Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ギガビットイーサネットポリサーの構成

ポリサーを使用すると、ファイアウォールフィルターを構成せずに、ギガビットイーサネットインターフェイス上でシンプルなトラフィックの監視を実行できます。このトピックを使用して、入力優先度マップ、出力優先度マップ、およびポリシーの適用を構成できます。このトピックでは、2色のポリサーと3色のポリサーを構成する方法について説明します。

Sfp によるギガビットイーサネット IQ PICs およびギガビットイーサネット PICs の機能

Sfp を使用したギガビットイーサネットの IQ PICs およびギガビットイーサネット PICs (10 ポートギガビットイーサネット PIC と M7i ルーターの組み込みギガビットイーサネットポートを除く) は、VLAN クラスのサービス単位 (CoS) の機能と拡張を細かく設定できます。インスツルメンテーションと診断は、VLAN 単位および MAC アドレス単位で実現されます。

VLAN の書き換え、タグ付け、削除を行うことで、VLAN アドレス空間を使用して、より多くの顧客とサービスをサポートできます。

VPLS を使用すると、VPN 内の複数のサイト間で、マルチポイントの LAN を提供できます。Sfp (10 ポートギガビットイーサネット PIC と M7i ルーターの組み込みギガビットイーサネットポートを除く) を使用したイーサネット IQ PICs とギガビットイーサネット PICs は、メトロイーサネットサービスを提供するために VPLS と組み合わせられています。

ギガビット イーサネットIQ2およびIQ2-Eおよび10ギガビット イーサネットIQ2およびIQ2-Eインターフェイスでは、エグレスまたはイングレス方向の論理インターフェイスにレイヤー2ポリシングを適用できます。レイヤー2ポリサーは、 [edit firewall]階層レベルで設定されています。また、インターフェイスで送信または受信したトラフィックのレートを制御するには、 [edit chassis fpc slot-number pic slot-number]階層レベルでポリサーのオーバーヘッドを構成することもできます。

表 1は、Sfp によるギガビットイーサネットの IQ PICs およびギガビットイーサネット PICs の機能を示しています (10 ポートギガビットイーサネット PIC と、M7i ルーター上の組み込みギガビットイーサネットポートは除きます)。

表 1: Sfp によるギガビットイーサネット IQ およびギガビットイーサネットの機能

性能

ギガビットイーサネット IQ (SFP)

ギガビットイーサネット (SFP)

レイヤー 2

802.3 ad リンクアグリゲーション

あり

あり

ポート当たりの最大 Vlan 数

384

1023

最大転送ユニット (MTU) サイズ

9192

9192

MAC 学習

あり

あり

MAC アカウンティング

あり

あり

MAC フィルタリング

あり

あり

ポート当たりの宛先

960

960

ポート当たりの送信元

64

64

階層型 MAC ポリサー

はい、プレミアム、総合

いいえ、集約のみ

非標準の Tpid 用の複数の TPID サポートと IP サービス

あり

あり

マルチイーサネット encapsulations

あり

あり

デュアル VLAN タグ

あり

なし

VLAN リライト

あり

なし

レイヤー 2 VPN

VLAN CCC

あり

あり

ポートベースの CCC

あり

あり

拡張 VLAN CCC 仮想メトロポリタンエリアネットワーク (VMAN) タグプロトコル

あり

あり

CoS

PIC ベースの送信キュー

あり

あり

キュー内の Vlan

あり

なし

VPLS

あり

あり

VPLSの設定について、詳しくは ルーティング デバイス用のJunos OS VPNライブラリ を参照してください

論理 IQ インターフェイスの CoS を設定することもできます。詳細については、 ルーティング デバイスの Junos OS サービス クラス ユーザー ガイド を参照してください

ギガビットイーサネットポリサーの構成

概要

Sfp を使用したギガビットイーサネット IQ およびギガビットイーサネット PICs (10 ポートギガビットイーサネット PIC と M7i ルーター上の組み込みギガビットイーサネットポートを除く) は、そのインターフェイスで受信するトラフィックの量や総計に対するレート制限を定義することができます。これらのポリサーでは、ファイアウォールフィルターを構成せずに、シンプルなトラフィックポリシーを実行できます。まず、イーサネットポリサープロファイルを設定し、次に受信/送信トラフィックを分類してから、ポリサーを論理インターフェイスに適用できます。

Sfp によるギガビットイーサネット PICs (10 ポートギガビットイーサネット PIC と M7i ルーターの組み込みギガビットイーサネットポートを除く) では、構成するポリサーレートはパケット転送エンジンのレートとは異なる場合があります。この違いは、レイヤー2のオーバーヘッドによって生じます。この違いのための PIC アカウント。

注:

ギガビットイーサネットまたは高速イーサネット PICs を備えた MX シリーズルーターには、以下の点が当てはまります。

  • インターフェイスカウンターは、7バイトのプリアンブルと、イーサネットフレームの1バイトのフレーム区切り文字をカウントしません。

  • MAC 統計では、フレームサイズには MAC ヘッダーと CRC が含まれ、VLAN の再書き込み/面付けルールが適用されます。

  • トラフィック統計では、フレームサイズには、VLAN 再書き込み/面付けルールの後に、CRC なしで L2 ヘッダーが含まれています。

イーサネット フレームの統計情報について詳しくは、「 レイヤー 2 MX シリーズ ガイド 」を参照してください

ポリサーの構成

イーサネットポリサープロファイルを構成するにはethernet-policer-profile 、次の[edit interfaces interface-name gigether-options ethernet-switch-profile]ように階層レベルのステートメントを含めます。

イーサネットポリサープロファイルでは、集約型の優先順位が必須です。プレミアム優先のポリサーはオプションです。

アグリゲーションおよびプレミアムポリサーの場合は、帯域幅制限をビット/秒で指定します。この値は、完全な10進数、10進数の後に省略k (1000)、 (100万)、またはg (10億) のいずれかで指定できます。帯域幅制限には絶対的な最小値はありませんが、61040 bps 未満の値を指定すると、30520 bps の効果的な速度が得られます。最大帯域幅制限は 4.29 Gbps です。

最大バーストサイズは、許可されるトラフィックバーストの量を制御します。バーストサイズの上限を決定するには、その帯域幅でトラフィックのバーストを許容する時間によって、フィルタを適用するインターフェイスの帯域幅を増加させることができます。

インターフェイスの帯域幅が不明な場合は、インターフェイス上のトラフィックの最大 MTU を10倍して、値を取得することができます。たとえば、4700の MTU のバーストサイズは47000バイトです。バースト サイズは、10 以上のインターフェイス MTUs である必要があります。バーストサイズ制限の最大値は 100 MB です。

入力優先度マップの指定

入力優先度マップは、指定された IEEE 802.1 p 優先度値を持つ受信トラフィックを識別し、そのトラフィックをプレミアムとして分類します。

プレミアム優先のポリサーを含める場合は、階層レベルのieee802.1 premium[edit interfaces interface-name gigether-options ethernet-policer-profile input-priority-map]ステートメントを含めることで、入力優先度マップを指定できます。

優先度には、0 ~ 7 の値を指定できます。残りのトラフィックは非プレミアム (またはアグリゲート) に分類されます。構成の例について例:ギガビットイーサネットポリサーの構成は、を参照してください。

注:

IQ2 と IQ2-E インターフェイスと MX シリーズのインターフェイスでは、VLAN タグがプッシュされると、802.1 p ビットの内部 IEEE VLAN が VLAN の IEEE ビットまたは vlan にコピーされます。元のパケットがタグなしになっている場合は、VLAN の IEEE ビット、またはプッシュされる Vlan は0に設定されます。

出力優先度マップの指定

出力優先度マップは、指定されたキュー分類およびパケットロス優先度 (PLP) を使用して送信トラフィックを識別し、そのトラフィックをプレミアムとして分類します。

プレミアム優先のポリサーを含める場合は、階層レベルのclassifier[edit interfaces interface-name gigether-options ethernet-policer-profile output-priority-map]ステートメントを含めることで、出力優先度マップを指定できます。

転送クラスを定義したり、事前定義された転送クラスを使用したりすることができます。表 2は、事前定義された転送クラスとそれに関連するキューの割り当てを示しています。

表 2: デフォルト転送クラス

転送クラス名

待ち時間

ベストエフォート型

キュー0

優先転送

キュー1

保証した転送

キュー2

ネットワーク制御

キュー3

転送クラスの詳細CoSルーティング デバイスの Junos OS サービス クラス ユーザー ガイド を参照してください。構成の例について例:ギガビットイーサネットポリサーの構成は、を参照してください。

ポリサーの適用

すべての MX シリーズルーターインターフェイス、ギガビットイーサネット IQ、IQ2、IQ2-E PICs、および Sfp を使用したギガビットイーサネット PICs (10 ポートギガビットイーサネット PIC と、M7i ルーターの組み込みギガビットイーサネットポートを除く)、入力および出力のポリサーを適用できます。論理インタフェース上で受信する、プレミアムおよび集約トラフィックのレート制限。アグリゲーションポリサーは Sfp を使用したギガビットイーサネット PICs でサポートされています (10 ポートギガビットイーサネット PIC と M7i ルーター上の組み込みギガビットイーサネットポートは除きます)。

これらのポリサーでは、ファイアウォールフィルターを構成せずに、シンプルなトラフィックポリシーを実行できます。

ポリサーを特定のソース MAC アドレスに適用するにaccept-source-macは、以下の文を含めます。

これらのステートメントを以下の階層レベルで含めることができます。

  • [edit interfaces interface-name unit logical-unit-number ]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

MAC アドレスnn: nn :nn:nn: nn :nn :nnまたはnnnnnnnn..nnnnnnとして16進数字を指定 n できます。最大64の送信元アドレスを設定できます。1つ以上のアドレスを指定するにmac-addressは、論理インタフェース構成に複数の文を含めます。

注:

タグなしギガビットイーサネットインターフェイスでは、 source-address-filter[edit interfaces ge-fpc/pic/port gigether-options]階層レベルでステートメントを設定しaccept-source-macたり、 [edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number]階層レベルでステートメントを同時に構成したりしないでください。これらのステートメントが同時に同じインターフェイスに設定されている場合は、エラーメッセージが表示されます。

タグ付きギガビットイーサネットインターフェイスでは、 source-address-filter[edit interfaces ge-fpc/pic/port gigether-options]階層レベルでステートメントを設定するaccept-source-macのでは[edit interfaces ge-fpc/pic/port gigether-options unit logical-unit-number]なく、両方のフィルターで指定された同一の MAC アドレスを使用して階層レベルのステートメントを構成してはなりません。同じ MAC アドレスを指定した同じインターフェイスにこれらのステートメントが設定されている場合、エラーメッセージが表示されます。

注:

リモートイーサネットカードが変更された場合、新しいカードが異なる MAC アドレスを持つため、インターフェイスは新しいカードからのトラフィックを受け付けません。

設定に含めるMACアドレスが、ルーターのMACデータベースに入力されます。ルーターの MAC データベースを表示するには、次のコマンドを入力 show interfaces mac-database interface-name します。

input文で、インターフェースでパケットが受信されたときに評価される、1つのポリサーテンプレートの名前をリストします。

output文では、パケットがインターフェースで送信されたときに評価される1つのポリサーテンプレートの名前をリストします。

注:

IQ2 および IQ2-E PIC インターフェイスでは、テーブルがいっぱいになっていない場合、MAC アドレステーブルのエントリの最大保有数のデフォルト値が変更されています。新しい保持時間は12時間です。テーブルがいっぱいになっても、前回のリテンション時間は3分になります。

同じポリサーを1回以上使用することもできます。

ポリサーとファイアウォールの両方のフィルターをインターフェイスに適用すると、入力ポリサーを評価する前に入力ファイアウォールフィルターが実行され、出力ファイアウォールのフィルター処理が行われます。

MAC アドレスフィルタリングの構成

特定のソース MAC アドレスを持つトラフィックを明示的に定義して拒否することはできません。ただし、Sfp によるギガビットイーサネットの IQ およびギガビットイーサネット PICs (10 ポートギガビットイーサネット PIC と M7i ルーターの組み込みギガビットイーサネットポートを除く)、および MX シリーズルーターでのギガビットイーサネット Dpc については、 accept-source-macステートメントで指定された送信元アドレスを持たない着信パケットをすべてブロックすることができます。文のaccept-source-mac詳細については、 ポリサーの適用を参照してください。

このブロッキングを有効にするにsource-filteringは、次[edit interfaces interface-name gigether-options]のように階層レベルのステートメントを追加します。

このステートメントのsource-filtering詳細については、「イーサネットインターフェイスの MAC アドレスフィルタリングの構成」を参照してください。

accept-source-macステートメントで指定された送信元アドレスを持たないトラフィックを受信する場合は、 no-source-filtering[edit interfaces interface-name gigether-options]階層レベルに以下のステートメントを追加します。

例:ギガビットイーサネットポリサーの構成

サンプル

この例では、以下のことを示します。

  • 優先度ge-6/0/0の値2および3をプレミアムとして扱うように、インターフェイスを構成します。受信時には、IEEE 802.1 p の優先度23が premium として扱われることを意味します。送信時には、キュー0または1に分類されるトラフィックのうち、PLP の low and queue 2 または3、PLP が高いということは、premium として扱われます。

  • プレミアム帯域幅を 100 Mbps、バースト サイズを 3 k に、集約帯域幅を 200 Mbps、バースト サイズを 3 k に制限するポリシーを定義します。

  • インターフェイスから受信したフレームMAC アドレスVLAN IDが入出力時にポリシー適用 00:01:02:03:04:05600 対象として設定します。入力時には、送信元 MAC アドレス00:01:02:03:04:05とともに受信されたフレームで、VLAN ID 600 は、ポリサーの対象となります。出力時には、ルーターから宛先 MAC アドレス00:01:02:03:04:05に送信されたフレームを意味し600ます。また、VLAN ID は、ポリサーの対象になります。

設定例

ギガビットイーサネットの2色および Tricolor ポリサーを構成する

概要

M Series および T Series ルーター上のギガビットイーサネットおよび10ギガビットイーサネット IQ2 と IQ2-E インターフェイスでは、2色と tricolor によるポリサーを構成し、それらを論理インターフェイスに適用して、インターフェイス上のトラフィックが帯域幅を消費しないようにすることができます。間違っ.

ネットワークの警察署のトラフィックは、ユーザーが定義した条件に基づいて、トラフィックのクラスの入出力転送レートを制限しています。ポリシーの設定によって、インターフェイスで送信または受信するトラフィックの最大速度を制御したり、ネットワークを複数の優先レベルまたはサービスクラスに分割したりすることができます。

ポリシー作成では、トラフィック フローにバースト サイズと帯域幅の制限を適用し、これらの制限を超えるパケットの結果を設定する必要があります(通常、損失の優先度が高くなるので、ポリシーの制限を超えるパケットは最初に破棄されます)。

ジュニパーネットワークスルーターアーキテクチャは、3種類のポリサーをサポートしています。

  • 2 カラー ポリシー:2 色のポリシー(認定なしで使用した場合は「ポリシー」)でトラフィック ストリームをメーターし、設定された帯域幅とバーストサイズの制限に従ってパケットを 2 つのカテゴリーのパケット 損失優先度(PLP)に分類します。帯域幅とバーストサイズの制限を超えたパケットを、または単に破棄するように設定することができます。ポリサーは、ポート (物理インターフェイス) レベルでトラフィックをメータリングする場合に特に便利です。

  • シングルレート TCM(シングルレート TCM):シングルレート 3 色マーキング、RFC 2697、Single Rate Three Color Markerが、DiffServ(Differentiated Services)環境向け PHB(Assured Forwarding per-hop-Behavior)分類システムの一部として定義されています。このタイプのポリサーメータトラフィックは、構成されたコミット情報レート (CIR)、コミット済みバーストサイズ (CBS)、および超過バーストサイズ (EBS) をベースにしています。

    Junos OS リリース13.1 から開始すると、トラフィックは次の3つのカテゴリーに分類されます。緑、赤、黄です。カテゴリを以下に示します。

    • 緑—到着するパケットのバースト サイズは、設定された CIR と CBS の合計を超える。

    • 赤 — 到着するパケットのバースト サイズは、設定済みの CIR と EBS の合計を超える。

    • 黄色 — 到着するパケットのバースト サイズは CBS より大きいが、EBS より小さい。

    シングルレート TCM は、パケットの長さに従って、ピーク時の到達率ではないサービスを構築する場合に最も有用です。

  • 2 レート TCM(2 レート TCM)の 3 色マーキング:このタイプのポーサーは、DiffServ(Differentiated Services)環境向け保証型転送 phB(forwarding per-hop-behavior)分類システムの一部として、RFC 2698、A Two Rate Three Color Markerに定義されています。このタイプのポリサーは、設定された CIR およびピーク情報レート (PIR) に基づき、その関連するバーストサイズ、CBS、EBS に基づいてトラフィックを送信します。

    トラフィックは、以下の3つのカテゴリーに分類されます。

    • 緑—到着するパケットのバースト サイズは、設定された CIR と CBS の合計を超える。

    • 赤 — 到着するパケットのバースト サイズは、設定済みのEBSとEBSの合計を超える。

    • 黄色 — トラフィックは緑色と赤色のどちらのカテゴリーにも属しません。

    2レート TCM は、サービスが到着率に従って構成され、必ずしもパケット長ではない場合に最も有用です。

注:

ポリサー (ギガビットイーサネットポリサーの構成に関する説明) とは異なり、2色のポリサーと tricolor のマーク付けを構成するには、ファイアウォールフィルターを構成する必要があります。

ポリサーの構成

2色の tricolor マーキングポリサーは、 [edit firewall]階層レベルで設定されています。

Tricolor は、トラフィックに対して設定された、CIR、PIR、関連するバーストサイズ、およびポリシーを使用したすべての措置を含む、計測の速度に基づいて er のトラフィックを監視します。

Tricolor ポリサーマーキングを構成するにはthree-color-policer 、次のように[edit firewall] 、オプションを含む階層レベルのステートメントを追加します。

3 色ポリサー マーキングの設定について、詳しくはhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.htmlルーティング ポリシー、ファイアウォール フィルター、トラフィック ポリサー ユーザー ガイド および ルーティング デバイスのJunos OS サービスクラス ユーザー ガイド を参照してください。

ポリサーの適用

2色のポリサーまたは tricolor のポリサーを論理インターフェイスに適用して、インターフェイス上のトラフィックが不適切に帯域幅を消費しないようにします。2色または tricolor のポリサーを適用するにlayer2-policerは、以下のステートメントを含めます。

これらのステートメントを以下の階層レベルで含めることができます。

  • [edit interfaces interface-name unit logical-unit-number]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number]

この文input-policerを使用して、論理インタフェースで受信したパケットに2色のポリサー input-three-colorを適用し、文を tricolor ポリサーに適用します。このoutput-policer文を使用して、論理インタフェースで送信されたパケットに2色のポリoutput-three-colorサーを適用し、文を tricolor ポリサーに適用します。指定されたポリサーは、 [edit firewall]階層レベルで設定する必要があります。各インターフェイスでは、3 カラー ポリシーまたは 2 カラー入力ポリシーまたは出力ポリシーを設定できます。3 カラー ポリシーと 2 カラー ポリシーの両方は設定できません。

例:ポリサーの構成と適用

Tricolor のポリサーを構成し、インターフェイスに適用します。

2色のポリサーを構成し、インターフェイスに適用します。

リリース履歴テーブル
リリース
説明
13.1
Junos OS リリース13.1 から開始すると、トラフィックは次の3つのカテゴリーに分類されます。緑、赤、黄です。