IDPポリシーでのサービスクラスアクション
サービスクラス(CoS)またはサービス品質(QoS)は、特定のタイプのトラフィックに他のトラフィックよりも優先順位を付けることで、ネットワーク上の複数のトラフィックプロファイルを管理する方法です。たとえば、音声トラフィックを電子メールや http トラフィックよりも優先させることができます。
CoS 向け IDP の詳細については、次のトピックをご参照ください。
IDPサービスクラスアクションの概要
差別化サービス(DS)は、優先度階層内の位置でトラフィックにタグ付け(または「マーキング」)するためのシステムです。差別化されたサービスコードポイント(DSCP)マーキングは、Junos OS サービスクラス (CoS)レベルをIPパケットヘッダーのDSCPフィールドにマッピングします。SRX1500 、 SRX3400、SRX3600、SRX5600、および SRX5800 デバイスでは、IP パケットの DSCP 値を次の 2 つのソフトウェア モジュールで書き換えることができます。
エグレスインターフェイスでの差別化されたサービスコードポイント(DSCP)リライター。
IDPポリシーに従ったIDPモジュール。
データプレーンでは、パケットがエグレスインターフェイスに到達する前に、IDPモジュールは、パケットのDSCP値を書き換えるようにセキュリティフローモジュールに通知することができる。IDP モジュールとインターフェイスベースのリライタは、異なる独立したルールに基づいて DSCP 値を書き換えます。IDP モジュールは、IDP ポリシーに基づいてパケットの DSCP 値を書き換えます。一方、インターフェイスベースのライターは、パケット分類結果に基づいてパケットの DSCP 値を書き換えます。したがって、IDP モジュールとインターフェイスベースのリライターの書き換え決定は異なる場合があります。
インターフェイスベースのリライタは、パケットの転送クラスを 書き換えルールとして設定された転送クラスのセットと比較することで、DSCP値を書き換えます。この転送クラスのセットに属しない転送クラスは、IDP モジュールによって設定されたパケットの DSCP 値を書き換えないようにインターフェイスベースのリライターに通知するために使用されます。
転送クラスは、パケットの DSCP 値の書き換えに影響を与えるだけでなく、デバイス内のトラフィックに優先順位を付けるためにも使用されます。キュー番号に転送クラスを割り当てることで、SRXシリーズファイアウォールを通過するパケットのスケジューリングとマーキングに影響を与えます。転送クラスの詳細については、「 転送クラスの概要」を参照してください。
IDPモジュールがパケットのDSCP値を書き換える際、IDPは、転送クラスがエグレスインターフェイスベースリライターのルールとして定義された転送クラスのセットから外れるように、パケットに関連する転送クラスを設定することができる。書き換えルールの詳細については、 書き換えルールの概要 および 例:セキュリティデバイスでの書き換えルールの設定と適用を参照してください。
インターフェイスベースのリライターは、パケットを処理するときに、パケットの転送クラスが書き換えルールで定義されているクラスのいずれとも一致しないため、パケットの DSCP 値を変更しません。その結果、パケットの DSCP 値は IDP モジュールによってマークされ、インターフェイスベースのリライターはバイパスされます。IDPモジュールとインターフェイスベースのリライターの個別の転送クラスは、[edit class-of-service]階層レベルの set forwarding-class ステートメントを使用して定義できます。例えば、IDP モジュールには転送クラス fc0、fc1、fc2、fc3 を定義し、インターフェースベースのリライターには転送クラス fc4、fc5、fc6、fc7 を定義できます。Junos OS では、複数の転送クラスを 1 つのプライオリティ キューにマッピングできます。そのため、転送クラスの数はキューの数より多くなる可能性があります。
インターフェイスベース リライタと IDP モジュールの両方が DSCP 値を書き換えようとすると、IDP はパケットに関するより多くの情報で DSCP 値をマークし、インターフェイスベース リライタ モジュールよりもセキュリティ基準が厳しいため、IDP モジュールがインターフェイスベース リライタよりも優先されます。
IDP モジュールで DSCP 値を書き換え、インターフェイスベースのリライターをバイパスする方法を示す設定例については、 例:IDP ポリシーでの CoS アクションの適用を参照してください。
関連項目
転送クラスの概要
転送クラス(FC)を使用すると、送信対象のパケットをグループ化し、パケットを出力キューに割り当てることができます。転送クラスと損失優先度は、パケットのホップ単位の動作(DiffServ では PHB)を定義します。
ジュニパーネットワークスのデバイスは、8つのキュー(0〜7)をサポートします。分類子が各パケットに出力キュー(デフォルト キュー 0 から 3)を割り当てるには、パケットを次のいずれかの転送クラスに関連付ける必要があります。
優先転送(EF)- 低損失、低遅延、低ジッター、確実な帯域幅のエンドツーエンドのサービスを提供します。
確実転送(AF)- 定義可能な値のグループを提供し、それぞれに 3 つの低下確率(低、中、高)を持つ 4 つのサブクラス(AF1、AF2、AF3、AF4)が含まれます。
ベストエフォート(BE)- サービス プロファイルを提供しません。BE転送クラスの場合、通常、損失の優先度はサービスクラス(CoS)値では伝達されず、ランダム早期検出(RED)ドロッププロファイルはより積極的です。
ネットワーク制御(NC):このクラスはプロトコル制御をサポートしているため、通常は優先度が高くなります。
BA(動作集約)およびMF(マルチフィールド)分類に加えて、パケットの転送クラス(FC)は、パケットを受信する 論理インターフェイス によって直接決定できます。パケットFCはCLIコマンドを使用して設定することができ、設定されている場合、このFCは以前に論理インターフェイスで設定されたBA分類のFCを上書きします。
次の CLI コマンドでは、論理インターフェイスで受信したパケットに FC を直接割り当てることができます。
[edit class-of-service interfaces interface-name unit logical-unit-number] forwarding-class class-name;
このセクションでは、以下のトピックについて説明します。
転送クラス キュー割り当て
ジュニパーネットワークスのデバイスには、8つのキューが組み込まれています。デフォルトでは、4 つのキューが 4 つの FC に割り当てられます。 表 1 は、到着パケットヘッダーの class-of-service(CoS)値に基づいて、ジュニパーネットワークス分類子がパケットに割り当てる 4 つのデフォルト FC とキューを示しています。
キュー 4 から 7 には、FC へのデフォルト割り当てがなく、マップされません。キュー 4 〜 7 を使用するには、カスタム FC 名を作成してキューにマッピングする必要があります。
デフォルトでは、IP 制御パケットを除くすべての着信パケットは、キュー 0 に関連付けられた FC に割り当てられます。すべての IP 制御パケットは、キュー 3 に関連付けられた FC に割り当てられます。
転送キュー |
転送クラス |
転送クラスの説明 |
|---|---|---|
キュー 0 |
ベストエフォート(BE) |
ジュニパーネットワークスのデバイスでは、下位互換性機能である DiffServ フィールドに 000000 が含まれるパケットには、特別な CoS 処理は適用されません。これらのパケットは通常、輻輳したネットワーク条件下で破棄されます。 |
キュー 1 |
優先転送(EF) |
ジュニパーネットワークスのデバイスは、このサービスクラスのパケットに対して、帯域幅の確保、低損失、低遅延、低遅延変動(ジッター)をエンドツーエンドで提供します。 デバイスはこのクラスで過剰なトラフィックを受け入れますが、確実な転送とは対照的に、プロファイル外の急速転送パケットは、順序どおりに転送したり、ドロップしたりできます。 |
キュー 2 |
アシュア フォワーディング(AF) |
ジュニパーネットワークスのデバイスは、顧客からのパケットフローが定義した特定のサービスプロファイル内にとどまる限り、パケットが配信されることを高いレベルで保証します。 デバイスは過剰なトラフィックを受け入れますが、ランダム早期検出(RED)ドロッププロファイルを適用して、超過パケットがドロップされて転送されないかどうかを判断します。 このサービス・クラスには、3 つのドロップ確率 (低、中、高) が定義されています。 |
キュー 3 |
ネットワーク制御(NC) |
ジュニパーネットワークスのデバイスは、このサービスクラスのパケットを低い優先度で配信します。(これらのパケットは遅延の影響を受けません。) 通常、これらのパケットはルーティング プロトコルの hello またはキープアライブ メッセージを表します。これらのパケットが失われるとネットワークの正常な動作が危うくなるため、遅延は破棄する方が望ましいです。 |
転送ポリシーのオプション
CoS ベース転送(CBF)では、パケットの CoS、特に IP パケットの優先ビットの値に基づいてネクストホップの選択を制御できます。例えば、特定のインターフェイスやネクスト ホップを指定して優先度の高いトラフィックを伝送し、すべてのベストエフォート型トラフィックは他の経路を通るようにすることができます。CBF では、FC に基づいてパスを選択できます。ルーティング プロトコルが等コスト パスを検出すると、ハッシュ選択またはラウンドロビン選択により、パスをランダムに選択するか、パス全体のパケットを負荷分散できます。
転送ポリシーでは、CoS 分類の上書きを作成することもできます。受信 CoS 分類を上書きし、パケットの入力インターフェイス、入力優先ビット、または宛先アドレスに基づいて、パケットを FC に割り当てることができます。着信パケットの分類をオーバーライドすると、関連する優先順位ビットまたは着信インターフェースに設定した出力伝送キューへのマッピングはすべて無視されます。
関連項目
書き換えルールの概要
書き換えルールは、発信パケットの適切なCoS(サービスクラス)ビットを変更します。CoSビットを変更することで、次のダウンストリームデバイスがパケットを適切なサービスグループに分類できます。アウトバウンドパケットの書き換えまたはマーキングは、デバイスがネットワークの境界にあり、ターゲットピアのポリシーを満たすためにCoS値を変更する必要がある場合に便利です。書き換えルールは、パケットの転送クラスと損失優先度を調べ、そのビットをルールで指定された対応する値に設定します。
通常、デバイスは、ターゲットピアのポリシーを満たすために、エッジデバイスのアウトバウンドインターフェイス上の発信パケットのCoS値を書き換えます。送信デバイスは、パケットに関連付けられた現在の転送クラスと損失の優先度情報を読み取った後、テーブルから選択したCoS値を見つけ、このCoS値をパケットヘッダーに書き込みます。
SRX5600およびSRX5800ファイアウォールの各SRX5K-MPCに最大32のIEEE 802.1p書き換えルールを設定できます。
Junos OSリリース18.2R1以降、論理VDSLインターフェイス、つまり
ptインターフェイスで802.1p書き換えを設定できます。
例:セキュリティ デバイスでの書き換えルールの設定と適用
この例では、デバイスの書き換えルールを設定して適用する方法を示します。
必要条件
開始する前に、転送クラスを作成して設定します。
概要
書き換えルールを設定して、顧客またはホストから受信したパケットのCoS値を、他のデバイスが期待する値に置き換えることができます。受信したパケットにすでに有効なCoS値が含まれている場合は、書き換えルールを設定する必要はありません。書き換えルールは、アウトバウンドパケットのCoS値を確立するために、デバイスが内部で使用する転送クラス情報とパケット損失優先度を適用します。書き換えルールを設定した後、正しいインターフェイスに適用する必要があります。
この例では、DiffServ CoS の書き換えルールを rewrite-dscps として設定します。ベストエフォート転送クラスをbeクラス、優先転送クラスをefクラス、保証転送クラスをafクラス、ネットワーク制御クラスをncクラスとして指定します。最後に、書き換えルールを IRB インターフェイスに適用します。
各論理インターフェイスに適用できる書き換えルールは 1 つです。
表 2 は、書き換えルールが 4 つの転送クラスのパケットの DSCP を置き換える方法を示しています。
MF 分類子転送クラス |
CoS トラフィック タイプの場合 |
書き換え-dscps 書き換えルール |
|---|---|---|
ビークラス |
ベストエフォート型トラフィック - パケットに対して特別な CoS 処理は行われません。通常、REDドロッププロファイルはアグレッシブで、損失の優先度は定義されていません。 |
低優先度コード ポイント: 000000 高優先度コード・ポイント: 000001 |
EFクラス |
転送トラフィックの迅速化:低損失、低遅延、低ジッター、確実な帯域幅、エンドツーエンドサービスを提供します。パケットは、順序どおりに転送されなかったり、ドロップされたりする可能性があります。 |
低優先度コード ポイント: 101110 高優先順位コード・ポイント: 101111 |
AFクラス |
確実な転送トラフィック - 指定されたサービス プロファイル内のパケットに高い保証を提供します。超過したパケットはドロップされます。 |
低優先度コード ポイント: 001010 高優先度コード・ポイント: 001100 |
NCクラス |
ネットワーク制御トラフィック - パケットは遅延できますが、ドロップはできません。 |
低優先度コード ポイント: 110000 高優先度コード・ポイント: 110001 |
転送クラスは、DSCP リライターで設定することも、DSCP コード ポイントを書き換える IDP ポリシーのアクションとして設定することもできます。転送クラスが IDP ポリシーのアクションとして使用されるようにするには、同じ転送クラスで IDP ポリシーとインターフェイスベースの書き換えルールを設定しないことが重要です。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority low code-point 000000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority high code-point 000001 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority low code-point 101110 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority high code-point 101111 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority low code-point 001010 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority high code-point 001100 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority low code-point 110000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority high code-point 110001 set class-of-service interfaces irb unit 0 rewrite-rules dscp rewrite-dscps
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用を参照してください。
デバイスの書き換えルールを設定して適用するには:
DiffServ CoS の書き換えルールを設定します。
[edit] user@host# edit class-of-service user@host# edit rewrite-rules dscp rewrite-dscps
ベストエフォート型転送クラス書き換えルールを設定します。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class be-class loss-priority low code-point 000000 user@host# set forwarding-class be-class loss-priority high code-point 000001
優先転送クラス書き換えルールを設定します。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class ef-class loss-priority low code-point 101110 user@host# set forwarding-class ef-class loss-priority high code-point 101111
保証転送クラス書き換えルールを設定します。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class af-class loss-priority low code-point 001010 user@host# set forwarding-class af-class loss-priority high code-point 001100
ネットワーク制御クラスの書き換え規則を設定します。
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class nc-class loss-priority low code-point 110000 user@host# set forwarding-class nc-class loss-priority high code-point 110001
IRB インターフェイスに書き換えルールを適用します。
[edit class-of-service] user@host# set interfaces irb unit 0 rewrite-rules dscp rewrite-dscps
業績
設定モードから、 show class-of-service コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show class-of-service
interfaces {
irb {
unit 0 {
rewrite-rules {
dscp rewrite-dscps;
}
}
}
}
rewrite-rules {
dscp rewrite-dscps {
forwarding-class be-class {
loss-priority low code-point 000000;
loss-priority high code-point 000001;
}
forwarding-class ef-class {
loss-priority low code-point 101110;
loss-priority high code-point 101111;
}
forwarding-class af-class {
loss-priority low code-point 001010;
loss-priority high code-point 001100;
}
forwarding-class nc-class {
loss-priority low code-point 110000;
loss-priority high code-point 110001;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
書き換えルール設定の確認
目的
書き換えルールが正しく構成されていることを確認します。
アクション
動作モードから、 show class-of-service interface irb コマンドを入力します。
user@host> show class-of-service interface irb Physical interface: irb, Index: 130 Maximum usable queues: 8, Queues in use: 4 Scheduler map: <default> , Index: 2 Congestion-notification: Disabled Logical interface: irb.10, Index: 71 Object Name Type Index Rewrite-Output rewrite-dscps dscp 17599 Classifier ipprec-compatibility ip 13
意味
書き換えルールは、IRB インターフェイスで適切に設定されています。
例:IDP ポリシーでの CoS アクションの適用
パケットがネットワークに出入りする際に、デバイスがパケットの CoS 設定を変更する必要がある場合があります。書き換えルールは、パケットのヘッダー内の CoS ビットの値を設定します。さらに、コアデバイスによるBA分類に対応するために、デバイスのインバウンドインターフェイスで特定のマーカー(DSCPなど)を書き換えが必要になることがよくあります。
SRXシリーズファイアウォールでは、IPパケットのDSCP値は、次の2つのソフトウェアモジュールで書き換えることができます。
エグレス インターフェイスでの DSCP リライター
IDPポリシーに準拠したIDPモジュール
この例では、パケットの DSCP 値を書き換えるアクションアイテムとして転送クラスを定義する IDP ポリシーを作成する方法を説明します。
必要条件
開始する前に、CoS コンポーネントを確認します。
概要
この例では、IDP モジュールで DSCP 値を書き換え、インターフェイスベースのリライタをバイパスする方法を示しています。DSCP 値を書き換える IDP ポリシーを作成する場合は、以下を指定する必要があります。
IDP モジュールとインターフェイスベースのリライターに別々の転送クラスを設定します。この例では、fc1 から fc8 までの 8 つの転送クラスが設定されています。これら 8 つの転送クラスのうち、fc1 から fc4 の 4 つのクラスがインターフェイスベース リライタに割り当てられます。他の 4 つ(fc5 から fc8)は IDP モジュールに割り当てられます。これら 8 つの転送クラスは、キュー 0 からキュー 3 までの 4 つのプライオリティ キューにマッピングされます。
DSCP リライター(rw_dscp)を転送クラス fc1 から fc4 で設定します。
DSCP リライターと同じ転送クラスで DSCP 分類子(c1)を設定します。基本的に、分類子は入力、転送クラス、および損失の優先順位をリライターに提供します。
DSCP リライター rw_dscp を論理インターフェイス ge-0/0/5 に適用します。
分類子c1をイングレス論理インターフェイスge-0/0/6に適用します。
新しいIDPポリシー(cos-policy)を作成し、アクションとしてサービスクラス転送クラスfc5を割り当てます。
手記:IDP による DSCP 書き換えを確実に行うためには、IDP ポリシーとインターフェイスベースの DSCP 書き換えルールを同じ転送クラスで設定しないことが重要です。
構成
プロシージャ
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、コマンドをコピーして [edit] 階層レベルのCLIに貼り付け、設定モードから commit を入力します。
set class-of-service forwarding-classes queue 0 fc1 set class-of-service forwarding-classes queue 1 fc2 set class-of-service forwarding-classes queue 2 fc3 set class-of-service forwarding-classes queue 3 fc4 set class-of-service forwarding-classes queue 0 fc5 set class-of-service forwarding-classes queue 1 fc6 set class-of-service forwarding-classes queue 2 fc7 set class-of-service forwarding-classes queue 3 fc8 set class-of-service rewrite-rules dscp rw_dscp set class-of-service rewrite-rules dscp rw_dscp forwarding-class fc1 loss-priority low code-point 000000 set class-of-service rewrite-rules dscp rw_dscp forwarding-class fc2 loss-priority low code-point 001000 set class-of-service rewrite-rules dscp rw_dscp forwarding-class fc3 loss-priority low code-point 010000 set class-of-service rewrite-rules dscp rw_dscp forwarding-class fc4 loss-priority low code-point 011000 set class-of-service classifiers dscp c1 forwarding-class fc1 loss-priority low code-points 111111 set class-of-service classifiers dscp c1 forwarding-class fc2 loss-priority low code-points 110000 set class-of-service classifiers dscp c1 forwarding-class fc3 loss-priority low code-points 100000 set class-of-service classifiers dscp c1 forwarding-class fc4 loss-priority low code-points 000000 set class-of-service interfaces ge-0/0/5 unit 0 rewrite-rules dscp rw_dscp set class-of-service interfaces ge-0/0/6 unit 0 classifiers dscp c1 set security idp idp-policy cos-policy set security idp idp-policy cos-policy rulebase-ips set-security idp idp-policy cos-policy rulebase-ips rule r1 set-security idp idp-policy cos-policy rulebase-ips rule r1 match from-zone any to-zone any application default set-security idp idp-policy cos-policy rulebase-ips rule r1 match attacks predefined-attack-groups 'P2P - All' set security idp idp-policy cos-policy rulebase-ips rule r1 then action class-of-service forwarding-class fc5 set security idp idp-policy cos-policy rulebase-ips rule r1 then action class-of-service dscp-code-point 62 set security idp idp-policy cos-policy rulebase-ips rule r1 then notification log-attacks set security idp idp-policy cos-policy rulebase-ips rule r1 then severity critical
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用を参照してください。
DSCP書き換えの通知アクションとして転送クラスを使用するIDPポリシーを設定するには、以下のタスクを実行します。
転送クラスを設定します。
8 つの転送クラスと 4 つのプライオリティ キューの間に 1 対 1 のマッピングを設定するには、
[edit class-of-service]階層レベルで以下のステートメントを含めます。[edit class-of-service] user@host# set forwarding-classes fc1 queue-num 0 user@host# set forwarding-classes fc2 queue-num 1 user@host# set forwarding-classes fc3 queue-num 2 user@host# set forwarding-classes fc4 queue-num 3 user@host# set forwarding-classes fc5 queue-num 0 user@host# set forwarding-classes fc6 queue-num 1 user@host# set forwarding-classes fc7 queue-num 2 user@host# set forwarding-classes fc8 queue-num 3
転送クラスで DSCP リライターを設定します。
[edit class-of-service] user@host# set rewrite-rules dscp rw_dscp forwarding-class fc1 loss-priority low code-point 000000 user@host# set rewrite-rules dscp rw_dscp forwarding-class fc2 loss-priority low code-point 001000 user@host# set rewrite-rules dscp rw_dscp forwarding-class fc3 loss-priority low code-point 010000 user@host# set rewrite-rules dscp rw_dscp forwarding-class fc4 loss-priority low code-point 011000
DSCP リライターと同じ転送クラスで BA 分類子を設定します。
[edit class-of-service] user@host# set classifiers dscp c1 forwarding-class fc1 loss-priority low code-points 111111 user@host# set classifiers dscp c1 forwarding-class fc2 loss-priority low code-points 110000 user@host# set classifiers dscp c1 forwarding-class fc3 loss-priority low code-points 100000 user@host# set classifiers dscp c1 forwarding-class fc4 loss-priority low code-points 000000
リライターを論理インターフェイスに適用します。
[edit class-of-service] user@host# set interfaces ge-0/0/5 unit 0 rewrite-rules dscp rw_dscp
論理インターフェイスに分類子を適用します。
[edit class-of-service] user@host# set interfaces ge-0/0/6 unit 0 classifiers dscp c1
転送クラスのアクションでIDPポリシーを設定します。
次の手順は、IDP ポリシーにアクションの 1 つとしてサービス クラス転送クラスを含める方法を示します。ポリシー cos-policy では、転送クラス fc5 は、IDP モジュールが DSCP 値を 62 に書き換える必要がある dscp-code-point 62 のアクションと連動するアクションとして定義されています。R1 のアクションを実行すると、IDP モジュールはセキュリティ フロー モジュールを実行してパケットの DSCP 値を 62 に書き換え、転送クラスを fc5 に設定します。
IDP ポリシーのアクションの 1 つとして転送クラスを設定するには、以下のタスクを実行します。
手順
わかりやすい名前を割り当ててポリシーを作成します。
[edit ] user@host# edit security idp idp-policy cos-policy
ルールベースをポリシーに関連付けます。
[edit security idp idp-policy cos-policy ] user@host# edit rulebase-ips
ルールベースにルールを追加します。
[edit security idp idp-policy cos-policy rulebase-ips] user@host# edit rule R1
ルールの一致条件を定義します。
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set match from-zone any to-zone any application default
攻撃を一致条件として定義します。
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set match attacks predefined-attack-groups 'P2P - All'
ルールのアクションとして転送クラスを指定します。
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set then action class-of-service forwarding-class fc5
ルールのアクションとして dscp–code-point を指定します。
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set then action class-of-service dscp-code-point 62
ルールの通知とログのオプションを指定します。
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set then notification log-attacks alert
ルールの重大度レベルを設定します。
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set then severity critical
ポリシーをアクティブ化します。
[edit] user@host# set security idp active-policy cos-policy
業績
設定モードから、 show security idp コマンドと show class-of-service コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security idp
idp-policy cos-policy {
rulebase-ips {
rule R1 {
match {
from-zone any;
to-zone any;
application default;
attacks {
predefined-attack-groups P2P - All;
}
}
then {
action {
class-of-service {
forwarding-class fc5;
dscp-code-point 62;
}
}
notification {
log-attacks {
alert;
}
}
severity critical;
}
}
}
}
active-policy cos-policy;
[edit]
user@host# show class-of-service
classifiers {
dscp c1 {
forwarding-class fc1 {
loss-priority low code-points 111111;
}
forwarding-class fc2 {
loss-priority low code-points 110000;
}
forwarding-class fc3 {
loss-priority low code-points 100000;
}
forwarding-class fc4 {
loss-priority low code-points 000000;
}
}
}
forwarding-classes {
queue 0 fc5;
queue 1 fc6;
queue 2 fc7;
queue 3 fc8;
}
interfaces {
ge-0/0/5 {
unit 0 {
rewrite-rules {
dscp rw_dscp;
}
}
}
ge-0/0/6 {
unit 0 {
classifiers {
dscp c1;
}
}
}
}
rewrite-rules {
dscp rw_dscp {
forwarding-class fc1 {
loss-priority low code-point 000000;
}
forwarding-class fc2 {
loss-priority low code-point 001000;
}
forwarding-class fc3 {
loss-priority low code-point 010000;
}
forwarding-class fc4 {
loss-priority low code-point 011000;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
IDP ポリシー設定の検証
目的
転送クラスfc5がIDPポリシーのアクションとして設定されていることを確認します。
アクション
動作モードから、 show security idp idp-policy cos-policy コマンドを入力します。
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。
pt インターフェイスで802.1p書き換えを設定できます。