ポリサーの適用
ポリサーの適用の概要
ポリサーを使用すると、ファイアウォール フィルタを設定することなく、特定のインターフェイスまたはレイヤー 2 仮想プライベート ネットワーク(VPN)でシンプルなトラフィック ポリシングを実行できます。ポリサーを適用するには、次のステートメントを policer
含めます。
policer { arp policer-template-name; input policer-template-name; output policer-template-name; }
これらのステートメントは、以下の階層レベルに含めることができます。
[edit interfaces interface-name unit logical-unit-number family family]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
ステートメントではfamily
、プロトコル ファミリーは ccc
、 、 、 inet
、 inet6
mpls
、 tcc
、 または vpls
のいずれかにできます。
ステートメントで arp
、ARP(アドレス解決プロトコル)パケットがインターフェイスで受信されたときに評価される 1 つのポリサー テンプレートの名前を示します。デフォルトでは、ステートメントを設定したすべてのイーサネット インターフェイス間で共有される ARP ポリサーが family inet
インストールされています。ARP パケットのより厳しい、または緩いポリシングが必要な場合は、インターフェイス固有のポリサーを設定して、それをインターフェイスに適用できます。階層レベルで他のポリサーを設定するのと同様に、ARP ポリサーを [edit firewall policer]
設定します。このポリサーをインターフェイスに適用すると、デフォルトのARPパケットポリサーが上書きされます。このポリサーを削除すると、デフォルト のポリサーが再度有効になります。
インターフェイス上の各プロトコル ファミリーで異なるポリサーを設定し、各ファミリーに 1 つの入力ポリサーと 1 つの出力ポリサーを設定できます。ポリサーを適用すると、ファミリー
ccc
、inet
、、inet6
mpls
tcc
またはvpls
のみ、およびファミリーinet
プロトコル用に 1 つの ARP ポリサーのみを設定できます。ポリサーが参照されるたびに、そのインターフェイスのパケット転送コンポーネントにポリサーの別のコピーがインストールされます。ポリサーとファイアウォール フィルタの両方をインターフェイスに適用すると、入力ファイアウォール フィルタの前に入力ポリサーが評価され、出力ポリサーは出力ファイアウォール フィルタの後に評価されます。ステートメントで
input
、パケットがインターフェイスで受信されたときに評価される 1 つのポリサー テンプレートの名前を示します。ステートメントでoutput
、パケットがインターフェイス上で送信されたときに評価される 1 つのポリサー テンプレートの名前を示します。複数の FPC にまたがるアグリゲート イーサネット(AE)インターフェイスを介して MX シリーズ ルーターで終端する加入者の場合、ポリサーで設定された制限は AE バンドル内の各インターフェイスに個別に適用されるため、加入者レート全体が設定されたレートを超える可能性があります。したがって、たとえば、3 メンバーの AE インターフェイスでポリサーを 600 m に適用
bandwidth-limit
する場合、200 m のポリサーで AE 内の 3 つのインターフェイス(つまり、インターフェイスあたり 200 Mbps、合計 600 Mbps)を考慮するように設定bandwidth-limit
する必要があります。インターフェイス
lo0
にポリサーを適用すると、ルーティング エンジンによって受信または送信されたパケットにポリサーが適用されます。T シリーズ、M120、M320 プラットフォームでは、インターフェイスが同じ FPC 上にある場合、フィルタやポリサーはインターフェイスに出入りするトラフィックの合計に対して動作しません。
アグリゲート ポリサーの適用
アグリゲート ポリサーの適用
デフォルトでは、同じ論理インターフェイス上の複数のプロトコル ファミリーにポリサーを適用すると、ポリサーは各プロトコル ファミリーのトラフィックを個別に制限します。たとえば、IPv4 と IPv6 の両方のトラフィックに 50 Mbps の帯域幅制限が適用されているポリサーでは、インターフェイスで 50 Mbps の IPv4 トラフィックと 50 Mbps の IPv6 トラフィックを受け入れることが可能になります。アグリゲート ポリサーを適用すると、ポリサーはインターフェイスで 50 Mbps の IPv4 トラフィックと IPv6 トラフィックを組み合わせて受信することを許可します。
集約ポリサーを設定するには、階層レベルで logical-interface-policer
ステートメントを [edit firewall policer policer-template-name]
含めます。
[edit firewall policer policer-template-name] logical-interface-policer;
ポリサーをアグリゲートとして扱う場合は、ステートメントを含めて、1 つの論理インターフェイス上の複数のプロトコル ファミリーにポリサーを適用する policer
必要があります。
policer { arp policer-template-name; input policer-template-name; output policer-template-name; }
これらのステートメントは、以下の階層レベルに含めることができます。
[edit interfaces interface-name unit logical-unit-number family family]
[edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
ステートメントではfamily
、プロトコル ファミリーは ccc
、 、 、 inet
、 inet6
mpls
、 tcc
、 または vpls
のいずれかにできます。
ポリサーを適用しないプロトコル ファミリーは、ポリサーの影響を受けません。たとえば、MPLS、IPv4、IPv6 トラフィックを受け入れる単一の論理インターフェイスを設定し、論理インターフェイス ポリサー policer1
を IPv4 および IPv6 プロトコル ファミリーのみに適用する場合、MPLS トラフィックは次の policer1
制約の対象にはなりません。
別の論理インターフェイスに適用 policer1
する場合、ポリサーのインスタンスは 2 つあります。つまり、同じ物理インターフェイス ポート上の複数の論理インターフェイスに同じ論理インターフェイス ポリサーが適用されている場合でも、Junos OS はアグリゲートとしてではなく、個別の論理インターフェイス上のトラフィックを個別にポリサーします。
例:アグリゲート ポリサーの適用
2 つの論理インターフェイス ポリサーを設定します。aggregate_police1
そして.aggregate_police2
論理インターフェイスで受信した IPv4 および IPv6 トラフィックに適用 aggregate_police1
します fe-0/0/0.0
。論理インターフェイス fe-0/0/0.0 で受信した CCC および MPLS トラフィックに適用 aggregate_police2
します。この設定により、ソフトウェアは 1 つのインスタンスと 1 つのインスタンスaggregate_police1
aggregate_police2
のみを作成します。
別の論理インターフェイスで受信した IPv4 および IPv6 トラフィックに適用 aggregate_police1
します fe-0/0/0.1
。この設定により、ソフトウェアは、ユニット 0 に適用されるインスタンスとユニット 1 に適用されるインスタンスの新しいインスタンス aggregate_police1
を作成します。
[edit firewall] policer aggregate_police1 { logical-interface-policer; if-exceeding { bandwidth-limit 100m; burst-size-limit 500k; } then { discard; } } policer aggregate_police2 { logical-interface-policer; if-exceeding { bandwidth-limit 10m; burst-size-limit 200k; } then { discard; } } [edit interfaces fe-0/0/0] unit 0 { family inet { policer { input aggregate_police1; } } family inet6 { policer { input aggregate_police1; } } family ccc { policer { input aggregate_police2; } } family mpls { policer { input aggregate_police2; } } } unit 1 { family inet { policer { input aggregate_police1; } } family inet6 { policer { input aggregate_police1; } } }
拡張インテリジェント キューイング PIC への階層ポリサーの適用
拡張インテリジェント キューイング PIC への階層ポリサーの適用
M40e、M120、M320 エッジ ルーター、および IQE(拡張インテリジェント キューイング)PIC を備えた T シリーズ コア ルーターは、イングレス方向の階層型ポリサーをサポートし、プレミアムおよびアグリゲート(プレミアム+通常)トラフィック レベルの階層型ポリサーをインターフェイスに適用できます。階層型ポリサーは、設定された物理インターフェイスとパケット転送エンジンの間で機能を横断します。
開始する前に、階層ポリサーに適用される一般的な制限がいくつかあります。
論理インターフェイスまたは物理インターフェイスに対して設定できるポリサーのタイプは 1 つだけです。たとえば、同じ論理インターフェイスに対して同じ方向の階層ポリサーと通常のポリサーは許可されません。
ポリサーのチェイニング(つまり、ポリサーをポートとそのポートの論理インターフェイスの両方に適用)は許可されません。
BA 分類がない場合は、インターフェイスごとに 64 ポリサーの制限があり、DLCI ごとに 1 つのポリサーを提供します。
物理インターフェイスまたは論理インターフェイスに適用できるポリサーは 1 種類のみです。
ポリサーは BA 分類から独立している必要があります。BA 分類を使用しない場合、インターフェイス上のすべてのトラフィックは、設定に基づいて EF または EF 以外のいずれかとして扱われます。BA 分類では、インターフェイスで最大 64 のポリサーをサポートできます。ここでも、インターフェイスは物理インターフェイスまたは論理インターフェイス(DLCI など)である場合があります。
BA 分類では、その他のトラフィック(BA 分類 DSCP/EXP ビットと一致 しない トラフィック)は、非 EF トラフィックとしてポリサーされます。このトラフィックには、個別のポリサーはインストールされません。
階層型ポリサーの概要
階層型ポリシングでは、2 つのトークン バケット(1 つは集約(EF)トラフィック、もう 1 つはプレミアム(EF)トラフィックに使用されます。EF と EF 以外のトラフィックは、サービス クラス構成によって決まります。論理的には、階層型ポリシングは、2つのポリサーを連鎖させることによって達成されます。

の例 図 1では、EF トラフィックは Premium Policer によってポリサーされ、非 EF トラフィックはアグリゲート ポリサーによってポリサーされます。つまり、EF トラフィックの場合、アウトオブスペック アクションは Premium Policer 用に設定されたアクションになりますが、仕様内の EF トラフィックは引き続きアグリゲート ポリサーからトークンを消費します。
ただし、EF トラフィックはアグリゲート ポリサーの仕様外のアクションに送信されることはありません。また、プレミアム ポリサーのアウトオブスペック アクションが [破棄] に設定されていない場合、それらのアウトオブスペック パケットはアグリゲート ポリサーからのトークンを消費しません。アグリゲート ポリサーは非 EF トラフィックのみをポリサーします。ご覧のように、すべてのトークンが EF 以外のトラフィックによって消費され、EF トラフィックのバーストが発生した場合、アグリゲート ポリサー トークン バケットは負の値になります。しかし、それは非常に短い時間であり、一定期間にわたって平均化されます。例えば、
プレミアム ポリサー: 帯域幅 2 Mbps、OOS アクション: 破棄
アグリゲート ポリサー: 帯域幅 10 Mbps、OOS アクション: 破棄
上記の場合、EF トラフィックは 2 Mbps が保証され、EF 以外のトラフィックは EF トラフィックの入力レートに応じて 8 Mbps から 10 Mbps になります。
階層型ポリシングの特性
階層型トークン バケット機能には次のものが含まれます。
イングレス トラフィックは、ポリサーを適用する前に、最初に EF および EF 以外のトラフィックに分類されます。
分類は、Q ツリー ルックアップによって実行されます。
チャネル番号は、共有トークン バケット ポリサーを選択します。
デュアル トークン バケット ポリサーは、2 つの単一バケット ポリサーに分割されます。
ポリサー1 — EF トラフィック
ポリサー2 — EF 以外のトラフィック
共有トークン バケットは、トラフィックのポリサーに次のように使用されます。
ポリサー1が EF レートに設定されている(2 Mbps など)
ポリサー2は、アグリゲート インターフェイス ポリシング レート(10 Mbps など)に設定されています。
EF トラフィックがポリサー1に適用されます。
トラフィックが仕様内の場合、ポリサー1とPolicyr2の両方から通過およびデクリメントが許可されます。
トラフィックが仕様外の場合は、破棄するか、新しいFCまたは損失の優先度でマークすることができます。ポリサー2は、仕様外のEFトラフィックでは何もしません。
非 EF トラフィックは Policer2 にのみ適用されます。
トラフィックが仕様に合った場合、通過してポリサー2を減らすことができます。
トラフィックが仕様外である場合、トラフィックは破棄されるか、新しいFCでマークされるか、新しいドロップ優先度で設定されます。
ポート速度をレイヤー 2 で望ましいレートにレート制限
EF トラフィックのレート制限
EF 以外のトラフィックのレート制限
ポリシングドロップ数(カラー当たり)
関連項目
階層ポリサーの設定
階層ポリサーを設定するには、ステートメントを policing-priority
適切な転送クラスに適用し、集約レベルとプレミアム レベルの階層型ポリサーを設定します。サービス クラスの詳細については、「 ルーティング デバイスの Junos OS サービス クラス ユーザー ガイド」を参照してください。
階層型ポリサーは、IQE PIC上でホストされているSONET物理インターフェイスでのみ設定できます。サポートされるのは、集約レベルとプレミアム レベルのみです。
階層ポリサーの転送クラスの CoS 設定
[edit class-of-service forwarding-classes] class fc1 queue-num 0 priority high policing-priority premium; class fc2 queue-num 1 priority low policing-priority normal; class fc3 queue-num 2 priority low policing-priority normal; class fc4 queue-num 3 priority low policing-priority normal;
サービス クラスの設定とステートメントの詳細については、 ルーティング デバイスの Junos OS サービス クラス ユーザー ガイドを参照してください。
階層ポリサーのファイアウォール構成
[edit firewall hierarchical-policer foo] aggregate { if-exceeding { bandwidth-limit 70m; burst-size-limit 1500; } then { discard; } premium { if-exceeding { bandwidth-limit 50m; burst-size-limit 1500; } then { discard; } }
階層ポリサーは、次のように適用できます。
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-hierarchical-policer foo;
物理ポート レベルでポリサーを適用するオプションも次のとおりです。
[edit interfaces so-0/1/0 layer2-policer] input-hierarchical-policer foo;
単一レート 2 カラー ポリサーの設定
シングルレート 2 カラー ポリサーは、次のように設定できます。
[edit firewall policer foo] if-exceeding { bandwidth-limit 50m; burst-size-limit 1500; } then { discard; }
ポリサーは次のように適用できます。
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-policer foo;
物理ポート レベルでポリサーを適用するオプションも次のとおりです。
[edit interfaces so-0/1/0 layer2-policer] input-policer foo;
単一レート カラー ブラインド ポリサーの設定
このセクションでは、シングルレートカラーブラインドおよびカラー認識ポリサーについて説明します。
シングルレート カラー ブラインド ポリサーは、次のように設定できます。
[edit firewall three-color-policer foo] single-rate { color-blind; committed-information-rate 50m; committed-burst-size 1500; excess-burst-size 1500; }
シングルレート カラー ブラインド ポリサーは、次のように適用できます。
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
単一レートのカラー認識ポリサーは、次のように設定できます。
[edit firewall three-color-policer bar] single-rate { color-aware; committed-information-rate 50m; committed-burst-size 1500; excess-burst-size 1500; }
単一レートのカラー認識ポリサーは、次のように適用できます。
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
物理ポート レベルでポリサーを適用するオプションも次のとおりです。
[edit interfaces so-0/1/0 layer2-policer] input-three-color bar;
2 レート三色マーカー ポリサーの設定
イングレス ポリシングは、2 レートの 3 色マーカー(trTCM)を使用して実装されます。これは、2つのレート、コミット、およびピークを維持するデュアルトークンバケット(DTB)で行われます。エグレス静的ポリシングでは、トークン バケットも使用されます。
トークン バケットは、次のイングレス ポリシング機能を実行します。
(1K)trTCM - デュアルトークンバケット(赤、黄色、緑のマーキング)
ポリシングは、レイヤー 2 パケット サイズに基づいています。
+/-バイト調整後オフセット
マーキングは色認識と色盲です:
色認識には、次に基づいてqツリールックアップによって色を設定する必要があります。
ToS
EXP
プログラム可能なマーキング アクション:
色(赤、黄、緑)
色と輻輳プロファイルに基づいてドロップ
ポリサーは、到着するチャネル番号に基づいて選択されます。
チャネル番号LUTがポリサーインデックスとキューインデックスを生成
複数のチャネルで同じポリサーを共有できます(LUTは同じポリサーインデックスを生成します)
以下のレベルでイングレスポリシングとtrTCMをサポートします。
キュー
論理インターフェイス(ifl/DLCI)
物理インターフェイス(ifd)
物理ポート(コントローラ ifd)
論理インターフェイス、物理インターフェイス、ポートの任意の組み合わせ
インターフェイス速度とビット/秒の割合をサポート
レート制限は、イングレスおよびエグレスの事前定義されたキューで、選択したキューに適用される場合があります。トークンバケットは、カラー認識モードとカラーブラインドモード(RFC 2698で指定)で動作します。
カラーブラインド trTCM の設定
[edit firewall three-color-policer foo] two-rate { color-blind; committed-information-rate 50m; committed-burst-size 1500; peak-information-rate 100m; peak-burst-size 3k; }
3 色の 2 レートカラー ブラインド ポリサーは、次のように適用できます。
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
物理ポート レベルでポリサーを適用するオプションも次のとおりです。
[edit interfaces so-0/1/0 layer2-policer] input-three-color foo;
カラー認識型 trTCM の設定
[edit firewall three-color-policer bar] two-rate { color-aware; committed-information-rate 50m; committed-burst-size 1500; peak-information-rate 100m; peak-burst-size 3k; }
次のように、3 色の 2 レートカラー認識ポリサーを適用できます。
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color bar;
物理ポート レベルでポリサーを適用するオプションも次のとおりです。
[edit interfaces so-0/1/0 layer2-policer] input-three-color bar;