ポリサーの適用
ポリサーの適用の概要
ポリサーを使用すると、ファイアウォールフィルターを設定せずに、特定のインターフェイスまたはレイヤー2仮想プライベートネットワーク(VPN)で簡単なトラフィックポリシングを実行できます。ポリサーを適用するには、 ステートメントを含め ます。policer
policer { arp policer-template-name; input policer-template-name; output policer-template-name; }
以下の階層レベルでこれらのステートメントを使用することができます。
[edit interfaces interface-name unit logical-unit-number family family]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
ステートメントでは、プロトコルファミリーは 、 、 、 、 または です。family
ccc
inet
inet6
mpls
tcc
vpls
ステートメントでは、インターフェイスでアドレス解決プロトコル(ARP)パケットを受信したときに評価される1つのポリサーテンプレートの名前をリストします。arp
デフォルトでは、ARP ポリサーがインストールされ、ステートメントを設定した すべてのイーサネット インターフェイスで共有されます。family inet
ARP パケットのポリシングをより厳格または寛大にしたい場合は、インターフェイス固有のポリサーを設定し、それをインターフェイスに適用できます。ARP ポリサーは、他のポリサーと同様に、 階層レベルで設定します。[edit firewall policer]
このポリサーをインターフェイスに適用すると、デフォルトの ARP パケット ポリサーが上書きされます。このポリサーを削除すると、デフォルト・ポリサーが再び有効になります。
インターフェイス上の各プロトコルファミリーに異なるポリサーを設定し、ファミリーごとに1つの入力ポリサーと1つの出力ポリサーを設定することができます。ポリサーを適用する場合、ファミリー 、 、 、 、 、または のみ、およびファミリープロトコルに対してのみ 1 つの ARP ポリサーを設定できます。
ccc
inet
inet6
mpls
tcc
vpls
inet
ポリサーが参照されるたびに、そのインターフェイスのパケット転送コンポーネントにポリサーの個別のコピーがインストールされます。ポリサーとファイアウォールフィルターの両方をインターフェイスに適用した場合、入力ポリサーは入力ファイアウォールフィルターの前に評価され、出力ポリサーは出力ファイアウォールフィルターの後に評価されます。ステートメントでは、インターフェイスでパケットが受信された時に評価される1つのポリサーテンプレートの名前をリストします。
input
ステートメントでは、インターフェイスでパケットが送信された時に評価される1つのポリサーテンプレートの名前をリストします。output
複数のFPCにまたがる集合型イーサネット(AE)インターフェイス上のMXシリーズルーターで終端する加入者の場合、ポリサーで設定された制限がAEバンドル内の各インターフェイスに個別に適用されるため、全体の加入者レートが設定レートを超える可能性があります。したがって、例えば、3 メンバーの AE インターフェイス上のポリサーに の を強制させる場合、AE の 3 つのインターフェイスを考慮して、 のポリサーで を設定する必要があります(つまり、インターフェイスあたり 200 Mbps、合計で 600 Mbps)。
bandwidth-limit
600mbandwidth-limit
200mポリサーをインターフェイス に適用すると、ルーティングエンジンによって受信または送信されたパケットに適用されます。
lo0
T Series、M120、およびM320プラットフォームでは、インターフェイスが同じFPC上にある場合、フィルターまたはポリサーはインターフェイスに出入りするトラフィックの合計に作用しません。
集約ポリサーの適用
集約ポリサーの適用
デフォルトでは、同じ論理インターフェイス上の複数のプロトコルファミリーにポリサーを適用すると、ポリサーは各プロトコルファミリーのトラフィックを個別に制限します。例えば、IPv4 と IPv6 の両方のトラフィックに 50 Mbps の帯域幅制限が適用されたポリサーは、インターフェイスが 50 Mbps の IPv4 トラフィックと 50 Mbps の IPv6 トラフィックを受け入れることを可能にします。集約型ポリサーを適用した場合、ポリサーはインターフェイスに IPv4 と IPv6 のトラフィックの合計 50 Mbps のみの受信を許可します。
集約ポリサーを設定するには、 階層レベルで ステートメントを含め ます 。logical-interface-policer
[edit firewall policer policer-template-name]
[edit firewall policer policer-template-name] logical-interface-policer;
ポリサーを集約として扱うには、 ステートメントを含めて 、単一の論理インターフェイス上の複数のプロトコルファミリーに適用する必要があります。policer
policer { arp policer-template-name; input policer-template-name; output policer-template-name; }
以下の階層レベルでこれらのステートメントを使用することができます。
[edit interfaces interface-name unit logical-unit-number family family]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
ステートメントでは、プロトコルファミリーは 、 、 、 、 または です。family
ccc
inet
inet6
mpls
tcc
vpls
ポリサーを適用しないプロトコルファミリーは、ポリサーの影響を受けません。例えば、MPLS、IPv4、および IPv6 トラフィックを受け入れるように単一の論理インターフェイスを設定し、論理インターフェース ポリサー を IPv4 および IPv6 プロトコル ファミリーのみに適用した場合、MPLS トラフィックは の 制約を受けません。policer1
policer1
異なる論理インターフェイスに適用する場合 、ポリサーのインスタンスは 2 つあります。policer1
つまり、同じ物理インターフェイス ポート上の複数の論理インターフェイスに同じ論理インターフェイス ポリサーが適用されている場合でも、Junos OS は集約としてではなく、別々の論理インターフェイス上のトラフィックを別々にポリシングします。
例:集約ポリサーの適用
2 つの論理インターフェイス ポリサーを構成します。aggregate_police1
と aggregate_police2
があります。論理インターフェイスで受信したIPv4およびIPv6トラフィックに適用されます。aggregate_police1
fe-0/0/0.0
論理インターフェイスfe-0/0/0.0で受信したCCCおよびMPLSトラフィックに適用されます 。aggregate_police2
この設定により、ソフトウェアは の インスタンスを 1 つだけ作成し、 のインスタンス を 1 つだけ作成します。aggregate_police1
aggregate_police2
別の論理インターフェイスで受信したIPv4およびIPv6トラフィックに適用します。aggregate_police1
fe-0/0/0.1
この設定により、 ソフトウェアは、 ユニット 0 に適用されるインスタンスとユニット 1 に適用される の新しいインスタンスを作成します。aggregate_police1
[edit firewall] policer aggregate_police1 { logical-interface-policer; if-exceeding { bandwidth-limit 100m; burst-size-limit 500k; } then { discard; } } policer aggregate_police2 { logical-interface-policer; if-exceeding { bandwidth-limit 10m; burst-size-limit 200k; } then { discard; } } [edit interfaces fe-0/0/0] unit 0 { family inet { policer { input aggregate_police1; } } family inet6 { policer { input aggregate_police1; } } family ccc { policer { input aggregate_police2; } } family mpls { policer { input aggregate_police2; } } } unit 1 { family inet { policer { input aggregate_police1; } } family inet6 { policer { input aggregate_police1; } } }
拡張インテリジェント キューイングPICへの階層型ポリサーの適用
拡張インテリジェント キューイングPICへの階層型ポリサーの適用
拡張インテリジェントキューイング(IQE)PICを搭載したM40e、M120、M320エッジルーターとT Seriesコアルーターは、イングレス方向の階層型ポリサーをサポートしており、インターフェイスに対するプレミアムおよび集約(プレミアムとノーマル)トラフィックレベルの階層ポリサーを適用できます。階層型ポリサーは、設定された物理インターフェイスとパケット転送エンジンの間でクロスファンクショナルな機能を提供します。
開始する前に、階層ポリサーに適用される一般的な制限がいくつかあります。
論理インターフェイスまたは物理インターフェイスに設定できるポリサーの種類は 1 つだけです。例えば、同じ論理インターフェイスに対して同じ方向の階層型ポリサーと通常のポリサーは許可されません。
ポリサーのチェイニング(つまり、ポートとそのポートの論理インターフェイスの両方にポリサーを適用すること)は許可されません。
BA 分類がない場合、インターフェイスごとに 64 件のポリシーに制限があり、DLCI ごとに 1 つのポリサーが提供されます。
物理インターフェイスまたは論理インターフェイスに適用できるポリサーの種類は 1 つだけです。
ポリサーは、BA 分類から独立している必要があります。BA 分類を使用しない場合、インターフェイス上のすべてのトラフィックは、設定に基づいて EF または非 EF として扱われます。BA 分類では、インターフェイスは最大 64 のポリサーをサポートします。ここでも、ここでのインターフェイスは、物理インターフェイスまたは論理インターフェイス(DLCIなど)である可能性があります。
BA 分類では、その他のトラフィック(BA 分類の DSCP/EXP ビットのいずれとも一致 しない トラフィック)は非 EF トラフィックとしてポリシングされます。このトラフィックに個別のポリサーはインストールされません。
階層ポリサーの概要
階層型ポリシングでは、集約(非 EF)トラフィック用とプレミアム(EF)トラフィック用の 2 つのトークン バケットを使用します。どのトラフィックがEFで、どれが非EFかは、サービスクラス設定によって決まります。論理的には、階層ポリシングは 2 つのポリサーを連鎖させることによって実現されます。
の例では 、EF トラフィックはプレミアム ポリサーによってポリシングされ、非 EF トラフィックは集約ポリサーによってポリシングされます。図 1つまり、EF トラフィックの場合、仕様外アクションはプレミアム ポリサー用に構成されたアクションになりますが、仕様内 EF トラフィックは引き続き集約ポリサーからのトークンを消費します。
ただし、EF トラフィックは、集約ポリサーの仕様外アクションに送信されることはありません。また、プレミアム ポリサーの仕様外アクションが [破棄] に設定されていない場合、仕様外パケットは集約ポリサーからのトークンを消費しません。集約ポリサーは、非 EF トラフィックのみをポリシングします。ご覧のとおり、すべてのトークンが非EFトラフィックによって消費され、EFトラフィックのバーストが発生すると、集約ポリサートークンバケットが負になる可能性があります。しかし、それは非常に短い時間であり、一定期間にわたって平均化されます。たとえば、以下のように表示されます。
Premium Policer: 帯域幅 2Mbps、オブジェクト指向アクション: 破棄
集合型ポリサー: 帯域幅 10 Mbps、オブジェクト指向アクション: 破棄
上記の場合、EF トラフィックは 2 Mbps が保証され、EF トラフィックの入力レートに応じて、非 EF トラフィックは 8 Mbps から 10 Mbps になります。
階層型ポリシングの特性
階層型トークンバケットの機能は次のとおりです。
イングレス トラフィックは、ポリサーを適用する前に、まず EF トラフィックと非 EF トラフィックに分類されます。
分類は Q ツリー検索によって実行されます
チャネル番号は、共有トークン バケット ポリサーを選択します。
デュアル トークン バケット ポリサーは、2 つのシングル バケット ポリサーに分割されます。
ポリサー 1 - EF トラフィック
ポリサー 2 - 非 EF トラフィック
共有トークン バケットは、次のようにトラフィックをポリシングするために使用されます。
ポリサー 1 が EF レート (2 Mbps など) に設定されている
Policer2 は、集約インターフェイス ポリシング レート(10 Mbps など)に設定されます。
EF トラフィックは Policer1 に適用されます。
トラフィックが仕様内の場合、Policer1 と Policer2 の両方からの通過と減少が許可されます。
トラフィックが仕様外の場合は、トラフィックを破棄するか、新しいFCまたは損失の優先度でマークすることができます。Policer2 は、仕様外の EF トラフィックに対しては何も行いません。
非 EF トラフィックは Policer2 にのみ適用されます。
トラフィックが仕様内の場合、通過が許可され、Policer2 がデクリメントされます。
トラフィックが仕様外の場合、そのトラフィックは廃棄されるか、新しいFCでマークされるか、新しいドロップ優先度が設定されます。
レイヤー 2 でポート速度を目的のレートに制限します。
EF トラフィックのレート制限
非 EF トラフィックのレート制限
ポリシングドロップは色ごとにカウントされます
関連項目
階層ポリサーの設定
階層型ポリサーを設定するには、 ステートメントを適切な転送クラスに適用 し、アグリゲートレベルおよびプレミアムレベルに対して階層型ポリサーを設定します。policing-priority
サービス クラスの詳細については、 ルーティング デバイス用 Junos OS サービス クラス ユーザー ガイドを参照してください。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/cos/config-guide-cos.html
階層ポリサーは、IQE PICでホストされたSONET物理インターフェイスでのみ設定できます。アグリゲート レベルとプレミアム レベルのみがサポートされています。
階層型ポリサーの転送クラスのCoS設定
[edit class-of-service forwarding-classes] class fc1 queue-num 0 priority high policing-priority premium; class fc2 queue-num 1 priority low policing-priority normal; class fc3 queue-num 2 priority low policing-priority normal; class fc4 queue-num 3 priority low policing-priority normal;
サービスクラスの設定とステートメントの詳細については、 ルーティングデバイス用Junos OSサービスクラスユーザーガイドを参照してください。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/cos/config-guide-cos.html
階層型ポリサーのファイアウォール設定
[edit firewall hierarchical-policer foo] aggregate { if-exceeding { bandwidth-limit 70m; burst-size-limit 1500; } then { discard; } premium { if-exceeding { bandwidth-limit 50m; burst-size-limit 1500; } then { discard; } }
階層ポリサーは、以下のように適用できます。
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-hierarchical-policer foo;
また、次のように、物理ポートレベルでポリサーを適用するオプションもあります。
[edit interfaces so-0/1/0 layer2-policer] input-hierarchical-policer foo;
シングル レート 2 カラー ポリサーの設定
シングルレート 2 カラー ポリサーは、次のように設定できます。
[edit firewall policer foo] if-exceeding { bandwidth-limit 50m; burst-size-limit 1500; } then { discard; }
ポリサーは次のように適用できます。
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-policer foo;
また、次のように、物理ポートレベルでポリサーを適用するオプションもあります。
[edit interfaces so-0/1/0 layer2-policer] input-policer foo;
シングルレート カラー ブラインド ポリサーの設定
このセクションでは、シングルレート カラー ブラインドおよびカラー認識ポリサーについて説明します。
シングルレート カラー ブラインド ポリサーは、次のように設定できます。
[edit firewall three-color-policer foo] single-rate { color-blind; committed-information-rate 50m; committed-burst-size 1500; excess-burst-size 1500; }
シングルレート カラー ブラインド ポリサーは、次のように適用できます。
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
シングル レート カラー認識ポリサーは、次のように設定できます。
[edit firewall three-color-policer bar] single-rate { color-aware; committed-information-rate 50m; committed-burst-size 1500; excess-burst-size 1500; }
シングル レート カラー認識ポリサーは、次のように適用できます。
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
また、次のように、物理ポートレベルでポリサーを適用するオプションもあります。
[edit interfaces so-0/1/0 layer2-policer] input-three-color bar;
ツー レート トライカラー マーカー ポリサーの設定
入力ポリシングは、2 レート トライコロール マーカー(trTCM)を使用して実装されます。これは、2つのレート、コミット、およびピークを維持するデュアルトークンバケット(DTB)によって行われます。エグレス スタティック ポリシングもトークン バケットを使用します。
トークン バケットは、次のイングレス ポリシング機能を実行します。
(1K) trTCM - デュアルトークンバケット(赤、黄、緑のマーキング)
ポリシングはレイヤー 2 パケット サイズに基づきます。
+/- バイト調整オフセット後
マーキングは色を認識し、色覚異常です:
カラーアウェアは、以下に基づいてqツリールックアップによって色を設定する必要があります。
ToS
Exp
プログラム可能なマーキングアクション:
色(赤、黄、緑)
色と輻輳プロファイルに基づくドロップ
ポリサーは、到着するチャネル番号に基づいて選択されます。
チャネル番号LUTは、ポリサーインデックスとキューインデックスを生成します
複数のチャネルが同じポリサーを共有できる(LUTは同じポリサーインデックスを生成)
以下のレベルでイングレスポリシングとtrTCMをサポートします。
キュー
論理インターフェイス(ifl/DLCI)
物理インターフェイス(ifd)
物理ポート(コントローラ ifd)
論理インターフェイス、物理インターフェイス、ポートの任意の組み合わせ
インターフェイス速度とビット/秒のサポート割合
レート制限は、イングレスで選択したキューと、エグレスで事前定義されたキューに適用できます。トークン バケットは、カラー認識モードと色覚異常モードで動作します(RFC 2698 で指定)。
色覚異常の trTCM の設定
[edit firewall three-color-policer foo] two-rate { color-blind; committed-information-rate 50m; committed-burst-size 1500; peak-information-rate 100m; peak-burst-size 3k; }
3 色ツーレート カラー ブラインド ポリサーは、次のように適用できます。
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
また、次のように、物理ポートレベルでポリサーを適用するオプションもあります。
[edit interfaces so-0/1/0 layer2-policer] input-three-color foo;
カラー認識 trTCM の設定
[edit firewall three-color-policer bar] two-rate { color-aware; committed-information-rate 50m; committed-burst-size 1500; peak-information-rate 100m; peak-burst-size 3k; }
3 色 2 レート カラー認識ポリサーは、次のように適用できます。
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color bar;
また、次のように、物理ポートレベルでポリサーを適用するオプションもあります。
[edit interfaces so-0/1/0 layer2-policer] input-three-color bar;