例:2 色論理インターフェイス(集約)ポリサーの設定
Junos OS リリース 15.1X49-D40 および Junos OS リリース 17.3R1 以降、単一レートの 2 カラー ポリサーを論理インターフェイス ポリサーとして設定し、論理インターフェイス上の受信 IPv4 トラフィックに適用できるようになりました。この例では、その方法を示しています。
要件
開始する前に、2色の論理インターフェイスポリサーを適用する論理インターフェイスが、ギガビットイーサネットインターフェイス()または10ギガビットイーサネットインターフェイス(ge-xe-)でホストされていることを確認してください。
概要
この例では、シングルレートの 2 カラー ポリサーを論理インターフェイス ポリサー policer_IFL として設定し、論理インターフェイスの受信 IPv4 トラフィックに適用します ge-1/3/1.0。
トポロジ
物理インターフェイスge-1/3/1上の入力 IPv4 トラフィックが、バーストサイズ制限が 300 KB のメディア レートの 90 % に相当する帯域幅制限を超えた場合、論理インターフェイス ポリサー policer_IFL レートは論理インターフェイス上の入力 IPv4 トラフィックを制限しますge-1/3/1.0。パケット損失優先度(PLP)レベルを に設定し、パケットを としてbest-effort分類することで、不適合トラフィックをマークするようにhighポリサーを設定します。
物理インターフェイスの受信IPv4トラフィックレートが遅く、設定された制限に準拠すると、Junos OSは、受信するIPv4パケットの論理インターフェイスでのマーキングを停止します。
構成
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
この例を設定するには、以下のタスクを実行します。
- CLI クイックコンフィギュレーション
- 論理インターフェイスの設定
- 論理インターフェイス ポリサーとしてのシングルレート 2 カラー ポリサーの設定
- 論理インターフェイスでの入力 IPv4 トラフィックへの論理インターフェイス ポリサーの適用
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
set interfaces ge-1/3/1 vlan-tagging set interfaces ge-1/3/1 unit 0 vlan-id 100 set interfaces ge-1/3/1 unit 0 family inet address 10.10.10.1/30 set interfaces ge-1/3/1 unit 1 vlan-id 101 set interfaces ge-1/3/1 unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44 set firewall policer policer_IFL logical-interface-policer set firewall policer policer_IFL if-exceeding bandwidth-percent 90 set firewall policer policer_IFL if-exceeding burst-size-limit 300k set firewall policer policer_IFL then loss-priority high set firewall policer policer_IFL then forwarding-class best-effort set interfaces ge-1/3/1 unit 0 family inet policer input policer_IFL
論理インターフェイスの設定
手順
論理インターフェイスを設定するには:
インターフェイスの設定を有効にします。
[edit] user@host# edit interfaces ge-1/3/1
単一のタグ付けを設定します。
[edit interfaces ge-1/3/1] user@host# set vlan-tagging
論理インターフェイスを設定します
ge-1/3/1.0。[edit interfaces ge-1/3/1] user@host# set unit 0 vlan-id 100 user@host# set unit 0 family inet address 10.10.10.1/30
論理インターフェイスを設定します
ge-1/3/1.0。[edit interfaces ge-1/3/1] user@host# set unit 1 vlan-id 101 user@host# set unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44
結果
設定モードコマンドを入力して、論理インターフェイスの設定を show interfaces 確認します。コマンド出力に意図した設定が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
論理インターフェイス ポリサーとしてのシングルレート 2 カラー ポリサーの設定
手順
単一レートの 2 カラー ポリサーを論理インターフェイス ポリサーとして設定するには:
シングルレート 2 カラー ポリサーの設定を有効にします。
[edit] user@host# edit firewall policer policer_IFL
ポリサーが論理インターフェイス(集約)ポリサーであることを指定します。
[edit firewall policer policer_IFL] user@host# set logical-interface-policer
論理インターフェイス ポリサーのレート制限は、ポリサーが適用される論理インターフェイスの基礎となる物理インターフェイスのメディア レートの割合に基づいてトラフィックを制限します。ポリサーは、ファイアウォール フィルターから参照されるのではなく、インターフェイスに直接適用されます。
ポリサーのトラフィック制限を指定します。
帯域幅制限を指定します。
帯域幅制限を絶対レートとして指定するには、8,000ビット/秒から50,000,000,000 ビット /秒まで 、 ステートメントを
bandwidth-limit bps使用します。インターフェイス上の物理ポート速度の割合として帯域幅制限を指定するには、 ステートメントを
bandwidth-percent percent含めます。
この例では、CLIコマンドと出力は、絶対レートとしてではなく、パーセンテージで指定された帯域幅制限に基づいています。
[edit firewall policer policer_IFL] user@host# set if-exceeding bandwidth-percent 90
バースト サイズ制限を、1,500 バイトから 100,000,000,000 バイトまで指定します。これは、指定された帯域幅制限を超えるデータのバーストで許可される最大パケット サイズです。
[edit firewall policer policer_IFL] user@host# set if-exceeding burst-size-limit 300k
設定されたレート制限を超えるトラフィックに対して実行されるポリサーアクションを指定します。
パケットを破棄するには、 ステートメントを
discard含めます。パケットの損失優先度値を設定するには、 ステートメントを
loss-priority (low | medium-low | medium-high | high)含めます。パケットを転送クラスに分類するには、 ステートメントを
forwarding-class (forwarding-class | assured-forwarding | best-effort | expedited-forwarding | network-control)含めます。
この例では、CLI コマンドと出力は、パケット損失の優先度レベルの設定とパケットの分類の両方に基づいています。
[edit firewall policer policer_IFL] user@host# set then loss-priority high user@host# set then forwarding-class best-effort
結果
設定モードコマンドを入力して、ポリサーの設定を show firewall 確認します。コマンド出力に意図した設定が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show firewall
policer policer_IFL {
logical-interface-policer;
if-exceeding {
bandwidth-percent 90;
burst-size-limit 300k;
}
then {
loss-priority high;
forwarding-class best-effort;
}
}
論理インターフェイスでの入力 IPv4 トラフィックへの論理インターフェイス ポリサーの適用
手順
入力 IPv4 トラフィックに 2 色の論理インターフェイス ポリサーを適用するには、論理インターフェイスを以下の手順に従います。
論理インターフェイスの設定を有効にします。
[edit] user@host# edit interfaces ge-1/3/1 unit 0
すべてのトラフィック タイプまたは論理インターフェイス上の特定のトラフィック タイプにポリサーを適用します。
プロトコル ファミリーに関係なく、すべてのトラフィック タイプにポリサーを適用するには、 階層レベルに ステートメントを
[edit interfaces interface-name unit number]含policer (input | output) policer-nameめます。特定のプロトコルファミリーのトラフィックにポリサーを適用するには、 階層レベルで ステートメントを
[edit interfaces interface-name unit unit-number family family-name]含policer (input | output) policer-nameめます。
論理インターフェイス ポリサーを受信パケットに適用するには、 ステートメントを
policer input policer-name使用します。論理インターフェイスポリサーを発信パケットに適用するには、 ステートメントをpolicer output policer-name使用します。この例では、CLI コマンドと出力は、論理インターフェイス
ge-1/3/1.0での IPv4 入力トラフィックのレート制限に基づいています。[edit interfaces ge-1/3/1 unit 0] user@host# set family inet policer input policer_IFL
結果
設定モードコマンドを入力して、インターフェイスの設定を show interfaces 確認します。コマンド出力に意図した設定が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
policer input policer_IFL;
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正しく機能していることを確認します。
論理インターフェイスのトラフィック統計とポリサーの表示
目的
論理インターフェイスを通過するトラフィック フローと、ポリサーが論理インターフェイスで受信したパケットを評価していることを確認します。
アクション
論理インターフェイスge-1/3/1.0には show interfaces 動作モード コマンドを使用し、 または extensive オプションをdetail含めます。の コマンド出力セクションTraffic statisticsには、論理インターフェイスで送受信されたバイト数とパケット数がリストされます。Protocol inetサブセクションには、Policer入力または出力論理インターフェイス ポリサーとしてポリサーpolicer_IFLをリストするフィールドが含まれています。
Input: policer_IFL-ge-1/3/1.0-log_int-i
Output: policer_IFL-ge-1/3/1.0-log_int-o
サフィックスは入力トラフィックに適用される論理インターフェイス ポリサーを示し、log_int-oサフィックスはlog_int-i出力トラフィックに適用される論理インターフェイス ポリサーを示します。この例では、論理インターフェイス ポリサーは入力トラフィックにのみ適用されます。
ポリサーの統計情報の表示
目的
ポリサーが評価するパケット数を検証します。
アクション
動作モード コマンドを show policer 使用し、オプションでポリサーの名前を指定します。コマンド出力には、設定された各ポリサー(または指定されたポリサー)が各方向に評価したパケット数が表示されます。ポリサー policer_IFLの場合、入力と出力のポリサー名は次のように表示されます。
policer_IFL-ge-1/3/1.0-log_int-i
policer_IFL-ge-1/3/1.0-log_int-o
サフィックスは入力トラフィックに適用される論理インターフェイス ポリサーを示し、log_int-oサフィックスはlog_int-i出力トラフィックに適用される論理インターフェイス ポリサーを示します。この例では、論理インターフェイス ポリサーは入力トラフィックにのみ適用されます。