例:ツーレートスリーカラーポリサーの設定
この例では、2 レートスリーカラーポリサーを設定する方法を示しています。
要件
2 レートスリーカラーポリサーのサポートは、デバイスによって異なります。互換性のあるバージョンの Junos OS を実行する SRX1400、SRX3400、SRX3600、SRX5400、SRX5600、SRX5800 サービス ゲートウェイ デバイスが含まれています。
この例を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
2 レートの 3 カラー ポリサーは、保証されたトラフィックの帯域幅制限とバースト サイズ制限に加えて、ピーク トラフィックの帯域幅制限とバーストサイズ制限に対してトラフィック フローを測定します。保証されたトラフィックの制限に準拠したトラフィックは緑色に分類され、不適合トラフィックは 2 つのカテゴリーのいずれかに分類されます。
ピークトラフィック制限を超えない不適合トラフィックは、黄色に分類されます。
ピークトラフィック制限を超える不適合トラフィックは、赤色に分類されます。
各カテゴリは、アクションに関連付けられています。緑色のトラフィックでは、パケットは暗黙的に 損失優先値 が に low
設定され、その後送信されます。黄色のトラフィックの場合、パケットは暗黙的に 損失優先値 が に medium-high
設定され、その後送信されます。赤色のトラフィックでは、パケットは暗黙的に 損失優先度値 が に high
設定され、その後送信されます。ポリサー設定にオプション action
のステートメント(action loss-priority high then discard
)が含まれている場合、赤色のフロー内のパケットは代わりに破棄されます。
3 色のポリサーは、ファイアウォール フィルター ポリサーとしてのみレイヤー 3 トラフィックに適用できます。ステートレス ファイアウォール フィルター条件からポリサーを参照し、プロトコル レベルの論理インターフェイスの入力または出力にフィルターを適用します。
トポロジ
この例では、論理インターフェイスの入力 IPv4 トラフィックに、カラー認識型の 2 レート 3 カラー ポリサーを適用します fe-0/1/1.0
。ポリサーを参照する IPv4 ファイアウォール フィルター条件は、 パケット フィルタリングを適用しません。フィルターは、インターフェイスに3色のポリサーを適用するためにのみ使用されます。
ポリサーを設定して、トラフィックを帯域幅制限を 40 Mbps に、バーストサイズ制限を 100 KB に設定し、ポリサーは、黄色のトラフィックに対して最大帯域幅制限 60 Mbps と 200 KB のバーストサイズ制限も許可するように設定します。ピークトラフィック制限を超える不適合トラフィックのみが赤色に分類されます。この例では、損失の優先度に赤いトラフィックの暗示的なマーキングを上書きする3カラーポリサーアクション loss-priority high then discard
を high
設定します。
構成
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
この例を設定するには、以下のタスクを実行します。
- CLI クイックコンフィギュレーション
- ツーレートスリーカラーポリサーの設定
- ポリサーを参照する IPv4 ステートレス ファイアウォール フィルターの設定
- プロトコルファミリーレベルでの論理インターフェイスへのフィルターの適用
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set firewall three-color-policer trTCM1-ca two-rate color-aware set firewall three-color-policer trTCM1-ca two-rate committed-information-rate 40m set firewall three-color-policer trTCM1-ca two-rate committed-burst-size 100k set firewall three-color-policer trTCM1-ca two-rate peak-information-rate 60m set firewall three-color-policer trTCM1-ca two-rate peak-burst-size 200k set firewall three-color-policer trTCM1-ca action loss-priority high then discard set firewall family inet filter filter-trtcm1ca-all term 1 then three-color-policer two-rate trTCM1-ca set interfaces ge-2/0/5 unit 0 family inet address 10.10.10.1/30 set interfaces ge-2/0/5 unit 0 family inet filter input filter-trtcm1ca-all set class-of-service interfaces ge-2/0/5 forwarding-class af
ツーレートスリーカラーポリサーの設定
手順
2 レートスリーカラーポリサーを設定するには:
3 カラー ポリサーの設定を有効にします。
[edit] user@host# set firewall three-color-policer trTCM1-ca
2 レート スリー カラー ポリサーのカラー モードを設定します。
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate color-aware
2 レート保証トラフィック制限を設定します。
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate committed-information-rate 40m user@host# set two-rate committed-burst-size 100k
これらの制限の両方を超えない トラフィックは、緑色に分類されます。緑色のフローのパケットは、暗黙的に損失の優先度に
low
設定され、その後送信されます。2 レートのピーク トラフィック制限を設定します。
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate peak-information-rate 60m user@host# set two-rate peak-burst-size 200k
これらの制限の両方を超えない 不適合トラフィックは、黄色に分類されます。黄色のフローのパケットは、暗黙的に損失の優先度に
medium-high
設定され、その後送信されます。これらの制限の両方を超える不適合トラフィックは、赤色に分類されます。赤色のフローのパケットは、暗黙的に損失の優先度にhigh
設定されます。(オプション)red トラフィックのポリサーアクションを設定します。
[edit firewall three-color-policer trTCM1-ca] user@host# set action loss-priority high then discard
3 カラー ポリサーの場合、唯一設定可能なアクションは、赤色のパケットを破棄することです。赤色のパケットは、ピーク情報レート(PIR)とピーク バースト サイズ(PBS)を超えたため、高損失優先度が割り当てられたパケットです。
結果
設定モードコマンドを入力して、ポリサーの設定を show firewall
確認します。コマンド出力に意図した設定が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit] user@host# show firewall three-color-policer trTCM1-ca { action { loss-priority high then discard; } two-rate { color-aware; committed-information-rate 40m; committed-burst-size 100k; peak-information-rate 60m; peak-burst-size 200k; } }
ポリサーを参照する IPv4 ステートレス ファイアウォール フィルターの設定
手順
ポリサーを参照する IPv4 ステートレス ファイアウォール フィルターを設定するには:
IPv4標準ステートレスファイアウォールフィルターの設定を有効にします。
[edit] user@host# set firewall family inet filter filter-trtcm1ca-all
ポリサーを参照するフィルター条件を指定します。
[edit firewall family inet filter filter-trtcm1ca-all] user@host# set term 1 then three-color-policer two-rate trTCM1-ca
条件に一致条件は 指定されていないことに注意してください。ファイアウォール フィルターは、すべてのパケットをポリサーに渡します。
結果
設定モードコマンドを入力して、ファイアウォールフィルターの設定を show firewall
確認します。コマンド出力に意図した設定が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit] user@host# show firewall family inet { filter filter-trtcm1ca-all { term 1 { then { three-color-policer { two-rate trTCM1-ca; } } } } } three-color-policer trTCM1-ca { action { loss-priority high then discard; } two-rate { color-aware; committed-information-rate 40m; committed-burst-size 100k; peak-information-rate 60m; peak-burst-size 200k; } }
プロトコルファミリーレベルでの論理インターフェイスへのフィルターの適用
手順
プロトコルファミリーレベルで論理インターフェイスにフィルターを適用するには:
IPv4 ファイアウォール フィルターの設定を有効にします。
[edit] user@host# edit interfaces ge-2/0/5 unit 0 family inet
プロトコルファミリーレベルの論理インターフェイスにポリサーを適用します。
[edit interfaces ge-2/0/5 unit 0 family inet] user@host# set address 10.10.10.1/30 user@host# set filter input filter-trtcm1ca-all
(MX シリーズルーターとEXシリーズスイッチのみ)(オプション)入力ポリサーでは、固定の分類子を設定できます。固定の分類子は、既存の分類に関係なく、すべての受信パケットを再分類します。
メモ:プラットフォームのサポートは、実装におけるJunos OSリリースによって異なります。
[edit] user@host# set class-of-service interfaces ge-2/0/5 forwarding-class af
分類子名は、構成済みの分類子またはデフォルトの分類子の 1 つです。
結果
設定モードコマンドを入力して、インターフェイスの設定を show interfaces
確認します。コマンド出力に意図した設定が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit] user@host# show interfaces ge-2/0/5 { unit 0 { family inet { address 10.10.10.1/30; filter { input filter-trtcm1ca-all; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正しく機能していることを確認します。
論理インターフェイスに適用されたファイアウォール フィルターの表示
目的
ファイアウォールフィルターが論理インターフェイスのIPv4入力トラフィックに適用されていることを確認します。
アクション
論理インターフェイスge-2/0/5.0
で show interfaces
動作モード コマンドを使用し、 モードを指定detail
します。コマンド出力のセクションにはProtocol inet、論理インターフェイスのIPv4情報が表示されます。そのセクション内では、 フィールドにInput Filters論理インターフェイスに関連付けられたIPv4ファイアウォールフィルターの名前が表示されます。
user@host> show interfaces ge-2/0/5.0 detail Logical interface ge-2/0/5.0 (Index 105) (SNMP ifIndex 556) (Generation 170) Flags: Device-Down SNMP-Traps 0x4004000 Encapsulation: ENET2 Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 0 bps Output bytes : 0 0 bps Input packets: 0 0 pps Output packets: 0 0 pps Protocol inet, MTU: 1500, Generation: 242, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter-trtcm1ca-all Addresses, Flags: Dest-route-down Is-Preferred Is-Primary Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255, Generation: 171 Protocol multiservice, MTU: Unlimited, Generation: 243, Route table: 0 Policer: Input: __default_arp_policer__