Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

マルチフィールド分類

複数フィールドの分類の概要

転送クラスと PLP レベル

各パケットを転送クラス、PLP(パケット損失優先度)レベル、または以下の両方に関連付けすることで、受信トラフィックを分類する Junos OS サービス クラス(CoS)機能を設定できます。

  • 関連付けられた転送クラスに基づいて、各パケットが出力キューに割り当てられ、設定したスケジューリングに従って、ルーターが出力キューを提供します。

  • 関連する PLP に基づいて、各パケットは輻輳が発生した場合にドロップする可能性が低くなります。CoS ランダムな初期検知 (RED) プロセスでは、ドロップの確率設定、出力キューの内容量指定率、パケット PLP を使用して、必要に応じてパケットをドロップし、出力ステージで輻輳を制御します。

マルチフィールド分類と BA の分類

このアプリケーション はJunos OS一般的な 2 種類のアプリケーションをパケット分類。動作集約 (BA) 分類とマルチフィールド分類:

  • BA 分類、CoS 価値トラフィック分類とは、CoS 構成を使用して、IP パケットヘッダーのCoS 値に基づいて、パケットの転送クラスまたは PLP を設定するパケット分類の方法を指します。BA 分類の目的で検証される CoS 値は、差別化サービスコードポイント (DSCP) 値、DSCP IPv6 値、IP 優先値、MPLS EXP ビット、IEEE 802.1 p 値です。デフォルトの分類子は IP の優先度の値に基づいています。

  • マルチフィールド分類とは、標準のステートレスファイアウォールフィルタ構成を使用して、インターフェイスを出入りする各パケットに対して転送クラスまたは PLP を設定するためのパケット分類方法を示します。IP パケットヘッダー (DSCP 値 (IPv4 のみ)、IP 優先度の値、MPLS EXP のビット、IEEE 802.1 p ビットが含まれます。マルチフィールド分類は、通常、IP アドレスフィールド、IP プロトコルタイプフィールド、または UDP または TCP 擬似ヘッダーフィールドのポート番号に一致します。パケット情報の CoS 値以外の情報に基づいてパケットを分類する必要がある場合、BA 分類の代わりにマルチフィールド分類が使用されます。

    マルチフィールド分類では、ファイアウォール フィルタ条件では、条件の節でアクションを実行するか、またはを使用して、パケットに一致する パケット分類 アクションを forwarding-class class-nameloss-priority (high | medium-high | medium-low | low) 指定 then できます。

注:

パケットの BA 分類は、ステートレスファイアウォールフィルタアクションforwarding-classloss-priorityによって無効にすることができます。

マルチフィールド分類は、ポリサーと連携して使用されます。

レート制限付きでマルチフィールド分類を構成するには、ファイアウォールフィルタ条件では、パケットを照合するパケット分類アクションを指定policerするために、単一レートの2色を参照する終端以外のアクションを使用します。ポリサー.

マルチフィールド分類が、ポリサーを使用して分類を実行するように設定されている場合、トラフィックフロー内のフィルターマッチングパケットは、指定したトラフィック制限数のレートに制限されます。フィルター一致パケットの準拠フロー内のパケットは、 low暗黙的に PLP に設定されます。トラフィックフローが一致しないパケットは、破棄することも、指定された転送クラスに設定するか、特定の PLP レベルに設定することもできます。または、この両方を使用して、ポリサーのタイプや不適合トラフィックを処理するように設定する方法によって異なります。

注:

マルチフィールド分類機能を実行するファイアウォールフィルターと、同じ論理インタフェースに対して同じトラフィック方向のポリサーを適用する前に、ポリサーとファイアウォールフィルタ操作の順序を考慮しておく必要があります。

例として、次のようなシナリオを考えてみます。

  • マルチフィールド分類を実行するファイアウォール フィルターを設定します(転送クラス、PLP、または両方を設定して、対応するパケットに対して動作します)、パケットの既存の転送クラスまたは PLP に基づいて行います。論理インターフェイスの入力時にファイアウォールフィルターを適用します。

  • また、パケットを破棄するのではなく、再マーキング (転送クラス、PLP、またはその両方を設定) することによって赤のトラフィックフローに作用する2つの単一のカラーポリサーを構成します。この場合、ファイアウォールフィルタを適用するのと同じ論理インタフェースの入力時に、ポリサーをインタフェースポリサーとして適用します。

ポリサーとファイアウォールの運用の順序が原因で、入力ファイアウォールの処理が完了する前に実行されます。つまり、ファイアウォールフィルターによって指定されたマルチフィールド分類は、ポリシー適用によって既に再マークされている入力パケットに対して実行されます。したがって、ファイアウォールフィルタ条件に指定された条件と一致する入力パケットは、その期間内に指定されforwarding-classloss-priorityまたは終端以外のアクションに従って、2回目のマーキングに従います。

マルチフィールド分類の要件と制限

サポートされるプラットフォーム

loss-priority ファイアウォールフィルタアクションは、以下のルーティングプラットフォームでのみサポートされています。

  • EX シリーズスイッチ

  • 拡張 CFEB (CFEB-E) を使用した M7i と M10i ルーター

  • M120 と M320 ルーター

  • MX シリーズ ルーター

  • T Series IIフレキシブルPICコンセントレータ(FPC)を搭載したルーターの拡張

  • PTX シリーズルーター

Tricolor のマーキング要件を CoS

ファイアウォール loss-priority フィルタ アクションは、RFC 2698 で定義されている 3 色マーキング機能CoSプラットフォーム固有の要件を持っています。

  • M320 ルーターでは、CoS tricolor マーキング機能を有効にしloss-priorityない限り、ファイアウォールフィルタアクションが含まれている設定をコミットすることはできません。

  • loss-priorityファイアウォールフィルタアクションをサポートするすべてのルーティングプラットフォームでは、CoS loss-priority tricolor マーキング機能をmedium-low有効にしない限り、ファイアウォールフィルタアクションを設定することはmedium-highできません。.

CoS tricolor マーキング機能を有効にするにはtri-color[edit class-of-service]階層レベルで明細書を追加します。

制限

同一のファイアloss-priorityウォールthree-color-policerフィルタ条件に対して、非終端のアクションを設定することはできません。これら2つの終端以外のアクションは相互に排他的です。

注:

PTX シリーズルーターでは、 policerアクションを設定するルールforwarding-classloss-priorityアクションを組み合わせないで、動作を別のルールで設定する必要があります。参照PTX シリーズパケットトランスポートルーターと T Series のマトリクスルーター間のファイアウォールおよびポリシーの比較してください。

マルチフィールド分類とマルチM Series制限

点入力フィルター分類での出力フィルターマッチング

M Series ルーター(M120 ルーターを除く)では、同じ IPv4 論理インターフェイスに入力フィルターが適用されたイングレス分類に基づいて、パケットを出力フィルター一致で分類することはできません。

たとえば、次のような構成では、すべてingressの受信 IPv4 パケットがexpedited-forwardingクラスに割り当てられます。このフィルタはegressexpedited-forwardingingressフィルタ内のクラスに割り当てられたすべてのパケットをカウントします。この設定は、ほとんどのルーターではM Seriesしません。これは、他のすべてのルーティング プラットフォーム(ルーティング ルーター、M120 ルーター、MX シリーズ ルーターなど)T Seriesします。

代替受信フィルタのすべてのアクションを構成します。

回避策として、入口フィルターのすべてのアクションを設定できます。

例:マルチフィールド分類の構成

この例では、ファイアウォールフィルタアクションと2つのファイアウォールフィルタポリサーを使用して、IPv4 トラフィックのマルチフィールド分類を構成する方法について説明します。

要件

開始する前に、次の例に示す機能が環境によってサポートされていることを確認してください。

  1. loss-priorityファイアウォールフィルタアクションはルーターでサポートされ、4つのすべての値に構成可能でなければなりません。

    1. loss-priorityファイアウォールフィルタアクションを設定できるようにするには、次のいずれge-1/2/0.0かのルーティングプラットフォーム上の論理インタフェースでこの例を設定します。

      • MX シリーズ ルーター

      • M120 または M320 ルーター

      • 拡張 CFEB (CFEB-E) を使用した M7i または M10i ルーター

      • T Series II フレキシブル PIC コンセントレータ(FPC)を搭載したルーターの拡張

    2. loss-priorityファイアウォールフィルタアクションを設定できるようにするmedium-lowmedium-highは、CoS tricolor のマーキング機能が有効になっていることを確認します。CoS tricolor マーキング機能を有効にするにはtri-color[edit class-of-service]階層レベルで明細書を追加します。

  2. expedited-forwardingおよび転送assured-forwardingクラスは、基盤となる物理インタフェースge-1/2/0上でスケジュールされている必要があります。

    1. 以下の転送クラスが出力キューに割り当てられていることを確認してください。

      • expedited-forwarding

      • assured-forwarding

      転送クラスの割り当ては、 [edit class-of-service forwarding-classes queue queue-number]階層レベルで設定されます。

      注:

      2つの異なるキューに同じ転送クラスを割り当てる構成をコミットすることはできません。

    2. 転送クラスが割り当てられている出力キューが、スケジューラに関連付けられていることを確認してください。スケジューラは、キューに割り当てられたインターフェイス帯域幅の量、パケットを格納するために割り当てられるメモリバッファーのサイズ、キューの優先度、およびキューに関連付けられたランダムな早期検知 (赤色) ドロッププロファイルを定義します。

      • その階層レベルで、 [edit class-of-service schedulers]出力キュースケジューラを構成します。

      • [edit class-of-service scheduler-maps map-name]階層レベルで設定したスケジューラマップを使用して、出力キュースケジューラを転送クラスに関連付けることができます。

    3. 出力キューのスケジューリングが物理インタフェースge-1/2/0に適用されていることを確認してください。

      スケジューリングマップは、階層レベルの[edit class-of-service interfaces ge-1/2/0 scheduler-map map-name]物理インタフェースに適用します。

概要

この例では、ステートレスファイアウォールフィルターアクションと、ファイアウォールフィルタから参照される2つのファイアウォールフィルタポリサーを使用して、論理インターフェイスでの入力 IPv4 トラフィックにマルチフィールド分類を適用します。送信元アドレスフィールドに基づいて、パケットは損失のlow優先度またはポリサーに設定されます。どちらのポリサーも、不適合トラフィックを破棄するわけではありません。準拠していないフローのパケットは、特定のexpedited-forwarding転送assured-forwardingクラス (または) にマークされ、特定の損失の優先度を設定した後、伝送を行います。

注:

1対の2カラーポリサーでは、損失の優先度がlow暗黙的に設定された後、常に準拠するトラフィックフローにパケットを送信します。

Topology

この例では、マルチフィールド分類を論理インターフェイスge-1/2/0.0上の IPv4 トラフィックに適用します。分類ルールは、IPv4 ステートレスファイアウォールフィルタmfc-filterと、2個のシングルレート2色ポリサー ef-policerで指定af-policerされています。

IPv4 標準のステートレスファイアmfc-filterウォールフィルターは、次の3つのフィルター条件を定義します。

  • isp1-customers—最初のフィルタ条件は、送信元アドレス 10.1.1.0/24 または 10.1.2.0/24 でパケットを一致します。一致したパケットはexpedited-forwarding転送クラスに割り当てられ、 low損失の優先度に設定されます。

  • isp2-customers—2 番目のフィルタ条件は、送信元アドレス 10.1.3.0/24 または 10.1.4.0/24 でパケットを一致します。一致するパケットを、トラフィックを帯域幅制限の 300 Kbps に制限し、バースト サイズの制限は 50 KB のポリシーで処理します ef-policer 。このポリサーは、不適合フロー内のパケットをexpedited-forwarding転送クラスとしてマークし、損失highの優先度に設定することを指定します。

  • other-customers—3 番目と最後のフィルタ条件は、他のすべてのパケットを、トラフィックを 300 Kbps の帯域幅制限にレート制限するポリシー、 af-policer および 50 KB のバースト サイズ制限(によって定義されるトラフィック制限と同じ)に渡します。 ef-policer このポリサーは、不適合フロー内のパケットをassured-forwarding転送クラスとしてマークし、損失medium-highの優先度に設定することを指定します。

構成

次の例では、構成階層のさまざまなレベルを移動する必要があります。詳細については、 を参照してください。詳細CLIを参照 設定 モード の CLI 編集者 してください。

この例を構成するには、以下のタスクを実行します。

CLI クイック構成

この例を簡単に構成するには、以下の構成コマンドをテキストファイルにコピーし、改行を削除してから、コマンドを[edit]階層レベルで CLI に貼り付けます。

優先転送および保証される転送トラフィックを制限するためのポリサーの設定

順を追った手順

ポリサーを評価するために、優先転送と保証が制限されるトラフィックを設定するには、以下のようにします。

  1. 優先転送トラフィックのトラフィック制限を定義します。

  2. 保証された転送トラフィック用に、ポリサーを構成します。

結果

show firewall設定モードのコマンドを入力して、ポリサーの構成を確認します。コマンドの出力に意図した構成が表示されない場合は、この手順の手順を繰り返して設定を修正します。

ポリシー適用も対象としたマルチフィールド分類フィルタの構成

順を追った手順

複数のフィールド分類フィルターを設定するには、以下のようにしてポリシーを適用します。

  1. IPv4 トラフィックのためのファイアウォールフィルタ条件の設定を有効にします。

  2. ソースアドレスに一致する最初の用語を構成し、一致したパケットを分類します。

  3. 2つ目の用語が異なるソースアドレスに一致するように構成し、一致したパケットを警察に設定します。

  4. 3つ目の条件を設定して、他のすべてのパケットを別のトラフィック制限とアクションに設定します。

結果

show firewall設定モードのコマンドを入力して、フィルタの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この手順の手順を繰り返して設定を修正します。

マルチフィールド分類フィルタリングとポリシー適用を論理インターフェイス

順を追った手順

マルチフィールド分類フィルタリングとポリシー適用を論理インタフェースに実行するには、次のようにします。

  1. 論理インタフェースでの IPv4 の設定を有効にします。

  2. 論理インタフェースの IP アドレスを設定します。

  3. 論理インターフェイスの入力にファイアウォールフィルターを適用します。

    注:

    フィルターの前にポリサーが実行されるため、入力ポリサーが論理インターフェイス上でも設定されている場合、そのインターフェイスに関連付けられたマルチフィールドクラシファイアの転送クラスと PLP を使用することはできません。

結果

show interfaces設定モードのコマンドを入力して、インターフェイスの設定を確認します。コマンドの出力に意図した構成が表示されない場合は、この手順の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

論理インターフェイスで、ポリサーによって処理されたパケット数を表示します。

目的

論理インタフェースを通過するトラフィックフローを検証し、そのパケットが論理インタフェースで受信されたときに、ポリサーが評価されることを確認します。

アクション

論理インターフェイスshow firewallに適用したフィルターに対して、運用モードコマンドを使用します。

このコマンド出力には、ファイアウォールフィルタrate-limit-inによって適用されるポリサーと、フィルタ条件に一致したパケットの数がリストします。

注:

パケット数には、アウトオブスペック (仕様外) パケット数が含まれています。これは、すべてのパケットをポリサーによって排除することではありません。

ポリサー名は、ファイアウォールフィルタ条件の名前とともに表示されます。これは、このポリサーがアクションとして参照しています。

例:マルチフィールドの分類子のためのファイアウォールフィルタの構成と適用

この例は、マルチフィールドのクラシファイアを使用してトラフィックを分類するために、ファイアウォールフィルタを設定する方法を示しています。分類子は、サービスクラス (CoS) に対する関心のあるパケットを、インターフェイスに到達するたびに検知します。ピアリング ルーターに CoS ビットがマークされていない場合、またはピアリング ルーターのマーキングが信頼できない場合、BA(シンプルな動作集約(BA)分類ではパケットの分類には不十分な場合、マルチフィールドの分類が使用されます。

要件

この手順を確認するために、この例ではトラフィックジェネレーターを使用しています。トラフィックジェネレーターは、ハードウェアベースの場合もあれば、サーバーまたはホストマシン上で実行されるソフトウェアの場合もあります。

この手順の機能は、Junos OS 動作するデバイスで幅広くサポートされています。この例は、Junos OS リリース10.4 を実行している MX シリーズルーターでテストおよび検証されています。

概要

分類子とは、パケットがルーターまたはスイッチに入ったときに、それを検査するソフトウェア操作です。パケットヘッダーの内容が調査され、この調査により、ネットワークがビジー状態ですべてのパケットを処理するためにパケットがどのように処理されるのかを決定します。また、パケットを無差別にドロップするのではなく、デバイスからパケットをインテリジェントに破棄する必要があります。関心のあるパケットを発信元ポート番号で検知する一般的な方法です。この例では、TCP ポート番号80と12345が使用されていますが、パケット検出に関するその他多くの条件は、ファイアウォールフィルタマッチ条件を使用してマルチフィールド分類子に対して使用できます。この例の構成では、送信元ポート80を持つ TCP パケットが、データ転送クラスとキュー番号0に分類されるように指定しています。送信元ポート12345を使用する TCP パケットは、プレミアムデータ転送クラスとキュー番号1に分類されます。

マルチフィールド分類子は通常、パケットが自律システム (AS) に入るときに、ネットワークエッジで使用されます。

この例では、ファイアウォールフィルタの mf 分類子を設定し、デバイス R1 上でいくつかのカスタム転送クラスを指定します。カスタム転送クラスを指定するには、各クラスをキューに関連付けます。

分類子の操作はに図 1示されています。

図 1: TCP 送信元ポートに基づいたマルチフィールドクラシファイアTCP 送信元ポートに基づいたマルチフィールドクラシファイア

マルチフィールド分類子のファイアウォール フィルタは、フィルタを必要とする各顧客対応インターフェイスまたはホスト側のインターフェイスに入力フィルターとして適用します。受信インターフェースは、デバイス R1 では ge-1/0/1 です。分類とキューの割り当ては、アウトゴーイングインターフェイスで検証されます。送信インターフェイスは、デバイスR1のge-1/0/9インターフェイスです。

Topology

図 2は、サンプルネットワークを示しています。

図 2: マルチフィールドクラシファイアのシナリオマルチフィールドクラシファイアのシナリオ

CLI クイック構成は、すべてのジュニパーネットワークスデバイスの設定を示し図 2ています。

このセクション#d26e82__d26e177では、デバイス R1 の手順について説明します。

分類子の詳細については、次のジュニパーネットワークスバイトのビデオを参照してください。

構成

手順

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから入力します。

デバイス R1

デバイス R2

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。デバイスのナビゲーションの詳細については、「 CLI ガイド 」の「 設定モードでの CLI Junos OS CLI エディター の使用 」 を参照してください

デバイス R1 を構成するには、次のようになります。

  1. デバイスインターフェイスを構成します。

  2. カスタム転送クラスと関連するキュー番号を構成します。

  3. 発信元ポートが 80 (HTTP トラフィック) の TCP トラフィックを、キュー0に関連付けられたデータ転送クラスに送信されるように、ファイアウォールフィルタ条件を設定します。

  4. "キュー 1" に関連付けられたプレミアムデータ転送クラスに、送信元ポートが12345の TCP トラフィックを配置するファイアウォールフィルタ条件を設定します。

  5. ファイアウォールフィルターの最後に、その他すべてのトラフィックを受け入れるデフォルトの用語を設定します。

    そうしないと、インターフェイスで受信しても、ファイアウォールフィルターによって明示的に受け入れられていないすべてのトラフィックが破棄されます。

  6. ファイアウォールフィルターを、ge-1/0/1 インターフェイスに入力フィルターとして適用します。

結果

設定モードから、「, show interfacesshow class-of-serviceshow firewallコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

CoS の設定を確認しています

目的

転送クラスが正しく設定されていることを確認します。

アクション

デバイス R1 からshow class-of-service forwardng-classesコマンドを実行します。

この出力は、構成されたカスタム分類子設定を示しています。

TCP トラフィックをネットワークに送信し、キューの配置を監視する

目的

対象となるトラフィックが、必要なキューに送信されていることを確認します。

アクション
  1. デバイス R1 の送信インターフェイスのインターフェイス統計情報を消去します。

  2. トラフィックジェネレーターを使用して、50 TCP ポート80パケットをデバイス R2 またはその他のダウンストリームデバイスに送信します。

  3. デバイス R1 上で、キューカウンターを確認します。

    受信側のインターフェイスではなく、下流の出力インターフェイス上のキューカウンターをチェックすることに注意してください。

  4. トラフィックジェネレーターを使用して、50 TCP ポート12345パケットをデバイス R2 またはその他のダウンストリームデバイスに送信します。

  5. デバイス R1 上で、キューカウンターを確認します。

この出力は、パケットが適切に分類されていることを示しています。TCP パケットでポート80が使用されている場合、queue 0 は増加します。ポート12345が使用されると、queue 1 が増えます。