Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ポリサーの概要

スイッチは、ユーザーが定義した基準に従って、トラフィッククラスの入出力送信レートを制限することで、トラフィックをポリシングします。ポリシング(またはレート制限)トラフィックにより、インターフェイス上で送受信されるトラフィックの最大レートを制御し、複数の優先度レベルまたはサービス クラスを提供できます。

ポリシングは、ファイアウォール フィルターの重要なコンポーネントでもあります。ポリシングは、 ファイアウォール フィルター 設定にポリサーを組み込むことで実現できます。

ポリサーの概要

ポリサーを使用してトラフィック フローに制限を適用し、これらの制限を超えるパケット(通常は高い損失優先度を適用)に結果を設定することで、パケットがダウンストリームの輻輳に遭遇した場合、最初に破棄することができます。ポリサーはユニキャスト パケットにのみ適用されます。

ポリサーは、次の 2 つの機能を提供します。測定とマーキングを行いますポリサーは、設定したトラフィック レートとバースト サイズに対して各パケットを測定(測定)します。次に、パケットと測定結果をマーカーに渡し、測定結果に対応するパケット 損失の優先度を割り当てます。 図 1 このプロセスを示しています。

図 1: 三色マーキングポリサー動作の流れ三色マーキングポリサー動作の流れ

ポリサーに名前を付けて設定した後は、ポリサーを 1 つ以上のファイアウォール フィルターでアクションとして指定して使用できます。

ポリサータイプ

スイッチは、次の 3 種類のポリサーをサポートしています。

  • 単一レート 2 カラー マーカー:2 色ポリサー(または、認定なしで使用した場合は「ポリサー」)により、トラフィック ストリームがメーター化され、設定された帯域幅とバースト サイズの制限に従って、パケット損失優先度(PLP)の 2 つのカテゴリに分類されます。指定されたPLPで帯域幅とバーストサイズの制限を超えるパケットをマークするか、単に破棄することができます。

    このタイプのポリサーは、イングレス ファイアウォールまたはエグレス ファイアウォールで指定できます。

    注:

    2 カラー ポリサーは、ポート(物理インターフェイス)レベルでトラフィックを計測する場合に最も便利です。

  • 単一レート 3 カラー マーカー — このタイプのポリサーは、DiffServ(差別化サービス)環境向けの確実な転送(AF)ホップごとの動作(PHB)分類システムの一部として、RFC 2697、 単一レート 3 カラー マーカーで定義されています。このタイプのポリサーは、1つのレート(設定されたCIR(コミット情報レート)、CBS(コミットバーストサイズ)とEBS(超過バーストサイズ)に基づいてトラフィックをメートルします。CIR は、ビットがスイッチに許可される平均レートを指定します。CBS は通常のバースト サイズをバイト単位で指定し、EBS は最大バースト サイズをバイト単位で指定します。EBS は CBS 以上である必要があり、どちらも 0 にすることはできません。

    このタイプのポリサーは、イングレス ファイアウォールまたはエグレス ファイアウォールで指定できます。

    注:

    サービスがピーク到着レートではなくパケット長に従って構造化されている場合、単一レートの 3 色マーカー(TCM)が最も役立ちます。

  • ツーレートスリーカラーマーカー —このタイプのポリサーは、差別化サービス環境向けの確実な転送ホップごとの動作分類システムの一部として、RFC 2698、 A Two Rate 3カラーマーカーで定義されています。このタイプのポリサーは、CIRとPIR(ピーク情報レート)とそれに関連するバーストサイズ、CBS、ピークバーストサイズ(PBS)の2つのレートに基づいてトラフィックをメートルします。PIR は、ネットワークに許可されるビットの最大レートを指定し、CIR 以上にする必要があります。

    このタイプのポリサーは、イングレス ファイアウォールまたはエグレス ファイアウォールで指定できます。

    注:

    2 レートの 3 カラー ポリサーは、到着レートに従ってサービスを構造化し、必ずしもパケット長とは限らない場合に最も便利です。

これらのポリサー タイプごとに計測結果を適用する方法については、こちらをご覧 表 1 ください。

ポリサーアクション

ポリサーアクションは暗黙的または明示的であり、ポリサータイプによって異なります。暗黙的 とは、Junos OS が損失の優先度を自動的に割り当てることを意味します。 表 1 は、ポリサーアクションについて説明しています。

表 1: ポリサーアクション

ポリサー

マーキング

暗黙的なアクション

設定可能なアクション

単一レート 2 色

緑(準拠)

低損失優先度の割り当て

なし

Red(不適合)

なし

破棄

単一レートの 3 色

緑(準拠)

低損失優先度の割り当て

なし

黄色(CIR および CBS の上)

中高損失優先度の割り当て

なし

赤(EBS の上)

高損失優先度の割り当て

破棄

ツーレートスリーカラー

緑(準拠)

低損失優先度の割り当て

なし

黄色(CIR および CBS の上)

中高損失優先度の割り当て

なし

赤(PIR および PBS の上)

高損失優先度の割り当て

破棄

注:

エグレス ファイアウォール フィルタでポリサーを指定する場合、サポートされる唯一のアクションは discard.

ポリサーの色

単一レートおよび 2 レートの 3 カラー ポリサーは、次の 2 つのモードで動作します。

  • 色盲 —カラー ブラインド モードでは、3 色ポリサーは、検査されたすべてのパケットが以前にマークまたは計測されていないことを前提としています。言い換えると、3 色ポリサーは、以前にパケットが持っていた可能性のあるカラーリングに対して「盲目」です。

  • 色認識— カラー認識モードでは、3 色ポリサーは、検査されたすべてのパケットが以前にマークまたは計測済みであると仮定します。言い換えると、3 色ポリサーは、以前のパケットのカラーリングを「認識」しています。カラー認識モードでは、3 色ポリサーはパケットの PLP を増やすことができますが、これを減らすことはできません。たとえば、カラー認識型の 3 色ポリサーが中程度の PLP マーキングでパケットをメートルすると、PLP レベルを高くできますが、PLP レベルを低くすることはできません。

フィルター固有のポリサー

ポリサーをフィルター固有に設定できます。つまり、ポリサーが何回参照されているかに関係なく、Junos OS は 1 つのポリサー インスタンスのみを作成します。一部の QFX スイッチでこれを行うと、レート制限が集約的に適用されるため、1 Gbps を超えるトラフィックを破棄し、そのポリサーを 3 つの異なる条件で参照するようにポリサーを設定すると、フィルタで許可される総帯域幅は 1 Gbps になります。ただし、フィルター固有のポリサーの動作は、ポリサーを参照するファイアウォール フィルター条件を TCAM に格納する方法によって影響を受けます。フィルタ固有のポリサーを作成し、複数のファイアウォール フィルタ条件で参照する場合、ポリサーは、条件が異なる TCAM スライスに格納されている場合、予想を超えるトラフィックを許可します。たとえば、1 Gbps を超えるトラフィックを破棄するようにポリサーを設定し、そのポリサーを 3 つの異なる用語で参照し、3 つの個別のメモリ スライスに格納されている場合、フィルターで許可される総帯域幅は 1 Gbps ではなく 3 Gbps です。(この動作は、QFX10000 スイッチでは発生しません。

この予期しない動作が発生しないようにするには、「 作成するファイアウォール フィルターの数の計画 」で示されている TCAM スライスに関する情報を使用して設定ファイルを整理し、特定のフィルター固有のポリサーを参照するすべてのファイアウォール フィルタ条件が同じ TCAM スライスに格納されるようにします。

ポリサーの推奨命名規則

3 カラー ポリサーを設定する場合やpolicer#、2 色ポリサーを設定する場合は、命名規則policertypeTCM#-color typeを使用することをお勧めします。TCM は 3 色マーカーの略です。ポリサーは多数存在する可能性があり、作業に正しく適用する必要があるため、シンプルな命名規則により、ポリサーを適切に適用することが容易になります。たとえば、最初に設定された単一レート、カラー認識型の 3 カラー ポリサーに名前が付けられます srTCM1-ca。2 つ目の 2 レートのカラー ブラインド 3 カラーは、 という名前 trTCM2-cbになります。この命名規則の要素を以下に説明します。

  • sr(シングルレート)

  • tr(ツーレート)

  • TCM(三色マーキング)

  • 1 または 2(マーカーの数)

  • ca(色認識)

  • cb(カラーブラインド)

ポリサー カウンター

一部の QFX スイッチでは、設定する各ポリサーには、ポリサーに指定されたレート制限を超えるパケット数をカウントする暗黙的なカウンターが含まれています。同じフィルタ内または異なるフィルタ内で複数の条件で同じポリサーを使用する場合、暗黙的なカウンタは、これらすべての条件でポリシーが適用されたすべてのパケットをカウントし、合計量を提供します。(QFX10000 スイッチには適用されません)。影響を受けるスイッチ上の各項に対して個別のパケット数を取得する場合は、次のオプションを使用します。

  • 各条件に固有のポリサーを設定します。

  • ポリサーを 1 つだけ設定しますが、各条件で一意の明示的なカウンターを使用します。

ポリサー アルゴリズム

ポリシングは トークンバケットアルゴリズムを使用します。このアルゴリズムは、指定された最大値までのバーストを許可しながら、平均帯域幅に制限を適用します。パケットの破棄を開始する前に、一定量のバースト トラフィックを許可する際に、 漏えいバケット アルゴリズム よりも柔軟性が高くなります。

注:

軽いバースト トラフィックの環境では、QFX5200 はすべてのマルチキャスト パケットを 2 つ以上のダウンストリーム インターフェイスに複製しない場合があります。これはライン レート バーストでのみ発生します。トラフィックが一貫している場合、問題は発生しません。さらに、この問題は、1 ギガビット トラフィック フローでパケット サイズが 6k を超える場合にのみ発生します。

サポートされるポリサーの数

QFX10000 スイッチは、8K ポリサー(すべてのポリサー タイプ)をサポートしています。QFX5100 および QFX5200 スイッチは、1535 個のイングレス ポリサーと 1024 個のエグレス ポリサーをサポートします(ファイアウォール フィルタ条件ごとに 1 つのポリサーを想定)。QFX5110 スイッチは、6144 個のイングレス ポリサーと 1024 個のエグレス ポリサーをサポートします(ファイアウォール フィルタ条件ごとに 1 つのポリサーを想定)。

QFX3500 および QFX3600 スタンドアロン スイッチおよび QFabric Node デバイスは、次の数のポリサーをサポートします(ファイアウォール フィルタ条件ごとに 1 つのポリサーを想定)。

  • イングレス ファイアウォール フィルターで使用される 2 色ポリサー: 767

  • イングレス ファイアウォール フィルターで使用される 3 色ポリサー: 767

  • エグレス ファイアウォール フィルターで使用される 2 色のポリサー: 1022

  • エグレス ファイアウォール フィルターで使用される 3 色のポリサー: 512

ポリサーはエグレス ファイアウォール フィルターを制限できます。

一部のスイッチでは、設定するエグレス ポリサーの数が、許可されるエグレス ファイアウォール フィルタの総数に影響を与える可能性があります。すべてのポリサーには、1024 エントリ TCAM で 2 つのエントリを取る 2 つの暗黙的なカウンターがあります。これらは、ファイアウォール フィルター条件でアクション修飾子として構成されているカウンターを含む、カウンターに使用されます。(ポリサーは、1 つはグリーン パケットに使用され、1 つはポリサー タイプに関係なく非グリーン パケットに使用されるため、2 つのエントリーを消費します。TCAM がいっぱいになると、カウンタの条件を持つエグレス ファイアウォール フィルタをコミットできなくなります。たとえば、512 個のエグレス ポリサー(2 色、3 色、または両方のポリサー タイプの組み合わせ)を設定してコミットすると、カウンタのすべてのメモリ エントリーが使用されます。設定ファイルの後半で、カウンタも含む条件を含むエグレス ファイアウォール フィルタを追加する 場合、カウンタ に使用可能なメモリ領域がないため、これらのフィルタのどの条件もコミットされません。

その他の例を次に示します。

  • 合計 512 個のポリサーとカウンターを含むエグレス フィルターを設定することを想定しています。設定ファイルの後半には、10個の条件を持つ別のエグレスフィルタが含まれています。そのうちの1つはカウンターアクション修飾子を持っています。カウンターに十分な TCAM スペースがないため、このフィルター内の条件はいずれもコミットされません。

  • 合計 500 個のポリサーを含むエグレス フィルターを設定すると、1,000 の TCAM エントリが使用されると仮定します。設定ファイルの後半には、次の 2 つのエグレス フィルターを含めます。

    • 20の条件と20のカウンターでAをフィルタリングします。すべてのカウンターに十分な TCAM スペースがあるため、このフィルター内のすべての条件がコミットされます。

    • フィルター B はフィルター A の後に来て、5 つの条件と 5 つのカウンターがあります。すべてのカウンタに十分なメモリ領域がないため、このフィルタの条件はいずれもコミットされません。(5 つの TCAM エントリーが必要ですが、使用可能なのは 4 つだけです)。

この問題を回避するには、ポリサーを含む条件よりも、カウンター アクションを使用するエグレス ファイアウォール フィルタ条件が設定ファイルの前に配置されるようにします。この状況では、暗黙的なカウンターに十分な TCAM スペースがなくても、Junos OS はポリサーをコミットします。たとえば、次のことを想定します。

  • カウンター アクションを使用した 1024 個のエグレス ファイアウォール フィルタ条件があります。

  • 設定ファイルの後半には、10の条件を持つエグレスフィルターがあります。どの用語にもカウンターはありませんが、ポリサーアクション修飾子を持つ用語があります。

ポリサーの暗黙的なカウンターのための十分なTCAMスペースがないにもかかわらず、10の条件でフィルターをコミットできます。ポリサーはカウンターなしでコミットされます。