Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ベーシック シングル レート ツー カラー ポリサー

シングルレート 2 カラー ポリサーの概要

シングルレート2カラーポリシングは、制限に適合しないトラフィックに暗黙的または設定されたアクションを適用することにより、特定のサービスレベルに対して設定されたトラフィックフローのレートを強制します。インターフェイスの入力トラフィックまたは出力トラフィックにシングルレート 2 カラー ポリサーを適用すると、ポリサーは次のコンポーネントで定義されたレート制限までトラフィック フローを計測します。

  • 帯域幅制限—インターフェイスで受信または送信されたパケットに許可される平均ビット数/秒。帯域幅制限は、1 秒あたりのビット数の絶対数、または 1 から 100 までのパーセント値で指定できます。パーセント値を指定した場合、実効帯域幅制限は、物理インターフェイスのメディア レートまたは 論理インターフェイス で構成されたシェーピング レートのいずれかの割合として計算されます。

  • pps(パケット/秒)制限(MPC搭載MXシリーズのみ)- インターフェイスで受信または送信されたパケットに許可される1秒あたりの平均パケット数。pps 制限は、1 秒あたりのパケット数の絶対数として指定します。

  • バーストサイズ制限 - データのバーストに許可される最大サイズ。

  • パケットバースト制限–

設定された制限に準拠するトラフィックフロー(グリーントラフィックとして分類)の場合、パケットは暗黙的にPLP(パケット損失優先度)レベル low でマークされ、無制限にインターフェイスを通過できます。

設定された制限を超えるトラフィックフロー(レッドトラフィックとして分類)の場合、パケットはポリサーに設定されたトラフィックポリシングアクションに従って処理されます。アクションは、パケットを破棄すること、またはアクションとして、指定された転送クラス、指定されたPLP、またはその両方でパケットを再マーキングしてから、パケットを送信することです。

レイヤー 3 トラフィックのレート制限を行うには、以下の方法で 2 色ポリサーを適用します。

  • 特定のプロトコルレベルで、論理インターフェイスに直接接続します。

  • 特定のプロトコルレベルで論理インターフェイスに適用される標準ステートレス ファイアウォールフィルター のアクションとして。

レイヤー 2 トラフィックのレートを制限するには、 論理インターフェイス ポリサー としてのみ 2 色ポリサーを適用できます。ファイアウォールフィルターを介してレイヤー2トラフィックに2色ポリサーを適用することはできません。

注:

MXプラットフォームでは、トラフィックフローが設定されたポリサー制限を確認するときに、パケット損失の優先度(PLP)が暗黙的に低(緑)になることはありません。代わりに、高、中高、中低などのユーザーが設定したPLP値を取得します。MX プラットフォームでこの動作を有効にするには、edit firewall policer <policer-name> の下の dp-rewrite を使用します。ノブが有効になっていない場合、パケットは元の色と損失の優先順位を伝える可能性があります。

例:ingressシングルレート2カラーポリサーの設定によるネットワーク境界でのインバウンドトラフィックの制限

この例では、着信トラフィックをフィルタリングするために、イングレスのシングルレート2カラーポリサーを設定する方法を示しています。ポリサーは、契約内および契約外のトラフィックに対してサービスクラス(CoS)戦略を実施します。シングルレート 2 カラー ポリサーは、着信パケット、発信パケット、またはその両方に適用できます。この例では、ポリサーを入力(イングレス)ポリサーとして適用します。このトピックでは、実際のトラフィック ポリシングを示す例を使用して、ポリシングの概要を説明することを目的としています。

ポリサーは、トークン・バケットと呼ばれる概念を使用して、ポリサーに定義されたパラメーターに基づいてシステム・リソースを割り当てます。トークン バケットの概念とその基になるアルゴリズムの詳細な説明は、このドキュメントの範囲を超えています。トラフィックポリシングとCoS全般の詳細については、Miguel BarreirosとPeter Lundqvistによる 『QOS-Enabled Networks—Tools and Foundations 』を参照してください。この本は、多くのオンライン書店や www.juniper.net/books で入手できます。

要件

この手順を確認するために、この例ではトラフィック ジェネレーターを使用します。トラフィックジェネレータは、ハードウェアベースにすることも、サーバやホストマシン上で動作するソフトウェアにすることもできます。

この手順の機能は、Junos OS を実行するデバイスで広くサポートされています。ここに示す例は、Junos OSリリース10.4を実行するMXシリーズルーターでテストおよび検証されたものです。

概要

シングル レート ツー カラー ポリシングは、制限に適合しないトラフィックに暗黙的または設定されたアクションを適用することにより、特定のサービス レベルに対して設定されたトラフィック フロー レートを適用します。インターフェイスの入力トラフィックまたは出力トラフィックにシングルレート 2 カラー ポリサーを適用すると、ポリサーは次のコンポーネントで定義されたレート制限までトラフィック フローを計測します。

  • 帯域幅制限—インターフェイスで受信または送信されたパケットに許可される平均ビット数/秒。帯域幅制限は、1 秒あたりのビット数の絶対数、または 1 から 100 までのパーセント値で指定できます。パーセント値を指定した場合、実効帯域幅制限は、物理インターフェイスのメディア レートまたは論理インターフェイスで構成されたシェーピング レートのいずれかの割合として計算されます。

  • バーストサイズ制限 - データのバーストに許可される最大サイズ。バースト サイズはバイト単位で測定されます。バースト サイズの計算には、次の 2 つの式をお勧めします。

    バースト サイズ = 帯域幅 x バースト トラフィックの許容時間 / 8

    又は

    バースト サイズ = インターフェイス MTU x 10

    バースト サイズの設定については、 トラフィック ポリサーの適切なバースト サイズを決定するを参照してください。

    注:

    インターフェイスには有限のバッファ空間があります。一般に、インターフェイスの推定合計バッファー深度は約 125 ミリ秒です。

設定された制限に準拠するトラフィックフロー(グリーントラフィックとして分類)の場合、パケットは暗黙的にPLP(パケット損失優先度)レベル低でマークされ、無制限にインターフェイスを通過できます。

設定された制限を超えるトラフィックフロー(レッドトラフィックとして分類)の場合、パケットはポリサーに設定されたトラフィックポリシングアクションに従って処理されます。この例では、15 KBps の制限を超えてバーストするパケットを破棄します。

レイヤー 3 トラフィックのレート制限を行うには、以下の方法で 2 色ポリサーを適用します。

  • 特定のプロトコルレベルで、論理インターフェイスに直接接続します。

  • 特定のプロトコルレベルで論理インターフェイスに適用される標準ステートレスファイアウォールフィルターのアクションとして。これは、この例で使用されている手法です。

レイヤー 2 トラフィックのレートを制限するには、論理インターフェイス ポリサーとしてのみ 2 色ポリサーを適用できます。ファイアウォールフィルターを介してレイヤー2トラフィックに2色ポリサーを適用することはできません。

注意:

ポリサー内で帯域幅制限または帯域幅パーセントのいずれかを選択できますが、これは相互に排他的です。集約インターフェイス、トンネルインターフェイス、およびソフトウェア インターフェイスに帯域幅の割合を使用するようにポリサーを設定することはできません。

この例では、ホストは Web サーバーをエミュレートするトラフィック ジェネレーターです。デバイス R1 および R2 は、サービス プロバイダが所有しています。Web サーバーには、デバイス Host2 上のユーザーがアクセスします。デバイスHost1は、送信元TCP HTTPポートが80のトラフィックをユーザーに送信します。シングルレート2カラーポリサーが設定され、デバイスHost1に接続するデバイスR1上のインターフェイスに適用されます。ポリサーは、デバイス Host1 とデバイス R1 を接続するリンク上を流れる Web トラフィックに対して、Web サーバーの所有者とデバイス R1 を所有するサービス プロバイダーとの間で行われる契約上の帯域幅の可用性を強制します。

Web サーバーの所有者とデバイス R1 およびデバイス R2 を所有するサービス プロバイダーとの間で締結された契約上の帯域幅の可用性に応じて、ポリサーは、ホスト デバイス Host1 から発信される HTTP ポート 80 のトラフィックを、ホスト デバイス Host1 とデバイス R1 間のギガビット イーサネット インターフェイスの MTU サイズの 10 倍の許容バースト レートで、利用可能な帯域幅の 700 Mbps(70%)を使用するように制限します。

注:

実際のシナリオでは、FTP、SFTP、SSH、TELNET、SMTP、IMAP、POP3 など、他のさまざまなポートのトラフィックもレート制限します。これは、多くの場合、Web ホスティング サービスの追加サービスとして含まれているためです。

注:

ルーティング プロトコル、DNS、およびネットワーク接続の運用を維持するために必要なその他のプロトコルなどのネットワーク制御プロトコルのレート制限を受けない追加の帯域幅を利用できるようにしておく必要があります。これが、ファイアウォールフィルターに最終的な受け入れ条件がある理由です。

トポロジー

この例では、 図 1 のトポロジーを使用しています。

図 1: シングルレート 2 カラー ポリサーのシナリオシングルレート 2 カラー ポリサーのシナリオ

図 2 は、ポリシングの動作を示しています。

図 2: シングルレート 2 カラー ポリサーのシナリオでのトラフィック制限シングルレート 2 カラー ポリサーのシナリオでのトラフィック制限

設定

手順

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

デバイスR1

デバイスR2

ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、Junos OS CLIユーザーガイド設定モードでCLIエディターを使用する を参照してください。

Device R1を設定するには:

  1. デバイスインターフェイスを設定します。

  2. ファイアウォールフィルターを入力フィルターとしてインターフェイスge-2/0/5に適用します。

  3. ポリサーを構成して、HTTP トラフィック(TCP ポート 80)の帯域幅を 700 Mbps、バースト サイズを 15000 KBps に制限します。

  4. red トラフィックフローのパケットを破棄するようにポリサーを設定します。

  5. ポート HTTP (ポート 80) へのすべての TCP トラフィックを受け入れるように、ファイアウォールの 2 つの条件を構成します。

  6. ポリサーを使用して HTTP TCP トラフィックのレートを制限するようにファイアウォール アクションを構成します。

  7. ファイアウォールフィルターの最後に、他のすべてのトラフィックを受け入れるデフォルトアクションを設定します。

    それ以外の場合、インターフェイスに到着し、ファイアウォールによって明示的に受け入れられないすべてのトラフィックは破棄されます。

  8. OSPFを設定します。

ステップバイステップでの手順

デバイスR2 を設定するには:

  1. デバイスインターフェイスを設定します。

  2. OSPFを設定します。

結果

設定モードから、 show interfacesshow firewall、および show protocols ospf コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイス R1 の設定が完了したら、設定モードから commit を入力します。

デバイス R2 の設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

カウンターのクリア

目的

ファイアウォール カウンターがクリアされていることを確認します。

アクション

デバイスR1で、 clear firewall all コマンドを実行して、ファイアウォールカウンターを0にリセットします。

ネットワークへのTCPトラフィックの送信と破棄の監視

目的

送信される対象のトラフィックが、入力インターフェイス(ge-2/0/5)でレート制限されていることを確認します。

アクション
  1. トラフィック ジェネレーターを使用して、送信元ポート 80 で 10 個の TCP パケットを送信します。

    -s フラグは送信元ポートを設定します。-k フラグを指定すると、ソース・ポートは増加するのではなく、80 で安定します。-c フラグは、パケット数を 10 に設定します。-d フラグはパケット・サイズを設定します。

    宛先 IP アドレス 172.16.80.1 は、デバイス R2 に接続されているデバイス ホスト 2 に属しています。デバイス ホスト 2 のユーザーが、デバイス ホスト 1 (デバイス ホスト 1 のトラフィック ジェネレーターによってエミュレートされた Web サーバー)から Web ページを要求しました。レート制限されるパケットは、デバイス ホスト 2 からの要求に応答して、デバイス ホスト 1 から送信されます。

    注:

    この例では、ポリサー番号を帯域幅制限 8 Kbps、バースト サイズ制限 1500 KBps に減らして、このテスト中に一部のパケットがドロップされるようにしています。

  2. デバイスR1で、 show firewall コマンドを使用してファイアウォールカウンターを確認します。

意味

ステップ1と2では、両方のデバイスからの出力は、4つのパケットが破棄されたことを示しています。 これは、少なくとも 8 Kbps の緑(コントラクト内 HTTP ポート 80)トラフィックがあり、赤のコントラクト外 HTTP ポート 80 トラフィックの 1500 KBps バースト オプションを超えたことを意味します。

例:同じインターフェイスでのインターフェイスとファイアウォールフィルターポリサーの設定

この例では、3 つのシングルレート 2 カラー ポリサーを設定し、同じシングルタグ仮想 LAN(VLAN)論理インターフェイスで IPv4 入力トラフィックにポリサーを適用する方法を示します。

要件

この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、3 つのシングルレート 2 カラー ポリサーを設定し、同じシングルタグ VLAN 論理インターフェイスの IPv4 入力トラフィックにポリサーを適用します。2 つのポリサーはファイアウォール フィルターを介してインターフェイスに適用され、1 つのポリサーはインターフェイスに直接適用されます。

p-all-1m-5k-discard という名前のポリサーを 1 つ構成して、5000 バイトのバースト サイズでトラフィックを 1 Mbps に制限します。このポリサーは、論理インターフェイスで IPv4 入力トラフィックに直接適用します。論理インターフェイスでプロトコル固有のトラフィックにポリサーを直接適用する場合、ポリサーは インターフェイス ポリサーとして適用されると言われ ます。

他の 2 つのポリサーは 500 KB のバースト サイズを許可するように構成し、IPv4 標準のステートレス ファイアウォール フィルターを使用して、これらのポリサーを論理インターフェイスの IPv4 入力トラフィックに適用します。ファイアウォールフィルターアクションを介して論理インターフェイスのプロトコル固有のトラフィックにポリサーを適用する場合、ポリサーは ファイアウォールフィルターポリサーとして適用されると言われ ます。

  • p-icmp-500k-500k-discard という名前のポリサーを設定して、これらの制限に適合しないパケットを破棄する ことで、 500 K バイトのバースト サイズでトラフィックを 500 Kbps に制限します。ファイアウォール フィルター条件の 1 つを設定して、このポリサーをインターネット制御メッセージ プロトコル (ICMP) パケットに適用します。

  • p-ftp-10p-500k-discardという名前のポリサーを構成すると、これらの制限に適合しないパケットを破棄する ことで、バースト サイズ500 KBの帯域幅 10%にトラフィックをレート制限できます。別のファイアウォール フィルター条件を設定して、このポリサーをファイル転送プロトコル (FTP) パケットに適用します。

(絶対帯域幅値ではなく)パーセンテージ値で表される帯域幅制限で設定するポリサーは、 帯域幅 ポリサーと呼ばれます。パーセンテージ帯域幅を指定して設定できるのは、シングルレート2カラーポリサーのみです。デフォルトでは、帯域幅ポリサーは、ターゲット論理インターフェイスの基礎となる物理インターフェイスのラインレートの指定された割合にトラフィックをレート制限します。

トポロジー

ターゲット論理インターフェイスは、100 Mbpsで動作するファストイーサネットインターフェイス上の単一タグVLAN論理インターフェイスとして設定します。つまり、10% の帯域幅制限で設定したポリサー(FTP パケットに適用するポリサー)は、このインターフェイスの FTP トラフィックを 10 Mbps にレート制限します。

注:

この例では、帯域幅ポリサーを 論理帯域幅ポリサー として設定しません。したがって、割合は、論理インターフェイスの設定されたシェーピング レートではなく、物理メディア レートに基づきます。

2 つのポリサーを参照するように設定するファイアウォール フィルターは、 インターフェイス固有のフィルターとして設定する必要があります。FTP パケットのレート制限に使用されるポリサーは帯域幅制限をパーセンテージ値で指定するため、このポリサーを参照するファイアウォール フィルターはインターフェイス固有のフィルターとして構成する必要があります。したがって、この例のファスト イーサネット インターフェイスだけでなく、このファイアウォール フィルターを複数のインターフェイスに適用すると、フィルターが適用されるインターフェイスごとに固有のポリサーとカウンターが作成されます。

設定

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。

この例を設定するには、以下のタスクを実行します。

CLIクイック構成

この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。

単一タグVLAN論理インターフェイスの設定

ステップバイステップでの手順

単一タグVLAN論理インターフェイスを設定するには:

  1. ファストイーサネットインターフェイスの設定を有効にします。

  2. 単一タグVLANフレーミングを有効にします。

  3. VLAN ID を論理インターフェイスにバインドします。

  4. 単一タグのVLAN論理インターフェイスでIPv4を設定します。

結果

show interfaces 設定モード コマンドを入力して、VLAN の設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。

3 つのポリサーの設定

ステップバイステップでの手順

3 つのポリサーを構成するには:

  1. 帯域幅 1 Mbps、バースト サイズ 5000 バイトに適合しないパケットを破棄する 2 色ポリサーの設定を有効にします。

    注:

    このポリサーは、単一タグVLAN論理インターフェイスのすべてのIPv4入力トラフィックに直接適用して、レート制限の対象になる前にパケットがフィルタリングされないようにします。

  2. 最初のポリサーを設定します。

  3. 「10%」と指定された帯域幅と500,000バイトのバーストサイズに適合しないパケットを破棄する2カラーポリサーの設定を有効にします。

    このポリサーは、単一タグの VLAN 論理インターフェイスの FTP トラフィックにのみ適用します。

    このポリサーは、TCPからのFTPパケットと一致するIPv4ファイアウォールフィルター条件のアクションとして適用します。

  4. ポリシングの制限とアクションを設定します。

    帯域幅制限はパーセンテージで指定されるため、このポリサーを参照するファイアウォールフィルターは、インターフェイス固有のフィルターとして設定する必要があります。

    注:

    このポリサーを(物理インターフェイス メディア レートの 10% ではなく)論理インターフェイス設定されたシェーピング レート レートの 10 % に制限する場合は、[edit firewall policer p-all-1m-5k-discard]階層レベルに logical-bandwidth-policer ステートメントを含める必要があります。このタイプのポリサーは、 論理帯域幅ポリサーと呼ばれます。

  5. ICMP パケットの IPv4 ファイアウォール フィルター ポリサーの構成を有効にします。

  6. ポリシングの制限とアクションを設定します。

結果

show firewall 設定モード コマンドを入力して、ポリサーの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。

IPv4ファイアウォールフィルターの設定

ステップバイステップでの手順

IPv4ファイアウォールフィルターを設定するには:

  1. IPv4ファイアウォールフィルターの設定を有効にします。

  2. ファイアウォールフィルターをインターフェイス固有として設定します。

    参照されるポリサーの1つがパーセンテージ値で表される帯域幅制限で構成されているため、ファイアウォールフィルターはインターフェイス固有である必要があります。

  3. FTP パケットのレートを制限するためのフィルター条件の設定を有効にします。

    FTP メッセージは、TCP ポート 20 (ftp) で送信され、TCP ポート 21 (ftp-data) で受信されます。

  4. FTPパケットに一致するようにフィルター条件を設定します。

  5. ICMP パケットのレートを制限するためのフィルター条件の設定を有効にします。

  6. ICMPパケットのフィルター条件を設定します

  7. フィルター条件を設定して、ポリシングなしで他のすべてのパケットを受け入れるようにします。

結果

show firewall 設定モード コマンドを入力して、ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。

インターフェイス ポリサーとファイアウォール フィルター ポリサーの論理インターフェイスへの適用

ステップバイステップでの手順

3 つのポリサーを VLAN に適用するには:

  1. 論理インターフェイスで IPv4 の設定を有効にします。

  2. ファイアウォールフィルターポリサーをインターフェイスに適用します。

  3. インターフェイス ポリサーをインターフェイスに適用します。

    fe-0/1/1.0の入力パケットは、ファイアウォール フィルター ポリサーに対して評価される前に、インターフェイス ポリサーに対して評価されます。詳細については、ポリサーとファイアウォールフィルターの動作順序を参照してください。

結果

show interfaces 設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

論理インターフェイスに直接適用されたポリサーの表示

目的

論理インターフェイスでパケットを受信したときに、インターフェイス ポリサーが評価されることを確認します。

アクション

論理インターフェイスfe-0/1/1.1には、show interfaces policers 動作モード コマンドを使用します。Proto列とInput Policer列のコマンド出力セクションは、論理インターフェイスでパケットが受信されたときにポリサーp-all-1m-5k-discardが評価されることを示しています。

この例では、インターフェイス ポリサーは入力方向の論理インターフェイス トラフィックにのみ適用されます。

論理インターフェイスに直接適用されたポリサーの統計情報の表示

目的

インターフェイス ポリサーによって評価されたパケットの数を確認します。

アクション

show policer 動作モード コマンドを使用し、オプションでポリサーの名前を指定します。コマンドの出力は、設定された各ポリサー(または指定されたポリサー)が各方向に評価したパケットの数を表示します。

インターフェイスに適用されたポリサーとファイアウォールフィルターの表示

目的

ファイアウォールフィルター filter-ipv4-with-limits が、論理インターフェイス fe-0/1/1.1でIPv4入力トラフィックに適用されていることを確認します。

アクション

論理インターフェイスfe-0/1/1.1には show interfaces statistics operational mode コマンドを使用し、detail オプションを含めます。コマンド出力セクションの Protocol inet セクションの Input Filters 行と Policer 行には、入力方向の論理インターフェイスに適用されたフィルターとポリサーの名前が表示されます。

この例では、2 つのファイアウォール フィルター ポリサーが入力方向の論理インターフェイス トラフィックにのみ適用されます。

ファイアウォールフィルターポリサーの統計情報の表示

目的

ファイアウォール フィルター ポリサーによって評価されたパケットの数を確認します。

アクション

論理インターフェイスに適用したフィルターの show firewall operational mode コマンドを使用します。

コマンド出力には、ポリサーの名前(p-ftp-10p-500k-discard および p-icmp-500k-500k-discard)と、ポリサー・アクションを指定するフィルター条件の名前(それぞれt-ftp および t-icmp)が表示されます。ポリサー固有の出力行には、フィルター条件に一致したパケットの数が表示されます。これは仕様外(仕様外)のパケット数に過ぎず、ポリサーがポリサーによってポリシングするすべてのパケットではありません。