IDPポリシーでのサービスクラスアクション
IDPポリシーのCoSアクションにより、SRXシリーズファイアウォールは侵入検知結果に基づいてネットワークトラフィックの優先度を変更することができます。
CoS または QoS は、特定のタイプのトラフィックに他のタイプのトラフィックよりも優先度を与えることで、ネットワーク上の複数のトラフィック プロファイルを管理する方法です。たとえば、音声のトラフィックをメールや HTTP のトラフィックよりも優先するように設定できます。
Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。
プラットフォームに関連する注意事項については、「 プラットフォーム固有のサービス クラス アクションの動作 」および 「プラットフォーム固有の書き換えルールの動作 」の項を参照してください。
IDP サービス クラス アクションの概要
差別化サービス(DS)は、優先度の階層内の位置でトラフィックにタグ付け(または「マーキング」)するためのシステムです。差別化されたサービス コードポイント(DSCP)マーキングは、Junos OS サービスクラス (CoS)レベルを IP パケット ヘッダーの DSCP フィールドにマッピングします。SRX1500、SRX3400、SRX3600、SRX5600、および SRX5800 デバイスでは、次の 2 つのソフトウェア モジュールを使用して、IP パケットの DSCP 値を書き換えることができます。
エグレスインターフェイスでの差別化されたサービスコードポイント(DSCP)リライタ。
IDP ポリシーに従った IDP モジュール。
データ プレーンでは、パケットがエグレス インターフェイスに到達する前に、IDP モジュールからセキュリティ フロー モジュールにパケットの DSCP 値を書き換えるように通知できます。IDP モジュールとインターフェイスベースのリライタは、異なる独立したルールに基づいて DSCP 値を書き換えます。IDP モジュールは、IDP ポリシーに基づいてパケットの DSCP 値を書き換えます。一方、インターフェイスベースのライターは、パケット分類結果に基づいてパケットのDSCP値を書き換えます。したがって、IDP モジュールとインターフェイス ベースのリライタの書き換え決定は異なる場合があります。
インターフェイスベースのリライタは、パケットの転送クラスを書き 換えルールとして設定された一連の転送クラスと比較することにより、DSCP 値を書き換えます。この転送クラスのセットに属さない転送クラスは、IDP モジュールによって設定されたパケットの DSCP 値を書き換えないようにインターフェイスベースのリライタに通知するために使用されます。
転送クラスは、パケットの DSCP 値の書き換えに影響を与えるだけでなく、デバイス内のトラフィックに優先順位を付けるためにも使用されます。キュー番号に転送クラスを割り当てることで、SRXシリーズファイアウォールを通過するパケットのスケジューリングとマーキングに影響を与えます。転送クラスについては、「 転送クラスの概要」を参照してください。
IDPモジュールがパケットのDSCP値を書き換える場合、IDPは、転送クラスがエグレスインターフェイスベースのリライタのルールとして定義された転送クラスのセットから外れるように、パケットに関連付けられた転送クラスを設定できます。書き換えルールの詳細については、「書き 換えルールの概要 」および 「例:セキュリティデバイスでの書き換えルールの設定と適用」を参照してください。
インターフェイスベースのリライタがパケットを処理すると、パケットの転送クラスが書き換えルールで定義されたクラスと一致しないことに気付くため、パケットのDSCP値は変更されません。その結果、パケットの DSCP 値は IDP モジュールによってマークされ、インターフェイスベースのリライタはバイパスされます。IDP モジュールとインターフェイスベースのリライタの個別の転送クラスは、階層レベルで ステートメントを使用して set forwarding-class [edit class-of-service] 定義できます。たとえば、転送クラス fc0、fc1、fc2、および fc3 を IDP モジュールに定義し、転送クラス fc4、fc5、fc6、および fc7 をインターフェイスベースのリライタに定義できます。Junos OS では、複数の転送クラスを 1 つのプライオリティ キューにマッピングできます。そのため、転送クラスの数はキューの数よりも多くなる可能性があります。
インターフェイスベースリライタとIDPモジュールの両方がDSCP値を書き換えようとすると、IDPはパケットに関するより多くの情報でDSCP値をマークし、インターフェイスベースリライタモジュールよりも厳しいセキュリティ基準を持っているため、IDPモジュールがインターフェイスベースリライタよりも優先されます。
IDP モジュールで DSCP 値を書き換え、インターフェイスベースのリライタをバイパスする方法を示す設定例については、 例:IDP ポリシーでの CoS アクションの適用を参照してください。
参照
転送クラスの概要
転送クラス(FC)を使用すると、送信するパケットをグループ化し、パケットを出力キューに割り当てることができます。転送クラスと損失の優先度は、パケットのホップごとの動作(DiffServ の PHB)を定義します。
デバイスの 8 つのキュー(0 から 7)をサポートします。分類子が各パケットに出力キュー(デフォルト キュー 0 〜 3)を割り当てるには、パケットを次の転送クラスのいずれかに関連付ける必要があります。
EF(Expedited Forwarding)—低損失、低遅延、低ジッター、確実な帯域幅のエンドツーエンドサービスを提供します。
確実な転送(AF)—定義できる値のグループを提供し、それぞれに 3 つのドロップ確率(低、中、高)を持つ 4 つのサブクラス(AF1、AF2、AF3、AF4)が含まれます。
[ベスト エフォート(BE)]:サービス プロファイルは提供されません。BE転送クラスの場合、損失の優先度は通常、サービスクラス(CoS)値で伝えられず、ランダム早期検出(RED)ドロッププロファイルはよりアグレッシブになります。
ネットワーク制御(NC):このクラスは、プロトコル制御をサポートしているため、通常、優先度が高くなります。
BA(動作集約)とMF(マルチフィールド)分類に加えて、パケットの転送クラス(FC)は、パケットを受信する 論理インターフェイス によって直接決定できます。パケット FC は CLI コマンドを使用して設定でき、設定されている場合、この FC は論理インターフェイスで以前に設定された BA 分類の FC を上書きします。
次の CLI コマンドで、論理インターフェイスで受信したパケットに FC を直接割り当てることができます。
[edit class-of-service interfaces interface-name unit logical-unit-number] forwarding-class class-name;
このセクションでは、以下のトピックについて説明します。
転送クラス キュー割り当て
デバイスのハードウェアには、8つのキューが組み込まれています。デフォルトでは、4つのキューが4つのFCに割り当てられます。 表1 は、到着パケットヘッダーのclass-of-service(CoS)値に基づいて、ジュニパーネットワークスの分類子がパケットに割り当てる4つのデフォルトFCとキューを示しています。
キュー 4 から 7 には、FC へのデフォルトの割り当てはなく、マップされません。キュー 4 から 7 を使用するには、カスタム FC 名を作成し、キューにマッピングする必要があります。
デフォルトでは、IP 制御パケットを除くすべての着信パケットは、キュー 0 に関連付けられた FC に割り当てられます。すべての IP 制御パケットは、キュー 3 に関連付けられた FC に割り当てられます。
転送キュー |
転送クラス |
転送クラスの説明 |
|---|---|---|
キュー 0 |
ベストエフォート(BE) |
ジュニパーネットワークスのデバイスは、後方互換性機能である DiffServ フィールドに 000000 が含まれるパケットに特別な CoS 処理を適用しません。これらのパケットは、通常、混雑したネットワーク条件下で破棄されます。 |
キュー 1 |
高速フォワーディング(EF) |
ジュニパーネットワークスのデバイスは、このサービスクラスのパケットに対して、保証された帯域幅、低損失、低遅延、および低遅延変動(ジッター)をエンドツーエンドで提供します。 デバイスはこのクラスの過剰なトラフィックを受け入れますが、確実な転送とは対照的に、プロファイル外の優先転送パケットは順不同で転送されたり、破棄されたりする可能性があります。 |
キュー 2 |
確実な転送(AF) |
ジュニパーネットワークスのデバイスは、顧客からのパケットフローが定義した特定のサービスプロファイル内にとどまる限り、パケットが配信されることを高レベルで保証します。 デバイスは過剰なトラフィックを受け入れますが、RED(Random Early Detection)ドロップ プロファイルを適用して、超過パケットをドロップして転送しないかどうかを判断します。 このサービスクラスには、3つのドロップ確率(低、中、高)が定義されています。 |
キュー 3 |
ネットワーク制御 (NC) (network-control (NC)) |
ジュニパーネットワークスのデバイスは、このサービスクラスのパケットを低い優先度で配信します。(これらのパケットは遅延の影響を受けません)。 通常、これらのパケットはルーティング プロトコルの hello またはキープアライブ メッセージを表します。これらのパケットが失われると、ネットワークの正常な動作が危うくなるため、遅延は破棄するよりも望ましいものです。 |
転送ポリシーのオプション
CoS ベースの転送(CBF)を使用すると、パケットの CoS、特に IP パケットの優先ビットの値に基づいてネクストホップの選択を制御できます。例えば、特定のインターフェースやネクストホップを指定して、優先度の高いトラフィックを伝送し、ベストエフォートトラフィックはすべて別のパスを通らせることができます。CBFでは、FCをベースにしたパス選択が可能です。ルーティング プロトコルが等コスト パスを発見すると、パスをランダムに選択するか、ハッシュ選択またはラウンドロビン選択によってパス間でパケットのロード バランシングを行うことができます。
転送ポリシーでは、CoS 分類の上書きを作成することもできます。受信した CoS 分類を上書きし、パケットの入力インターフェイス、入力優先ビット、または宛先アドレスに基づいてパケットを FC に割り当てることができます。着信パケットの分類をオーバーライドすると、関連する優先順位ビットまたは着信インターフェイスに対して出力伝送キューに設定したマッピングはすべて無視されます。
参照
書き換えルールの概要
書き換えルールは、発信パケット内の適切な CoS(サービス クラス)ビットを変更します。CoS ビットを変更することで、次のダウンストリーム デバイスがパケットを適切なサービス グループに分類できるようになります。アウトバウンド パケットの書き換えまたはマーキングは、デバイスがネットワークの境界にあり、ターゲット ピアのポリシーを満たすために CoS 値を変更する必要がある場合に便利です。書き換えルールは、パケットの転送クラスと損失の優先度を調べ、そのビットをルールで指定された対応する値に設定します。
通常、デバイスは、ターゲットピアのポリシーを満たすために、エッジデバイスのアウトバウンドインターフェイス上の発信パケットのCoS値を書き換えます。送信デバイスは、パケットに関連する現在の転送クラスと損失の優先度情報を読み取った後、テーブルから選択された CoS 値を見つけ、この CoS 値をパケット ヘッダーに書き込みます。
SRX5600およびSRX5800ファイアウォール上の各SRX5K-MPCに、最大32個のIEEE 802.1p書き換えルールを設定できます。
802.1p書き換えは、論理VDSLインターフェイス、つまり
ptインターフェイスで設定できます。
例:セキュリティ デバイスでの書き換えルールの設定と適用
この例では、デバイスの書き換えルールを設定および適用する方法を示しています。
必要条件
開始する前に、転送クラスを作成して設定します。
概要
書き換えルールを設定して、顧客またはホストから受信したパケットの CoS 値を、他のデバイスが期待する値に置き換えることができます。受信したパケットにすでに有効な CoS 値が含まれている場合、書き換えルールを設定する必要はありません。書き換えルールは、送信パケットの CoS 値を確立するためにデバイス内部で使用される転送クラス情報とパケット損失の優先度を適用します。書き換えルールを設定した後、それらを正しいインターフェイスに適用する必要があります。
この例では、DiffServ CoS の書き換えルールを rewrite-dscps として設定します。ベストエフォート転送クラスをbe-class、優先転送クラスをef-class、確実転送クラスをaf-class、ネットワーク制御クラスをnc-classと指定します。最後に、書き換えルールを IRB インターフェイスに適用します。
各論理インターフェイスに1つの書き換えルールを適用できます。
表 2 は、書き換えルールが 4 つの転送クラスのパケットの DSCP をどのように置き換えるかを示しています。
mf-classifier 転送クラス |
CoS トラフィック タイプの場合 |
rewrite-dscps 書き換えルール |
|---|---|---|
beクラス |
ベストエフォート型トラフィック - パケットの特別な CoS 処理は提供しません。通常、RED ドロップ プロファイルはアグレッシブであり、損失の優先度は定義されていません。 |
低優先度のコード ポイント: 000000 優先度の高いコード ポイント: 000001 |
EFクラス |
優先転送トラフィック - 低損失、低遅延、低ジッター、確実な帯域、エンドツーエンドのサービスを提供します。パケットは順不同で転送されるか、破棄される可能性があります。 |
低優先度のコード ポイント: 101110 優先度の高いコード ポイント: 101111 |
AFクラス |
確実な転送トラフィック:指定されたサービスプロファイル内のパケットに高い保証を提供します。超過したパケットは破棄されます。 |
低優先度のコード ポイント: 001010 優先度の高いコード ポイント: 001100 |
NCクラス |
ネットワーク制御トラフィック—パケットは遅延させることはできますが、ドロップすることはできません。 |
低優先度のコード ポイント: 110000 優先度の高いコード ポイント: 110001 |
転送クラスは、DSCPリライタで設定することも、DSCPコードポイントを書き換えるIDPポリシーのアクションとしても設定できます。転送クラスが IDP ポリシーのアクションとして使用されるようにするには、同じ転送クラスで IDP ポリシーとインターフェイスベースの書き換えルールを設定しないことが重要です。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority low code-point 000000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority high code-point 000001 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority low code-point 101110 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority high code-point 101111 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority low code-point 001010 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority high code-point 001100 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority low code-point 110000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority high code-point 110001 set class-of-service interfaces irb unit 0 rewrite-rules dscp rewrite-dscps
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
デバイスの書き換えルールを設定および適用するには、次の手順に従います。
DiffServ CoS の書き換えルールを設定します。
[edit] user@host# edit class-of-service user@host# edit rewrite-rules dscp rewrite-dscps
ベストエフォート型フォワーディングクラス書き換えルールを設定します。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class be-class loss-priority low code-point 000000 user@host# set forwarding-class be-class loss-priority high code-point 000001
優先転送クラス書き換えルールを設定します。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class ef-class loss-priority low code-point 101110 user@host# set forwarding-class ef-class loss-priority high code-point 101111
確実転送クラス書き換えルールを設定します。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class af-class loss-priority low code-point 001010 user@host# set forwarding-class af-class loss-priority high code-point 001100
ネットワーク制御クラス書き換えルールを設定します。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class nc-class loss-priority low code-point 110000 user@host# set forwarding-class nc-class loss-priority high code-point 110001
書き換えルールを IRB インターフェイスに適用します。
[edit class-of-service] user@host# set interfaces irb unit 0 rewrite-rules dscp rewrite-dscps
業績
設定モードから、 show class-of-service コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show class-of-service
interfaces {
irb {
unit 0 {
rewrite-rules {
dscp rewrite-dscps;
}
}
}
}
rewrite-rules {
dscp rewrite-dscps {
forwarding-class be-class {
loss-priority low code-point 000000;
loss-priority high code-point 000001;
}
forwarding-class ef-class {
loss-priority low code-point 101110;
loss-priority high code-point 101111;
}
forwarding-class af-class {
loss-priority low code-point 001010;
loss-priority high code-point 001100;
}
forwarding-class nc-class {
loss-priority low code-point 110000;
loss-priority high code-point 110001;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
書き換えルール設定の確認
目的
書き換えルールが正しく設定されていることを確認します。
アクション
動作モードから、 show class-of-service interface irb コマンドを入力します。
user@host> show class-of-service interface irb Physical interface: irb, Index: 130 Maximum usable queues: 8, Queues in use: 4 Scheduler map: <default> , Index: 2 Congestion-notification: Disabled Logical interface: irb.10, Index: 71 Object Name Type Index Rewrite-Output rewrite-dscps dscp 17599 Classifier ipprec-compatibility ip 13
意味
書き換えルールは、IRB インターフェイスで想定どおりに設定されます。
例:IDP ポリシーでの CoS アクションの適用
パケットがネットワークに出入りする際に、デバイスでパケットの CoS 設定の変更を求められる場合があります。書き換えルールは、パケットのヘッダー内の CoS ビットの値を設定します。さらに、コア デバイスによる BA 分類に対応するために、デバイスのインバウンド インターフェイスで特定のマーカー(DSCP など)を書き換える必要があることがよくあります。
SRXシリーズファイアウォールでは、IPパケットのDSCP値は、次の2つのソフトウェアモジュールによって書き換えることができます。
エグレスインターフェイスでのDSCPリライタ
IDPポリシーに従ったIDPモジュール
この例では、パケットの DSCP 値を書き換えるアクション項目として転送クラスを定義する IDP ポリシーを作成する方法を説明します。
必要条件
開始する前に、CoS コンポーネントを確認します。
概要
この例では、IDP モジュールで DSCP 値を書き換え、インターフェイスベースのリライタをバイパスする方法を示しています。DSCP 値を書き換える IDP ポリシーを作成する場合は、以下を指定する必要があります。
IDP モジュールとインターフェイスベースのリライタに個別の転送クラスを設定します。この例では、fc1 から fc8 までの 8 つの転送クラスが設定されています。これら 8 つの転送クラスのうち、fc1 から fc4 までの 4 つのクラスがインターフェイスベースのリライタに割り当てられます。他の 4 つ(FC5 から FC8)は IDP モジュールに割り当てられます。これら 8 つの転送クラスは、キュー 0 からキュー 3 の 4 つのプライオリティ キューにマッピングされます。
DSCP リライタ(rw_dscp)に転送クラス fc1 から fc4 を設定します。
DSCP リライタと同じ転送クラスを持つ DSCP 分類子(c1)を設定します。基本的に、分類子は入力、転送クラス、および損失の優先順位をリライターに提供します。
DSCP リライタ(rw_dscp)を論理インターフェイス(ge-0/0/5)に適用します。
分類子 c1 をイングレス論理インターフェイス ge-0/0/6 に適用します。
新しいIDPポリシー(cos-policy)を作成し、アクションとしてclass-of-service forwarding-class fc5を割り当てます。
手記:IDP による DSCP 書き換えを確実に行うには、同じ転送クラスで IDP ポリシーとインターフェイスベースの DSCP 書き換えルールを設定しないことが重要です。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルのCLIにコピー&ペーストして、設定モードから commit を入力します。
set class-of-service forwarding-classes queue 0 fc1 set class-of-service forwarding-classes queue 1 fc2 set class-of-service forwarding-classes queue 2 fc3 set class-of-service forwarding-classes queue 3 fc4 set class-of-service forwarding-classes queue 0 fc5 set class-of-service forwarding-classes queue 1 fc6 set class-of-service forwarding-classes queue 2 fc7 set class-of-service forwarding-classes queue 3 fc8 set class-of-service rewrite-rules dscp rw_dscp set class-of-service rewrite-rules dscp rw_dscp forwarding-class fc1 loss-priority low code-point 000000 set class-of-service rewrite-rules dscp rw_dscp forwarding-class fc2 loss-priority low code-point 001000 set class-of-service rewrite-rules dscp rw_dscp forwarding-class fc3 loss-priority low code-point 010000 set class-of-service rewrite-rules dscp rw_dscp forwarding-class fc4 loss-priority low code-point 011000 set class-of-service classifiers dscp c1 forwarding-class fc1 loss-priority low code-points 111111 set class-of-service classifiers dscp c1 forwarding-class fc2 loss-priority low code-points 110000 set class-of-service classifiers dscp c1 forwarding-class fc3 loss-priority low code-points 100000 set class-of-service classifiers dscp c1 forwarding-class fc4 loss-priority low code-points 000000 set class-of-service interfaces ge-0/0/5 unit 0 rewrite-rules dscp rw_dscp set class-of-service interfaces ge-0/0/6 unit 0 classifiers dscp c1 set security idp idp-policy cos-policy set security idp idp-policy cos-policy rulebase-ips set-security idp idp-policy cos-policy rulebase-ips rule r1 set-security idp idp-policy cos-policy rulebase-ips rule r1 match from-zone any to-zone any application default set-security idp idp-policy cos-policy rulebase-ips rule r1 match attacks predefined-attack-groups 'P2P - All' set security idp idp-policy cos-policy rulebase-ips rule r1 then action class-of-service forwarding-class fc5 set security idp idp-policy cos-policy rulebase-ips rule r1 then action class-of-service dscp-code-point 62 set security idp idp-policy cos-policy rulebase-ips rule r1 then notification log-attacks set security idp idp-policy cos-policy rulebase-ips rule r1 then severity critical
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
DSCP書き換えの通知アクションとして転送クラスを使用するIDPポリシーを設定するには、以下のタスクを実行します。
転送クラスを設定します。
8 つの転送クラスと 4 つのプライオリティ キューの間で 1 対 1 のマッピングを構成するには、
[edit class-of-service]階層レベルで以下のステートメントを含めます。[edit class-of-service] user@host# set forwarding-classes fc1 queue-num 0 user@host# set forwarding-classes fc2 queue-num 1 user@host# set forwarding-classes fc3 queue-num 2 user@host# set forwarding-classes fc4 queue-num 3 user@host# set forwarding-classes fc5 queue-num 0 user@host# set forwarding-classes fc6 queue-num 1 user@host# set forwarding-classes fc7 queue-num 2 user@host# set forwarding-classes fc8 queue-num 3
転送クラスを持つ DSCP リライタを設定します。
[edit class-of-service] user@host# set rewrite-rules dscp rw_dscp forwarding-class fc1 loss-priority low code-point 000000 user@host# set rewrite-rules dscp rw_dscp forwarding-class fc2 loss-priority low code-point 001000 user@host# set rewrite-rules dscp rw_dscp forwarding-class fc3 loss-priority low code-point 010000 user@host# set rewrite-rules dscp rw_dscp forwarding-class fc4 loss-priority low code-point 011000
DSCP リライタと同じ転送クラスを持つ BA 分類子を設定します。
[edit class-of-service] user@host# set classifiers dscp c1 forwarding-class fc1 loss-priority low code-points 111111 user@host# set classifiers dscp c1 forwarding-class fc2 loss-priority low code-points 110000 user@host# set classifiers dscp c1 forwarding-class fc3 loss-priority low code-points 100000 user@host# set classifiers dscp c1 forwarding-class fc4 loss-priority low code-points 000000
リライタを論理インターフェイスに適用します。
[edit class-of-service] user@host# set interfaces ge-0/0/5 unit 0 rewrite-rules dscp rw_dscp
分類子を論理インターフェイスに適用します。
[edit class-of-service] user@host# set interfaces ge-0/0/6 unit 0 classifiers dscp c1
転送クラスのアクションを使用してIDPポリシーを設定します。
次の手順は、IDP ポリシーがアクションの 1 つとしてサービスクラス転送クラスを含める方法を示しています。ポリシー cos-policy では、転送クラス fc5 は dscp-code-point 62 のアクションと組み合わせたアクションとして定義されており、IDP モジュールが DSCP 値を 62 に書き換える必要があります。R1 のアクションを実行すると、IDP モジュールはセキュリティ フロー モジュールを実行し、パケットの DSCP 値を 62 に書き換え、転送クラスを fc5 に設定します。
転送クラスを IDP ポリシーのアクションの 1 つとして設定するには、以下のタスクを実行します。
手順
ポリシーにわかりやすい名前を割り当てて、ポリシーを作成します。
[edit ] user@host# edit security idp idp-policy cos-policy
ルールベースをポリシーに関連付けます。
[edit security idp idp-policy cos-policy ] user@host# edit rulebase-ips
ルールベースにルールを追加します。
[edit security idp idp-policy cos-policy rulebase-ips] user@host# edit rule R1
ルールの一致条件を定義します。
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set match from-zone any to-zone any application default
攻撃を一致条件として定義します。
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set match attacks predefined-attack-groups 'P2P - All'
ルールのアクションとして転送クラスを指定します。
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set then action class-of-service forwarding-class fc5
ルールのアクションとして dscp–code-point を指定します。
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set then action class-of-service dscp-code-point 62
ルールの通知とログのオプションを指定します。
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set then notification log-attacks alert
ルールの重大度レベルを設定します。
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set then severity critical
ポリシーをアクティブ化します。
[edit] user@host# set security idp active-policy cos-policy
業績
設定モードから、 show security idp コマンドと show class-of-service コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security idp
idp-policy cos-policy {
rulebase-ips {
rule R1 {
match {
from-zone any;
to-zone any;
application default;
attacks {
predefined-attack-groups P2P - All;
}
}
then {
action {
class-of-service {
forwarding-class fc5;
dscp-code-point 62;
}
}
notification {
log-attacks {
alert;
}
}
severity critical;
}
}
}
}
active-policy cos-policy;
[edit]
user@host# show class-of-service
classifiers {
dscp c1 {
forwarding-class fc1 {
loss-priority low code-points 111111;
}
forwarding-class fc2 {
loss-priority low code-points 110000;
}
forwarding-class fc3 {
loss-priority low code-points 100000;
}
forwarding-class fc4 {
loss-priority low code-points 000000;
}
}
}
forwarding-classes {
queue 0 fc5;
queue 1 fc6;
queue 2 fc7;
queue 3 fc8;
}
interfaces {
ge-0/0/5 {
unit 0 {
rewrite-rules {
dscp rw_dscp;
}
}
}
ge-0/0/6 {
unit 0 {
classifiers {
dscp c1;
}
}
}
}
rewrite-rules {
dscp rw_dscp {
forwarding-class fc1 {
loss-priority low code-point 000000;
}
forwarding-class fc2 {
loss-priority low code-point 001000;
}
forwarding-class fc3 {
loss-priority low code-point 010000;
}
forwarding-class fc4 {
loss-priority low code-point 011000;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
IDP ポリシー設定の検証
目的
転送クラス fc5 が IDP ポリシーのアクションとして設定されていることを確認します。
アクション
動作モードから、 show security idp idp-policy cos-policy コマンドを入力します。
プラットフォーム固有の サービス クラス アクション の動作
Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。
次の表を使用して、プラットフォームのプラットフォーム固有の動作を確認します。
| プラットホーム |
差 |
|---|---|
| SRXシリーズファイアウォール |
CoS アクションをサポートするSRX1500、SRX3400、SRX3600、SRX5600、SRX5800 シリーズのファイアウォール - 次の 2 つのソフトウェア モジュールを使用して、IP パケットの DSCP 値の書き換えを許可します。
|
プラットフォーム固有の 書き換えルール の動作
Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。
次の表を使用して、プラットフォームのプラットフォーム固有の動作を確認します。
| プラットホーム |
差 |
|---|---|
| SRXシリーズファイアウォール |
書き換えルールをサポートするSRX5600およびSRX5800シリーズのファイアウォールでは、各SRX5Kモジュラーポートコンセントレータ(MPC)で最大32のIEEE 802.1p書き換えルールを設定できます。 |
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。
pt インターフェイス)で802.1p書き換えを設定できます。