トンネルの CoS キューイングの概要
Junos OS を実行する SRX シリーズ デバイスでは、トンネル インターフェイスは内部インターフェイスであり、物理インターフェイスと同じ CoS 機能の多くをサポートします。トンネル インターフェイスは、IP ネットワーク上のリモート ポイントにある 2 台の SRX シリーズ デバイス間に仮想ポイントツーポイント リンクを作成します。
たとえば、GRE(汎用ルーティング カプセル化)および IP-IP トンネル インターフェイスに対して CoS 機能を設定できます。トンネリング プロトコルは、トランスポート プロトコル内でパケットをカプセル化します。
GRE および IP-IP トンネルは、IPsec や NAT などのサービスと併用してポイントツーポイント VPN を設定します。Junos OS では、これらのトンネル インターフェイスを介して出るトラフィックに対して CoS キューイング、スケジューリング、シェーピングを有効にすることができます。GRE トンネルの CoS キューイングの設定例については、「 例: GRE または IP-IP トンネル用の CoS キューイングの設定」を参照してください。
シャーシ クラスタ内の GRE トンネルでは、CoS キューイングはサポートされていません。
CoS キューイング機能は、Junos OS リリース 12.3X48 や、SRX550(低メモリ)、SRX100、SRX200 などの古いデバイスでは機能しません。
Junos OS リリース 15.1X49-D100 および Junos OS リリース 17.3R1 以降では、SRX 300、SRX320、SRX340、SRX345、SRX550M デバイスの論理トンネルで CoS を設定できます。
Junos OS リリース 20.3R1 以降、SRX4600 デバイスの GRE トンネルで CoS を設定できます。
トンネル インターフェイスの CoS キューイングのメリット
トンネル インターフェイスに対して有効な CoS キューイングには、次のメリットがあります。
トンネル トラフィックを分離します。
各トンネルは、優先度の低いトラフィックを持つトンネルが、優先度の高いトラフィックを伝送する他のトンネルをフラッディングできないように形成できます。
1 つのトンネルのトラフィックが他のトンネルのトラフィックに影響を与えることはありません。
トンネル帯域幅を制御します。
さまざまなトンネルを通過するトラフィックは、特定の帯域幅を超えないことに制限されています。
たとえば、単一の WAN インターフェイスを介して 3 つのリモート サイトへのトンネルが 3 つあるとします。一部のサイトへのトラフィックが他のサイトへのトラフィックよりも多くの帯域幅を取得するように、各トンネルにCoSパラメータを選択できます。
CoS ポリシーをカスタマイズします。
ユーザーの要件に基づいて、異なるトンネルに異なるキューイング、スケジューリング、シェーピングポリシーを適用できます。各トンネルは、異なるスケジューラ マップ、異なるキュー深度などを使用して設定できます。カスタマイズにより、きめ細かい CoS ポリシーを設定して、トンネル トラフィックをより適切に制御できます。
トンネルに入る前にトラフィックの優先度を設定します。
たとえば、CoS キューイングでは、インターフェイス速度がトンネル トラフィック速度よりも高い場合に、優先度の低いパケットが優先度の高いパケットよりも先にスケジュールされるのを回避できます。この機能は、IPsec と組み合わせる場合に最も便利です。通常、IPsec はパケットを FIFO 方式で処理します。ただし、CoS キューイングを使用すると、各トンネルは優先度の高いパケットを低優先度パケットよりも優先度の高いパケットに優先順位付けできます。また、優先度の低いトラフィックを持つトンネルが、優先度の高いトラフィックを伝送するトンネルをフラッディングしないように、各トンネルを形成できます。
論理トンネルでの CoS の設定
CoS には、セキュア トンネルを使用してリモート サイトとの接続を許可する 4 つの典型的なシナリオがあります。ただし、異なるセキュア トンネルが異なる reth インターフェイスを使用して異なるネットワーク プロバイダ(NP)に接続される場合があります。特定の NP では、優先度の高いビジネスの優先度を設定し、NP 側で盲目的にトラフィックをドロップしないように、制限されたアップリンク帯域幅を使用できます。現在、CoS は物理インターフェイス(IFD)全体のキューイングをサポートしていません。共有ポリサーがキューイングと同様に機能しない場合、ポリサーは優先度に関係なく優先度の高いトラフィックをドロップすることがあります。COS 機能でキューイングとシェーピングの優先順位付けを可能にする IFD のキューイングをサポートするには、論理トンネル(LT)と NP の設定が必要です。
NP に 1 対 1 でマッピングされる論理トンネルのペアを定義し、セキュア トンネルを介してトラフィックを暗号化する前に、ルーティングを使用して LT インターフェイスにトラフィックをリダイレクトする必要があります。
たとえば、inet 0およびNP1(仮想ルーター)に接続するようにlt-0/0/0.0およびlt-0/0.1を設定し、トラフィックをlt-0/0/0.0ネクストホップとしてNP1にリダイレクトするように静的ルートを設定します。NP1 にはアップストリーム トラフィック用に 10 mbps の帯域幅があるため、lt-0/00.0 は 10 mbps の帯域幅シェーピングで設定できます。 図 1 を参照してください。
routing-instances { NP1 { instance-type virtual-router; interface lt-0/0/0.1; interface lo0.0; interface reth1.0; interface reth2.0; interface st0.1; interface st0.2; routing-options { static { route 59.200.200.1/32 next-hop <next-hop addr of ipsec tunnel st0.1>; route 59.200.200.2/32 next-hop <next-hop addr of ipsec tunnel st0.2>; route 60.60.60.1/32 next-hop st0.1; route 60.60.60.2/32 next-hop st0.2; route 58.58.58.1/32 next-hop lt-0/0/0.1; route 58.58.58.2/32 next-hop lt-0/0/0.1; } } } NP2 { instance-type virtual-router; interface lt-0/0/0.3; interface lo0.1; interface reth3.0; interface reth4.0; interface st0.3; interface st0.4; routing-options { static { route 59.200.200.3/32 next-hop <next-hop addr of ipsec tunnel st0.3>; route 59.200.200.4/32 next-hop <next-hop addr of ipsec tunnel st0.4>; route 60.60.60.3/32 next-hop st0.3; route 60.60.60.4/32 next-hop st0.4; route 58.58.58.3/32 next-hop lt-0/0/0.3; route 58.58.58.4/32 next-hop lt-0/0/0.3; } } } } routing-options { static { route 60.60.60.1/32 next-hop lt-0/0/0.0; route 60.60.60.2/32 next-hop lt-0/0/0.0; route 60.60.60.3/32 next-hop lt-0/0/0.2; route 60.60.60.4/32 next-hop lt-0/0/0.2; } } class-of-service { interfaces { lt-0/0/0 { unit 0 { shaping-rate 10m; } unit 2 { shaping-rate 10m; } }
CoS キューイングの仕組み
図 2 は、トンネルに出入りするトラフィックに対して発生する CoS 関連の処理を示しています。フローベースのパケット処理の詳細については、 セキュリティ デバイスのフローベースおよびパケットベースの処理ユーザー ガイドを参照してください。
トンネル インターフェイスの CoS シェーパーの制限
トンネル インターフェイスで CoS シェーピング レートを定義する場合は、次の制限に注意してください。
トンネル インターフェイスのシェーピング レートは、物理エグレス インターフェイスのシェーピング レートよりも小さくする必要があります。
シェーピング レートは、GRE または IP-IP カプセル化を使用したレイヤー 3 パケットを含むパケット サイズのみを測定します。物理インターフェイスによって追加されたレイヤー 2 カプセル化は、シェーピング レート測定には考慮されません。
CoS 動作は、物理インターフェイスがシェーピングされた GRE または IP-IP トンネル トラフィックのみを伝送する場合にのみ、期待どおりに動作します。物理インターフェイスが他のトラフィックを伝送し、トンネル インターフェイス トラフィックで使用可能な帯域幅を下げると、CoS 機能は期待どおりには機能しません。
ルーターで論理インターフェイス シェーパーと仮想回線シェーパーを同時に設定することはできません。仮想回線シェーピングが必要な場合は、論理インターフェイス シェーパーを定義しないでください。代わりに、すべての仮想回線のシェーピング レートを定義します。