例:物理インターフェイスでの集約トラフィック用の物理インターフェイスポリサーの設定
この例では、単一レートの 2 カラー ポリサーを物理インターフェイス ポリサーとして設定する方法を示します。
要件
この例を設定する前に、デバイスの初期化以外の特別な設定を行う必要はありません。
概要
物理インターフェイスポリサーは、物理インターフェイスに設定されたすべてのプロトコルファミリーと論理インターフェイスを網羅する集約トラフィックのレート制限を指定します。これは、インターフェイスが異なるルーティングインスタンスに属していてもです。
物理インターフェイスポリサーをレイヤー3 の入出力トラフィックに適用するには、特定のプロトコルファミリー用に設定され( family any用ではない)に対して設定され、物理 インターフェイスフィルターとして設定されたステートレスファイアウォールフィルターからのポリサーを参照することによってのみ適用できます。レート制限したいパケットのタイプを選択する一致条件を持つフィルター条件を設定し、一致したパケットに適用するアクションとして物理インターフェイスポリサーを指定します。
物理インターフェイスポリサー/フィルターは、リストフィルターではサポートされていません。
トポロジー
この例の物理インターフェイスポリサーは、レートを10,000,000 bpsに shared-policer-Aし、最大500,000 バイトのトラフィックバーストを許可します。不適合フローのパケットを破棄するようにポリサーを設定しますが、代わりに不適合トラフィックに転送クラス、PLP(パケット損失優先度)レベル、またはその両方で再マークするようにポリサーを設定することもできます。
ポリサーを使用してIPv4トラフィックのレート制限を可能にするには、IPv4物理インターフェイスフィルターからポリサーを参照します。この例では、以下の一致条件のいずれかを満たすポリサーIPv4パケットを渡すようにフィルターを設定します。
-
TCP経由で受信し、IP優先度フィールドが
critical-ecp(0xa0)、immediate(0x40)、またはpriority(0x20)のパケット -
TCPを介して受信し、IP優先度フィールドが
internet-control(0xc0)またはroutine(0x00)のパケット
また、他のプロトコルファミリーの物理インターフェイスフィルターからポリサーを参照することもできます。
設定
次の例では、設定階層のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
この例を設定するには、以下のタスクを実行します。
- CLIクイックコンフィグレーション
- 物理インターフェイス上の論理インターフェイスの設定
- 物理インターフェイスポリサーの設定
- IPv4物理インターフェイスフィルターの設定
- IPv4物理インターフェイスフィルターを適用して物理インターフェイスポリサーを参照する
CLIクイックコンフィグレーション
この例を迅速に設定するには、以下の設定コマンドをテキストファイルにコピーし、改行を削除してから、 [edit] 階層レベルのCLIにコマンドを貼り付けます。
set interfaces so-1/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces so-1/0/0 unit 0 family vpls set interfaces so-1/0/0 unit 1 family mpls set firewall policer shared-policer-A physical-interface-policer set firewall policer shared-policer-A if-exceeding bandwidth-limit 100m burst-size-limit 500k set firewall policer shared-policer-A then discard set firewall family inet filter ipv4-filter physical-interface-filter set firewall family inet filter ipv4-filter term tcp-police-1 from precedence [ critical-ecp immediate priority ] set firewall family inet filter ipv4-filter term tcp-police-1 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-1 then policer shared-policer-A set firewall family inet filter ipv4-filter term tcp-police-2 from precedence [ internet-control routine ] set firewall family inet filter ipv4-filter term tcp-police-2 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-2 then policer shared-policer-A set interfaces so-1/0/0 unit 0 family inet filter input ipv4-filter
物理インターフェイス上の論理インターフェイスの設定
ステップバイステップの手順
物理インターフェイス上で論理インターフェイスを設定するには:
論理インターフェイスの設定を有効にします。
[edit] user@host# edit interfaces so-1/0/0
論理ユニット0でプロトコルファミリーを設定します。
[edit interfaces so-1/0/0] user@host# set unit 0 family inet address 192.168.1.1/24 user@host# set unit 0 family vpls
論理ユニット1でプロトコルファミリーを設定します。
[edit interfaces so-1/0/0] user@host# set unit 1 family mpls
結果
show interfaces設定モードコマンドを入力して、ファイアウォールフィルターの設定を確認します。コマンド出力に意図した設定が表示されない場合は、この手順の指示を繰り返して設定を修正します。
[edit]
user@host# show interfaces
so-1/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
family vpls;
}
unit 1 {
family mpls;
}
}
物理インターフェイスポリサーの設定
ステップバイステップの手順
物理インターフェイスポリサーを設定するには:
2カラーポリサーの設定を有効にします。
[edit] user@host# edit firewall policer shared-policer-A
2カラーポリサーのタイプを設定します。
[edit firewall policer shared-policer-A] user@host# set physical-interface-policer
不適合トラフィックフロー内のパケットに対するトラフィック制限とアクションを設定します。
[edit firewall policer shared-policer-A] user@host# set if-exceeding bandwidth-limit 100m burst-size-limit 500k user@host# set then discard
物理インターフェイスフィルターの場合、不適合トラフィックフロー内のパケットに対して設定できるアクションは、パケットの破棄、転送クラスの割り当て、PLP値の割り当て、または転送クラスとPLP値の両方の割り当てです。
結果
show firewall 設定モード コマンドを入力して、ポリサーの設定を確認します。コマンド出力に意図した設定が表示されない場合は、この手順の指示を繰り返して設定を修正します。
[edit]
user@host# show firewall
policer shared-policer-A {
physical-interface-policer;
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 500k;
}
then discard;
}
IPv4物理インターフェイスフィルターの設定
ステップバイステップの手順
IPv4物理インターフェイスポリサーの用語に対するアクションとして物理インターフェイスポリサーを設定するには:
特定のプロトコルファミリーの下で標準ステートレスファイアウォールフィルターを設定します。
[edit] user@host# edit firewall family inet filter ipv4-filter
family any用に物理インターフェイスファイアウォールフィルターを設定することはできません。物理インターフェイスポリサーをアクションとして適用できるように、フィルターを物理インターフェイスフィルターとして設定します。
[edit firewall family inet filter ipv4-filter] user@host# set physical-interface-filter
TCPを介して受信したIPv4パケットをIP優先度フィールド
critical-ecp、immediate、またはpriorityと照合し、物理インターフェイスポリサーをフィルターアクションとして適用するように最初の条件を設定します。[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-1 from precedence [ critical-ecp immediate priority ] user@host# set term tcp-police-1 from protocol tcp user@host# set term tcp-police-1 then policer shared-policer-A
TCPを介して受信したIPv4パケットをIP優先度フィールド
internet-controlまたはroutineと一致させ、物理インターフェイスポリサーをフィルターアクションとして適用するように最初の条件を設定します。[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-2 from precedence [ internet-control routine ] user@host# set term tcp-police-2 from protocol tcp user@host# set term tcp-police-2 then policer shared-policer-A
結果
show firewall 設定モード コマンドを入力して、ファイアウォール フィルターの設定を確認します。コマンド出力に意図した設定が表示されない場合は、この手順の指示を繰り返して設定を修正します。
[edit]
user@host# show firewall
family inet {
filter ipv4-filter {
physical-interface-filter;
term tcp-police-1 {
from {
precedence [ critical-ecp immediate priority ];
protocol tcp;
}
then policer shared-policer-A;
}
term tcp-police-2 {
from {
precedence [ internet-control routine ];
protocol tcp;
}
then policer shared-policer-A;
}
}
}
policer shared-policer-A {
physical-interface-policer;
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 500k;
}
then discard;
}
IPv4物理インターフェイスフィルターを適用して物理インターフェイスポリサーを参照する
ステップバイステップの手順
物理インターフェイス フィルターを適用して、物理インターフェイス ポリサーを参照するには:
論理インターフェイスでIPv4の設定を有効にします。
[edit] user@host# edit interfaces so-1/0/0 unit 0 family inet
入力方向にIPv4物理インターフェイスフィルターを適用します。
[edit interfaces so-1/0/0 unit 0 family inet] user@host# set filter input ipv4-filter
結果
show interfaces設定モードコマンドを入力して、ファイアウォールフィルターの設定を確認します。コマンド出力に意図した設定が表示されない場合は、この手順の指示を繰り返して設定を修正します。
[edit]
user@host# show interfaces
so-1/0/0 {
unit 0 {
family inet {
filter {
input ipv4-filter;
}
address 192.168.1.1/24;
}
family vpls;
}
unit 1 {
family mpls;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
インターフェイスに適用されたファイアウォールフィルターの表示
目的
ファイアウォールフィルター ipv4-filter が、論理インターフェイス so-1/0/0.0のIPv4入力トラフィックに適用されていることを確認します。
アクション
論理インターフェイスso-1/0/0.0にはshow interfaces statistics動作モードコマンドを使用し、detailオプションを含めます。コマンド出力のProtocol inetセクションのInput Filtersフィールドは、ファイアウォールフィルターipv4-filterが入力方向に適用されていることを示しています。
user@host> show interfaces statistics so-1/0/0 detail
Logical interface so-1/0/0.0 (Index 79) (SNMP ifIndex 510) (Generation 149)
Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP
Protocol inet, MTU: 4470, Generation: 173, Route table: 0
Flags: Sendbcast-pkt-to-re, Protocol-Down
Input Filters: ipv4-filter
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
論理インターフェイスでポリサーによって処理されたパケット数の表示
目的
論理インターフェイスを通過するトラフィックフローと、論理インターフェイスでパケットが受信されたときにポリサーが評価されることを確認します。
アクション
論理インターフェイスに適用したフィルターに対して show firewall 動作モードコマンドを使用します。
user@host> show firewall filter ipv4-filter Filter: ipv4-filter Policers: Name Packets shared-policer-A-tcp-police-1 32863 shared-policer-A-tcp-police-2 3870
コマンド出力には、ポリサーの名前(shared-policer-A)、ポリサーアクションが指定されたフィルター条件の名前(police-1)、およびフィルター条件に一致したパケットの数が表示されます。これは仕様外(規格外)パケット数にすぎず、ポリサーによってポリシングされたすべてのパケットではありません。