レイヤー 2 の 2 色および 3 色ポリサー
レイヤー 2 での 2 色ポリシングの概要
- レイヤー 2 トラフィックの 2 色ポリシングの設定ガイドライン
- レイヤー2トラフィックの2カラーポリサーを設定するためのステートメント階層
- レイヤー2トラフィックに2カラーポリサーを適用するためのステートメント階層
レイヤー 2 トラフィックの 2 色ポリシングの設定ガイドライン
次のガイドラインは、レイヤ 2 トラフィックの 2 色ポリシングに適用されます。
ギガビット イーサネット インターフェイス(
ge-)または 10 ギガビット イーサネット インターフェイス(xe-)でのみホストされる論理インターフェイスのイングレスまたはエグレス レイヤー 2 トラフィックに 2 色ポリサーを適用できます。単一の論理インターフェイスで、両方向のレイヤー 2 ポリシングをサポートします。
論理インターフェイス ポリサーとしてのみレイヤー 2 トラフィックに 2 色ポリサーを適用できます。ステートレス ファイアウォール フィルター アクションとしてレイヤー 2 トラフィックに 2 色ポリサーを適用することはできません。
2 色ポリサーをレイヤー 2 トラフィックに適用するには、プロトコル レベルではなく、論理ユニット レベルのインターフェイス設定でポリサーを参照します。
レイヤー 2トラフィックの3色ポリシングの設定については、 レイヤ 2 での 3 カラー ポリシングの概要を参照してください。
レイヤー2トラフィックの2カラーポリサーを設定するためのステートメント階層
シングルレート 2 カラー ポリサーでレイヤー 2 トラフィックのレート制限を有効にするには、policer 設定に logical-interface-policer ステートメントを含めます。
firewall {
policer policer-name {
logical-interface-policer;
if-exceeding {
(bandwidth-limit bps | bandwidth-percent percentage);
burst-size-limit bytes;
}
then {
discard;
forwarding-class class-name;
loss-priority (high | low | medium-high | medium-low);
}
}
}
以下の階層レベルで構成を含めることができます。
[edit][edit logical-systems logical-system-name]
レイヤー2トラフィックに2カラーポリサーを適用するためのステートメント階層
レイヤー 2 トラフィックに論理インターフェイス ポリサーを適用するには、サポートされている論理インターフェイスに layer2-policer input-policer policer-name ステートメントまたは layer2-policer output-policer policer-name ステートメントを含めます。input-policer または output-policer ステートメントを使用して、レイヤー 2 で 2 色ポリサーを適用します。
interfaces {
(ge-fpc/pic/port | xe-fpc/pic/port) {
unit unit-number {
layer2-policer {
input-policer policer-name;
output-policer policer-name;
}
}
}
}
以下の階層レベルで構成を含めることができます。
[edit][edit logical-systems logical-system-name]
関連項目
レイヤ 2 での 3 カラー ポリシングの概要
- レイヤー 2 トラフィックの 3 色ポリシングの設定に関するガイドライン
- レイヤー2トラフィックの3カラーポリサーを設定するためのステートメント階層
- レイヤー2トラフィックに3カラーポリサーを適用するためのステートメント階層
レイヤー 2 トラフィックの 3 色ポリシングの設定に関するガイドライン
次のガイドラインは、レイヤ 2 トラフィックの 3 色ポリシングに適用されます。
ギガビット イーサネット インターフェイス(
ge-)または 10 ギガビット イーサネット インターフェイス(xe-)でのみホストされる論理インターフェイスのレイヤー 2 トラフィックに 3 色ポリサーを適用できます。単一の論理インターフェイスで、両方向のレイヤー 2 ポリシングをサポートします。
論理インターフェイス ポリサーとしてのみレイヤー 2 トラフィックに 3 色ポリサーを適用できます。ステートレス ファイアウォール フィルター アクションとしてレイヤー 2 トラフィックに 2 色ポリサーを適用することはできません。
3 カラー ポリサーをレイヤー 2 トラフィックに適用するには、プロトコル レベルではなく、論理ユニット レベルのインターフェイス設定でポリサーを参照します。
カラー対応の3カラーポリサーは、エグレス方向のレイヤー2トラフィックにのみ適用できますが、色覚異常の3カラーポリサーはどちらの方向のレイヤー2トラフィックにも適用できます。
レイヤー 2 トラフィックの 2 色ポリシングの設定については、次 レイヤー 2 での 2 色ポリシングの概要を参照してください。
レイヤー2トラフィックの3カラーポリサーを設定するためのステートメント階層
シングルレートまたはツーレートのスリーカラーポリサーでレイヤー 2トラフィックのレート制限を有効にするには、three-color-policer設定に logical-interface-policer ステートメントを含めます。
firewall {
three-color-policer policer-name {
action {
loss-priority high then discard;
}
logical-interface-policer;
single-rate {
(color-aware | color-blind);
committed-burst-size bytes;
committed-information-rate bps;
excess-burst-size bytes;
}
two-rate {
(color-aware | color-blind);
committed-burst-size bytes;
committed-information-rate bps;
peak-burst-size bytes;
peak-information-rate bps;
}
}
}
以下の階層レベルで構成を含めることができます。
[edit][edit logical-systems logical-system-name]
レイヤー2トラフィックに3カラーポリサーを適用するためのステートメント階層
レイヤー 2 トラフィックに論理インターフェイス ポリサーを適用するには、論理ユニット レベルで、サポートされている論理インターフェイスの layer2-policer ステートメントを含めます。input-three-color policer-name ステートメントまたは output-three-color policer-name ステートメントを使用して、ポリシングするトラフィックの方向を指定します。
interfaces {
(ge-fpc/pic/port | xe-fpc/pic/port) {
unit unit-number {
layer2-policer {
input-three-color policer-name;
output-three-color policer-name;
}
}
}
}
以下の階層レベルで構成を含めることができます。
[edit][edit logical-systems logical-system-name]
関連項目
例:3 色論理インターフェイス(集約)ポリサーの設定
この例では、ツー レート スリー カラー カラー ポリサーを論理インターフェイス(集約)ポリサーとして設定し、サポートされている論理インターフェイスのレイヤー 2 入力トラフィックにポリサーを直接適用する方法を示します。
要件
開始する前に、3 色論理インターフェイス ポリサーを適用する論理インターフェイスが、MX シリーズ ルーターのギガビット イーサネット インターフェイス(ge-)または 10 ギガビット イーサネット インターフェイス(xe-)でホストされていることを確認します。
概要
ツー レート スリー カラー ポリサーは、保証されたトラフィックの帯域幅制限とバースト サイズ制限に加えて、ピーク トラフィックの帯域幅とバースト サイズ制限の 2 番目のセットに対してトラフィック フローを測定します。保証トラフィックの制限に適合するトラフィックは緑に分類され、不適合トラフィックは 2 つのカテゴリのいずれかに分類されます。
ピークトラフィックの帯域幅とバーストサイズの制限を超えない不適合トラフィックは、黄色に分類されます。
ピークトラフィックの帯域幅とバーストサイズの制限を超える不適合トラフィックは、赤に分類されます。
論理インターフェイス ポリサーは、ポリサーの複数のインスタンスを作成しなくても、同じ論理インターフェイス上の複数のプロトコル ファミリーに適用できるトラフィック レート制限ルールを定義します。
論理インターフェイス ポリサーは、ステートレス ファイアウォール フィルターでポリサーを参照し、プロトコル ファミリー レベルで論理インターフェイスにフィルターを適用するのではなく、論理ユニット レベルで論理インターフェイスに直接適用します。
トポロジー
この例では、 trTCM2-cb ツー レート スリー カラー ポリサーを色覚異常論理インターフェイス ポリサーとして設定し、論理インターフェイス ge-1/3/1.0 の着信レイヤー 2 トラフィックにポリサーを適用します。
3 色ポリサーを使用してレイヤー 2 トラフィックのレート制限を行う場合、カラー認識ポリシングはエグレス トラフィックにのみ適用できます。
ポリサーは、(token-bucket 式に基づく) トラフィック バーストの 100 KB 許容量を持つ 40 Mbps の帯域幅制限に準拠するトラフィックが緑色に分類されるように、保証されたトラフィック レート制限を定義します。ポリシングされた他のトラフィックと同様に、グリーン フローのパケットは暗黙的に low 損失優先度に設定されてから送信されます。
60 Mbps の帯域幅制限と 200 KB のトラフィック バースト許容量 (token-bucket 式に基づく) のピーク トラフィック制限内に収まる不適合トラフィックは、黄色として分類されます。黄色のトラフィックフローのパケットは、暗黙的に medium-high 損失優先度に設定されてから送信されます。
ピークトラフィック制限を超える不適合トラフィックは赤として分類されます。赤色のトラフィックフローのパケットは、暗黙的に high 損失優先度に設定されます。この例では、red トラフィック(loss-priority high then discard)に対するオプションのポリサー アクションが設定されているため、red トラフィック フローのパケットは送信されずに破棄されます。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
この例を設定するには、以下のタスクを実行します。
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。
set interfaces ge-1/3/1 vlan-tagging set interfaces ge-1/3/1 unit 0 vlan-id 100 set interfaces ge-1/3/1 unit 0 family inet address 10.10.10.1/30 set interfaces ge-1/3/1 unit 1 vlan-id 101 set interfaces ge-1/3/1 unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44 set firewall three-color-policer trTCM2-cb logical-interface-policer set firewall three-color-policer trTCM2-cb two-rate color-blind set firewall three-color-policer trTCM2-cb two-rate committed-information-rate 40m set firewall three-color-policer trTCM2-cb two-rate committed-burst-size 100k set firewall three-color-policer trTCM2-cb two-rate peak-information-rate 60m set firewall three-color-policer trTCM2-cb two-rate peak-burst-size 200k set firewall three-color-policer trTCM2-cb action loss-priority high then discard set interfaces ge-1/3/1 unit 0 layer2-policer input-three-color trTCM2-cb
論理インターフェイスの設定
ステップバイステップでの手順
論理インターフェイスを設定するには:
インターフェイスの設定を有効にします。
[edit] user@host# edit interfaces ge-1/3/1
単一のタグ付けを設定します。
[edit interfaces ge-1/3/1] user@host# set vlan-tagging
論理インターフェイス
ge-1/3/1.0を設定します。[edit interfaces ge-1/3/1] user@host# set unit 0 vlan-id 100 user@host# set unit 0 family inet address 10.10.10.1/30
論理インターフェイス
ge-1/3/1.0を設定します。[edit interfaces ge-1/3/1] user@host# set unit 1 vlan-id 101 user@host# set unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44
結果
show interfaces 設定モード コマンドを入力して、論理インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
2 レート スリー カラー ポリサーの論理インターフェイス ポリサーとしての設定
ステップバイステップでの手順
ツー レート スリー カラー ポリサーを論理インターフェイス ポリサーとして設定するには:
3 カラー ポリサーの設定を有効にします。
[edit] user@host# edit firewall three-color-policer trTCM2-cb
ポリサーが論理インターフェイス(集約)ポリサーであることを指定します。
[edit firewall three-color-policer trTCM2-cb] user@host# set logical-interface-policer
論理インターフェイス ポリサーは、ポリサーが適用される論理インターフェイスの基礎となる物理インターフェイスのメディア レートの割合に基づいてトラフィックをレート制限し、ポリサーはファイアウォール フィルターによって参照されるのではなく、インターフェイスに直接適用されます。
ポリサーがツー レートで色覚異常であることを指定します。
[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate color-blind
カラー対応 3 カラー ポリサーは、以前のネットワーク ノードで設定された別のトラフィック ポリサーによってパケットに設定された可能性のあるカラーリング マーキングを考慮し、既存のカラー マーキングを使用してパケットの適切なポリシング アクションを決定します。
この 3 色ポリサーをレイヤー 2 の入力に適用するため、ポリサーを色覚異常に設定する必要があります。
グリーントラフィックフローの分類に使用するポリサートラフィック制限を指定します。
[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate committed-information-rate 40m user@host# set two-rate committed-burst-size 100k
黄色または赤色のトラフィックフローを分類するために使用する追加のポリサートラフィック制限を指定します。
[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate peak-information-rate 60m user@host# set two-rate peak-burst-size 200k
(オプション)赤色のトラフィックフロー内のパケットに設定されたポリサーアクションを指定します。
[edit firewall three-color-policer trTCM2-cb] user@host# set action loss-priority high then discard
カラー認識モードでは、3 色ポリサーに設定されたアクションにより、パケットの PLP(パケット損失優先度)レベルを上げることができますが、下げることはありません。たとえば、カラー対応の 3 カラー ポリサーが、中程度の PLP マーキングを持つパケットを計測する場合、PLP レベルを高に上げることはできますが、PLP レベルを低くすることはできません。
結果
show firewall 設定モード コマンドを入力して、3 色ポリサーの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show firewall
three-color-policer trTCM2-cb {
logical-interface-policer;
action {
loss-priority high then discard;
}
two-rate {
color-blind;
committed-information-rate 40m;
committed-burst-size 100k;
peak-information-rate 60m;
peak-burst-size 200k;
}
}
論理インターフェイスのレイヤー2入力への3カラーポリサーの適用
ステップバイステップでの手順
論理インターフェイスのレイヤー2入力に3カラーポリサーを適用するには:
レイヤー 2 論理インターフェイス ポリサーの適用を有効にします。
[edit] user@host# edit interfaces ge-1/3/1 unit 0
3 色の論理インターフェイス ポリサーを論理インターフェイス入力に適用します。
[edit interfaces ge-1/3/1 unit 0] user@host# set layer2-policerinput-three-color trTCM2-cb
結果
show interfaces 設定モード コマンドを入力して、論理インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
layer2-policer {
input-three-color trTCM2-cb;
}
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
論理インターフェイスのトラフィック統計とポリサーの表示
目的
論理インターフェイスを通過するトラフィック フローと、論理インターフェイスでパケットを受信したときにポリサーが評価されることを確認します。
アクション
論理インターフェイスge-1/3/1.0には show interfaces operational mode コマンドを使用し、detail または extensive オプションを含めます。Traffic statistics の コマンド出力セクションには、論理インターフェイス上で送受信されたバイト数とパケット数が一覧表示され、Protocol inet セクションには、次のように入力または出力ポリサーとしてポリサーtrTCM2-cbを一覧表示するPolicerフィールドが含まれています。
Input: trTCM2-cb-ge-1/3/1.0-log_int-i
Output: trTCM2-cb-ge-1/3/1.0-log_int-o
log_int-i サフィックスは入力トラフィックに適用される論理インターフェイス ポリサーを示し、log_int-o サフィックスは出力トラフィックに適用される論理インターフェイス ポリサーを示します。この例では、論理インターフェイス ポリサーは入力方向にのみ適用されます。
ポリサーの統計情報の表示
目的
ポリサーによって評価されたパケットの数を確認します。
アクション
show policer 動作モード コマンドを使用し、オプションでポリサーの名前を指定します。コマンドの出力は、設定された各ポリサー(または指定されたポリサー)が各方向に評価したパケットの数を表示します。ポリサー trTCM2-cbの場合、入出力ポリサー名は次のように表示されます。
trTCM2-cb-ge-1/3/1.0-log_int-i
trTCM2-cb-e-1/3/1.0-log_int-o
log_int-i サフィックスは入力トラフィックに適用される論理インターフェイス ポリサーを示し、log_int-o サフィックスは出力トラフィックに適用される論理インターフェイス ポリサーを示します。この例では、論理インターフェイス ポリサーは入力トラフィックにのみ適用されます。