件でコミットするには、ポリサーの暗黙的なカウンターに十分な TCAM スペースがない場合でも、問題はありません。ポリサーは、カウンターなしでコミットされます。