Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ポリサーの概要

スイッチポリシートラフィックは、ユーザーが定義した条件に従って、トラフィッククラスの入出力転送レートを制限することで実現します。ポリシー管理 (またはレート制限) トラフィックでは、インターフェイスで送信または受信するトラフィックの最大速度を制御し、複数の優先度レベルまたはサービスクラスを提供できます。

また、ポリシーポリシーは、ファイアウォールフィルターの重要な構成要素としても機能します。ファイアウォールフィルタ構成には、ポリサーを含めることで、ポリシー適用を実現できます。

ポリサーの概要

ポリシーを使用して、トラフィック フローに制限を適用し、これらの制限を超えるパケットに対して結果を設定します(通常、損失の優先度が高くなります)。パケットがダウンストリームの輻輳に遭遇した場合、最初に破棄されます。ポリサーはユニキャストパケットのみに適用されます。

ポリサーは、次の2つの機能を提供します。メータリングとマーキング。各パケットをトラフィック速度とバーストサイズに対して設定する。ポリサーメーター (メジャー)。その後、パケットとメータリング結果をマーカーに渡します。これにより、メータリングの結果に対応するパケットロスの優先度が割り当てられます。図 1は、このプロセスを示しています。

図 1: Tricolor マーキングポリサー運用のフローTricolor マーキングポリサー運用のフロー

1つまたは複数のファイアウォールフィルターでアクションとして指定することで、ポリサーを名前を付けて設定した後、それを使用できます。

ポリサータイプ

スイッチは、次の3種類のポリサーをサポートしています。

  • 単一レート 2 色マーカー:2 色のポリシー(認定なしで使用した場合は「ポリシー」)でトラフィック ストリームをメーターし、設定された帯域幅とバーストサイズ制限に従ってパケットを 2 つのカテゴリーのパケット損失優先度(PLP)に分類します。指定された PLP を使用して、帯域幅とバーストサイズの制限を超えるパケットをマークしたり、単純に破棄したりすることができます。

    このタイプのポリサーは、入口または出口のファイアウォールで指定できます。

    注:

    2色のポリサーは、ポート (物理インターフェイス) レベルでトラフィックをメータリングする場合に非常に便利です。

  • 単一レート 3 色マーカー — このタイプのポーサーは、DiffServ(Differentiated Services)環境向け保証転送(PHB)パーホップ動作(PHB)分類システムの一部として、RFC 2697、Single Rate Three Color Markerに定義されています。このタイプのポリシーは、1 レート(CIR(Committed Information Rate)、コミットされたバースト サイズ(CBS)、過剰バースト サイズ(EBS)に基づいてトラフィックをメーターで管理します。CIR は、ビットがスイッチに対して受け付けられる平均レートを示します。CBS は通常のバーストサイズをバイト数で指定し、EBS は最大バーストサイズをバイト単位で指定します。EBS は、CBS 以上にする必要があります。また、0にすることはできません。

    このタイプのポリサーは、入口または出口のファイアウォールで指定できます。

    注:

    1対の3色マーカー (TCM) は、サービスがパケットの長さに従っており、ピーク時の到達率を設定していない場合に最も有効です。

  • 2 レート 3 色マーカー — このタイプのパサーは、差別化サービス環境向け保証型の転送/ホップ動作分類システムの一部として、RFC 2698(2 レート 3色マーカー)で定義されています。このタイプのポリシーは、CIR とピーク情報レート(SNS)と、関連するバースト サイズ、CBS、ピーク バースト サイズ(PBS)という 2 つのレートに基づいてトラフィックを計ります。PIR は、ビットがネットワークに対して許容される最大レートを指定します。この値は CIR 以上でなければなりません。

    このタイプのポリサーは、入口または出口のファイアウォールで指定できます。

    注:

    2レート3色のポリサーは、サービスが到着率に従って構成され、必ずしもパケット長ではない場合に、最も有効な方法です。

これら表 1の各ポリサータイプに対してメータリング結果が適用される方法については、「」を参照してください。

ポリサーのアクション

ポリサーのアクションは暗黙的または明示的なものであり、ポリサータイプによって異なります。黙示とは、Junos OS が損失の優先度を自動的に割り当てることを意味します。表 1ポリサーアクションについて説明します。

表 1: ポリサーのアクション

ポリサー

マーキング

暗黙のアクション

設定可能なアクション

シングルレート2色

緑 (準拠)

低損失の優先度を割り当てる

なし

赤 (不適合)

なし

捨て

シングルレート3カラー

緑 (準拠)

低損失の優先度を割り当てる

なし

イエロー (CIR と CBS の上)

メディアの割り当て-高損失の優先度

なし

赤 (EBS の上)

高損失の優先度を割り当てる

捨て

2レート3色

緑 (準拠)

低損失の優先度を割り当てる

なし

イエロー (CIR と CBS の上)

メディアの割り当て-高損失の優先度

なし

赤 (PIR と PBS の上)

高損失の優先度を割り当てる

捨て

注:

送信ファイアウォールフィルターでポリサーを指定した場合、サポートされてdiscardいるアクションは [] のみです。

ポリサーの色

シングルレートおよび2レートの3色ポリサーは、次の2つのモードで動作できます。

  • 色盲モード:カラー ブラインド モードでは、3 色のパサーは、検査されたパケットのマークや測定が以前には行ってされていないと仮定します。言い換えると、3 色のパサーは、パケットが持っていた可能性がある以前のカラーリングに対して「盲目的」であるのです。

  • カラー認識型:カラー認識モードでは、3 色のパサーは、検査されたパケットすべてが過去にマークまたは測定済みと仮定します。言い換えると、3 色のパサーは、パケットが持っていた可能性があるカラーリングの前の「認識」を持っています。カラー認識モードでは、3色のポリサーはパケットの PLP を増加させることができますが、減少させることはできません。たとえば、カラー認識型の3色のポリサーが、中規模 PLP マーキングのあるパケットをメーターである場合、PLP レベルを高に上げることはできますが、PLP レベルを低く抑えることはできません。

フィルタ固有のポリサー

ポリサーをフィルター固有に設定することができます。つまり、Junos OS は、ポリサーの参照回数に関係なく、1つのポリサーインスタンスのみを作成します。一部の QFX スイッチでこれを実行すると、レート制限が集約的に適用されます。そのため、1 Gbps を超えるトラフィックを破棄し、そのポリシーを 3 つの条件で参照するようにポリシーを設定すると、フィルタで許可される帯域幅の合計は 1 Gbps になります。ただし、フィルタ固有のポリサーの動作は、ポリサーを参照するファイアウォールフィルター条件が tcam に格納される方法によって異なります。フィルタ固有のポリサー er を作成し、複数のファイアウォールフィルタ条件でそれを参照すると、その条件が異なる TCAM スライスに格納されている場合、ポリサーで予期しているよりも多くのトラフィックを許可します。たとえば、1 Gbps を超えるトラフィックを破棄し、3 つの異なる条件でポリシーを 3 つの異なる条件で参照するようにポリシーを設定した場合、フィルタで許容される帯域幅の合計は 1 Gbps ではなく 3 Gbps になります。この現象は QFX10000 スイッチでは発生しません。

この予期しない現象が発生しないようにするには、設定ファイルを整理するために作成するtcam slice に関する情報を使用して、指定されたを参照するすべてのファイアウォールフィルタ条件をフィルター固有のポリサーは、同じ TCAM スライスに格納されています。

ポリサーの推奨される命名規則

3色のポリサーを構成するpolicertypeTCM#-color type場合、および2色のポリサー policer#を構成する場合は、命名規則を使用することをお勧めします。TCM とは、3色のマーカーを意味します。ポリサーは多数の場合があり、正しく適用する必要があるため、単純な名前付け規則によって、ポリサーを適切に適用することが容易になります。たとえば、最初に設定された単一レートのカラー認識型3色のポリサーにはsrTCM1-ca名前が付いています。2つ目の2対の色ブラインド3色を設定すると、 trTCM2-cb名前が付けられます。この名前付け規則の要素について、以下で説明します。

  • sr (シングルレート)

  • tr (2 レート)

  • TCM (tricolor マーキング)

  • 1または 2 (マーカー数)

  • ca (カラー認識)

  • cb (カラーブラインド)

ポリサーカウンター

一部の QFX スイッチでは、構成する各ポリサーには、ポリサーに指定されたレート制限を超えたパケット数をカウントする暗黙のカウンターが含まれています。同じ条件(同じフィルタ内または異なるフィルタ内)で同じタイプのサーサーを使用した場合、暗黙的なカウンターは、これらすべての条件で警察官が使用しているすべてのパケットをカウントし、合計額を提供します。(これは QFX10000 スイッチには適用されません)。影響を受けるスイッチ上で、条件に応じて個別のパケット数を取得するには、以下のオプションを使用します。

  • 各用語の固有のポリサーを構成します。

  • 1つのポリサーを構成しますが、各用語には一意の明示的なカウンターを使用します。

ポリサーアルゴリズム

「ポリシー適用」はトークンバケツアルゴリズムを使用し、平均帯域幅を制限し、指定された最大値までバーストを許容します。Leaky バケットアルゴリズムよりも柔軟性が高く、パケットの破棄を開始する前に一定量のバーストトラフィックを許可することができます。

注:

軽いバーストトラフィックの環境では、QFX5200 はすべてのマルチキャストパケットを2つ以上のダウンストリームインターフェイスに複製することはできません。これはライン レート バーストでのみ発生し、トラフィックが一貫している場合は問題は発生しません。さらに、この問題は、パケットサイズが1ギガビットのトラフィックフローで6k を越えて増加する場合にのみ発生します。

サポートされているポリサーの数を教えてください。

QFX10000 のスイッチは、8K のポリサータイプ (すべてのポリサー型) をサポートしています。QFX5100 および QFX5200 スイッチは、1535受信ポリサーと1024送信ポリサーをサポートしています (ファイアウォールフィルタ条件ごとに1つのポリサーを前提としています)。QFX5110 のスイッチは、6144受信ポリサーと1024送信ポリサーをサポートしています (ファイアウォールフィルタ条件ごとに1つのポリサーを前提としています)。

QFX3500 と QFX3600 のスタンドアロンスイッチと QFabric Node デバイスは、以下の数のポリサーをサポートしています (ファイアウォールフィルタ条件ごとに1つのポリサーを前提としている場合)。

  • 入口ファイアウォールフィルターで使用される2色のポリサー: 767

  • 入口ファイアウォールフィルターで使用される3色のポリサー: 767

  • 送信ファイアウォールフィルタで使用する2色のポリサー。1022

  • 送信ファイアウォールフィルターで使用される3色のポリサー: 512

ポリサーで送信ファイアウォールフィルターを制限できます。

一部のスイッチでは、設定した送信ポリサーの数が、許容される送信ファイアウォールフィルターの合計数に影響を与えることがあります。各ポリサーには、1024エントリ TCAM で2つのエントリを取得する2つの暗黙のカウンターがあります。これらは、ファイアウォールフィルタ条件でアクション修飾子として設定されたカウンターなど、カウンターに使用されます。(ポリサーは、緑のパケットに使用されているため、2つのエントリを使用します。また、ポリサータイプに関係なく、非緑パケットに使われます)。TCAM がいっぱいになると、カウンターを使用した条件を持つ送信ファイアウォールフィルターをコミットできなくなります。たとえば、512送信ポリサーを構成してコミットした場合 (2 色、3色、またはその両方の種類のポリサーの組み合わせ)、カウンターのメモリエントリすべてが使用されます。構成ファイルで後から追加の送信ファイアウォールフィルターを挿入する場合は、カウンターに関する利用可能なメモリ領域がないため、これらのフィルターのいずれの条件もコミットされません。

その他の例をいくつか示します。

  • 合計512ポリサーとカウンターを含まない出力フィルターを構成すると仮定します。あとで設定ファイルを使用する場合、10個の条件を持つもう1つの出力フィルタ (counter action 修飾子が含まれます) を含めることができます。カウンターに十分な TCAM スペースがないため、このフィルターの条件はどれもコミットされていません。

  • 合計500ポリサーを含む出力フィルターを構成しているため、1000 TCAM エントリが使用されていることを前提としています。設定ファイルの後に、以下の2つの出力フィルターを指定します。

    • 20個の条件と20個のカウンターを使用してフィルターを適用します。すべてのカウンターに十分な TCAM 空間があるため、このフィルターの条件はすべてコミットされます。

    • Filter B はフィルター A の後にあり、5つの用語と5つのカウンターを持っています。すべてのカウンターに十分なメモリ領域がないため、このフィルターの条件はどれもコミットされません。(5 つの TCAM エントリーが必要ですが、使用可能なのは4つだけです)。

この問題を回避するには、counter アクションを含む送信ファイアウォールフィルター条件を、ポリサーを含む用語よりも前に設定ファイルに配置します。このような状況では、Junos OS は、暗黙的カウンターのための TCAM 空間が十分にない場合でも、ポリサーをコミットします。たとえば、以下のような場合を想定します。

  • 1024送信ファイアウォールフィルタ条件にカウンタアクションが含まれています。

  • 設定ファイルの後半では、10個の条件を持つ送信フィルターを使用しています。どの条件にもカウンターはありませんが、1つはポリサーアクション修飾子を持っています。

フィルターを10個の条件でコミットするには、ポリサーの暗黙的なカウンターに十分な TCAM スペースがない場合でも、問題はありません。ポリサーは、カウンターなしでコミットされます。