ポリサーの適用
ポリサーの適用の概要
ポリサーを使用すると、ファイアウォール フィルターを設定せずに、特定のインターフェイスやレイヤー 2 仮想プライベート ネットワーク(VPN)でシンプルなトラフィック ポリシングを実行できます。ポリサーを適用するには、 ステートメントを policer 含めます。
policer { arp policer-template-name; input policer-template-name; output policer-template-name; }
これらのステートメントは、以下の階層レベルに含めることができます。
[edit interfaces interface-name unit logical-unit-number family family][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
familyステートメントでは、プロトコルファミリーは ccc、 、 inetinet6、 mpls、tccまたは vplsです。
arpステートメントでは、インターフェイスでARP(アドレス解決プロトコル)パケットを受信したときに評価される1つのポリサーテンプレートの名前をリストします。デフォルトでは、 ステートメントを設定したすべてのイーサネットインターフェイスで共有されるARPポリサーが family inet インストールされています。ARPパケットの厳格なポリシー設定が必要な場合は、インターフェイス固有のポリサーを設定してインターフェイスに適用できます。階層レベルで他のポリサーを設定するのと同じように、ARPポリサーを [edit firewall policer] 設定します。このポリサーをインターフェイスに適用すると、デフォルトのARPパケットポリサーが上書きされます。このポリサーを削除すると、デフォルト のポリサーが再度有効になります。
インターフェイス上の各プロトコルファミリーに異なるポリサーを設定し、各ファミリーに対して1つの入力ポリサーと1つの出力ポリサーを設定することができます。ポリサーを適用する場合、ファミリー
cccinet、mplstccinetinet6またはvplsのみ、ファミリープロトコルに対して1つのARPポリサーのみを設定できます。ポリサーが参照されるたびに、そのインターフェイスのパケット転送コンポーネントにポリサーの個別のコピーがインストールされます。ポリサーとファイアウォール フィルターの両方をインターフェイスに適用すると、入力ファイアウォール フィルターの前に入力ポリサーが評価され、出力ポリサーが出力ファイアウォール フィルターの後に評価されます。
inputステートメントでは、インターフェイスでパケットが受信されたときに評価される1つのポリサーテンプレートの名前をリストします。outputステートメントでは、パケットがインターフェイス上で送信される際に評価される1つのポリサーテンプレートの名前をリストします。複数のFPCにまたがる集合型イーサネット(AE)インターフェイスを介してMXシリーズルーターで終端する加入者の場合、ポリサーで設定された制限はAEバンドル内の各インターフェイスに個別に適用されるため、加入者レート全体が設定されたレートを超える可能性があります。したがって、例えば、3メンバーのAEインターフェイス上のポリサーで を適用
bandwidth-limit600mする場合、 は、AE内の3つのインターフェイス(つまり、インターフェイスあたり200 Mbps、合計600 Mbps)を考慮するために、 のポリサー200mを設定bandwidth-limitする必要があります。ポリサーをインターフェイス
lo0に適用すると、ルーティング エンジンによって受信または送信されたパケットに適用されます。T Series、M120、およびM320プラットフォームでは、インターフェイスが同じFPC上にある場合、フィルターまたはポリサーはインターフェイスを出入りするトラフィックの合計に対して動作しません。
アグリゲート ポリサーの適用
アグリゲート ポリサーの適用
デフォルトでは、同じ論理インターフェイス上の複数のプロトコルファミリーにポリサーを適用すると、ポリサーは各プロトコルファミリーのトラフィックを個別に制限します。たとえば、IPv4 と IPv6 の両方のトラフィックに 50 Mbps の帯域幅制限を適用するポリサーでは、インターフェイスが 50 Mbps の IPv4 トラフィックと 50 Mbps の IPv6 トラフィックを受け入れることが可能になります。アグリゲート ポリサーを適用すると、ポリサーはインターフェイスに 50 Mbps の IPv4 と IPv6 のトラフィックの組み合わせのみを受信することを許可します。
アグリゲート ポリサーを設定するには、 階層レベルで ステートメントを[edit firewall policer policer-template-name]含めますlogical-interface-policer。
[edit firewall policer policer-template-name] logical-interface-policer;
ポリサーを集約として扱うには、 ステートメントを含めることで、単一の論理インターフェイス上の複数のプロトコルファミリーに適用する policer 必要があります。
policer { arp policer-template-name; input policer-template-name; output policer-template-name; }
これらのステートメントは、以下の階層レベルに含めることができます。
[edit interfaces interface-name unit logical-unit-number family family][edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]
familyステートメントでは、プロトコルファミリーは ccc、 、 inetinet6、 mpls、tccまたは vplsです。
ポリサーを適用しないプロトコルファミリーは、ポリサーの影響を受けません。例えば、MPLS、IPv4、および IPv6 トラフィックを受け入れる単一の論理インターフェイスを設定し、IPv4 および IPv6 プロトコル ファミリーのみに論理インターフェイス ポリサー policer1 を適用する場合、MPLS トラフィックは の policer1制約の対象にはなりません。
異なる論理インターフェイスに適用 policer1 する場合、ポリサーのインスタンスは2つあります。つまり、Junos OSは、同じ物理インターフェイスポート上の複数の論理インターフェイスに同じ論理インターフェイスが適用されている場合でも、集約としてではなく、個別の論理インターフェイス上のトラフィックを個別にポリサーします。
例:アグリゲート ポリサーの適用
2つの論理インターフェイスポリサーを設定します。aggregate_police1 と aggregate_police2. 論理インターフェイスで受信したIPv4およびIPv6トラフィックに適用 aggregate_police1 します fe-0/0/0.0。論理インターフェイス fe-0/0/0.0 で受信した CCC および MPLS トラフィックに適用 aggregate_police2 します。この設定により、ソフトウェアは のインスタンスを 1 つだけ作成し、 の aggregate_police1 インスタンス aggregate_police2を 1 つだけ作成します。
別の論理インターフェイスで受信したIPv4およびIPv6トラフィックに適用 aggregate_police1 します fe-0/0/0.1。この設定により、ソフトウェアはユニット0に適用されるインスタンスとユニット1に適用されるインスタンスの新しいインスタンス aggregate_police1を作成します。
[edit firewall]
policer aggregate_police1 {
logical-interface-policer;
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 500k;
}
then {
discard;
}
}
policer aggregate_police2 {
logical-interface-policer;
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 200k;
}
then {
discard;
}
}
[edit interfaces fe-0/0/0]
unit 0 {
family inet {
policer {
input aggregate_police1;
}
}
family inet6 {
policer {
input aggregate_police1;
}
}
family ccc {
policer {
input aggregate_police2;
}
}
family mpls {
policer {
input aggregate_police2;
}
}
}
unit 1 {
family inet {
policer {
input aggregate_police1;
}
}
family inet6 {
policer {
input aggregate_police1;
}
}
}
拡張インテリジェント キューイング PIC への階層型ポリサーの適用
拡張インテリジェント キューイング PIC への階層型ポリサーの適用
M40e、M120、M320エッジルーター、および拡張インテリジェントキューイング(IQE)PICを搭載したTシリーズコアルーターは、イングレス方向の階層型ポリサーをサポートし、プレミアムおよびアグリゲート(プレミアムプラスノーマル)のトラフィックレベルに階層型ポリサーを適用できます。階層型ポリサーは、設定された物理インターフェイスとパケット転送エンジンの間で機能を横断します。
開始する前に、階層型ポリサーにはいくつかの一般的な制限が適用されます。
論理インターフェイスまたは物理インターフェイスに設定できるポリサーのタイプは 1 つだけです。例えば、同じ論理インターフェイスに対して同じ方向の階層型ポリサーと通常のポリサーは許可されません。
ポリサーのチェイニング(つまり、そのポートのポートと論理インターフェイスの両方にポリサーを適用)は許可されません。
BA 分類がない場合、DLCI ごとに単一のポリサーを提供する場合、インターフェイスあたり 64 ポリサーの制限があります。
物理または論理インターフェイスに適用できるポリサーは 1 種類のみです。
ポリサーは BA 分類から独立している必要があります。BA 分類がない場合、インターフェイス上のすべてのトラフィックは、設定に基づいて EF または非 EF として扱われます。BA 分類では、インターフェイスで最大 64 のポリサーをサポートできます。繰り返しになりますが、ここでのインターフェイスは、物理インターフェイスまたは論理インターフェイス(DLCIなど)である可能性があります。
BA 分類では、各種トラフィック(BA 分類 DSCP/EXP ビットのいずれかと一致 しない トラフィック)は、非 EF トラフィックとしてポリサーされます。このトラフィックに個別のポリサーはインストールされません。
階層型ポリサーの概要
階層型ポリシーでは、2 つのトークン バケット(1 つは集約(EF)トラフィック、もう 1 つはプレミアム(EF)トラフィックに使用します。どのトラフィックが EF で、どのトラフィックが EF 以外かは、サービス クラス設定によって決定されます。論理的には、階層型ポリシングは、2 つのポリサーをチェイニングすることで達成されます。
の例 図 1では、EFトラフィックはPremiumポリサーによってポリサーされ、非EFトラフィックはアグリゲートポリサーによってポリサーされます。つまり、EF トラフィックの場合、仕様外アクションは Premium Policer 用に設定されたアクションになりますが、仕様内の EF トラフィックは引き続きアグリゲート ポリサーからのトークンを消費します。
しかし、EF トラフィックはアグリゲート ポリサーの仕様外アクションに送信されることはありません。また、Premium Policerの仕様外アクションが[Discard]に設定されていない場合、それらの仕様外パケットはアグリゲートポリサーからのトークンを消費しません。アグリゲート ポリサーは、非 EF トラフィックのみをポリサーします。ご覧のように、すべてのトークンが EF 以外のトラフィックによって消費され、EF トラフィックのバーストが発生した場合、アグリゲート ポリサー トークン バケットは負の値になることができます。しかし、それは非常に短時間で、一定の期間にわたって平均して出力されます。次がその例です。
Premium Policer: 帯域幅 2 Mbps、OOS アクション: 破棄
アグリゲート ポリサー: 帯域幅 10 Mbps、OOS アクション: 破棄
上記の場合、EF トラフィックは 2 Mbps が保証されており、EF トラフィックの入力レートに応じて、EF 以外のトラフィックは 8 Mbps から 10 Mbps に変わります。
階層型ポリシングの特徴
階層型トークン バケット機能には、以下が含まれます。
イングレス トラフィックは、ポリサーを適用する前に、最初に EF と EF 以外のトラフィックに分類されます。
分類は、Q ツリー ルックアップによって実行されます。
チャネル番号は、共有トークン バケット ポリサーを選択します。
デュアル トークン バケット ポリサーは、2 つの単一バケット ポリサーに分割されます。
ポリサー1 — EF トラフィック
ポリサー2 — 非 EF トラフィック
共有トークンバケットは、以下のようにトラフィックのポリシーを設定するために使用されます。
ポリサー1 が EF レート(2 Mbps など)に設定されている
ポリサー2は、インターフェイスの集約ポリシングレート(例えば、10 Mbps)に設定されています。
EF トラフィックがポリサー1に適用されます。
トラフィックが仕様内の場合、ポリサー1とポリサー2の両方からトラフィックの通過とデクリメントが許可されます。
トラフィックが仕様外の場合、破棄したり、新しいFCまたは損失の優先度でマークすることができます。ポリサー2は、仕様外のEFトラフィックでは何もしません。
非 EF トラフィックは、Policer2 にのみ適用されます。
トラフィックが仕様内の場合、ポリサー2を通過してデクリメントすることが許可されます。
トラフィックが仕様外の場合、破棄されるか、新しいFCでマークされるか、新しいドロップ優先度で設定されます。
ポート速度をレイヤー 2 で望ましいレートに制限します。
EF トラフィックのレート制限
非 EF トラフィックのレート制限
ポリシングのドロップ数(カラー単位)
関連項目
階層ポリサーの設定
階層型ポリサーを設定するには、ステートメントを policing-priority 適切な転送クラスに適用し、集合型およびプレミアムレベルに階層型ポリサーを設定します。サービスクラスの詳細については、 ルーティングデバイス向けJunos OSサービスクラスユーザーガイドを参照してください。
階層型ポリサーは、IQE PIC でホストされている SONET 物理インターフェイスでのみ設定できます。集約レベルとプレミアム レベルのみがサポートされます。
階層型ポリサー向け転送クラスの CoS 設定
[edit class-of-service forwarding-classes] class fc1 queue-num 0 priority high policing-priority premium; class fc2 queue-num 1 priority low policing-priority normal; class fc3 queue-num 2 priority low policing-priority normal; class fc4 queue-num 3 priority low policing-priority normal;
サービスクラスの設定とステートメントの詳細については、 ルーティングデバイス用Junos OSサービスクラスユーザーガイドを参照してください。
階層型ポリサーのファイアウォール設定
[edit firewall hierarchical-policer foo]
aggregate {
if-exceeding {
bandwidth-limit 70m;
burst-size-limit 1500;
}
then {
discard;
}
premium {
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 1500;
}
then {
discard;
}
}
階層ポリサーは、以下のように適用できます。
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-hierarchical-policer foo;
次のように、物理ポートレベルでポリサーを適用するオプションもあります。
[edit interfaces so-0/1/0 layer2-policer] input-hierarchical-policer foo;
シングルレート 2 カラー ポリサーの設定
単一レートの 2 カラー ポリサーは、次のように設定できます。
[edit firewall policer foo]
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 1500;
}
then {
discard;
}
ポリサーは次のように適用できます。
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-policer foo;
次のように、物理ポートレベルでポリサーを適用するオプションもあります。
[edit interfaces so-0/1/0 layer2-policer] input-policer foo;
シングルレートカラーブラインドポリサーの設定
このセクションでは、シングルレートカラーブラインドとカラーアウェアポリサーについて説明します。
シングルレートカラーブラインドポリサーは、以下のように設定できます。
[edit firewall three-color-policer foo]
single-rate {
color-blind;
committed-information-rate 50m;
committed-burst-size 1500;
excess-burst-size 1500;
}
シングルレートカラーブラインドポリサーは、以下のように適用できます。
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
単一レートのカラーアウェア ポリサーは、次のように設定できます。
[edit firewall three-color-policer bar]
single-rate {
color-aware;
committed-information-rate 50m;
committed-burst-size 1500;
excess-burst-size 1500;
}
シングルレートカラーアウェアポリサーは、以下のように適用できます。
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
次のように、物理ポートレベルでポリサーを適用するオプションもあります。
[edit interfaces so-0/1/0 layer2-policer] input-three-color bar;
2 レートトライカラー マーカー ポリサーの設定
イングレス ポリシングは、2 レートの 3 色マーカー(trTCM)を使用して実装されます。これは、2つのレート、コミット、およびピークを維持するデュアルトークンバケット(DTB)で行われます。エグレス静的ポリシングもトークン バケットを使用します。
トークン バケットは、以下のイングレス ポリシング機能を実行します。
(1K)trTCM - デュアルトークンバケット(赤、黄色、緑のマーキング)
ポリシングはレイヤー 2 パケット サイズに基づいています。
+/- バイト調整後のオフセット
●マーキングはカラー認識型とカラーブラインド:
Color aware では、次に基づいて q ツリー ルックアップによってカラーを設定する必要があります。
Tos
Exp
プログラム可能なマーキング アクション:
色(赤、黄色、緑)
色と輻輳プロファイルに基づいてドロップ
ポリサーは、到着したチャネル番号に基づいて選択されます。
チャネル番号 LUT がポリサー インデックスとキュー インデックスを生成
複数のチャネルで同じポリサーを共有可能(LUT が同じポリサー インデックスを生成)
イングレスポリシングとtrTCMを以下のレベルでサポートします。
キュー
論理インターフェイス(ifl/DLCI)
物理インターフェイス(ifd)
物理ポート(コントローラ ifd)
論理インターフェイス、物理インターフェイス、ポートの任意の組み合わせ
インターフェイス速度とビット/秒のサポート率
レート制限は、イングレスとエグレスで事前に定義されたキューの選択されたキューに適用できます。トークンバケットは、カラー認識モードとカラーブラインドモード(RFC 2698で指定)で動作します。
カラーブラインド trTCM の設定
[edit firewall three-color-policer foo]
two-rate {
color-blind;
committed-information-rate 50m;
committed-burst-size 1500;
peak-information-rate 100m;
peak-burst-size 3k;
}
次のように、3 色の 2 レートカラー ブラインド ポリサーを適用できます。
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color foo;
次のように、物理ポートレベルでポリサーを適用するオプションもあります。
[edit interfaces so-0/1/0 layer2-policer] input-three-color foo;
カラーアウェア trTCM の設定
[edit firewall three-color-policer bar]
two-rate {
color-aware;
committed-information-rate 50m;
committed-burst-size 1500;
peak-information-rate 100m;
peak-burst-size 3k;
}
次のように、3 色の 2 レートカラー対応ポリサーを適用できます。
[edit interfaces so-0/1/0 unit 0 layer2-policer] input-three-color bar;
次のように、物理ポートレベルでポリサーを適用するオプションもあります。
[edit interfaces so-0/1/0 layer2-policer] input-three-color bar;