Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ポリサーを参照するステートレス ファイアウォール フィルターの概要

ポリシー設定(レート制限)は、インターフェイスを通過するトラフィックの量を制限できるファイアウォール フィルターの重要なコンポーネントです。

ポリサーを参照する ファイアウォール フィルター は、サービス拒否(DOS)攻撃からの保護を提供できます。ポリサーに設定されたレート制限を超えるトラフィックは、破棄されるか、設定されたレート制限に準拠するトラフィックよりも低い優先度としてマークされます。パケットは、特定の出力キューに設定するか、特定のパケット損失優先度(PLP)レベルに設定するか、またはその両方に設定することで、優先度の低いマークを付けることができます。必要に応じて、優先度の低いトラフィックを破棄して輻輳を防ぐことができます。

ポリサーは、トラフィックに対する 2 種類のレート制限を指定します。

  • 帯域幅制限 — 許可される平均トラフィック レート(1 秒あたりビット数として指定)。

  • 最大バースト サイズ — 帯域幅制限を超えるデータのバーストで許可されるパケット サイズ。

ポリシングでは、アルゴリズムを使用して平均帯域幅に制限を適用すると同時に、指定した最大値までのバーストを許可します。ポリシー設定を使用して、インターフェイス上の特定のトラフィック クラスを定義し、各クラスに一連のレート制限を適用できます。ポリサーに名前を付けて設定すると、ポリサーはテンプレートとして保存されます。次に、インターフェイス設定でポリサーを適用するか、ファイアウォール フィルタ設定でパケットフィルタリングトラフィックのみをレート制限できます。

IPv4 ファイアウォール フィルタ条件の場合のみ、 プレフィックス固有のアクション を終端処理以外のアクションとして指定して、一致するパケットにポリサーを適用することもできます。プレフィックス固有のアクションは、指定されたアドレス プレフィックス ビットに基づいてフィルタ一致パケットに追加の照合基準を適用し、そのフィルタ条件またはファイアウォール フィルタ内のすべての条件に対して、照合されたパケットをカウンターおよびポリサー インスタンスに関連付けます。

パケット フィルタリング トラフィックにポリサーまたはプレフィックス アクションを適用するには、以下のファイアウォール フィルター非終端処理アクションを使用できます。

  • policer policer-name

  • three-color-policer (single-rate | two-rate) policer-name

  • prefix-action action-name

注:

ポリサーが考慮するパケットの長さは、ファイアウォール フィルタのアドレス ファミリーによって異なります。を参照してください ポリシング パケットのフレーム長について