2 色および 3 色の物理インターフェイス ポリサー
物理インターフェイス ポリサーの概要
物理インターフェイス ポリサーは、論理インターフェイスが異なるルーティング インスタンスに属している場合でも、物理インターフェイスに設定されたすべての論理インターフェイスおよびプロトコル ファミリーの入力または出力トラフィックに適用できるトラフィック レート制限を定義する 2 色または 3 色のポリサーです。この機能は、同じ物理インターフェイス上で異なるプロトコルファミリーや異なる論理インターフェイスに対して集約ポリシングを実行する場合に便利です。
例えば、プロバイダエッジ(PE)ルーターに、多数の論理インターフェイスがあり、それぞれが異なる顧客に対応し、カスタマーエッジ(CE)デバイスへの同じリンクで設定されているとします。ここで、顧客が 1 つの物理インターフェイス上の特定のタイプのトラフィックに対して、集約されたレート制限のセットを適用することを希望しているとします。これを実現するには、単一の物理インターフェイス ポリサーを物理インターフェイスに適用し、インターフェイス上に設定されたすべての論理インターフェイスと、それらのインターフェイスが属するすべてのルーティング インスタンスのレート制限を行います。
シングルレート2カラー物理インターフェイスポリサーを設定するには、以下の階層レベルのいずれかに physical-interface-policer ステートメントを含めます。
[edit logical-system logical-system-name firewall policer policer-name][edit routing-instances routing-instance-name firewall policer policer-name][edit logical-systems logical-system-name routing-instances routing-instance-name firewall policer policer-name]
シングルレートまたはツーレートの3カラー物理インターフェイスポリサーを設定するには、次のいずれかの階層レベルで physical-interface-policer ステートメントを含めます。
[edit firewall three-color-policer policer-name][edit logical-system logical-system-name firewall three-color-policer policer-name][edit routing-instances routing-instance-name firewall three-color-policer policer-name][edit logical-systems logical-system-name routing-instances routing-instance-name firewall three-color-policer policer-name]
物理インターフェイス ポリサーをレイヤー 3 トラフィックに適用するには、ステートレス ファイアウォール フィルター の条件からポリサーを参照し、そのフィルターを 論理インターフェイスに適用します。レイヤー3トラフィックへの物理インターフェイスをインターフェイス設定に直接適用することはできません。
ステートレス ファイアウォール フィルターの条件からシングル レート 2 カラー ポリサーを参照するには、 policer 非終了アクションを使用します。ステートレス ファイアウォール フィルターの条件から、シングル レートまたはツー レートの 3 カラー ポリサーを参照するには、 three-color-policer 非終了アクションを使用します。
物理インターフェイス ポリサーを参照するステートレス ファイアウォール フィルターには、次の要件が適用されます。
サポートされている特定のプロトコルファミリーのファイアウォールフィルターを設定する必要があります。
ipv4、ipv6、mpls、vpls、または回線クロスコネクト(ccc)。ただし、family any用ではありません。[edit firewall family family-name filter filter-name]階層レベルでphysical-interface-filterステートメントを含めることで、ファイアウォールフィルターを物理インターフェイスフィルターとして設定する必要があります。物理インターフェイス フィルターとして定義されたファイアウォール フィルターは、物理インターフェイス ポリサーのみを参照できます。
グローバル(非論理)システムで定義されたファイアウォールフィルターは、インターフェイス固有のフィルターインスタンスの論理システムでは使用できません。具体的には、グローバルシステムで登録された physical-interface-filter のテンプレートを、論理システムで作成されたフィルタアタッチメントで使用することはできません。フィルタリングが正しく機能するには、テンプレートと添付ファイルの両方が論理システムに存在する必要があります。これは、論理システムの場合、フィルターインスタンスの名前付けは物理インターフェイスから派生しますが、インターフェイス固有のフィルターインスタンスには同じことが当てはまらないためです。
物理インターフェイスフィルターとして定義されたファイアウォールフィルターは、
interface-specificステートメントで設定されたポリサーを参照できません。ファイアウォールフィルターを、物理インターフェイスフィルターとしても、
interface-specificステートメントも含む論理インターフェイスフィルターとして設定することはできません。
関連項目
例:物理インターフェイスでの集約トラフィック用の物理インターフェイスポリサーの設定
この例では、物理インターフェイス ポリサーとしてシングルレート ツー カラー ポリサーを設定する方法を示します。
要件
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
物理インターフェイス ポリサーは、インターフェイスが異なるルーティング インスタンスに属している場合でも、物理インターフェイスに設定されたすべてのプロトコル ファミリーと論理インターフェイスを含む集約トラフィックのレート制限を指定します。
物理インターフェイス ポリサーをレイヤー 3 の入力または出力トラフィックに適用できるのは、特定のプロトコル ファミリー( family any 用ではない)用に設定され、物理 インターフェイス フィルターとして設定されたステートレス ファイアウォール フィルターからポリサーを参照することによってのみです。レート制限したいパケットのタイプを選択する一致条件でフィルター条件を設定し、一致したパケットに適用するアクションとして物理インターフェイスポリサーを指定します。
物理インターフェイス ポリサー/フィルターは、リスト フィルターではサポートされていません。
トポロジー
この例の物理インターフェイス ポリサー shared-policer-A は、レートを 10,000,000 bps に制限し、500,000 バイトのトラフィックの最大バーストを許可し ます。不適合フローのパケットを破棄するようにポリサーを設定しますが、代わりに、転送クラス、パケット損失の優先度(PLP)レベル、またはその両方で不適合トラフィックを再マーキングするようにポリサーを設定することもできます。
ポリサーを使用して IPv4 トラフィックのレート制限を可能にするには、IPv4 物理インターフェイス フィルターからポリサーを参照します。この例では、以下の一致条件のいずれかを満たすポリサー IPv4 パケットを渡すようにフィルターを設定します。
-
TCP経由で受信したパケットで、IP優先度フィールドが
critical-ecp(0xa0)、immediate(0x40)、またはpriority(0x20) -
TCP経由で受信したパケットで、IP優先度フィールドが
internet-control(0xc0)またはroutine(0x00)のパケット
また、他のプロトコル ファミリーの物理インターフェイス フィルターからポリサーを参照することもできます。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
この例を設定するには、以下のタスクを実行します。
- CLIクイック構成
- 物理インターフェイスでの論理インターフェイスの設定
- 物理インターフェイス ポリサーの設定
- IPv4物理インターフェイスフィルターの設定
- 物理インターフェイス ポリサーを参照するための IPv4 物理インターフェイス フィルターの適用
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。
set interfaces so-1/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces so-1/0/0 unit 0 family vpls set interfaces so-1/0/0 unit 1 family mpls set firewall policer shared-policer-A physical-interface-policer set firewall policer shared-policer-A if-exceeding bandwidth-limit 100m burst-size-limit 500k set firewall policer shared-policer-A then discard set firewall family inet filter ipv4-filter physical-interface-filter set firewall family inet filter ipv4-filter term tcp-police-1 from precedence [ critical-ecp immediate priority ] set firewall family inet filter ipv4-filter term tcp-police-1 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-1 then policer shared-policer-A set firewall family inet filter ipv4-filter term tcp-police-2 from precedence [ internet-control routine ] set firewall family inet filter ipv4-filter term tcp-police-2 from protocol tcp set firewall family inet filter ipv4-filter term tcp-police-2 then policer shared-policer-A set interfaces so-1/0/0 unit 0 family inet filter input ipv4-filter
物理インターフェイスでの論理インターフェイスの設定
ステップバイステップでの手順
物理インターフェイスに論理インターフェイスを設定するには:
論理インターフェイスの設定を有効にします。
[edit] user@host# edit interfaces so-1/0/0
論理ユニット 0 でプロトコル ファミリーを設定します。
[edit interfaces so-1/0/0] user@host# set unit 0 family inet address 192.168.1.1/24 user@host# set unit 0 family vpls
論理ユニット 1 でプロトコルファミリーを設定します。
[edit interfaces so-1/0/0] user@host# set unit 1 family mpls
結果
show interfaces 設定モード コマンドを入力して、ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces
so-1/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
family vpls;
}
unit 1 {
family mpls;
}
}
物理インターフェイス ポリサーの設定
ステップバイステップでの手順
物理インターフェイス ポリサーを設定するには:
2 色ポリサーの設定を有効にします。
[edit] user@host# edit firewall policer shared-policer-A
2 色ポリサーのタイプを設定します。
[edit firewall policer shared-policer-A] user@host# set physical-interface-policer
不適合なトラフィックフロー内のパケットに対するトラフィック制限とアクションを設定します。
[edit firewall policer shared-policer-A] user@host# set if-exceeding bandwidth-limit 100m burst-size-limit 500k user@host# set then discard
物理インターフェイス フィルターの場合、不適合トラフィック フロー内のパケットに対して設定できるアクションは、パケットの廃棄、転送クラスの割り当て、PLP 値の割り当て、または転送クラスと PLP 値の両方の割り当てです。
結果
show firewall 設定モード コマンドを入力して、ポリサーの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show firewall
policer shared-policer-A {
physical-interface-policer;
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 500k;
}
then discard;
}
IPv4物理インターフェイスフィルターの設定
ステップバイステップでの手順
IPv4 物理インターフェイス ポリサーの用語のアクションとして物理インターフェイス ポリサーを設定するには:
特定のプロトコルファミリーで、標準のステートレスファイアウォールフィルターを設定します。
[edit] user@host# edit firewall family inet filter ipv4-filter
family any用の物理インターフェイスファイアウォールフィルターを設定することはできません。物理インターフェイス ポリサーをアクションとして適用できるように、 フィルターを物理インターフェイス フィルターとして設定します。
[edit firewall family inet filter ipv4-filter] user@host# set physical-interface-filter
最初の条件を設定して、TCP経由で受信したIPv4パケットをIP優先度フィールド
critical-ecp、immediate、またはpriorityと照合し、物理インターフェイスポリサーをフィルターアクションとして適用します。[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-1 from precedence [ critical-ecp immediate priority ] user@host# set term tcp-police-1 from protocol tcp user@host# set term tcp-police-1 then policer shared-policer-A
最初の条件を設定して、TCP経由で受信したIPv4パケットをIP優先度フィールド
internet-controlまたはroutineと照合し、物理インターフェイスポリサーをフィルターアクションとして適用します。[edit firewall family inet filter ipv4-filter] user@host# set term tcp-police-2 from precedence [ internet-control routine ] user@host# set term tcp-police-2 from protocol tcp user@host# set term tcp-police-2 then policer shared-policer-A
結果
show firewall 設定モード コマンドを入力して、ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show firewall
family inet {
filter ipv4-filter {
physical-interface-filter;
term tcp-police-1 {
from {
precedence [ critical-ecp immediate priority ];
protocol tcp;
}
then policer shared-policer-A;
}
term tcp-police-2 {
from {
precedence [ internet-control routine ];
protocol tcp;
}
then policer shared-policer-A;
}
}
}
policer shared-policer-A {
physical-interface-policer;
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 500k;
}
then discard;
}
物理インターフェイス ポリサーを参照するための IPv4 物理インターフェイス フィルターの適用
ステップバイステップでの手順
物理インターフェイス フィルターを適用して、物理インターフェイス ポリサーを参照するには:
論理インターフェイスで IPv4 の設定を有効にします。
[edit] user@host# edit interfaces so-1/0/0 unit 0 family inet
IPv4物理インターフェイスフィルターを入力方向に適用します。
[edit interfaces so-1/0/0 unit 0 family inet] user@host# set filter input ipv4-filter
結果
show interfaces 設定モード コマンドを入力して、ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces
so-1/0/0 {
unit 0 {
family inet {
filter {
input ipv4-filter;
}
address 192.168.1.1/24;
}
family vpls;
}
unit 1 {
family mpls;
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
インターフェイスに適用されたファイアウォールフィルターの表示
目的
ファイアウォールフィルター ipv4-filter が、論理インターフェイス so-1/0/0.0でIPv4入力トラフィックに適用されていることを確認します。
アクション
論理インターフェイスso-1/0/0.0には show interfaces statistics operational mode コマンドを使用し、detail オプションを含めます。コマンド出力の Protocol inet セクションの Input Filters フィールドには、ファイアウォール フィルター ipv4-filter が入力方向に適用されていることがわかります。
user@host> show interfaces statistics so-1/0/0 detail
Logical interface so-1/0/0.0 (Index 79) (SNMP ifIndex 510) (Generation 149)
Flags: Hardware-Down Point-To-Point SNMP-Traps 0x4000 Encapsulation: PPP
Protocol inet, MTU: 4470, Generation: 173, Route table: 0
Flags: Sendbcast-pkt-to-re, Protocol-Down
Input Filters: ipv4-filter
Addresses, Flags: Dest-route-down Is-Preferred Is-Primary
Destination: 10.39/16, Local: 10.39.1.1, Broadcast: 10.39.255.255, Generation: 163
論理インターフェイスでポリサーが処理したパケット数の表示
目的
論理インターフェイスを通過するトラフィック フローと、論理インターフェイスでパケットを受信したときにポリサーが評価されることを確認します。
アクション
論理インターフェイスに適用したフィルターの show firewall operational mode コマンドを使用します。
user@host> show firewall filter ipv4-filter Filter: ipv4-filter Policers: Name Packets shared-policer-A-tcp-police-1 32863 shared-policer-A-tcp-police-2 3870
コマンド出力には、ポリサーの名前(shared-policer-A)、ポリサーアクションが指定されているフィルター条件(police-1)の名前、およびフィルター条件に一致したパケットの数が表示されます。これは仕様外(仕様外)のパケット数に過ぎず、ポリサーがポリサーによってポリシングするすべてのパケットではありません。