Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

ポリサーの概要

スイッチは、ユーザーが定義した基準に従って、トラフィックのクラスの入出力伝送レートを制限することで、トラフィックを規制します。トラフィックのポリシング(またはレート制限)により、インターフェイス上で送受信されるトラフィックの最大レートを制御し、複数の優先度レベルまたはサービスクラスを提供することができます。

ポリシングもファイアウォールフィルターの重要なコンポーネントです。 ファイアウォールフィルター 設定にポリサーを含めることで、ポリシングを実現できます。

ポリサーの概要

ポリサーを使用して、トラフィックフローに制限を適用し、これらの制限を超えるパケットの結果を設定し(通常は高い損失優先度を適用します)、パケットがダウンストリームの混雑に遭遇した場合に最初に破棄できるようにします。ポリサーは、ユニキャストパケットにのみ適用されます。

ポリサーは、計測とマーキングの 2 つの機能を提供します。ポリサーは、設定したトラフィックレートとバーストサイズに対して各パケットを測定(測定)します。次に、パケットと測定結果をマーカーに渡し、マーカーは測定結果に対応するパケット損失の優先度を割り当てます。 図1 は、このプロセスを示しています。

図1:トリコロールマーキングポリサー運用Flow of Tricolor Marking Policer Operationの流れ

ポリサーに名前を付けて設定した後、1つ以上のファイアウォールフィルターでアクションとして指定して使用できます。

ポリサータイプ

スイッチは、次の 3 種類のポリサーをサポートします。

  • シングルレート2カラーマーカー—2カラーポリサー(または、資格なしで使用する場合は「ポリサー」)がトラフィックストリームを測定し、設定された帯域幅とバーストサイズ制限に従ってパケットをPLP(パケット損失の優先度)の2つのカテゴリに分類します。帯域幅とバーストサイズ制限を超えるパケットを指定したPLPでマークするか、単に破棄することができます。

    このタイプのポリサーは、イングレスまたはエグレスファイアウォールで指定できます。

    注:

    2 カラー ポリサーは、ポート(物理インターフェイス)レベルでトラフィックを測定する場合に最も便利です。

  • シングルレート3カラーマーカー—このタイプのポリサーは、差別化されたサービス(DiffServ)環境向けのAF(Assured Forwarding)PHB(Single-Rate Three Color Marker)分類システムの一部として、RFC 2697、 A Single Rate Three Color Markerで定義されています。このタイプのポリサーは、構成されたコミット情報レート(CIR)、コミットされたバーストサイズ(CBS)、超過バーストサイズ(EBS)という1つのレートに基づいてトラフィックを計測します。CIR は、スイッチに許可されるビットの平均レートを指定します。CBSは通常のバーストサイズをバイト単位で指定し、EBSは最大バーストサイズをバイト単位で指定します。EBS は CBS 以上である必要があり、どちらも 0 ですることはできません。

    このタイプのポリサーは、イングレスまたはエグレスファイアウォールで指定できます。

    注:

    シングルレートの三色マーカー(TCM)は、ピーク到着レートではなくパケットの長さに基づいてサービスが構成されている場合に最も役立ちます。

  • 2 レート 3 カラー マーカー - このタイプのポリサーは、差別化されたサービス環境向けの保証されたフォワーディングホップごとの動作分類システムの一部として、RFC 2698、 A Two Rate Three Color Marker で定義されています。このタイプのポリサーは、CIRとピーク情報レート(PIR)、およびそれに関連するバーストサイズ、CBSとピークバーストサイズ(PBS)の2つのレートに基づいてトラフィックを計測します。PIR は、ビットがネットワークに受け入れられる最大レートを指定し、CIR 以上でなければなりません。

    このタイプのポリサーは、イングレスまたはエグレスファイアウォールで指定できます。

    注:

    2 レート 3 カラー ポリサーは、サービスが必ずしもパケットの長さではなく到着レートに従って構成されている場合に最も役立ちます。

これらの各ポリサータイプに測定結果がどのように適用されるかについては、 表1 をご覧ください。

ポリサーのアクション

ポリサーアクションには暗黙的または明示的があり、ポリサーのタイプによって異なります。 暗黙的とは 、Junos OS が損失の優先度を自動的に割り当てることを意味します。 表1は 、ポリサーのアクションを説明しています。

表1:ポリサーアクション

ポリサー

マーキング

暗黙のアクション

設定可能なアクション

シングルレート2カラー

緑色(適合)

低損失優先度の割り当て

なし

赤(不適合)

なし

破棄

シングルレートスリーカラー

緑色(適合)

低損失優先度の割り当て

なし

黄色(CIRとCBSの上)

中高損失優先度の割り当て

なし

赤(EBSの上)

高損失優先度の割り当て

破棄

ツーレートスリーカラー

緑色(適合)

低損失優先度の割り当て

なし

黄色(CIRとCBSの上)

中高損失優先度の割り当て

なし

赤(PIRとPBSの上)

高損失優先度の割り当て

破棄
注:

エグレス ファイアウォールフィルターでポリサーを指定した場合、サポートされるアクションは discardのみです。

ポリサーカラー

シングルレートおよびツーレートの3カラーポリサーは、次の2つのモードで動作できます。

  • 色覚異常—色覚異常モードでは、3色ポリサーは、検査したすべてのパケットが以前にマークまたは計測されていないと仮定します。言い換えれば、3 カラー ポリサーは、パケットが持っていた可能性のある以前のカラーリングを「盲目」にします。

  • カラー認識—カラー認識モードでは、3カラーポリサーは、検査したすべてのパケットが以前にマークまたは計測されていると仮定します。つまり、3 カラー ポリサーは、パケットが持っていた可能性のある以前のカラーリングを「認識」しています。カラー認識モードでは、3 カラー ポリサーはパケットの PLP を増やすことはできますが、減少させることはできません。例えば、カラー認識型の3カラーポリサーが、PLPマーキングが中程度のパケットを計測した場合、PLPレベルを高に上げることはできますが、PLPレベルを低に下げることはできません。

フィルター固有のポリサー

ポリサーをフィルター固有に設定することができます。つまり、Junos OSは、ポリサーが参照される回数に関係なく、1つのポリサーインスタンスのみを作成します。特定のスイッチでこれを行うと、レート制限が集約されて適用されるため、1Gbps を超えるトラフィックを破棄するようにポリサーを設定し、そのポリサーを3つの異なる用語で参照する場合、フィルターで許可される総帯域幅は1Gbps になります。ただし、フィルター固有のポリサーの動作は、ポリサーを参照するファイアウォールフィルター条件がTCAMにどのように格納されているかに影響されます。フィルター固有のポリサーを作成し、複数のファイアウォールフィルター用語で参照する場合、用語が異なるTCAMスライスに保存されている場合、ポリサーは予想以上のトラフィックを許可します。例えば、1Gbps を超えるトラフィックを破棄するようにポリサーを設定し、そのポリサーを3つの別々のメモリスライスに保存されている3つの異なる用語で参照する場合、フィルターによって許可される総帯域幅は1Gbps ではなく3Gbpsになります 。

このような予期しない動作を防止するには、 作成するファイアウォールフィルター数の計画 に記載されているTCAMスライスに関する情報を使用して、特定のフィルター固有のポリサーを参照するすべてのファイアウォールフィルター条件が同じTCAMスライスに保存されるように、設定ファイルを整理します。

ポリサー向けに推奨される命名規則

3色ポリサーを設定する場合は命名規則 policertypeTCM#-color type を使用し、2色ポリサーを設定する場合は policer# 命名規則を使用することをお勧めします。TCMとは三色マーカーの略です。ポリサーは数多く存在する場合があり、正しく適用する必要があります。そのため、単純な命名規則でポリサーを適切に適用しやすくなります。例えば、最初に設定された単一レートで色を認識する3カラーポリサーの名前は srTCM1-caになります。2 番目の 2 レート、色覚異常の 3 色構成は、 trTCM2-cb という名前になります。この命名規則の要素については、以下で説明します。

  • SR(シングルレート)

  • tr(ツーレート)

  • TCM(トリコロールマーキング)

  • 1または2(マーカー数)

  • CA(カラー認識)

  • CB(色覚異常)

ポリサーカウンター

一部のスイッチでは、設定する各ポリサーには、ポリサーに指定されたレート制限を超えるパケット数をカウントする暗黙のカウンターが含まれています。同じフィルター内または異なるフィルターなど、複数の条件で同じポリサーを使用する場合、暗黙のカウンターはこれらの条件すべてでポリシングされたすべてのパケットをカウントし、合計量を提供します。影響を受けるスイッチの条件ごとに個別のパケット数を取得したい場合は、以下のオプションを使用します。

  • 条件ごとに固有のポリサーを設定します。

  • ポリサーを1つだけ設定しますが、各条件で一意の明示的なカウンターを使用します。

ポリサーアルゴリズム

ポリシングでは、 トークンバケットアルゴリズムを使用して、平均帯域幅に制限を適用しながら、指定された最大値までのバーストを許可します。リー キーバケットアルゴリズム よりも柔軟性が高く、パケットの破棄を開始する前に一定量のバースト性トラフィックを許可します。

ポリサーはエグレスファイアウォールフィルターを制限できます

一部のスイッチでは、設定するエグレスポリサーの数が、許可されるエグレスファイアウォールフィルターの総数に影響することがあります。すべてのポリサーには、1024エントリのTCAMで2つのエントリを占める2つの暗黙のカウンターがあります。これらは、ファイアウォールフィルター用語でアクション修飾子として設定されたカウンターを含むカウンターに使用されます。(ポリサーは、ポリサーの種類に関係なく、1つはグリーンパケットに、もう1つは非グリーンパケットに使用されるため、2つのエントリーを消費します。)TCAMがいっぱいになると、カウンター付きの条件を持つegressファイアウォールフィルターをコミットできなくなります。例えば、512個のエグレスポリサー(2色、3色、または両方のポリサータイプの組み合わせ)を設定してコミットした場合、カウンターのメモリエントリーがすべて使い果たされます。設定ファイルの後半で、カウンターも含まれる条件を含む追加のegressファイアウォールフィルターを挿入した場合、カウンターに使用できるメモリ領域がないため、これらのフィルターの条件 はいずれ もコミットされません。

追加の例をいくつか示します。

  • 合計 512 個のポリサーを含むイグレス フィルターを設定し、カウンターがないとします。設定ファイルの後半に、10の条件を持つ別のegressフィルターを含め、そのうちの1つにカウンターアクション修飾子があります。カウンターに十分なTCAMスペースがないため、このフィルターの条件はいずれもコミットされません。

  • 合計 500 個のポリサーを含むエグレス フィルターを設定し、1000 個の TCAM エントリーを占有するとします。設定ファイルの後半に、以下の 2 つのエグレス フィルターを含めます。

    • 20項と20個のカウンターを持つフィルターA。すべてのカウンターに十分なTCAMスペースがあるため、このフィルターのすべての条件がコミットされます。

    • フィルター B はフィルター A の後に来て、5 つの条件と 5 つのカウンターがあります。すべてのカウンターに十分なメモリ領域がないため、このフィルターのどの条件もコミットされません。(TCAMエントリーは5つ必要ですが、使用できるのは4つです。)

カウンターアクションを含むegressファイアウォールフィルター条件を、ポリサーを含む条件よりも設定ファイルの前方に配置することで、この問題を防止できます。この場合、Junos OS は、暗黙的なカウンターに十分な TCAM スペースがない場合でもポリサーをコミットします。例えば、以下のようなことを想定します。

  • カウンターアクションを含む1024のegressファイアウォールフィルター条件があります。

  • 設定ファイルの後半には、10条件のegressフィルターがあります。どの用語にもカウンターはありませんが、ポリサーアクション修飾子があります。

ポリサーの暗黙のカウンターに十分なTCAMスペースがなくても、10条件でフィルターを正常にコミットできます。ポリサーは、カウンターなしでコミットされます。

プラットフォーム固有のポリサーの動作

お使いのプラットフォームに固有の動作を確認するには、以下の表を使用して下さい。

表2:プラットフォーム固有のポリサーの動作

プラットフォーム

違い

QFX5100

  • QFX5100スイッチは、1535のイングレスポリサーと1024のエグレスポリサーをサポートします(ファイアウォールフィルターの条件ごとに1つのポリサーを想定)。

QFX5110

  • QFX5110スイッチは、6144のイングレスポリサーと1024のエグレスポリサーをサポートします(ファイアウォールフィルターの期間ごとに1つのポリサーを想定)。

QFX5200

  • QFX5200スイッチは、1,535個のイングレスポリサーと1,024個のエグレスポリサーをサポートします(ファイアウォールフィルターの期間ごとに1つのポリサーを想定)。

  • バースト性トラフィックが軽い環境では、QFX5200スイッチがすべてのマルチキャストパケットを2つ以上のダウンストリームインターフェイスに複製しない可能性があります。これは、ラインレートバーストでのみ発生し、トラフィックが一定であれば問題は発生しません。さらに、この問題は、1ギガビットのトラフィックフローでパケットサイズが6kを超えた場合にのみ発生します。

QFX10000シリーズ

  • QFX10000スイッチは、8Kポリサー(すべてのポリサータイプ)をサポートします。

  • ポリサーは、PFE ごとに設定された伝送速度でトラフィックを制限します。QFX10016、QFX10002、QFX10002-60C、QFX10008スイッチでは、集合型イーサネット(AE)インターフェイスバンドルが複数のPFEにまたがる場合、加入者に対するポリサーの全体的な伝送速度が、設定されたポリサーの伝送速度を超える可能性があります(関係するPFEの数によって異なります)。

    例として:

    • メンバーリンクxe-1/0/0(fpc1-pfe0)およびxe-1/0/30(fpc1-pfe1)を持つAEインターフェイスで設定された帯域幅制限100 Mbpsのポリサー。ここでは、2 つのメンバー リンクは FPC1 に属していますが、異なる PFE 上にあります。ポリサーがAEインターフェイスに適用されている場合、ポリサーが2つのPFEに設定されているため、合計帯域幅は200Mbpsになります。

    • メンバーリンクxe-1/0/0(FPC1-PFE0)、ET-2/0/1(FPC2-PFE1)、およびxe-2/0/18:0(FPC2-PFE2)を持つAEインターフェイスで帯域幅制限100Mbpsが設定されたポリサー。ここでは、1 つのメンバー リンクがこの FPC の FPC1 と PFE0 に属しています。残りの2つのメンバーリンクはFPC2に属していますが、PFEが異なります。ポリサーがAEインターフェイスに適用されている場合、ポリサーが3つのPFEに設定されているため、合計帯域幅は300Mbpsになります。

    • 単一のPFE(fpc1-pfe0)上にメンバーリンクxe-1/0/0およびxe-1/0/1を持つAEインターフェイスで設定された帯域幅制限100 Mbpsのポリサー。ここで、メンバーリンクはFPC1と同じPFEに属しています。ポリサーがAEインターフェイスに適用されている場合、ポリサーはPFE単位で設定されるため、総帯域幅は100Mbpsになります。

関連ドキュメント