Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

トラフィック ポリシングを使用したネットワーク アクセスの制御の概要

IP トラフィック フローの輻輳管理

レート制限とも呼ばれるトラフィック ポリシングは、サービス拒否(DoS)攻撃を阻止するために設計されたネットワーク アクセス セキュリティの不可欠なコンポーネントです。トラフィック ポリシングにより、インターフェイス上で送受信される IP トラフィックの最大レートを制御したり、ネットワーク トラフィックを複数の優先度レベル( サービス クラスとしても知られる)に分割したりすることができます。ポリサーは、一連のトラフィック レート制限を定義し、設定された制限に準拠していないトラフィックの結果を設定します。トラフィックの制限に準拠していないトラフィック フロー内のパケットは、破棄されるか、別の転送クラスまたは PLP(パケット 損失優先度)レベルでマークされます。

集約トラフィックをレート制限するように設定されたポリサー(物理インターフェイス上で設定されたすべてのプロトコル ファミリーと論理インターフェイス)を除き、 論理インターフェイスのレイヤー 2 またはレイヤー 3 トラフィック フロー内のすべての IP パケットにポリサーを適用できます。

物理インターフェイス のメディア レートに基づいてレート制限を設定したポリサーを除き、ステートレス ファイアウォール フィルタを使用して、論理インターフェイスのレイヤー 3 トラフィック フロー内の特定の IP パケットにポリサーを適用できます。

インバウンド またはアウトバウンド インターフェイス トラフィックにポリサーを適用できます。インバウンド トラフィックに適用されたポリサーは、ネットワークを介してルーティングする必要のないトラフィックをドロップすることで、リソースを節約するのに役立ちます。インバウンド トラフィックのドロップは、サービス拒否(DoS)攻撃を阻止するのにも役立ちます。ポリサーは、使用する帯域幅をアウトバウンド トラフィック制御に適用しました。

注:

トラフィック ポリサーは PIC 単位でインスタンス化されます。1 つのローカル ポリシー決定機能(L-PDF)加入者のトラフィックが AMS グループ内の複数のマルチサービス PIC 上に分散されている場合、トラフィック ポリシングは機能しません。

トラフィック制限

Junos OSポリサーは 、トークンバケットアルゴリズム を使用して、インターフェイスでのトラフィックの平均送受信レートに制限を適用すると同時に、設定された帯域幅制限と設定されたバーストサイズに基づいて最大トラフィックのバーストを最大値まで許可します。トークンバケットアルゴリズムは、パケットの破棄を開始する前に指定されたトラフィックバーストを許可したり、パケット出力キューイングの優先度やパケットドロップ優先度などのペナルティを適用したりするという点で、 漏れバケットアルゴリズム よりも柔軟性が高くなります。

トークン バケット モデルでは、バケットはポリサーのレート制限機能を表します。トークンは固定レートでバケットに追加されますが、バケットの指定された深さに達すると、その後に割り当てられたトークンを格納して使用することはできません。各トークンは、いくつかのビットの「クレジット」を表し、バケット内のトークンはインターフェイスでトラフィックを送受信する機能のために「キャッシュイン」されます。バケットに十分なトークンが存在すると、トラフィック フローは無制限に継続されます。そうしないと、パケットがドロップされたり、転送クラスが低く、PLP(パケット損失の優先度が高い)レベル、またはその両方で再マークされたりすることがあります。

  • トークンがバケットに追加されるレートは、指定されたサービス レベルで許可される最大の平均送信または受信レート(ビット/秒)を表します。ポリサーの 帯域幅制限 として、この最高の平均トラフィック レートを指定します。トラフィック到着レート(または固定ビット/秒)が非常に高く、ある時点で不十分なトークンがバケットに存在する場合、トラフィックフローはトラフィック制限に準拠しなくなります。比較的低いトラフィック(トークン到着率を下回る平均レートでインターフェイスに到着または出発するトラフィック)の間、未使用のトークンがバケットに蓄積されます。

  • バケットの深さ(バイト)は、許可されるバックツーバックバーストの量を制御します。この係数はポリサーの バースト サイズ制限 として指定します。この 2 番目の制限は、送信バーストで許可されるバイト数を特定の時間の間隔で制限することで、平均送信または受信レートに影響を与えます。現在のバースト サイズ制限を超えるバーストは、バーストの進行を許可するのに十分なトークンが使用可能になるまで破棄されます。

    図 1: ネットワーク トラフィックとバースト レートネットワーク トラフィックとバースト レート

    上の図に示すように、UPCバーコードは、ライン上のトラフィックの良いファクシミリです。インターフェイスが送信中(フルレートでのバースト)か、または送信されていないかのいずれかです。黒い線はデータ転送の期間を表し、空白はトークン バケットが補充できる無音期間を表します。

使用されるポリサーのタイプによっては、定義された制限を超えるポリシングされたトラフィック フロー内のパケットが、暗黙的に上位の PLP レベルに設定されたり、設定された転送クラスに割り当てられたり、設定済みの PLP レベル(またはその両方)に設定されたり、単に破棄されたりすることがあります。パケットがダウンストリームの輻輳に遭遇した場合、PLP レベルのlowパケットは、medium-highPLP レベルのhighパケットよりもmedium-low破棄される可能性が低くなります。

トラフィックカラーマーキング

設定された特定のトラフィック制限に基づいて、ポリサーはトラフィック フローを、自動車のトラフィックを制御するために使用される信号の色に似た 2 つまたは 3 つのカテゴリのいずれかに属することを識別します。

  • 単一レート 2 色 —2 色マーキング ポリサー(または、認定なしで使用した場合は「ポリサー」)は、トラフィック ストリームをメーター化し、設定された帯域幅とバースト サイズの制限に従ってパケット損失優先度(PLP)の 2 つのカテゴリにパケットを分類します。帯域幅とバースト サイズの制限を超えるパケットを何らかの形でマークすることも、破棄することもできます。

    ポリサーは、ポート(物理インターフェイス)レベルでトラフィックを計測する場合に最も便利です。

  • 単一レート 3 色 — このタイプのポリサーは、DiffServ(差別化サービス)環境向けの確実な転送(AF)ホップごとの動作(PHB)分類システムの一部として、RFC 2697、 A Single Rate Three Color Marker で定義されています。このタイプのポリサーは、設定されたCIR(コミットされた情報レート)、CBS(コミットされたバーストサイズ)、および超過バーストサイズ(EBS)に基づいてトラフィックをメートルします。トラフィックは、受信するパケットがCBS(緑)の下にあるかどうか、CBS(黄色)を超えているがEBSを超えないかどうか、またはEBS(赤)を超えているかどうかに基づいて、3つのカテゴリー(緑、黄色、赤)のいずれかに属するとマークされます。

    単一レートの 3 カラー ポリサーは、ピーク到着レートではなくパケット長に従ってサービスを構造化する場合に最も便利です。

  • ツーレートスリーカラー—このタイプのポリサーは、DiffServ(差別化サービス)環境向けの確実な転送(AF)ホップ動作(PHB)分類システムの一部として、RFC 2698、 A Two Rate Three Color Markerで定義されています。このタイプのポリサーは、設定されたCIRとPIR(ピーク情報レート)に基づいてトラフィックを、関連するバーストサイズ、CBS、 ピークバーストサイズ (PBS)に基づいてメーター化します。トラフィックは、受信するパケットがCIR(緑)を下回っているか、CIR(黄色)を超えているがPIRを超えないかどうか、またはPIR(赤)を超えているかどうかに基づいて、3つのカテゴリー(緑、黄色、赤)のいずれかに属するとマークされます。

    2 レートの 3 カラー ポリサーは、到着レートに従ってサービスを構造化し、必ずしもパケット長とは限らない場合に最も便利です。

ポリサーアクションは暗黙的または明示的であり、ポリサータイプによって異なります。「暗黙的」という用語は、Junos が損失の優先度を自動的に割り当てることを意味します。表 1は、ポリサーアクションについて説明しています。

表 1: ポリサーアクション

ポリサー

マーキング

暗黙的なアクション

設定可能なアクション

単一レート 2 色

緑(準拠)

低損失優先度の割り当て

なし

Red(不適合)

なし

低損失または高損失優先度の割り当て、転送クラスの割り当て、破棄一部のプラットフォームでは、中低または中高の損失優先度を割り当てることができます。

単一レートの 3 色

緑(準拠)

低損失優先度の割り当て

なし

黄色(CIR および CBS の上)

中高損失優先度の割り当て

なし

赤(EBS の上)

高損失優先度の割り当て

破棄

ツーレートスリーカラー

緑(準拠)

低損失優先度の割り当て

なし

黄色(CIR および CBS の上)

中高損失優先度の割り当て

なし

赤(PIR および PBS の上)

高損失優先度の割り当て

破棄

転送クラスと PLP レベル

パケットの転送クラスの割り当てと PLP レベルは、Junos OS サービス クラス(CoS)機能によって使用されます。Junos OS CoS 機能には、ベストエフォート型のトラフィック配信が不十分な場合に差別化されたサービスを提供するために使用できる一連のメカニズムが含まれています。IPv4、IPv6、MPLS トラフィックを伝送するルーター(およびスイッチ)インターフェイスの場合、CoS 機能を設定して、ネットワークのエッジに入る単一のトラフィック フローを処理し、ネットワーク全体でさまざまなレベルのサービスを提供できます。つまり、出力用の内部転送およびスケジューリング(キューイング)は、個々のパケットの転送クラスの割り当てと PLP レベルに基づいています。

注:

ポリサーまたはステートレス ファイアウォール フィルターによって実行される転送クラスまたは損失優先の割り当ては、すべての論理インターフェイスの CoS デフォルト IP 優先度分類または論理インターフェイスに明示的にマッピングされた設定済みの動作集約(BA)分類子によって、イングレスで実行されるこのような割り当てを上書きします。

CoS 設定に基づいて、指定された転送クラスのパケットは特定の出力キューを介して送信され、各出力キューはスケジューラで定義された伝送サービス レベルに関連付 けられます

他の CoS 設定に基づいて、出力キュー内のパケットが輻輳に遭遇すると、損失優先度の高い値を持つパケットは、RED(ランダム早期検出)アルゴリズムによって破棄される可能性が高くなります。パケット損失優先度値は、トラフィック フロー内のパケットの相対的な順序に影響を与えることなく、パケットのスケジューリングに影響を与えます。

トラフィックへのポリサーアプリケーション

ポリサーを定義して名前を付けた後、ポリサーはテンプレートとして保存されます。後で同じポリサー名を使用して、同じポリサー設定を使用するたびに指定できます。これにより、同じポリサー値を複数回定義する必要がなくなります。

ポリサーは、次の 2 つの方法のいずれかでトラフィック フローに適用できます。

  • 非終端処理アクションまたはthree-color-policer (single-rate | two-rate) policer-name非終端処理アクションをpolicer policer-name指定する標準のステートレス ファイアウォール フィルタを設定できます。論理インターフェイスでの入力または出力に標準フィルタを適用すると、フィルタ設定で指定された条件に一致するフィルタ固有のプロトコル ファミリーのすべてのパケットにポリサーが適用されます。

    ポリサーを適用するこの方法では、インターフェイス上で特定のトラフィック クラスを定義し、各クラスにトラフィック レート制限を適用できます。

  • ポリサーをインターフェイスに直接適用して、プロトコル ファミリーや一致条件に関係なく、そのインターフェイス上のすべてのトラフィックにトラフィック レート制限を適用できます。

ポリサーは、キュー、論理インターフェイス、またはレイヤー 2(MAC)レベルで設定できます。エグレス キューのパケットに 1 つのポリサーのみが適用され、ポリサーの検索は次の順序で行われます。

  • キュー レベル

  • 論理インターフェイス レベル

  • レイヤー 2(MAC)レベル