Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EXシリーズスイッチのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子

EX シリーズスイッチのファイアウォールフィルターを定義する場合、パケットのフィルタリング基準(、 と )、およびパケットがフィルタリング基準に一致した場合にスイッチがとるフィルタリング基準(およびオプションで)を定義します。termsmatch conditionsactionaction modifier ファイアウォールフィルターを定義して、IPv4、IPv6、または非IPトラフィックを監視できます。

このトピックでは、ファイアウォールフィルターで定義できるさまざまな一致条件、アクション、およびアクション修飾子について詳しく説明します。さまざまなEXシリーズスイッチでの一致条件のサポートについては、 EXシリーズスイッチでのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子のプラットフォームサポートを参照してください。EXシリーズスイッチでのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子に対するプラットフォームのサポート

ファイアウォールフィルターエレメント

ファイアウォールフィルターの設定には、条件、一致条件、アクション、およびオプションでアクション修飾子が含まれます。 は、ファイアウォール フィルター構成の各要素について説明します。表 1

表 1: ファイアウォールフィルター設定の要素

エレメント名

説明

用語

パケットのフィルタリング基準を定義します。ファイアウォールフィルターの各項は、一致条件とアクションで構成されています。ファイアウォールフィルターでは、単一の用語または複数の用語を定義できます。複数の用語を定義する場合は、各用語に一意の名前を付ける必要があります。

一致条件

一致条件を定義する文字列 (と呼ばれる ) で構成されます。match statement 一致条件とは、パケットに含める必要のある値またはフィールドです。1つの項に対して、単一の一致条件または複数の一致条件を定義できます。一致条件を定義しないことを選択することもできます。条件に一致条件が指定されていない場合、すべてのパケットがデフォルトで一致します。

アクション

パケットが一致条件で指定されたすべての基準に一致する場合にスイッチが実行するアクションを指定します。

アクション修飾子

パケットが特定の条件の一致条件に一致した場合にスイッチが実行する 1 つ以上のアクションを指定します。

スイッチでサポートされる一致条件

監視するトラフィックのタイプに基づいて、IPv4、IPv6、または非IPトラフィックを監視するようにファイアウォールフィルターを設定できます。特定のタイプのトラフィックを監視するようにファイアウォールフィルターを設定する場合、そのタイプのトラフィックでサポートされている一致条件を必ず指定してください。特定のタイプのトラフィックでサポートされている一致条件と、それらがサポートされているスイッチについては、 EXシリーズスイッチでのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子のプラットフォームサポートを参照してください。EXシリーズスイッチでのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子に対するプラットフォームのサポート

表 2 は、EX シリーズスイッチのファイアウォールフィルターでサポートされているすべての一致条件を説明します。

表 2: EXシリーズスイッチでサポートされているファイアウォールフィルター一致条件

一致条件

説明

destination-address ip-address

最終宛先ノードのアドレスであるIP宛先アドレス フィールド。

ip-destination-address ip-address

最終宛先ノードのアドレスであるIP宛先アドレス フィールド。

ip6-destination-address ip-address

最終宛先ノードのアドレスであるIP宛先アドレス フィールド。

destination-mac-address mac-address

パケットの宛先MAC(メディアアクセス制御)アドレス

宛先MACアドレスは、 などのプレフィックスを使用して定義できます。destination-mac-address 00:01:02:03:04:05/24 プレフィックスを指定しない場合は、デフォルト値の 48 が使用されます。

destination-port number

TCPまたはUDP宛先ポートフィールド。通常、この一致条件を または 一致条件と組み合わせて指定して、ポートで使用されるプロトコルを決定します。protocolip-protocol には 、以下のテキスト同義語(ポート番号も記載されています)のいずれかを指定できます。number

、 、 、 、 、 afs (1483)bgp (179)biff (512)bootpc (68)bootps (67)cmd (514)cvspserver (2401)dhcp (67)domain (53)eklogin (2105)ekshell (2106)exec (512)finger (79)ftp (21)ftp-data (20)http (80)https (443)ident (113)imap (143)kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)ldap (389)login (513)mobileip-agent (434)mobilip-mn (435)msdp (639)netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)pop3 (110)pptp (1723)printer (515)radacct (1813)radius (1812)rip (520)rkinit (2108)smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)who (513)xdmcp (177)zephyr-clt (2103)zephyr-hm (2104)

destination-prefix-list prefix-list

IP 宛先プレフィックス リスト フィールドです。

頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一致条件は、 階層レベルで定義します。[edit policy-options]

dot1q-tag number

イーサネット ヘッダーのタグ フィールド。タグ値の範囲は 1 から 4095 です。一致条件と 一致条件は互いに排他的です。dot1q-tagvlan

user-vlan-id number

イーサネット ヘッダーのタグ フィールド。タグ値の範囲は 1 から 4095 です。一致条件と 一致条件は互いに排他的です。user-vlan-idlearn-vlan-id

dot1q-user-priority number

タグ付きイーサネット パケットのユーザー優先度フィールド。ユーザー優先順位値の範囲は 0 から 7 です。

には 、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定できます。number

  • background (1)—バックグラウンド

  • best-effort (0)—ベストエフォート

  • controlled-load (4)—制御された負荷

  • excellent-load (3)—優れた負荷

  • network-control (7)- ネットワーク制御の予約済みトラフィック

  • standard (2)- 標準またはスペア

  • video (5)—ビデオ

  • voice (6)—音声

user-vlan-1p-priority number

タグ付きイーサネット パケットのユーザー優先度フィールド。ユーザー優先順位値の範囲は 0 から 7 です。

には 、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定できます。number

  • background (1)—バックグラウンド

  • best-effort (0)—ベストエフォート

  • controlled-load (4)—制御された負荷

  • excellent-load (3)—優れた負荷

  • network-control (7)- ネットワーク制御の予約済みトラフィック

  • standard (2)- 標準またはスペア

  • video (5)—ビデオ

  • voice (6)—音声

dscp number

DSCP(差別化されたサービスコードポイント)を指定します。DiffServプロトコルは、IPヘッダーのtype-of-service(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCPは、16進法、2進法、または10進法で指定できます。

には 、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定できます。number

  • — RFC 2598, An Expeded Forwarding PHBで定義されています。ef (46)http://www.ietf.org/rfc/rfc2598.txt

  • 、 、 、 、 、 、 、 af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)

    、 、 、 、 、 、 af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)

    これらの 4 つのクラスは、各クラスで 3 つのドロップ優先順位があり、 RFC 2597、 保証転送 PHB グループ の 12 のコード ポイントに対して定義されています。http://www.ietf.org/rfc/rfc2597.txt

ether-type value

パケットのイーサネット タイプ フィールドです。この値は、イーサネットフレームで転送されるプロトコルを指定します。には 、以下のテキスト同義語のいずれかを指定できます。value

  • aarp- イーサタイプ値 AARP(0x80F3)

  • appletalk- EtherType 値 AppleTalk (0x809B)

  • arp- イーサタイプ値ARP(0x0806)

  • ipv4- イーサタイプ値 IPv4(0x0800)

  • ipv6- イーサタイプ値 IPv6(0x08DD)

  • mpls multicast- イーサタイプ値 MPLS マルチキャスト(0x8848)

  • mpls unicast- EtherType値MPLSユニキャスト(0x8847)

  • oam- EtherType値OAM(0x88A8)

  • ppp- EtherType 値 PPP(0x880B)

  • pppoe-discovery- EtherType値PPPoEディスカバリーステージ(0x8863)

  • pppoe-session- EtherType値PPPoEセッションステージ(0x8864)

  • sna- イーサタイプ値 SNA(0x80D5)

注:

が に設定されている場合、以下の一致条件はサポートされません。ether-typeipv6

  • dscp

  • fragment-flags

  • is-fragment

  • precedenceまたは ip-precedence

  • protocolまたは ip-protocol

fragment-flags fragment-flags

記号形式または 16 進形式で指定される IP フラグメンテーション フラグ。次のいずれかのオプションを指定できます。

  • dont-fragment (0x4000)

  • more-fragments (0x2000)

  • reserved (0x8000)

GBP-DST-Tag ここでは説明するように、VXLAN のマイクロセグメンテーションで使用する宛先タグに一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション
gbp-src-tag ここでは説明するように、VXLAN のマイクロセグメンテーションで使用するソースタグに一致します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

icmp-code number

ICMP コード フィールドです。この値またはオプションは、 よりも 具体的な情報を提供します。icmp-type 値の意味は、関連付けられている に依存するため、 と一緒 に を指定する必要があります。icmp-typeicmp-typeicmp-code には 、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定できます。number オプションは、それらが関連するICMPタイプによってグループ化されます。

  • —, parameter-problemip-header-bad (0)required-option-missing (1)

  • —、 、 、 redirectredirect-for-host (1)redirect-for-network (0)redirect-for-tos-and-host (3)redirect-for-tos-and-net (2)

  • —, time-exceededttl-eq-zero- during-reassembly (1)ttl-eq-zero-during-transit (0)

  • —、 、 、 、 、 unreachablecommunication-prohibited-by-filtering (13)destination-host-prohibited (10)destination-host-unknown (7)destination-network-prohibited (9)destination-network-unknown (6)fragmentation-needed (4)host-precedence-violation (14)host-unreachable (1)host-unreachable-for-TOS (12)network-unreachable (0)network-unreachable-for-TOS (11)port-unreachable (3)precedence-cutoff-in-effect (15)protocol-unreachable (2)source-host-isolated (8)source-route-failed (5)

icmp-type number

ICMP パケット タイプ フィールドです。通常、この一致条件を または 一致条件と組み合わせて指定して、ポートで使用されているプロトコルを決定します。protocolip-protocol には 、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定できます。number

、 、 、 、 echo-reply (0)echo-request (8)info-reply (16)info-request (15)、 、 、 mask-request (17)mask-reply (18)parameter-problem (12) 、 、 、 、 redirect (5)router-advertisement (9)router-solicit (10)source-quench (4) 、 、 、 time-exceeded (11)timestamp (13)timestamp-reply (14)unreachable (3)

interface interface-name

パケットを受信するインターフェイス。インターフェイス名の一部としてワイルドカード文字()を指定できます。*

注:

一致条件は、EX8200バーチャルシャーシのエグレストラフィックではサポートされていません。interface

ip-options

IP ヘッダー内のオプション フィールドの存在。

ip-version version match_condition(s)

ポートおよびVLANファイアウォールフィルターのIPプロトコルのバージョン。の値は または にすることができます。versionipv4ipv6

には 、以下の一致条件を 1 つ以上指定できます。match_condition(s)

  • 、 、 または destination-addressip-destination-addressip6-destination-address

  • destination-port

  • destination-prefix-list

  • dscp

  • fragment-flags

  • icmp-code

  • icmp-type

  • is-fragment

  • precedenceまたは ip-precedence

  • protocolまたは ip-protocol

  • source-addressまたは ip-source-address

  • source-port

  • source-prefix-list

  • tcp-established

  • tcp-flags

  • tcp-initial

is-fragment

パケットが後続のフラグメントである場合、この一致条件はフラグメント パケットの最初のフラグメントと一致しません。最初のフラグメントと最後のフラグメントの両方を一致させるには、2つの用語を使用します。

注:

EX2300、EX3400、およびEX4300スイッチの制限により、この一致条件を「ファミリーイーサネットスイッチング」に適用した場合、フラグメントパケットの最後のフラグメントと一致しません。

l2-encap-type llc-non-snap

非サブネットアクセスプロトコル(SNAP)イーサネットカプセル化タイプの論理リンク制御(LLC)層パケットに一致します。

next-header bytes

IPv6 ヘッダーの直後のヘッダーの種類を識別する 8 ビット プロトコル フィールド。数値の代わりに、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定します。

、 、 、 、 、 ah (51)dstops (60)egp (8)esp (50)fragment (44)gre (47)hop-by-hop (0)icmp (1)icmp6 (1)igmp (2)ipip (4)ipv6 (41)no-next-header (59)ospf (89)pim (103)routing (43)rsvp (46)sctp (132)tcp (6)udp (17)vrrp (112)

packet-length bytes

受信したパケットの長さ(バイト単位)。

長さは、パケットヘッダーを含むIPパケットのみを指し、レイヤー2カプセル化オーバーヘッドを含みません。

precedence precedence

IP 優先順位。には 、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定できます。precedence

、 、 、 、 、 、 、 、 critical-ecp (5)flash (3)flash-override (4)immediate (2)internet-control (6)net-control (7)priority (1)routine (0)

ip-precedence precedence

IP 優先順位。には 、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定できます。precedence

、 、 、 、 、 、 、 、 critical-ecp (5)flash (3)flash-override (4)immediate (2)internet-control (6)net-control (7)priority (1)routine (0)

protocol list of protocol

IPv4プロトコル値。には 、以下のテキスト同義語のいずれかを指定できます。protocols

、 、 、 、 、 、 、 egp (8)esp (50)gre (47)icmp (1)igmp (2)ipip (4) 、 、 、 、 ospf (89)pim (103)rsvp (46)tcp (6)udp (17)

ip-protocol list of protocol

IPv4プロトコル値。には 、以下のテキスト同義語のいずれかを指定できます。protocols

、 、 、 、 、 、 、 egp (8)esp (50)gre (47)icmp (1)igmp (2)ipip (4) 、 、 、 、 ospf (89)pim (103)rsvp (46)tcp (6)udp (17)

source-address ip-address

IP送信元アドレスフィールドは、パケットを送信する送信元ノードのアドレスです。IPv6 の場合、送信元アドレス フィールドの長さは 128 ビットです。フィルター記述構文は、 RFC 2373「 IP バージョン 6 アドレッシング・アーキテクチャー」で説明されている IPv6 アドレスのテキスト表現をサポートします。http://www.ietf.org/rfc/rfc2373.txt

ip-source-address (ip-address | ip6-address)

IP送信元アドレスフィールドは、パケットを送信する送信元ノードのアドレスです。IPv4アドレス()またはIPv6アドレス()のいずれかを指定できます。ip-addressip6-address IPv6の場合、IP送信元アドレスフィールドの長さは128ビットです。フィルター記述構文は、 RFC 2373「 IP バージョン 6 アドレッシング・アーキテクチャー」で説明されている IPv6 アドレスのテキスト表現をサポートします。http://www.ietf.org/rfc/rfc2373.txt

source-mac-address mac-address

送信元MACアドレス。

などのプレフィックスを使用して送信元 MACアドレスを定義できます。source-mac-address 00:01:02:03:04:05/24 プレフィックスを指定しない場合は、デフォルト値の 48 が使用されます。

source-port number

TCP または UDP フィールドです。source-port 通常、 または 一致条件と合わせてこの一致を指定して、ポートで使用されているプロトコルを決定します。protocolip-protocol については 、 に記載されている テキスト同義語の 1 つを指定します。numberdestination-port

source-prefix-list prefix-list

IP 送信元プレフィックス リスト フィールドです。

頻繁に使用するため、プレフィックスリストエイリアスの下にIPアドレスプレフィックスのリストを定義できます。この一致条件は、 階層レベルで定義します。[edit policy-options]

tcp-established

確立された TCP 接続の TCP パケット。この条件は、接続の最初のパケット以外のパケットに一致します。 はビット名の 同義語です。tcp-established"(ack | rst)"

tcp-established プロトコルが TCPかどうかを暗示的にチェックしません。これを行うには、一致条件を指定します 。next-header tcp

tcp-flags (flags tcp-initial)

1 つ以上の TCP フラグ:

  • ビット名—、 、 、 、 、 、 finsynrstpushackurgent

  • 論理演算子 - (論理 AND)、(論理 OR)、 (否定)&|!

  • 数値—0x01から0x20

  • テキスト同義語—tcp-initial

複数のフラグを指定するには、論理演算子を使用します。

tcp-initial

接続の最初の TCP パケットに一致します。 はビット名の 同義語です。tcp-initial"(syn&!ack)"

tcp-initial プロトコルが TCPかどうかを暗示的にチェックしません。そのためには、 または 一致条件を指定します。protocol tcpip-protocol tcp

traffic-class number

パケットの DSCP コード ポイントを指定します。

ttl value

一致する TTL タイプ。値の範囲は 1 から 255 です。

vlan (vlan-name | vlan-id)

パケットに関連付けられている VLAN。には 、VLAN IDまたはVLAN範囲のいずれかを指定できます。vlan-id 一致条件と 一致条件は互いに排他的です。vlandot1q-tag

learn-vlan-id (vlan-name | vlan-id)

パケットに関連付けられている VLAN。には 、VLAN IDまたはVLAN範囲のいずれかを指定できます。vlan-id 一致条件と 一致条件は互いに排他的です。vlanuser-vlan-id

ファイアウォールフィルターのアクション

パケットが一致条件で定義されたフィルタリング基準に一致した場合にスイッチが実行するアクションを定義できます。 ファイアウォールフィルター設定でサポートされるアクションについて説明します。表 3

表 3: ファイアウォールフィルターのアクション

アクション

説明

accept

パケットを受け取ります。

discard

インターネット 制御メッセージ プロトコル(ICMP)メッセージを送信せずに、気付かれることなくパケットを無効にします。

reject message-type

パケットを破棄し、ICMPv4 メッセージ(タイプ 3) を送信します。destination unreachable アクション修飾子を設定する と、拒否されたパケットをログに記録できます。syslog

以下のいずれかのメッセージ・コードを指定できます。administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-resetです。

を指定し た場合、パケットが TCP パケットであれば TCP リセットが返されます。tcp-reset それ以外の場合、何も返されません。

メッセージ タイプを指定しない場合、ICMP 通知 はデフォルト メッセージ とともに送信されます。destination unreachablecommunication administratively filtered

routing-instance routing-instance-name

一致したパケットを仮想ルーティング インスタンスに転送します。

注:

EX4200スイッチは、デフォルトのルーティングインスタンスへのファイアウォールフィルターベースのリダイレクトをサポートしていません。

vlan vlan-name

一致したパケットを特定のVLANに転送します。アクションは オプションをサポートしていない ため、VLAN 範囲ではなく、必ず VLAN 名または VLAN ID を指定してください。vlanvlan-range

注:

dot1q トンネリングが有効になっている VLAN を定義している場合、その特定の VLAN はイングレス VLAN ファイアウォール フィルターのアクション(アクションを使用 )としてサポートされません。vlan vlan-name

ファイアウォールフィルターのアクション修飾子

で説明したアクションに加えて、パケットが 一致条件で定義されたフィルタリング基準に一致する場合、スイッチのファイアウォールフィルター設定でアクション修飾子を定義できます。は、ファイアウォールフィルター設定でサポートされるアクション修飾子について説明します。 表 3表 4

表 4: ファイアウォールフィルターのアクション修飾子

アクション修飾子

説明

analyzer analyzer-name

プロトコルアナライザーアプリケーションに接続されている指定された宛先ポートまたは VLAN にポートトラフィックをミラーリングします。ミラーリングは、あるスイッチポートで見られるすべてのパケットを別のスイッチポートのネットワーク監視接続にコピーします。アナライザ名は、 で 設定する必要があります。[edit ethernet-switching-options analyzer]

注:

analyzer は、管理インターフェイスでサポートされるアクション修飾子ではありません。

注:

EX4500スイッチでは、アナライザを1つだけ設定してファイアウォールフィルターに含めることができます。複数のアナライザを設定する場合、ファイアウォールフィルターにそれらのアナライザのいずれも含めることはできません。

dscp number

一致したパケットの DSCP 値を、このアクション修飾子で指定された DSCP 値に変更します。 DSCP(差別化されたサービスコードポイント)を指定します。number DiffServプロトコルは、IPヘッダーのtype-of-service(ToS)バイトを使用します。このバイトの最上位 6 ビットが DSCP を形成します。

DSCPは、16進法、2進法、または10進法で指定できます。

には 、以下のテキストシノニム(フィールド値も記載されています)のいずれかを指定できます。number

  • — RFC 2598, An Expeded Forwarding PHBで定義されています。ef (46)http://www.ietf.org/rfc/rfc2598.txt

  • 、 、 、 、 、 、 、 af11 (10)af12 (12)af13 (14)af21 (18)af22 (20)af23 (22)

    、 、 、 、 、 、 af31 (26)af32 (28)af33 (30)af41 (34)af42 (36)af43 (38)

    これらの 4 つのクラスは、各クラスで 3 つのドロップ優先順位があり、 RFC 2597、 保証転送 PHB グループ の 12 のコード ポイントに対して定義されています。http://www.ietf.org/rfc/rfc2597.txt

count counter-name

このフィルター、ターム、またはポリサーを通過したパケットの数をカウントします。ポリサーは、スイッチのインターフェイスに入るトラフィックのレート制限を指定することができます。

注:

EX4300 スイッチでは、TCAM(Ternary Content Addressable Memory)内の用語の数と同じ数のカウンターとポリサーを設定できます。

forwarding-class class

パケットを以下のフォワーディングクラスのいずれかに分類します。

  • assured-forwarding

  • best-effort

  • expedited-forwarding

  • network-control

gbp-src-tag(EX4400およびEX4650のみ) グループベースのポリシーソースタグ(0..65535)を、VXLAN のマイクロセグメンテーションで使用するよう設定します。例:VXLANでのグループベースポリシーを使用したミクロおよびマクロセグメンテーション

interface interface-name

スイッチングルックアップをバイパスして、指定されたインターフェイスにトラフィックを転送します。

log

パケットのヘッダー情報をルーティングエンジンに記録します。この情報を表示するには、CLI で コマンドを発行 します。show firewall log

注:

または アクション修飾子がアクション修飾子またはアクション修飾子と共に構成されている場合、イベントがログに記録されないことがあります。logsyslogvlaninterface ただし、リダイレクトインターフェイス機能は期待どおりに機能します。

loss-priority (high | low)

PLP(パケット損失の優先度)を設定します。

policer policer-name

トラフィックにレート制限を適用します。

ファイアウォールフィルターのポリサーは、ポート、VLAN、およびルーターのイングレストラフィックに対してのみ指定できます。

注:

ポリサーのカウンターは、EX8200スイッチではサポートされていません。

注:

EX4300 スイッチでは、TCAM の用語数と同じ数のカウンターとポリサーを設定できます。

port-mirror

階層で定義されたインターフェイスにパケットをミラーリングします 。[edit forwarding-options analyzer]

port-mirror-instance instance-name

階層で定義されたインスタンスにパケットをミラーリングします 。[edit forwarding-options analyzer]

syslog

このパケットのアラートをログに記録します。保存と分析のためにログをサーバーに送信するように指定できます。

注:

または アクション修飾子がアクション修飾子またはアクション修飾子と共に構成されている場合、イベントがログに記録されないことがあります。logsyslogvlaninterface ただし、リダイレクトインターフェイス機能は期待どおりに機能します。

three-color-policer

3 カラー ポリサーを適用します。