ポリサーの概要
スイッチは、ユーザーが定義した基準に従って、トラフィッククラスの入力または出力送信レートを制限することで、トラフィックをポリシングします。ポリシング(またはレート制限)トラフィックにより、インターフェイス上で送受信されるトラフィックの最大レートを制御し、複数の優先度レベルまたはサービスクラスを提供できます。
ポリシングは、ファイアウォール フィルターの重要なコンポーネントでもあります。 ファイアウォール フィルター 設定にポリサーを含めることで、ポリシングを実現できます。
ポリサーの概要
ポリサーを使用してトラフィック フローに制限を適用し、これらの制限を超えるパケットに結果を設定することで(通常は損失の優先度が高くなります)、パケットがダウンストリームの輻輳に遭遇した場合、パケットを最初に破棄することができます。ポリサーは、ユニキャスト パケットにのみ適用されます。
ポリサーには、計測とマーキングという 2 つの機能があります。ポリサーは、設定したトラフィック レートとバースト サイズに対して各パケットを測定(測定)します。次に、パケットと測定結果をマーカーに渡し、測定結果に対応するパケット損失の優先度を割り当てます。 図 1 は 、このプロセスを示しています。
ポリサーは、PFE ごとに設定された伝送速度でトラフィックを制限します。QFX10016、QFX10002、QFX10002-60C、QFX10008 スイッチでは、集約型イーサネット(AE)インターフェイス バンドルが複数の PFE にまたがると、加入者のポリサーの全体的な伝送速度が、構成済みのポリサーの伝送レート(関係する PFE の数に応じて)を超える可能性があります。
例として、
-
メンバー リンク xe-1/0/0(fpc1-pfe0)と xe-1/0/30(fpc1-pfe1)を持つ AE インターフェイスに帯域幅制限 100 mbps を設定したポリサー。ここでは、2つのメンバー・リンクはFPC1に属していますが、異なるPFEs上にあります。ポリサーを AE インターフェイスに適用すると、2 つの PFE にポリサーが設定されるため、合計帯域幅は 200 Mbps になります。
-
メンバー リンク xe-1/0/0(fpc1-pfe0)、et-2/0/1(fpc2-pfe1)、xe-2/0/18:0(fpc2-pfe2)を持つ AE インターフェイスで帯域幅制限 100 mbps を設定したポリサー。ここでは、1つのメンバー・リンクがこのFPC上のFPC1およびPFE0に属しています。残りの 2 つのメンバー リンクは FPC2 に属しますが、異なる PFEs です。ポリサーを AE インターフェイスに適用すると、3 つの PFE にポリサーが設定されるため、合計帯域幅は 300 Mbps になります。
-
単一の PFE(fpc1-pfe0)上にメンバー リンク xe-1/0/0 および xe-1/0/1 を持つ AE インターフェイスに設定された帯域幅制限 100 mbps のポリサー。ここでは、メンバー・リンクはFPC1と同じPFEに属しています。ポリサーを AE インターフェイスに適用すると、PFE 単位でポリサーが設定されるため、合計帯域幅は 100 Mbps になります。
のフロー
ポリサーの名前を付けて設定した後、1 つ以上のファイアウォール フィルターでアクションとして指定することで、ポリサーを使用できます。
ポリサー タイプ
スイッチは、3種類のポリサーをサポートします。
単一レート 2 カラー マーカー - 2 カラー ポリサー(または条件なしで使用する場合は「ポリサー」)は、トラフィック ストリームをメーターで計り、構成された帯域幅とバーストサイズ制限に従って、パケット損失優先度(PLP)の 2 つのカテゴリーに分類します。指定された PLP で帯域幅とバーストサイズ制限を超えるパケットをマークするか、単に破棄することができます。
このタイプのポリサーは、イングレスファイアウォールまたはエグレスファイアウォールで指定できます。
メモ:2 カラー ポリサーは、ポート(物理インターフェイス)レベルでトラフィックを計測する場合に最も便利です。
単一レート 3 カラー マーカー - このタイプのポリサーは、RFC 2697、 単一レート 3 カラー マーカーで定義されています。これは、DiffServ(差別化サービス)環境向けの AF(アシュアランスフォワーディング)PHB(per-hop-behavior)分類システムの一部として定義されています。このタイプのポリサーは、1つのレート(CIR(設定されたコミットされた情報レート)、CBS(コミットされたバーストサイズ)と超過したバーストサイズ(EBS)に基づいてトラフィックをメートルします。CIRは、ビットがスイッチに認められた平均レートを指定します。CBS は通常のバースト サイズをバイト単位で指定し、EBS は最大バースト サイズをバイト単位で指定します。EBS は CBS 以上である必要があり、どちらも 0 にすることはできません。
このタイプのポリサーは、イングレスファイアウォールまたはエグレスファイアウォールで指定できます。
メモ:単一レートの 3 色マーカー(TCM)は、ピーク到着レートではなく、パケット長に応じてサービスを構成する場合に最も便利です。
2 レート 3 カラー マーカー — このタイプのポリサーは、RFC 2698 A Two Rate 3 カラー マーカーで、差別化されたサービス環境向けの確実な転送単位のホップ動作分類システムの一部として定義されています。このタイプのポリサーは、CIRとPIR(ピーク情報レート)と、関連するバーストサイズ、CBS、ピークバーストサイズ(PBS)の2つのレートに基づいてトラフィックをメートルします。PIR は、ビットがネットワークに認められる最大レートを指定し、CIR 以上である必要があります。
このタイプのポリサーは、イングレスファイアウォールまたはエグレスファイアウォールで指定できます。
メモ:2 レートスリーカラーポリサーは、サービスが到着レートに従って構成されており、必ずしもパケット長とは限らない場合に最も便利です。
これらのポリサー タイプごとに測定結果がどのように適用されるかについては、 表 1 を参照してください。
ポリサーアクション
ポリサーアクションは暗黙的または明示的であり、ポリサータイプによって異なります。 暗示的 とは、Junos OS が損失の優先度を自動的に割り当てることを意味します。 表 1 は、ポリサーのアクションを示しています。
ポリサー |
マーキング |
暗示的なアクション |
設定可能なアクション |
|---|---|---|---|
シングルレート 2 カラー |
緑(準拠) |
低損失優先度の割り当て |
なし |
赤色(不適合) |
なし |
破棄 |
|
シングルレートスリーカラー |
緑(準拠) |
低損失優先度の割り当て |
なし |
黄色(CIR および CBS の上) |
中高損失優先度の割り当て |
なし |
|
赤(EBS の上) |
高損失優先度の割り当て |
破棄 |
|
ツーレート スリー カラー |
緑(準拠) |
低損失優先度の割り当て |
なし |
黄色(CIR および CBS の上) |
中高損失優先度の割り当て |
なし |
|
赤色(PIR および PBS より上) |
高損失優先度の割り当て |
破棄 |
エグレス ファイアウォールフィルターでポリサーを指定した場合、サポートされている唯一のアクションは です discard。
ポリサーカラー
シングルレートおよび2レートの3カラーポリサーは、2つのモードで動作できます。
カラーブラインド—カラーブラインドモードでは、3カラーポリサーは、検査されたすべてのパケットが以前にマークまたは測定されていないと仮定します。言い換えると、3 カラー ポリサーは、以前にパケットを色分けしていた場合に「ブラインド」になります。
カラーアウェア—カラーアウェアモードでは、3カラーポリサーは、検査されたすべてのパケットが以前にマークまたは測定済みであると仮定します。言い換えると、3 カラー ポリサーは、以前のパケットの色分けを「認識」している可能性があります。カラーアウェア モードでは、3 カラー ポリサーはパケットの PLP を増やすことができますが、減少させることはできません。たとえば、カラー認識型の 3 カラー ポリサーが、中程度の PLP マーキングでパケットをメートルする場合、PLP レベルを高く上げることができますが、PLP レベルを低くすることはできません。
フィルター固有のポリサー
ポリサーをフィルター固有に設定できます。つまり、ポリサーが参照される回数に関係なく、Junos OS は 1 つのポリサー インスタンスのみを作成します。一部の QFX スイッチでこれを行うと、レート制限が集約的に適用されるため、1 Gbps を超えるトラフィックを破棄し、そのポリサーを 3 つの異なる条件で参照するようにポリサーを設定すると、フィルターで許可される総帯域幅は 1 Gbps になります。ただし、フィルター固有のポリサーの動作は、ポリサーを参照するファイアウォール フィルター条件が TCAM にどのように格納されるかによって影響されます。フィルター固有のポリサーを作成し、複数のファイアウォール フィルター条件で参照すると、条件が異なる TCAM スライスに格納されている場合、ポリサーは予想よりも多くのトラフィックを許可します。例えば、1 Gbpsを超えるトラフィックを破棄し、3つの独立したメモリスライスに格納されている3つの異なる条件でポリサーを参照するようにポリサーを設定すると、フィルターで許容される総帯域幅は1 Gbpsではなく3 Gbpsになります(この動作はQFX10000スイッチでは発生しません)。
この予期しない動作が発生しないようにするには、「 作成するファイアウォールフィルターの数の計画 」に表示されているTCAMスライスに関する情報を使用して設定ファイルを整理し、特定のフィルター固有のポリサーを参照するすべてのファイアウォールフィルター条件が同じTCAMスライスに格納されるようにします。
ポリサーの推奨命名規則
3 カラー ポリサーを設定する場合とpolicer#、2 カラー ポリサーを設定する場合は、命名規則policertypeTCM#-color typeを使用することをお勧めします。TCM は 3 色マーカーの略です。ポリサーは多数あり、作業には正しく適用する必要があるため、シンプルな命名規則により、ポリサーを適切に適用しやすくなります。例えば、設定された最初のシングルレート、カラー対応の3カラーポリサーの名前srTCM1-caは.設定された 2 番目の 2 レート、カラーブラインドの 3 色は、 という名前trTCM2-cbになります。この命名規則の要素については、以下で説明します。
sr(シングルレート)
tr(ツーレート)
TCM(3色マーキング)
1 または 2(マーカー数)
ca(カラーアウェア)
cb(カラーブラインド)
ポリサー カウンター
一部の QFX スイッチでは、設定した各ポリサーには、ポリサーに指定されたレート制限を超えるパケット数をカウントする暗示的なカウンターが含まれています。同じフィルター内または異なるフィルターのいずれかで複数の条件で同じポリサーを使用する場合、暗黙的なカウンターは、これらのすべての条件でポリシングされたすべてのパケットをカウントし、合計量を提供します。(QFX10000 スイッチには適用されません)。影響を受けるスイッチ上の各条件に対して個別のパケット数を取得する場合は、以下のオプションを使用します。
各条件に固有のポリサーを設定します。
ポリサーを1つだけ設定しますが、各条件で一意の明示的なカウンターを使用します。
ポリサー アルゴリズム
ポリシングは 、トークンバケット アルゴリズムを使用します。このアルゴリズムは、指定した最大値までバーストを許可しながら、平均帯域幅に制限を適用します。これは 、リーキーバケットアルゴリズム よりも柔軟性が高く、パケットの廃棄を開始する前に特定量のバーストトラフィックを許可します。
光バースト性トラフィックの環境では、QFX5200 はすべてのマルチキャスト パケットを 2 つ以上のダウンストリーム インターフェイスに複製しない場合があります。これは、ライン レート バーストでのみ発生します。トラフィックが一貫していれば、問題は発生しません。さらに、この問題は、1 ギガビット トラフィック フローでパケット サイズが 6k を超える場合にのみ発生します。
サポートされるポリサーの数
QFX10000 スイッチは、8K ポリサー(すべてのポリサー タイプ)をサポートしています。QFX5100およびQFX5200スイッチは、1535個のイングレスポリサーと1024個のエグレスポリサーをサポートしています(ファイアウォールフィルター条件ごとに1つのポリサーを想定)。QFX5110スイッチは、6144個のイングレスポリサーと1024個のエグレスポリサーをサポートしています(ファイアウォールフィルター条件ごとに1つのポリサーを想定)。
QFX3500およびQFX3600スタンドアロンスイッチとQFabric Nodeデバイスは、以下の数のポリサーをサポートしています(ファイアウォールフィルター条件ごとに1つのポリサーを想定)。
イングレス ファイアウォール フィルターで使用される 2 カラー ポリサー:767
イングレス ファイアウォール フィルターで使用される 3 カラー ポリサー:767
エグレス ファイアウォール フィルターで使用される 2 カラー ポリサー:1022
エグレス ファイアウォール フィルターで使用される 3 カラー ポリサー:512
ポリサーはエグレス ファイアウォール フィルターを制限できます
一部のスイッチでは、設定するエグレス ポリサーの数は、許可されるエグレス ファイアウォール フィルターの総数に影響する可能性があります。すべてのポリサーには、1024 エントリ TCAM で 2 つのエントリを取る 2 つの暗黙的なカウンターがあります。これらは、ファイアウォールフィルター条件でアクション修飾子として設定されたカウンターを含む、カウンターに使用されます。(ポリサーは、1 つはグリーン パケットに使用され、もう 1 つはポリサー タイプに関係なく非グリーン パケットに使用されるため、2 つのエントリーを消費します。TCAM がフルになった場合、カウンター付きの条件を持つエグレス ファイアウォール フィルターをこれ以上コミットすることはできません。例えば、512 個のエグレス ポリサー(2 色、3 色、または両方のポリサー タイプの組み合わせ)を設定してコミットすると、カウンターのすべてのメモリ エントリーが使い尽くされます。設定ファイルの後半にカウンターも含まれる条件を含むエグレスファイアウォールフィルターを追加挿入する場合、カウンターに使用可能なメモリスペースがないため、これらのフィルターの条件はコミット されなくなります 。
その他の例を以下に示します。
合計 512 個のポリサーとカウンターを含めないエグレス フィルターを設定することを想定しています。設定ファイルの後半には、10個の条件を持つ別のエグレスフィルターが含まれており、そのうちの1つはカウンターアクション修飾子を持っています。カウンターのための十分な TCAM スペースがないため、このフィルター内の条件のいずれもコミットされません。
合計 500 個のポリサーを含むエグレス フィルターを設定し、1,000 の TCAM エントリが占有されると仮定します。設定ファイルの後半には、以下の2つのエグレスフィルターが含まれます。
20個の条件と20個のカウンターでAをフィルタリングします。すべてのカウンターに十分な TCAM スペースがあるため、このフィルターのすべての条件がコミットされます。
フィルターBはフィルターAの後に来て、5つの条件と5つのカウンターがあります。すべてのカウンターに十分なメモリ領域がないため、このフィルター内の条件のいずれもコミットされません。(TCAM エントリは 5 つ必要ですが、利用できるのは 4 つだけです)。
この問題を回避するには、カウンターアクションを持つエグレスファイアウォールフィルター条件が、ポリサーを含む条件よりも設定ファイルの前に配置されるようにします。この状況では、Junos OS は暗示的なカウンターのための十分な TCAM スペースがない場合でもポリサーをコミットします。例えば、以下を想定します。
カウンターアクションを持つ1024エグレスファイアウォールフィルター条件があります。
設定ファイルの後半には、10の条件を持つエグレスフィルターがあります。どの用語にもカウンターはありませんが、ポリサーアクション修飾子があります。
ポリサーの暗示的なカウンターのための十分なTCAMスペースがないにもかかわらず、10条件でフィルターを正常にコミットすることができます。ポリサーは、カウンターなしでコミットされます。