例:ツー レート スリー カラー ポリサーの設定
この例では、ツー レート スリー カラー ポリサーを設定する方法を示します。
要件
ツー レート スリー カラー ポリサーのサポートは、デバイスによって異なります。互換性のあるバージョンのJunos OSを実行しているSRX1400、SRX3400、SRX3600、SRX5400、SRX5600、およびSRX5800ファイアウォールデバイスが含まれます。
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
ツー レート スリー カラー ポリサーが、保証トラフィックの帯域幅制限とバースト サイズ制限、ピーク トラフィックの帯域幅制限とバースト サイズ制限に対してトラフィック フローを測定します。保証トラフィックの制限に適合するトラフィックは緑に分類され、不適合トラフィックは 2 つのカテゴリのいずれかに分類されます。
ピーク時のトラフィック制限を超えない不適合トラフィックは、黄色に分類されます。
ピークトラフィック制限を超える不適合トラフィックは赤に分類されます。
各カテゴリはアクションに関連付けられています。グリーントラフィックの場合、パケットは損失優先度値 low
で暗黙的に設定されてから送信されます。イエロートラフィックの場合、パケットは損失優先度値 medium-high
で暗黙的に設定されてから送信されます。赤色のトラフィックの場合、パケットは損失優先度値 high
で暗黙的に設定されてから送信されます。ポリサー設定にオプションの action
ステートメント(action loss-priority high then discard
)が含まれている場合、red フローのパケットは代わりに廃棄されます。
ファイアウォールフィルターポリサーとしてのみ、レイヤー3トラフィックに3カラーポリサーを適用できます。ステートレス ファイアウォール フィルターの条件からポリサーを参照し、プロトコル レベルで論理インターフェイスの入力または出力にフィルターを適用します。
トポロジー
この例では、論理インターフェイス fe-0/1/1.0
の入力 IPv4 トラフィックに、カラー認識の 2 レート 3 カラー ポリサーを適用します。ポリサーを参照する IPv4 ファイアウォール フィルターの用語は、パケット フィルタリングを適用しません。フィルターは、インターフェイスに 3 カラー ポリサーを適用するためにのみ使用されます。
ポリサーは、グリーントラフィックの帯域幅制限 40 Mbps とバーストサイズ制限 100 KB にトラフィックをレート制限し、黄色のトラフィックのピーク帯域幅制限 60 Mbps とピーク バーストサイズ制限 200 KB も許可するように設定します。ピークトラフィック制限を超える不適合トラフィックのみが赤として分類されます。この例では、赤トラフィックの暗黙的なマーキングをhigh
損失優先度に上書きする3色ポリサーアクションloss-priority high then discard
を設定します。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。設定モードでのCLIエディターの使用CLIのナビゲーションについては、「1 コンフィグレーション・モードでのCLIエディタの使用」1 を参照してください。
この例を設定するには、以下のタスクを実行します。
- CLIクイック構成
- ツー レート スリー カラー ポリサーの設定
- ポリサーを参照する IPv4 ステートレス ファイアウォール フィルターの構成
- プロトコルファミリーレベルでの論理インターフェイスへのフィルターの適用
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit]
階層レベルで CLI にコピー アンド ペーストして、設定モードから commit
を入力します。
set firewall three-color-policer trTCM1-ca two-rate color-aware set firewall three-color-policer trTCM1-ca two-rate committed-information-rate 40m set firewall three-color-policer trTCM1-ca two-rate committed-burst-size 100k set firewall three-color-policer trTCM1-ca two-rate peak-information-rate 60m set firewall three-color-policer trTCM1-ca two-rate peak-burst-size 200k set firewall three-color-policer trTCM1-ca action loss-priority high then discard set firewall family inet filter filter-trtcm1ca-all term 1 then three-color-policer two-rate trTCM1-ca set interfaces ge-2/0/5 unit 0 family inet address 10.10.10.1/30 set interfaces ge-2/0/5 unit 0 family inet filter input filter-trtcm1ca-all set class-of-service interfaces ge-2/0/5 forwarding-class af
ツー レート スリー カラー ポリサーの設定
ステップバイステップでの手順
ツー レート スリー カラー ポリサーを設定するには:
3 カラー ポリサーの設定を有効にします。
[edit] user@host# set firewall three-color-policer trTCM1-ca
ツー レート スリー カラー ポリサーのカラー モードを設定します。
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate color-aware
ツー レート保証トラフィック制限を設定します。
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate committed-information-rate 40m user@host# set two-rate committed-burst-size 100k
これらの制限の両方を超えないトラフィックは、緑として分類されます。グリーンフローのパケットは、損失優先度
low
暗黙的に設定されてから送信されます。ツーレートのピークトラフィック制限を設定します。
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate peak-information-rate 60m user@host# set two-rate peak-burst-size 200k
これらの制限の両方を超えない不適合トラフィックは、黄色に分類されます。黄色のフローのパケットは、暗黙的に損失優先度
medium-high
設定されてから送信されます。これらの制限の両方を超える不適合トラフィックは赤として分類されます。赤色のフローのパケットは、損失の優先度high
暗黙的に設定されています。(オプション)赤色トラフィックのポリサーアクションを設定します。
[edit firewall three-color-policer trTCM1-ca] user@host# set action loss-priority high then discard
3 カラー ポリサーの場合、設定可能なアクションは red パケットの廃棄のみです。赤色のパケットは、PIR(ピーク情報レート)と PBS(ピーク バースト サイズ)を超えたため、高い損失優先度が割り当てられたパケットです。
結果
show firewall
設定モード コマンドを入力して、ポリサーの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit] user@host# show firewall three-color-policer trTCM1-ca { action { loss-priority high then discard; } two-rate { color-aware; committed-information-rate 40m; committed-burst-size 100k; peak-information-rate 60m; peak-burst-size 200k; } }
ポリサーを参照する IPv4 ステートレス ファイアウォール フィルターの構成
ステップバイステップでの手順
ポリサーを参照する IPv4 ステートレス ファイアウォール フィルターを構成するには:
IPv4 標準ステートレス ファイアウォール フィルターの設定を有効にします。
[edit] user@host# set firewall family inet filter filter-trtcm1ca-all
ポリサーを参照するフィルター条件を指定します。
[edit firewall family inet filter filter-trtcm1ca-all] user@host# set term 1 then three-color-policer two-rate trTCM1-ca
この用語では、一致条件は指定されていないことに注意してください。ファイアウォールフィルターは、すべてのパケットをポリサーに渡します。
結果
show firewall
設定モード コマンドを入力して、ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit] user@host# show firewall family inet { filter filter-trtcm1ca-all { term 1 { then { three-color-policer { two-rate trTCM1-ca; } } } } } three-color-policer trTCM1-ca { action { loss-priority high then discard; } two-rate { color-aware; committed-information-rate 40m; committed-burst-size 100k; peak-information-rate 60m; peak-burst-size 200k; } }
プロトコルファミリーレベルでの論理インターフェイスへのフィルターの適用
ステップバイステップでの手順
プロトコルファミリーレベルで論理インターフェイスにフィルターを適用するには:
IPv4ファイアウォールフィルターの設定を有効にします。
[edit] user@host# edit interfaces ge-2/0/5 unit 0 family inet
プロトコル ファミリー レベルで論理インターフェイスにポリサーを適用します。
[edit interfaces ge-2/0/5 unit 0 family inet] user@host# set address 10.10.10.1/30 user@host# set filter input filter-trtcm1ca-all
(MXシリーズルーターおよびEXシリーズスイッチのみ)(オプション)入力ポリサーの場合、固定の分類子を設定できます。固定分類子は、既存の分類に関係なく、すべての着信パケットを再分類します。
注:プラットフォームのサポートは、実装時の Junos OS リリースによって異なります。
[edit] user@host# set class-of-service interfaces ge-2/0/5 forwarding-class af
分類子名は、構成された分類子またはデフォルトの分類子の 1 つにすることができます。
結果
show interfaces
設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit] user@host# show interfaces ge-2/0/5 { unit 0 { family inet { address 10.10.10.1/30; filter { input filter-trtcm1ca-all; } } } }
デバイスの設定が完了したら、設定モードから commit
を入力します。
検証
設定が正常に機能していることを確認します。
論理インターフェイスに適用されたファイアウォールフィルターの表示
目的
ファイアウォール フィルターが、論理インターフェイスの IPv4 入力トラフィックに適用されていることを確認します。
アクション
論理インターフェイスge-2/0/5.0
に show interfaces
operational mode コマンドを使用し、detail
modeを指定します。コマンド出力の Protocol inet セクションには、論理インターフェイスの IPv4 情報が表示されます。そのセクション内の Input Filters フィールドには、論理インターフェイスに関連付けられている IPv4 ファイアウォール フィルターの名前が表示されます。
user@host> show interfaces ge-2/0/5.0 detail Logical interface ge-2/0/5.0 (Index 105) (SNMP ifIndex 556) (Generation 170) Flags: Device-Down SNMP-Traps 0x4004000 Encapsulation: ENET2 Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 0 bps Output bytes : 0 0 bps Input packets: 0 0 pps Output packets: 0 0 pps Protocol inet, MTU: 1500, Generation: 242, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter-trtcm1ca-all Addresses, Flags: Dest-route-down Is-Preferred Is-Primary Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255, Generation: 171 Protocol multiservice, MTU: Unlimited, Generation: 243, Route table: 0 Policer: Input: __default_arp_policer__