Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

2色、3色の物理インターフェース・ポリサー

物理インターフェース・ポリサーの概要

物理インターフェース・ポリサーは2色または3色のポリサーであり、物理インタフェース上で構成されているすべての論理インターフェースおよびプロトコル・ファミリーの入力または出力トラフィックに適用できるトラフィックレート制限を定義します。論理インターフェイスは、さまざまなルーティングインスタンスに属します。この機能は、異なるプロトコルファミリーと異なる論理インタフェースに対して、同じ物理インタフェース上で集約のポリシー適用を実行する場合に便利です。

たとえば、プロバイダエッジ (PE) ルーターには、それぞれ異なる顧客に対応する多数の論理インタフェースがあり、顧客エッジ (CE) デバイスへの同じリンク上で構成されていると仮定します。次に、顧客が 1 つの物理インターフェイス上の特定タイプのトラフィックに集約レート制限のセットを適用したいとします。これを実現するために、物理インタフェースに単一の物理インタフェースポリサーを適用し、そのインターフェイスで構成されたすべての論理インタフェースと、そのインタフェースが属するすべてのルーティングインスタンスを制限することができます。

シングルレートの2色の物理インタフェースポリサーを構成するには、 physical-interface-policer以下のいずれかの階層レベルに記述します。

シングルレートまたは2レートの3色の物理インタフェースポリサーを構成するには、 physical-interface-policer以下のいずれかの階層レベルに記載されているステートメントを追加します。

物理インターフェイス ポリシーをレイヤー 3 トラフィックに適用するには、ステートレス ファイアウォール フィルタ条件からポリシー を参照してから、フィルタを論理インターフェイスに適用します。物理インターフェイスは、レイヤー 3 トラフィックにインターフェイス設定に直接適用できません。

ステートレスなファイアウォールフィルター条件から2色のポリサーを1対で参照するにpolicerは、終端以外のアクションを使用します。ステートレスファイアウォールフィルター条件から、シングルレートまたは2レートの3色のポリサーを参照するにthree-color-policerは、終端以外のアクションを使用します。

以下の要件は、物理インタフェース policer を参照するステートレスファイアウォールフィルタに適用されます。

  • サポートされている特定のプロトコルファミリに対応したファイアウォールフィルターを構成する必要があります。ipv4vplsccc、、、、またはサーキットクロスコネクト () を使用しますfamily any。そのためではありません。 ipv6mpls

  • ファイアウォールフィルターを物理インターフェイスフィルターとして設定するにはphysical-interface-filter[edit firewall family family-name filter filter-name]階層レベルでステートメントを指定する必要があります。

  • 物理インタフェースフィルターとして定義されたファイアウォールフィルタは、物理インタフェース・ポリサーのみを参照できます。

  • グローバル(非論理)システムで定義されたファイアウォール フィルタは、インターフェイス固有のフィルタ インスタンスの論理システムで使用できません。より具体的に言えば、論理システム上で作成されたフィルタ添付ファイルを持つグローバル システム上で作成されたテンプレート physical-interface-filter を使用することはできません。フィルタリングが正しく機能するには、テンプレートと添付ファイルの両方を論理システムに常駐する必要があります。論理システムの場合、フィルタ インスタンスの命名規則は物理インターフェイスから派生したが、インターフェイス固有のフィルタ インスタンスについては同じではないためです。

  • 物理インターフェイスフィルターとして定義されたファイアウォールフィルターは、 interface-specificステートメントで構成されたポリサーを参照できません。

  • ファイアウォールフィルターは、物理インターフェイスフィルターとして設定することも、 interface-specificステートメントを含む論理インターフェイスフィルターとして構成することはできません。

例:物理インタフェースでの集約トラフィック用の物理インタフェースポリサーの構成

この例では、物理インタフェース・ポリサーとしての1対2カラー・ポリサーを設定する方法を示しています。

要件

この例を設定する前に、デバイス初期化以外に特別な設定を行う必要はありません。

概要

物理インターフェース・ポリサーは、集約トラフィックに対してレート制限を指定します。これには、インターフェイスが異なるルーティングインスタンスに属している場合でも、物理インタフェース上に構成されたすべてのプロトコル・ファミリーと論理インタフェースを含みます。

物理インターフェイス ポリシーをレイヤー 3 の入力または出力トラフィックに適用するには、特定のプロトコル ファミリー(not)に設定され、物理インターフェイス フィルタとして設定されたステートレス ファイアウォール フィルタからポリシーを参照する必要があります。 family any フィルタ条件には、レート制限対象のパケットのタイプを選択する照合条件を設定し、一致するパケットに適用するアクションとして物理インタフェースポリサーを指定します。

Topology

この例の物理インターフェイス ポリシーは、レートで shared-policer-A 10,000,000 bps に制限され、最大トラフィック バーストの 500,000 バイトを可能にします。ポリサーを構成して、不適合のフローのパケットを廃棄することもできますが、その代わりに、ポリサーを構成して、準拠していないトラフィックを転送クラス、パケット損失優先 (PLP) レベル、またはその両方で再マークすることが可能です。

ポリサーを使用して IPv4 トラフィックをレート制限にするには、IPv4 物理インタフェースフィルターからポリサーを参照します。この例では、次のいずれかの照合条件に一致するポリサー IPv4 パケットに渡すように、フィルターを設定します。

  • TCP および IP 優先フィールド(0xa0)、(0x40)、または critical-ecpimmediatepriority (0x20)

  • TCP 経由で受信したパケットおよび IP 優先フィールド internet-control (0xc0)または routine (0x00)

他のプロトコルファミリー用の物理インタフェースフィルターから、ポリサーを参照することもできます。

構成

次の例では、構成階層のさまざまなレベルを移動する必要があります。詳細については、 を参照してください。詳細CLIを参照 設定モードでの CLI エディターの使用 してください。

この例を構成するには、以下のタスクを実行します。

CLI クイック構成

この例を簡単に構成するには、以下の構成コマンドをテキストファイルにコピーし、改行を削除してから、コマンドを[edit]階層レベルで CLI に貼り付けます。

物理インタフェース上の論理インタフェースの構成

順を追った手順

物理インタフェース上で論理インタフェースを設定するには、次のようにします。

  1. 論理インタフェースの設定を可能にします。

  2. 論理ユニット0でプロトコルファミリーを構成します。

  3. 論理ユニット1上でプロトコルファミリーを構成します。

結果

show interfaces Configuration mode コマンドを入力して、ファイアウォールフィルタの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この手順の手順を繰り返して設定を修正します。

物理インターフェイス・ポリサーの構成

順を追った手順

物理インタフェースポリサーを構成するには、次のようにします。

  1. 2色のポリサーの設定を有効にします。

  2. 2色のポリサーのタイプを設定します。

  3. トラフィック制限とパケットの動作を、不適合トラフィックフローに設定します。

    物理インターフェースフィルターでは、パケットを破棄したり、転送クラスを割り当てたり、PLP 値を割り当てたり、転送クラスと PLP 値の両方を割り当てたりすることができます。

結果

show firewall設定モードのコマンドを入力して、ポリサーの構成を確認します。コマンドの出力に意図した構成が表示されない場合は、この手順の手順を繰り返して設定を修正します。

IPv4 物理インターフェイスフィルターの構成

順を追った手順

IPv4 物理インタフェースの使用条件によって物理インタフェース・ポリサーを構成するには、以下の操作を行います。

  1. 特定のプロトコルファミリーの下で標準のステートレスファイアウォールフィルターを構成します。

    物理インターフェイスファイアウォールフィルターを構成することfamily anyはできません。

  2. フィルターを物理インターフェイスフィルターとして構成して、物理インターフェースポリサーをアクションとして適用できるようにします。

  3. TCP 経由で受信した IPv4 パケットを IP 優先フィールドcritical-ecpimmediateとして検索するようにpriority設定するか、または物理インタフェースポリサーをフィルタアクションとして適用します。

  4. TCP 経由で受信する IPv4 パケットと IP 優先フィールドinternet-controlを対応させる最初のroutine条件を設定するか、または物理インタフェースポリサーをフィルタアクションとして適用します。

結果

show firewall Configuration mode コマンドを入力して、ファイアウォールフィルタの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この手順の手順を繰り返して設定を修正します。

IPv4 物理インタフェースフィルタを適用して、物理インタフェース・ポリサーを参照します。

順を追った手順

物理インタフェース・フィルタを適用するには、以下のようにします。

  1. 論理インタフェースでの IPv4 の設定を有効にします。

  2. 入力方向に IPv4 物理インタフェースフィルターを適用します。

結果

show interfaces Configuration mode コマンドを入力して、ファイアウォールフィルタの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この手順の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

インターフェイスに適用されているファイアウォールフィルターを表示する

目的

論理インターフェイスipv4-filterで、IPv4 so-1/0/0.0入力トラフィックにファイアウォールフィルターが適用されていることを確認します。

アクション

論理インタフェースshow interfaces statisticsso-1/0/0.0の運用モードコマンドを使用し、 detailオプションを含めます。コマンド出力のセクションで、フィールドはファイアウォール フィルタが入力方向 Protocol inetInput Filters に適用 ipv4-filter されているを示しています。

論理インターフェイスで、ポリサーによって処理されたパケット数を表示します。

目的

論理インタフェースを通過するトラフィックフローを検証し、そのパケットが論理インタフェースで受信されたときに、ポリサーが評価されることを確認します。

アクション

論理インターフェイスshow firewallに適用したフィルターに対して、運用モードコマンドを使用します。

コマンド出力には、ポリサー (shared-policer-A) の名前、ポリサーアクションが指定されpolice-1ているフィルタ条件 () の名前、フィルター条件に一致したパケット数が表示されます。これはアウトオブスペック (仕様外) のパケット数であり、すべてのパケットがポリサーによって限定されるわけではありません。