ポリサーを参照するステートレス ファイアウォール フィルターの概要

ポリシング(またはレート制限)は、ファイアウォールフィルターの重要なコンポーネントで、インターフェイスに出入りするトラフィックの量を制限できます。

ポリサーを参照する ファイアウォールフィルター は、サービス拒否(DOS)攻撃からの保護を提供できます。ポリサーに設定されたレート制限を超えるトラフィックは、破棄されるか、設定されたレート制限に適合するトラフィックよりも低い優先度としてマークされます。特定の出力キューに設定するか、特定のパケット損失優先度(PLP)レベルに設定するか、またはその両方を行うことで、パケットに低い優先度としてマークできます。必要に応じて、優先度の低いトラフィックを破棄して輻輳を防ぐことができます。

ポリサーは、トラフィックのレート制限の 2 種類を指定します。

• 帯域幅制限 - 許容される平均トラフィック レートで、ビット/秒数で指定されます。

• 最大バースト サイズ - 帯域幅制限を超えるデータのバーストに許容されるパケット サイズ。

ポリシングは、アルゴリズムを使用して、指定された最大値までのバーストを許可しながら、平均帯域幅に制限を適用します。ポリシングを使用して、インターフェイス上のトラフィックの特定のクラスを定義し、各クラスに一連のレート制限を適用することができます。ポリサーに名前を付けて構成すると、そのポリサーはテンプレートとして保存されます。その後、インターフェイス構成でポリサーを適用するか、ファイアウォールフィルター構成でパケットフィルタリングされたトラフィックのみのレート制限を行うことができます。

IPv4ファイアウォールフィルターの条件のみに対して、プレフィックス 固有のアクション を、一致したパケットにポリサーを適用する非終了アクションとして指定することもできます。プレフィックス固有のアクションは、指定されたアドレスプレフィックスビットに基づいてフィルターに一致したパケットに追加の一致基準を適用し、一致したパケットを、そのフィルター条件またはファイアウォールフィルター内のすべての条件のカウンターおよびポリサーインスタンスに関連付けます。

パケットフィルタリングされたトラフィックにポリサーまたはプレフィックスアクションを適用するには、次のファイアウォールフィルター非終了アクションを使用できます。

• policer policer-name

• three-color-policer (single-rate | two-rate) policer-name

• prefix-action action-name