SCUを設定するためのガイドライン
SCUまたはDCUを有効にするときは、次の情報に注意してください。
M シリーズルーター向けのJunos OSリリース5.6以降でのみ、 ファイアウォールフィルターの一致条件としてソースクラスまたは宛先クラスを使用できます。設定するには、
[edit firewall filter firewall-name term term-name from]
階層レベルで destination-class またはsource-class
ステートメントを含めます。ファイアウォールフィルターの詳細については、 Junos ポリシーフレームワーク設定ガイドを参照してください。最大126のソースクラスと最大126の宛先クラスを割り当てることができます。
ポリシーアクションステートメントを設定する場合、一致するルートごとに1つのソースクラスのみを設定できます。つまり、複数のソースクラスを同じルートに適用することはできません。
送信元クラスまたは宛先クラスは、ルーティング テーブルのルックアップ中に一度だけパケットに適用されます。ネットワークプレフィックスがクラス使用ポリシーに一致する場合、SCUが最初にパケットに割り当てられます。SCUが割り当てられていない場合にのみ、DCUが割り当てられます。両方のクラスタイプを使用する場合、設定ミスによってパケットがカウントされないことがあるので注意してください。次の例では、1 つの潜在的な事故について説明します。
SCUとDCUの両方に設定されたルーターインターフェイスにパケットが到着します。パケットの送信元アドレスはSCUクラスと一致し、宛先はDCUクラスと一致します。その結果、パケットは送信元検索の対象となり、SCUクラスでマークされます。DCU クラスは無視されます。その結果、パケットはSCUクラスのみがそのままの状態でアウトバウンドインターフェイスに転送されます。
ただし、アウトバウンドインターフェイスにはSCU設定がありません。パケットがルーターから出る準備ができると、ルーターは、出力インターフェイスがSCU用に設定されておらず、パケットがSCUによってカウントされていないことを検出します。同様に、プレフィックスがDCUプレフィックスと一致したとしても、DCUがインバウンドインターフェイスでSCUによって置き換えられたため、DCUカウンターは増加しません。
この問題を解決するには、インバウンドとアウトバウンドの両方のインターフェイスを完全に設定するか、方向ごとにインターフェイスごとに1つのクラスタイプのみを設定します。
クラスは、ローカルインターフェイスに設定された直接接続されたプレフィックスにマッピングできません。これは、DCUおよびSCUクラスに当てはまります。
1 つのポリシー内で複数の用語を使用する場合、ポリシー名を設定して転送テーブルに適用する必要があるのは、1 回だけです。これにより、メインポリシーを再構成することなく、条件内のオプションを簡単に変更できます。
コマンドラインインターフェイス(CLI)
show
コマンドと会計プロファイルを目的のアウトバウンドインターフェイスで実行して、SCUトラフィックを追跡します。SCUカウンターは、SCU output インターフェイスで増加します。input および output SCUインターフェイスパラメータを使用して、インバウンドインターフェイスとアウトバウンドインターフェイスにクラスを適用します。
M320およびT Seriesルーターでは、ソースクラスと宛先クラスはプラットフォームファブリックを介して実行されません。これらのルーターでは、パケットがファブリックに入る前にSCUおよびDCUアカウンティングが実行され、出力フィルターが評価される前にDCUが実行されます。
出力フィルターがM120ルーターとM320ルーター以外のM Seriesルーターでトラフィックをドロップした場合、ドロップされたパケットはDCU統計から除外されます。出力フィルターが M320 および T Series ルーターでトラフィックをドロップした場合、ドロップされたパケットは DCU 統計に含まれます。