Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

基本的なシングルレート2カラーポリサー

シングルレート2カラーポリサーの概要

単一レートの2色の監視では、制限に準拠していないトラフィックに暗黙的または設定済みのアクションを適用することで、特定のサービスレベルのトラフィックフローの構成された速度を適用します。インターフェイスで1対の2色のポリサーを入力または出力トラフィックに適用する場合、ポリサーメーターは、以下のコンポーネントによって定義されたレート制限にトラフィックフローを転送します。

  • 帯域幅制限 — インターフェイスで送受信されるパケットで許容される 1 秒あたりの平均ビット数。帯域幅制限は、ビット/秒または 1 ~ 100 のパーセント値で指定できます。パーセント値が指定されている場合、効果的な帯域幅制限は、物理インタフェースのメディアレートまたは論理インタフェースが設定された字形レートの割合として計算されます。

  • パケット/秒(pps)制限(MX シリーズ MPC のみ)。インターフェイスで送受信されるパケットに対して許可される 1 秒あたりの平均パケット数。1秒あたりのパケットの絶対数として pps 制限を指定します。

  • バースト サイズ制限 — データのバーストで許容される最大サイズ。

  • パケット バースト制限 –

構成された制限に準拠しているトラフィックフロー (緑トラフィックに分類) では、パケットは暗黙的にパケットロス優先度 (PLP low ) レベルでマークされ、インターフェイスを通過することはできません。

設定された制限を超えるトラフィックフロー (レッドトラフィックに分類) では、パケットは、ポリサーに対して設定されたトラフィックのポリシングアクションに従って処理されます。アクションはパケットを破棄することも、指定された転送クラス、指定された PLP、またはその両方を使用してパケットをマークし直してから、パケットを送信することもできます。

レイヤー 3 トラフィックをレート制限するには、以下の方法で 2 色のポリシーを適用できます。

  • 特定のプロトコルレベルで論理インタフェースに直接対応します。

  • 特定のプロトコルレベルで論理インターフェイスに適用される標準のステートレスファイアウォールフィルターのアクション。

レイヤー 2 トラフィックをレート制限するには、2 カラー ポリシーを論理インターフェイス ポリシーとしてのみ 適用 できます。ファイアウォール フィルターを介してレイヤー 2 トラフィックに 2 色のポリシーを適用することはできません。

例:受信シングルレート2色のポリサーを構成することによって、ネットワーク境界で着信トラフィックを制限します。

この例では、受信トラフィックをフィルタリングするための、入口シングルレート2色のポリサーを構成する方法を示します。ポリサーは、コントラクト内およびコントラクト外のトラフィックに対して、サービスクラス (CoS) 戦略を実施します。単一レートの2色のポリサーを、受信パケット、発信パケット、またはその両方に適用することができます。この例では、ポリサーを入力 (受信) ポリサーとして適用しています。このトピックの目標は、トラフィックのポリシー設定を示す例を使用して、ポリシーのポリシー作成の概要を説明します。

ポリサーは、トークンバケットと呼ばれる概念を使用して、policers に定義されたパラメーターに基づいてシステムリソースを割り当てます。トークンバケツの概念と基礎となるアルゴリズムの詳細については、このガイドでは取り上げていません。トラフィック CoS ポリシー実行およびトラフィック 全般の詳細については、「 QOS-Enabled Networks— Tools and Foundations by Miguel Barreiros and Peter Lundqvist 」を参照してください。このガイドは、多くのオンライン booksellers と www.juniper.net/books で提供されています。

要件

この手順を確認するために、この例ではトラフィックジェネレーターを使用しています。トラフィックジェネレーターは、ハードウェアベースの場合もあれば、サーバーまたはホストマシン上で実行されるソフトウェアの場合もあります。

この手順の機能は、Junos OS 動作するデバイスで幅広くサポートされています。この例は、Junos OS リリース10.4 を実行している MX シリーズルーターでテストおよび検証されています。

概要

単一レートの2色監視機能は、制限に準拠していないトラフィックに暗黙的または設定されたアクションを適用することで、特定のサービスレベルのトラフィックフローの構成された速度を適用します。インターフェイスで1対の2色のポリサーを入力または出力トラフィックに適用する場合、ポリサーメーターは、以下のコンポーネントによって定義されたレート制限にトラフィックフローを転送します。

  • 帯域幅制限 — インターフェイスで送受信されるパケットで許容される 1 秒あたりの平均ビット数。帯域幅制限は、ビット/秒または 1 ~ 100 のパーセント値で指定できます。パーセント値が指定されている場合、効果的な帯域幅制限は、物理インタフェースのメディアレートまたは論理インタフェースが設定された字形レートの割合として計算されます。

  • バースト サイズ制限 — データのバーストで許容される最大サイズ。バーストサイズはバイト単位です。バーストサイズの計算には2つの数式をお勧めします。

    バーストサイズ = 帯域幅 x バーストトラフィックの許容時間/8

    および

    バーストサイズ = インターフェイス mtu x 10

    バーストサイズの設定について詳しくは、トラフィックポリサーの適切なバーストサイズの決定を参照してください。

    注:

    インターフェイスには、有限のバッファスペースがあります。一般的に、インターフェイスの総バッファー奥行きは約 125 ms です。

構成された制限に準拠しているトラフィックフロー (緑のトラフィックに分類) では、パケットは暗黙的にパケットロス優先度 (PLP) レベルが低に設定され、インターフェイスを無制限に通過することができます。

設定された制限を超えるトラフィックフロー (レッドトラフィックに分類) では、パケットは、ポリサーに対して設定されたトラフィックのポリシングアクションに従って処理されます。この例では、15 KBps 制限を超えるパケットを破棄します。

レイヤー3のトラフィックをレート制限するには、以下の方法で2色のポリサーを適用できます。

  • 特定のプロトコルレベルで論理インタフェースに直接対応します。

  • 特定のプロトコルレベルで論理インターフェイスに適用される標準のステートレスファイアウォールフィルターのアクション。この例で使用されているテクニックを次に示します。

レイヤー2トラフィックをレート制限するには、2色のポリサーを、論理インタフェース・ポリサーのみとして適用できます。ファイアウォールフィルターを使用して、2色のポリサーをレイヤー2トラフィックに適用することはできません。

注意:

ポリサー内の帯域幅制限または帯域幅の割合のどちらかを選択できます。これらは相互に排他的です。統合、トンネル、およびソフトウェアインターフェイスの帯域幅を使用するように、ポリサーを構成することはできません。

この例では、ホストとして、web サーバをエミュレートするトラフィックジェネレーターが使用されています。デバイス R1 および R2 は、サービスプロバイダが所有しています。デバイス Host2 では、ユーザーがウェブサーバにアクセスします。デバイスは、80の送信元 TCP HTTP ポートを使用してトラフィックをユーザーに送ります。シングルレートの2色のポリサーが構成され、デバイス R1 のインタフェースに適用されると、デバイスのクラスターと接続します。このポリサーは、web サーバーの所有者と、デバイス R1 を所有するサービスプロバイダの間の契約帯域幅の可用性を、リンクを経由して接続されています。

Web サーバーの所有者とデバイス R1 およびデバイス R2 を所有するサービス プロバイダの間で行われた契約帯域幅に従って、ポリシー機能は、デバイス Host1 から送信される HTTP ポート 80 トラフィックを、利用可能な帯域幅の 700 Mbps(70%)に制限し、ホスト Host1 とデバイス R1 間のギガビット イーサネット インターフェイスのMTU サイズのバースト レート 10 x を使用します。

注:

実際のシナリオでは、FTP、SFTP、SSH、TELNET、SMTP、IMAP、POP3 など、その他のさまざまなポートのトラフィックを制限していることもあります。これは、web ホスティングサービスに追加のサービスとして含まれていることが多いためです。

注:

ルーティングプロトコル、DNS、その他のネットワーク接続を運用するために必要なその他のプロトコルについては、レートが制限されない追加の帯域幅を確保する必要があります。このため、ファイアウォールフィルターに最終承諾条件があるのはこのためです。

Topology

この例では、の図 1トポロジを使用しています。

図 1: 2色のポリサーの単一レートのシナリオ2色のポリサーの単一レートのシナリオ

図 2は、ポリシングの動作を示します。

図 2: 1対の2カラーポリサーのトラフィック制限1対の2カラーポリサーのトラフィック制限

構成

手順

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンド[edit]を階層レベルで CLI にコピー & ペーストします。

デバイス R1

デバイス R2

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 」の「 設定モードでの CLI Junos OS CLI エディター の使用 」 を参照してください

デバイス R1 を構成するには、次のようになります。

  1. デバイスインターフェイスを構成します。

  2. ファイアウォールフィルターを、入力フィルターとしてインターフェイス ge-2/0/5 に適用します。

  3. 700 Mbps の帯域幅と、HTTP トラフィックのバースト サイズ 1,5000 KBps にレート制限するポリシーを設定します(TCP ポート 80)。

  4. レッドトラフィックフロー内のパケットを破棄するように、ポリサーを構成します。

  5. ファイアウォールの2つの条件を設定して、HTTP (ポート 80) へのすべての TCP トラフィックを受け入れます。

  6. Policer を使用して HTTP TCP トラフィックをレート制限するようにファイアウォールアクションを設定します。

  7. ファイアウォールフィルターの最後に、他のすべてのトラフィックを受け入れるデフォルトアクションを設定します。

    そうしないと、インターフェイスで受信され、ファイアウォールによって明示的に受け入れられていないすべてのトラフィックが破棄されます。

  8. OSPF を構成します。

順を追った手順

デバイス R2 を構成するには、次のようになります。

  1. デバイスインターフェイスを構成します。

  2. OSPF を構成します。

結果

設定モードから、、、およびshow interfacesshow firewallshow protocols ospfコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイス R1 の構成が完了したら、 commit設定モードから入力します。

デバイス R2 の構成が完了したら、 commit設定モードから入力します。

検証

構成が正常に機能していることを確認します。

カウンターのクリア

目的

ファイアウォールカウンターがクリアされていることを確認します。

アクション

デバイス R1 上でclear firewall allコマンドを実行して、ファイアウォールカウンターを0にリセットします。

TCP トラフィックをネットワークに送信し、廃棄を監視する

目的

送信されるトラフィックは、入力インターフェイス (ge-2/0/5) 上で制限を受けていることを確認します。

アクション
  1. トラフィックジェネレーターを使用して、発信元ポートが80の10個の TCP パケットを送信します。

    -S フラグによって送信元ポートが設定されます。-K フラグを使うと、送信元ポートは増分ではなく80に固定されます。-C フラグを指定すると、パケット数は10に設定されます。-D フラグによってパケットサイズが設定されます。

    172.16.80.1 の宛先 IP アドレスは、デバイス R2 に接続されているデバイスホスト2に属しています。デバイスホスト2のユーザーが、デバイスホスト 1 (デバイスホスト1のトラフィックジェネレーターによってエミュレートされた web ページ) を使って、[Device Host (サーバのエミュレーション)] を指定しました。デバイスホスト2からの要求に応じて、デバイスホスト1から、レート制限されたパケットが送信されます。

    注:

    この例では、このテスト中に一部のパケットが破棄されるのを確認するために、ポリシー番号を 8 Kbps の帯域幅制限と 1,500 KBps のバースト サイズ制限に減らします。

  2. デバイス R1 上で、 show firewallコマンドを使用してファイアウォールカウンターを確認します。

ステップ 1 と 2 の両デバイスからの出力は、4 つのパケットが破棄されたという結果、少なくとも 8 Kbps のグリーン(契約中 HTTP ポート 80)トラフィックが存在し、契約外の赤色の HTTP ポート 80 トラフィックの 1,500 KBps バースト オプションが超過していた結果です。

例:インターフェイスとファイアウォールフィルタポリサーを同じインターフェイスで構成する

この例では、3つのシングルレート2色のポリサーを構成し、同じ単一タグ仮想 LAN (VLAN) 論理インターフェイスで IPv4 入力トラフィックにポリサーを適用する方法を示します。

要件

この例を設定する前に、デバイス初期化以外に特別な設定を行う必要はありません。

概要

この例では、3つのシングルレート2カラーポリサーを構成し、同じ単一タグ VLAN 論理インターフェイスで IPv4 入力トラフィックにポリサーを適用します。ファイアウォールフィルターを介して、2つのポリサーがインターフェイスに適用され、1つのポリサーがそのインターフェイスに直接適用されます。

トラフィックを 1 Mbps にレート制限し、バースト サイズ p-all-1m-5k-discard が 5000 バイトの 1 つのポリシーを設定します。このポリサーを直接、論理インターフェイスの IPv4 入力トラフィックに適用します。論理インターフェイスのプロトコル固有のトラフィックに直接ポリシーを適用する場合、ポリシーはインターフェイス ポリシーとして 適用されると言います

他の 2 つのポリシーで 500 KB のバースト サイズを許可する設定を行い、IPv4 標準のステートレス ファイアウォール フィルターを使用して論理インターフェイスの IPv4 入力トラフィックにこれらのポリシーを適用します。ファイアウォール フィルタ アクションを介して、論理インターフェイスのプロトコル固有のトラフィックにポリシーを適用する場合、ポリシーはファイアウォール フィルター ポリシーとして 適用されます

  • これらの制限に準拠していないパケットを破棄することで、トラフィックを500 Kバイトのバースト サイズでレート制限トラフィックに設定するポリシーを設定 p-icmp-500k-500k-discard します。ファイアウォールフィルター条件のいずれかを設定して、このポリサーをインターネット制御メッセージプロトコル (ICMP) パケットに適用します。

  • これらの制限に準拠していないパケットを破棄することで、トラフィックを 500 KB のバースト サイズで 10 パーセントの帯域幅にレート制限するように指定したポリシーを p-ftp-10p-500k-discard 設定します。このポリサーをファイル転送プロトコル (FTP) パケットに適用するように別のファイアウォールフィルターの条件を設定します。

(絶対帯域幅値としてではなく)割合値で表される帯域幅制限で設定したポリシーは、帯域幅ポリシーと呼ばれる。帯域幅の割合を指定して構成できるのは、1対の2カラーポリサーのみです。デフォルトでは、帯域幅を制限することで、ターゲット論理インタフェースの基礎となる物理インタフェースのラインレートの指定された割合でトラフィックを限定できます。

Topology

100 Mbps で動作する高速イーサネット インターフェイス上で、ターゲットの論理インターフェイスを単一タグ VLAN 論理インターフェイスとして設定します。これは、10 パーセントの帯域幅制限(FTP パケットに適用するポリシー)を使用して設定したポリシーにより、このインターフェイス上の FTP トラフィックのレート制限を 10 Mbps に設定する必要があります。

注:

この例では、帯域幅のポリシーを論理帯域幅のポリシーとして 設定する必要があります。そのため、この割合は、論理インターフェイスの設定された帯域制限率ではなく、物理メディアレートをベースにしています。

2つのポリサーのユーザーを参照するように設定するファイアウォールフィルタは、インターフェイス固有のフィルタとして設定する必要があります。制限付きの FTP パケットに使用されているポリサーは、帯域幅制限をパーセント値として指定するため、このポリサーを参照するファイアウォールフィルターをインターフェイス固有のフィルタとして設定する必要があります。このため、このファイアウォールフィルタを、この例の Fast Ethernet インターフェイスだけではなく、複数のインターフェイスに適用すると、フィルタが適用される各インタフェースに一意のポリサーとカウンターが作成されます。

構成

次の例では、構成階層のさまざまなレベルを移動する必要があります。詳細については、 を参照してください。詳細CLIを参照 設定 モード の CLI 編集者 してください。

この例を構成するには、以下のタスクを実行します。

CLI クイック構成

この例を簡単に構成するには、以下の構成コマンドをテキストファイルにコピーし、改行を削除してから、コマンドを[edit]階層レベルで CLI に貼り付けます。

単一タグ VLAN 論理インタフェースの設定

順を追った手順

単一タグ VLAN 論理インタフェースを設定するには、次のステップに従います。

  1. 高速イーサネットインターフェイスの設定を可能にします。

  2. 単一タグの VLAN フレーミングを有効にします。

  3. VLAN Id を論理インタフェースにバインドします。

  4. 単一タグ VLAN 論理インタフェースで IPv4 を構成します。

結果

show interfaces構成モードのコマンドを入力して、VLAN の設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この手順の手順を繰り返して設定を修正します。

3つのポリサーを構成する

順を追った手順

3つのポリサーを構成するには、次のようにします。

  1. 1 Mbps の帯域幅および 5000 バイトのバースト サイズに準拠していないパケットを破棄する 2 カラー ポリシーの設定を有効にします。

    注:

    このポリシーは、単一タグ VLAN 論理インターフェイスのすべての IPv4 入力トラフィックに直接適用します。そのため、パケットはレート制限の対象になる前にフィルタリングされません。

  2. 最初のポリサーを構成します。

  3. 「10 パーセント」および 500,000 バイトのバースト サイズとして指定された帯域幅に準拠していないパケットを破棄する 2 カラー ポリシーの設定を有効にします。

    このポリサーを適用するのは、単一タグ VLAN 論理インタフェースの FTP トラフィックだけです。

    このポリサーを適用するには、IPv4 ファイアウォールフィルター条件のアクションとして、TCP からの FTP パケットに一致するものを使用します。

  4. ポリシングの制限とアクションを構成します。

    帯域幅の制限は割合で指定されているため、このポリサーを参照するファイアウォールフィルタは、インターフェイス固有のフィルタとして設定する必要があります。

    注:

    このポリシーにより、物理インターフェイス メディア レートの 10% ではなく、論理インターフェイス設定シェーピング レートの 10% にレート制限する必要がある場合、ステートメントを階層レベルに含める必要 logical-bandwidth-policer[edit firewall policer p-all-1m-5k-discard] があります。このタイプのポリサーは、論理帯域幅のポリサーと呼ばれます。

  5. ICMP パケットの IPv4 ファイアウォールフィルタポリサーの設定を有効にします。

  6. ポリシングの制限とアクションを構成します。

結果

show firewall設定モードのコマンドを入力して、ポリサーの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この手順の手順を繰り返して設定を修正します。

IPv4 ファイアウォールフィルターの構成

順を追った手順

IPv4 ファイアウォールフィルターを構成するには、次のようにします。

  1. IPv4 ファイアウォールフィルターの構成を有効にします。

  2. ファイアウォールフィルタをインタフェース固有に設定します。

    参照されるポリサーの1つが割合値として示される帯域幅制限で構成されているため、ファイアウォールフィルターはインターフェイス固有である必要があります。

  3. フィルター条件の設定を有効にして、FTP パケットをレート制限にします。

    FTP メッセージは、TCP ポート 20( )を使用して送信され ftp 、TCP ポート 21( )を使用して受信されます ftp-data

  4. FTP パケットに一致するようにフィルター条件を設定します。

  5. フィルタ条件の設定を有効にして、ICMP パケットのレートを制限します。

  6. ICMP パケットのフィルター条件を構成します

  7. フィルター条件を設定して、ポリシーを適用せずに他のすべてのパケットを受け入れるようにします。

結果

show firewall Configuration mode コマンドを入力して、ファイアウォールフィルタの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この手順の手順を繰り返して設定を修正します。

インターフェースポリサーとファイアウォールフィルタポリサーの論理インタフェースへの適用

順を追った手順

3つのポリサーを VLAN に適用するには、次のようにします。

  1. 論理インタフェースでの IPv4 の設定を有効にします。

  2. ファイアウォールフィルタポリサーをインターフェイスに適用します。

  3. インターフェース・ポリサーをインターフェイスに適用します。

    fe-0/1/1.0は、入力パケットは、ファイアウォールフィルタポリサーに対して評価される前に、interface ポリサーに対して評価されます。詳細についてはポリサーとファイアウォールのフィルター操作の順序、を参照してください。

結果

show interfaces設定モードのコマンドを入力して、インターフェイスの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この手順の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

論理インタフェースに直接適用されたポリサーを表示する

目的

論理インタフェースでパケットが受信されたときに、インタフェースポリサーが評価されていることを確認します。

アクション

論理インタフェースshow interfaces policersfe-0/1/1.1の運用モードコマンドを使用します。列と列のコマンド出力セクションは、論理インターフェイスでパケットが受信された際に、パサーが ProtoInput Policerp-all-1m-5k-discard 評価された結果を示しています。

この例では、インターフェイスポリサーは、入力方向の論理インタフェーストラフィックにのみ適用されます。

論理インタフェースに直接適用されたポリサーの統計を表示する

目的

インターフェースポリサーによって評価されるパケット数を確認します。

アクション

show policer運用モードのコマンドを使用し、必要に応じて、ポリサーの名前を指定します。このコマンド出力には、各方向における各構成済みのポリサー (または指定したポリサー) によって評価されたパケット数が表示されます。

インターフェイスに適用されるポリサーとファイアウォールフィルターの表示

目的

論理インターフェイスfilter-ipv4-with-limitsで、IPv4 fe-0/1/1.1入力トラフィックにファイアウォールフィルターが適用されていることを確認します。

アクション

論理インタフェースshow interfaces statisticsfe-0/1/1.1の運用モードコマンドを使用し、 detailオプションを含めます。コマンド出力セクションのセクションの下の 、 および の行には、入力方向の論理インターフェイスに適用されたフィルターとポリシーの名前 Protocol inetInput FiltersPolicer が表示されます。

この例では、2つのファイアウォールフィルタポリサーは、入力方向の論理インタフェーストラフィックにのみ適用されます。

ファイアウォールフィルタポリサーの統計の表示

目的

ファイアウォールフィルタポリサーによって評価されたパケット数を確認します。

アクション

論理インターフェイスshow firewallに適用したフィルターに対して、運用モードコマンドを使用します。

コマンド出力には、ポリサーp-ftp-10p-500k-discard (and p-icmp-500k-500k-discard) の名前と、ポリサーアクションが指定されているt-ftpフィルタt-icmp用語 (それぞれの名前) が表示されます。フィルター条件に一致したパケット数を表示するには、policer で指定された出力行が該当します。これはアウトオブスペック (仕様外) のパケット数であり、すべてのパケットがポリサーによって限定されるわけではありません。