ファイアウォール フィルターでのポリサーの使用について

ポリサーの概要

ポリサーを使用して、トラフィックのレート制限を指定できます。ポリサーで構成されたファイアウォール フィルターは、指定されたレート制限内のトラフィックのみを許可するため、サービス拒否(DoS)攻撃からの保護が提供されます。ポリサーが指定したレート制限を超えるトラフィックは、直ちに破棄されるか、レート制限内のトラフィックよりも低い優先度としてマークされます。スイッチは、トラフィックの輻輳が発生した場合、優先度の低いトラフィックを破棄します。

ポリサーは、トラフィックに 2 種類のレート制限を適用します。

• 帯域幅 — 平均して許可される1秒あたりのビット数。

• 最大バースト サイズ — 特定の帯域幅制限を超えるデータのバーストで許可される最大サイズ。

ポリシングでは、アルゴリズムを使用して、指定した最大値までバーストを許可しながら、平均帯域幅に制限を適用します。インターフェイス上のトラフィックの特定のクラスを定義し、各クラスに一連のレート制限を適用することができます。ポリサーの名前を付けて設定すると、ポリサーはテンプレートとして保存されます。その後、ファイアウォール フィルター設定でポリサーを使用できます。

ジュニパーネットワークスEX8200イーサネットスイッチを除くすべてのEXシリーズスイッチでは、設定した各ポリサーには、ポリサーに指定されたレート制限を超えるパケット数をカウントする暗示的なカウンターが含まれています。各EX8200スイッチには、3つのグローバル管理カウンターが含まれています。ポリサーの統計を取得するには、これらのグローバル管理カウンターにイングレスポリサーを割り当てる必要があります。各グローバル管理カウンターには、任意の数のイングレス ポリサーを割り当てることができます。各グローバル管理カウンターのポリサー統計は、そのグローバル管理カウンターに関連するすべてのポリサーのポリサー統計の集約です。

フィルター固有のパケット数を取得するには、ファイアウォールフィルターごとに異なるポリサーを設定する必要があります。ポリサーは、デフォルトで用語固有のカウントを提供します。

ポリサー タイプ

スイッチは、3種類のポリサーをサポートしています。

• シングルレート2カラー:2カラーポリサー(単に「ポリサー」とも呼ばれる)でトラフィックストリームをメーター化し、設定された帯域幅とバーストサイズ制限に従って、パケット損失優先度(PLP)の2つのカテゴリーに分類します。帯域幅とバーストサイズの制限を超えるパケットをマークするか、単に破棄することができます。2 カラー ポリサーは、ポート(物理インターフェイス)レベルでトラフィックを計測する場合に最も便利です。

• シングルレートスリーカラー—このタイプのポリサーは、RFC 2697、 単一レート3カラーマーカーで定義されています。これは、DiffServ(差別化サービス)環境向けのAF(アシュアランスフォワーディング)PHB(per-hop-behavior)分類システムの一部として定義されています。このタイプのポリサーは、設定されたCIR(コミットされた情報レート)、CBS(コミットされたバーストサイズ)、および余分なバーストサイズ(EBS)に基づいてトラフィックをメートルします。パケットが CBS を下回る(緑)、CBS を超えているが、EBS(黄色)を超えているかどうか、または EBS(赤)を超えているかどうかに基づいて、トラフィックは 3 つのカテゴリー(緑、黄色、赤)のいずれかに属しているとマークされます。シングルレートのスリーカラーポリサーは、ピーク到着レートではなく、パケットサイズに応じてサービスを構成する場合に最も便利です。

• 2 レートスリーカラー—このタイプのポリサーは、RFC 2698 A Two Rate 3 Color Markerで定義されています。これは、DiffServ(差別化サービス)環境向けのAF(アシュアランスフォワーディング)PHB(per-hop-behavior)分類システムの一部として定義されています。このタイプのポリサーは、設定されたCIRとPIR(ピーク情報レート)に基づいてトラフィックを、関連するバーストサイズとともにメートルします。CBS、PBS(ピーク バースト サイズ)です。トラフィックは、CIR(緑)を下回るレート、CIR(黄色)を超える、またはPIR(黄色)を超える、またはPIR(赤色)を超えるパケットに基づいて、3つのカテゴリー(緑、黄色、または赤)のいずれかに属しているとマークされます。2 レートスリーカラーポリサーは、パケットサイズではなく到着レートに応じてサービスを構成する場合に最も便利です。

ポリサーアクション

ポリサーアクションは暗黙的または明示的で、ポリサータイプによって異なります。暗示的という用語は、Junos OSが損失優先値を自動的に割り当てることを意味します。明示的とは、アクションを設定することを意味します。 表 1 は、ポリサーのアクションを一覧表示します。

ポリサー レベル

ポリサーは、キュー レベル、 論理インターフェイス レベル、またはレイヤー 2(MAC)レベルで設定できます。エグレス キューのパケットには、単一のポリサーのみが適用されます。ポリサーの検索はこの順序で行われます。

• キュー レベル

• 論理インターフェイス レベル

• レイヤー 2(MAC)レベル

カラー モード

3 色マーキング(TCM)ポリサーは、緑と黄色の色分け規則に拘束されません。パケットは、カラーに基づいて低または高の PLP ビット設定でマークされます。そのため、どちらの 3 カラー ポリサー タイプ(シングルレートと 2 レート)でも、ポリサーで通常利用できる 2 種類ではなく、3 つのレベルのドロップ優先度(損失の優先度)を提供することで、サービス クラス(CoS)トラフィック ポリシングの機能を拡張します。シングルレートと 2 レートの 3 カラー ポリサー タイプは、2 つのモードで動作できます。

• カラーブラインド—カラーブラインドモードでは、3カラーポリサーは、検査されたパケットが以前にマークされたか測定されたかを参照せずに動作します。言い換えると、3 カラー ポリサーは、以前にパケットを色分けしていた場合に 対して盲目 になります。

• カラーアウェア:カラーアウェア モードでは、3 カラー ポリサーは、検査されたパケットの以前のマーキングまたは測定を参照して動作します。つまり、3 カラー ポリサーは、以前にパケットが持っていた可能性のあるカラーリングを 認識 しています。カラーアウェア モードでは、3 カラー ポリサーはパケットの PLP を増やすことができますが、減少させることはありません。たとえば、カラー認識型の 3 カラー ポリサーが、PLP マーキングが低いパケットをメーターで計る場合、PLP レベルを高くすることができます。しかし、高い PLP レベルを低くすることはできません。

ポリサーの命名規則

3 カラー ポリサーを設定する場合は、命名規則 rate-TCMnumber-colortype を使用することをお勧めします。●TCMは3色マーキングの略。ポリサーは多数あり、作業には正しく適用する必要があるため、シンプルな命名規則に従うことで、ポリサーを適切に適用しやすくなります。

例えば、単一レート、3 カラー、カラーアウェア ポリサーを設定した場合、srTCM1-ca という名前を付けます。2 レート、3 カラー、カラーブラインド ポリサーを設定した場合、trTCM2-cb と名前を付けます。