Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

ポリサーの適用

ポリサーの適用の概要

ポリサーを使用すると、ファイアウォール フィルタを設定することなく、特定のインターフェイスまたはレイヤー 2 仮想プライベート ネットワーク(VPN)でシンプルなトラフィック ポリシングを実行できます。ポリサーを適用するには、次のステートメントを policer 含めます。

これらのステートメントは、以下の階層レベルに含めることができます。

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

ステートメントではfamily、プロトコル ファミリーは ccc、 、 、 inetinet6mplstcc、 または vplsのいずれかにできます。

ステートメントで arp 、ARP(アドレス解決プロトコル)パケットがインターフェイスで受信されたときに評価される 1 つのポリサー テンプレートの名前を示します。デフォルトでは、ステートメントを設定したすべてのイーサネット インターフェイス間で共有される ARP ポリサーが family inet インストールされています。ARP パケットのより厳しい、または緩いポリシングが必要な場合は、インターフェイス固有のポリサーを設定して、それをインターフェイスに適用できます。階層レベルで他のポリサーを設定するのと同様に、ARP ポリサーを [edit firewall policer] 設定します。このポリサーをインターフェイスに適用すると、デフォルトのARPパケットポリサーが上書きされます。このポリサーを削除すると、デフォルト のポリサーが再度有効になります。

  • インターフェイス上の各プロトコル ファミリーで異なるポリサーを設定し、各ファミリーに 1 つの入力ポリサーと 1 つの出力ポリサーを設定できます。ポリサーを適用すると、ファミリーcccinet、、inet6mplstccまたはvplsのみ、およびファミリー inet プロトコル用に 1 つの ARP ポリサーのみを設定できます。ポリサーが参照されるたびに、そのインターフェイスのパケット転送コンポーネントにポリサーの別のコピーがインストールされます。

  • ポリサーとファイアウォール フィルタの両方をインターフェイスに適用すると、入力ファイアウォール フィルタの前に入力ポリサーが評価され、出力ポリサーは出力ファイアウォール フィルタの後に評価されます。ステートメントで input 、パケットがインターフェイスで受信されたときに評価される 1 つのポリサー テンプレートの名前を示します。ステートメントで output 、パケットがインターフェイス上で送信されたときに評価される 1 つのポリサー テンプレートの名前を示します。

  • 複数の FPC にまたがるアグリゲート イーサネット(AE)インターフェイスを介して MX シリーズ ルーターで終端する加入者の場合、ポリサーで設定された制限は AE バンドル内の各インターフェイスに個別に適用されるため、加入者レート全体が設定されたレートを超える可能性があります。したがって、たとえば、3 メンバーの AE インターフェイスでポリサーを 600 m に適用bandwidth-limitする場合、200 m のポリサーで AE 内の 3 つのインターフェイス(つまり、インターフェイスあたり 200 Mbps、合計 600 Mbps)を考慮するように設定bandwidth-limitする必要があります。

  • インターフェイス lo0にポリサーを適用すると、ルーティング エンジンによって受信または送信されたパケットにポリサーが適用されます。

  • T シリーズ、M120、M320 プラットフォームでは、インターフェイスが同じ FPC 上にある場合、フィルタやポリサーはインターフェイスに出入りするトラフィックの合計に対して動作しません。

アグリゲート ポリサーの適用

アグリゲート ポリサーの適用

デフォルトでは、同じ論理インターフェイス上の複数のプロトコル ファミリーにポリサーを適用すると、ポリサーは各プロトコル ファミリーのトラフィックを個別に制限します。たとえば、IPv4 と IPv6 の両方のトラフィックに 50 Mbps の帯域幅制限が適用されているポリサーでは、インターフェイスで 50 Mbps の IPv4 トラフィックと 50 Mbps の IPv6 トラフィックを受け入れることが可能になります。アグリゲート ポリサーを適用すると、ポリサーはインターフェイスで 50 Mbps の IPv4 トラフィックと IPv6 トラフィックを組み合わせて受信することを許可します。

集約ポリサーを設定するには、階層レベルで logical-interface-policer ステートメントを [edit firewall policer policer-template-name] 含めます。

ポリサーをアグリゲートとして扱う場合は、ステートメントを含めて、1 つの論理インターフェイス上の複数のプロトコル ファミリーにポリサーを適用する policer 必要があります。

これらのステートメントは、以下の階層レベルに含めることができます。

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

ステートメントではfamily、プロトコル ファミリーは ccc、 、 、 inetinet6mplstcc、 または vplsのいずれかにできます。

ポリサーを適用しないプロトコル ファミリーは、ポリサーの影響を受けません。たとえば、MPLS、IPv4、IPv6 トラフィックを受け入れる単一の論理インターフェイスを設定し、論理インターフェイス ポリサー policer1 を IPv4 および IPv6 プロトコル ファミリーのみに適用する場合、MPLS トラフィックは次の policer1制約の対象にはなりません。

別の論理インターフェイスに適用 policer1 する場合、ポリサーのインスタンスは 2 つあります。つまり、同じ物理インターフェイス ポート上の複数の論理インターフェイスに同じ論理インターフェイス ポリサーが適用されている場合でも、Junos OS はアグリゲートとしてではなく、個別の論理インターフェイス上のトラフィックを個別にポリサーします。

例:アグリゲート ポリサーの適用

2 つの論理インターフェイス ポリサーを設定します。aggregate_police1そして.aggregate_police2 論理インターフェイスで受信した IPv4 および IPv6 トラフィックに適用 aggregate_police1 します fe-0/0/0.0。論理インターフェイス fe-0/0/0.0 で受信した CCC および MPLS トラフィックに適用 aggregate_police2 します。この設定により、ソフトウェアは 1 つのインスタンスと 1 つのインスタンスaggregate_police1aggregate_police2のみを作成します。

別の論理インターフェイスで受信した IPv4 および IPv6 トラフィックに適用 aggregate_police1 します fe-0/0/0.1。この設定により、ソフトウェアは、ユニット 0 に適用されるインスタンスとユニット 1 に適用されるインスタンスの新しいインスタンス aggregate_police1を作成します。

拡張インテリジェント キューイング PIC への階層ポリサーの適用

拡張インテリジェント キューイング PIC への階層ポリサーの適用

M40e、M120、M320 エッジ ルーター、および IQE(拡張インテリジェント キューイング)PIC を備えた T シリーズ コア ルーターは、イングレス方向の階層型ポリサーをサポートし、プレミアムおよびアグリゲート(プレミアム+通常)トラフィック レベルの階層型ポリサーをインターフェイスに適用できます。階層型ポリサーは、設定された物理インターフェイスとパケット転送エンジンの間で機能を横断します。

開始する前に、階層ポリサーに適用される一般的な制限がいくつかあります。

  • 論理インターフェイスまたは物理インターフェイスに対して設定できるポリサーのタイプは 1 つだけです。たとえば、同じ論理インターフェイスに対して同じ方向の階層ポリサーと通常のポリサーは許可されません。

  • ポリサーのチェイニング(つまり、ポリサーをポートとそのポートの論理インターフェイスの両方に適用)は許可されません。

  • BA 分類がない場合は、インターフェイスごとに 64 ポリサーの制限があり、DLCI ごとに 1 つのポリサーを提供します。

  • 物理インターフェイスまたは論理インターフェイスに適用できるポリサーは 1 種類のみです。

  • ポリサーは BA 分類から独立している必要があります。BA 分類を使用しない場合、インターフェイス上のすべてのトラフィックは、設定に基づいて EF または EF 以外のいずれかとして扱われます。BA 分類では、インターフェイスで最大 64 のポリサーをサポートできます。ここでも、インターフェイスは物理インターフェイスまたは論理インターフェイス(DLCI など)である場合があります。

  • BA 分類では、その他のトラフィック(BA 分類 DSCP/EXP ビットと一致 しない トラフィック)は、非 EF トラフィックとしてポリサーされます。このトラフィックには、個別のポリサーはインストールされません。

階層型ポリサーの概要

階層型ポリシングでは、2 つのトークン バケット(1 つは集約(EF)トラフィック、もう 1 つはプレミアム(EF)トラフィックに使用されます。EF と EF 以外のトラフィックは、サービス クラス構成によって決まります。論理的には、階層型ポリシングは、2つのポリサーを連鎖させることによって達成されます。

図 1: 階層型ポリサー階層型ポリサー

の例 図 1では、EF トラフィックは Premium Policer によってポリサーされ、非 EF トラフィックはアグリゲート ポリサーによってポリサーされます。つまり、EF トラフィックの場合、アウトオブスペック アクションは Premium Policer 用に設定されたアクションになりますが、仕様内の EF トラフィックは引き続きアグリゲート ポリサーからトークンを消費します。

ただし、EF トラフィックはアグリゲート ポリサーの仕様外のアクションに送信されることはありません。また、プレミアム ポリサーのアウトオブスペック アクションが [破棄] に設定されていない場合、それらのアウトオブスペック パケットはアグリゲート ポリサーからのトークンを消費しません。アグリゲート ポリサーは非 EF トラフィックのみをポリサーします。ご覧のように、すべてのトークンが EF 以外のトラフィックによって消費され、EF トラフィックのバーストが発生した場合、アグリゲート ポリサー トークン バケットは負の値になります。しかし、それは非常に短い時間であり、一定期間にわたって平均化されます。例えば、

  • プレミアム ポリサー: 帯域幅 2 Mbps、OOS アクション: 破棄

  • アグリゲート ポリサー: 帯域幅 10 Mbps、OOS アクション: 破棄

上記の場合、EF トラフィックは 2 Mbps が保証され、EF 以外のトラフィックは EF トラフィックの入力レートに応じて 8 Mbps から 10 Mbps になります。

階層型ポリシングの特性

階層型トークン バケット機能には次のものが含まれます。

  • イングレス トラフィックは、ポリサーを適用する前に、最初に EF および EF 以外のトラフィックに分類されます。

    • 分類は、Q ツリー ルックアップによって実行されます。

  • チャネル番号は、共有トークン バケット ポリサーを選択します。

    • デュアル トークン バケット ポリサーは、2 つの単一バケット ポリサーに分割されます。

      • ポリサー1 — EF トラフィック

      • ポリサー2 — EF 以外のトラフィック

  • 共有トークン バケットは、トラフィックのポリサーに次のように使用されます。

    • ポリサー1が EF レートに設定されている(2 Mbps など)

    • ポリサー2は、アグリゲート インターフェイス ポリシング レート(10 Mbps など)に設定されています。

    • EF トラフィックがポリサー1に適用されます。

      • トラフィックが仕様内の場合、ポリサー1とPolicyr2の両方から通過およびデクリメントが許可されます。

      • トラフィックが仕様外の場合は、破棄するか、新しいFCまたは損失の優先度でマークすることができます。ポリサー2は、仕様外のEFトラフィックでは何もしません。

    • 非 EF トラフィックは Policer2 にのみ適用されます。

      • トラフィックが仕様に合った場合、通過してポリサー2を減らすことができます。

      • トラフィックが仕様外である場合、トラフィックは破棄されるか、新しいFCでマークされるか、新しいドロップ優先度で設定されます。

  • ポート速度をレイヤー 2 で望ましいレートにレート制限

  • EF トラフィックのレート制限

  • EF 以外のトラフィックのレート制限

  • ポリシングドロップ数(カラー当たり)

関連項目

階層ポリサーの設定

階層ポリサーを設定するには、ステートメントを policing-priority 適切な転送クラスに適用し、集約レベルとプレミアム レベルの階層型ポリサーを設定します。サービス クラスの詳細については、「 ルーティング デバイスの Junos OS サービス クラス ユーザー ガイド」を参照してください。

注:

階層型ポリサーは、IQE PIC上でホストされているSONET物理インターフェイスでのみ設定できます。サポートされるのは、集約レベルとプレミアム レベルのみです。

階層ポリサーの転送クラスの CoS 設定

サービス クラスの設定とステートメントの詳細については、 ルーティング デバイスの Junos OS サービス クラス ユーザー ガイドを参照してください。

階層ポリサーのファイアウォール構成

階層ポリサーは、次のように適用できます。

物理ポート レベルでポリサーを適用するオプションも次のとおりです。

単一レート 2 カラー ポリサーの設定

シングルレート 2 カラー ポリサーは、次のように設定できます。

ポリサーは次のように適用できます。

物理ポート レベルでポリサーを適用するオプションも次のとおりです。

単一レート カラー ブラインド ポリサーの設定

このセクションでは、シングルレートカラーブラインドおよびカラー認識ポリサーについて説明します。

シングルレート カラー ブラインド ポリサーは、次のように設定できます。

シングルレート カラー ブラインド ポリサーは、次のように適用できます。

単一レートのカラー認識ポリサーは、次のように設定できます。

単一レートのカラー認識ポリサーは、次のように適用できます。

物理ポート レベルでポリサーを適用するオプションも次のとおりです。

2 レート三色マーカー ポリサーの設定

イングレス ポリシングは、2 レートの 3 色マーカー(trTCM)を使用して実装されます。これは、2つのレート、コミット、およびピークを維持するデュアルトークンバケット(DTB)で行われます。エグレス静的ポリシングでは、トークン バケットも使用されます。

トークン バケットは、次のイングレス ポリシング機能を実行します。

  • (1K)trTCM - デュアルトークンバケット(赤、黄色、緑のマーキング)

  • ポリシングは、レイヤー 2 パケット サイズに基づいています。

    • +/-バイト調整後オフセット

  • マーキングは色認識と色盲です:

    • 色認識には、次に基づいてqツリールックアップによって色を設定する必要があります。

      • ToS

      • EXP

  • プログラム可能なマーキング アクション:

    • 色(赤、黄、緑)

    • 色と輻輳プロファイルに基づいてドロップ

  • ポリサーは、到着するチャネル番号に基づいて選択されます。

    • チャネル番号LUTがポリサーインデックスとキューインデックスを生成

    • 複数のチャネルで同じポリサーを共有できます(LUTは同じポリサーインデックスを生成します)

  • 以下のレベルでイングレスポリシングとtrTCMをサポートします。

    • キュー

    • 論理インターフェイス(ifl/DLCI)

    • 物理インターフェイス(ifd)

    • 物理ポート(コントローラ ifd)

    • 論理インターフェイス、物理インターフェイス、ポートの任意の組み合わせ

  • インターフェイス速度とビット/秒の割合をサポート

レート制限は、イングレスおよびエグレスの事前定義されたキューで、選択したキューに適用される場合があります。トークンバケットは、カラー認識モードとカラーブラインドモード(RFC 2698で指定)で動作します。

カラーブラインド trTCM の設定

3 色の 2 レートカラー ブラインド ポリサーは、次のように適用できます。

物理ポート レベルでポリサーを適用するオプションも次のとおりです。

カラー認識型 trTCM の設定

次のように、3 色の 2 レートカラー認識ポリサーを適用できます。

物理ポート レベルでポリサーを適用するオプションも次のとおりです。

関連項目