Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

トラフィック ポリシングを使用したネットワーク アクセスの制御の概要

IPトラフィックフローの輻輳管理

トラフィックポリシングは、 レート制限とも呼ばれ、サービス拒否(DoS)攻撃を阻止するために設計されたネットワークアクセスセキュリティに不可欠なコンポーネントです。トラフィック ポリシングを使用すると、インターフェイス上で送受信される IP トラフィックの最大レートを制御し、ネットワーク トラフィックを複数の優先度レベル( サービス クラスとも呼ばれる)に分割できます。ポリサーは、一連のトラフィック レート制限を定義し、構成された制限に適合しないトラフィックに対する結果を設定します。トラフィック制限に適合しないトラフィックフロー内のパケットは、破棄されるか、異なる転送クラスまたはパケット損失の優先度(PLP)レベルでマークされます。

集約トラフィック(物理インターフェイス上に設定されたすべてのプロトコルファミリーと論理インターフェイス)のレート制限を設定するポリサーを除き、 論理インターフェイスのレイヤー 2またはレイヤー 3トラフィックフロー内のすべてのIPパケットにポリサーを適用できます。

物理インターフェイスのメディア レートに基づいてレート制限するように設定されたポリサーを除き、ステートレス ファイアウォール フィルターを使用することで、論理インターフェイスでのレイヤー 3 トラフィック フロー内の特定の IP パケットにポリサーを適用できます。

インバウンドまたはアウトバウンドのインターフェイストラフィックにポリサーを適用できます。インバウンドトラフィックに適用されるポリサーは、ネットワーク経由でルーティングする必要のないトラフィックをドロップすることで、リソースを節約するのに役立ちます。インバウンドトラフィックをドロップすると、サービス拒否(DoS)攻撃を阻止するのにも役立ちます。アウトバウンドトラフィックに適用されるポリサーは、使用される帯域幅を制御します。

注:

トラフィック ポリサーは、PIC 単位でインスタンス化されます。1つのローカルポリシー決定機能(L-PDF)加入者のトラフィックが、AMSグループ内の複数のマルチサービスPICに分散されている場合、トラフィックポリシングは機能しません。

トラフィック制限

Junos OS ポリサーは、 トークン バケット アルゴリズム を使用して、インターフェイスでのトラフィックの平均送信または受信レートに制限を適用し、構成された帯域幅制限と構成されたバースト サイズに基づいて最大値までのトラフィックのバーストを許可します。トークン バケット アルゴリズムは、パケットの廃棄を開始する前に指定されたトラフィック バーストを許可したり、パケット出力キューイング優先度やパケット破棄優先度などのペナルティを適用したりできるという点で、 リーキー バケット アルゴリズム よりも柔軟性があります。

トークン・バケット・モデルでは、バケットはポリサーのレート制限機能を表します。トークンは固定レートでバケットに追加されますが、バケットの指定された深さに達すると、後に割り当てられたトークンを保存して使用できなくなります。各トークンは、あるビット数の「クレジット」を表し、バケット内のトークンは、インターフェイスでトラフィックを送受信できるように「キャッシュイン」されます。バケットに十分なトークンが存在する場合、トラフィックフローは無制限に続行されます。そうしないと、パケットがドロップされるか、より低い転送クラスまたはより高い PLP(パケット損失優先度)レベル、またはその両方で再マーキングされる可能性があります。

  • トークンがバケットに追加されるレートは、特定のサービスレベルで許容される最高の平均送信または受信レートをビット/秒で表します。この最大平均トラフィック レートをポリサーの 帯域幅 制限 として指定します。トラフィックの到着率(または固定ビット/秒)が高すぎて、ある時点でバケットに十分なトークンが存在しない場合、トラフィックフローはトラフィック制限に準拠していません。トラフィック(トークン到着率より低い平均レートでインターフェイスに到着または出発するトラフィック)が比較的少ない期間中は、未使用のトークンがバケットに蓄積されます。

  • バケットの深さ (バイト単位) は、許可されるバックツーバックバーストの量を制御します。この係数をポリサーの バーストサイズ 制限 として指定します。この 2 番目の制限は、一定の時間間隔で送信バーストで許容されるバイト数を制限することにより、平均送信または受信レートに影響します。現在のバーストサイズ制限を超えるバーストは、バーストを続行できる十分なトークンが得られるまで破棄されます。

    図 1: ネットワーク トラフィックとバースト レートネットワーク トラフィックとバースト レート

    上の図に示すように、UPCバーコードは、回線上のトラフィックがどのように見えるかを示す優れた複製です。インターフェイスは送信中(フルレートでバースト)しているか、送信していないかのどちらかです。黒い線はデータ送信の期間を表し、空白はトークンバケットが補充できる無音の期間を表します。

使用されるポリサーのタイプに応じて、定義された制限を超えるポリシングされたトラフィックフローのパケットは、暗黙的により高いPLPレベルに設定されるか、設定された転送クラスに割り当てられるか、設定されたPLPレベルに設定されるか(またはその両方)、または単に破棄される場合があります。パケットがダウンストリーム輻輳に遭遇した場合、PLPレベルが low パケットは、 medium-lowmedium-high、または high PLPレベルのパケットよりも廃棄される可能性が低くなります。

トラフィックカラーマーキング

ポリサーは、設定されたトラフィック制限の特定セットに基づいて、自動車のトラフィックを制御するために使用される信号機の色に類似した 2 つまたは 3 つのカテゴリのいずれかに属するものとしてトラフィック フローを識別します。

  • シングルレート ツー カラー - 2 カラーマーキング ポリサー(または資格なしで使用する場合は「ポリサー」)は、トラフィック ストリームを計測し、設定された帯域幅とバーストサイズ制限に従って、パケットを PLP(パケット損失の優先度)の 2 つのカテゴリーに分類します。帯域幅とバースト サイズ制限を超えるパケットを何らかの方法でマークするか、単に破棄することができます。

    ポリサーは、ポート(物理インターフェイス)レベルでトラフィックを計測する場合に最も役立ちます。

  • シングルレート3カラー—このタイプのポリサーは、 RFC2697、 シングル レートスリーカラーマーカーで、差別化されたサービス(DiffServ)環境向けの保証転送(AF)ホップごとの動作(PHB)分類システムの一部として定義されています。このタイプのポリサーは、設定された認定情報レート(CIR)、認定バースト サイズ(CBS)、超過バースト サイズ(EBS)に基づいてトラフィックを計測します。トラフィックは、到着するパケットが CBS を下回っているか(緑)、CBS を超えているが EBS を超えていないか、または EBS を超えているか(赤)に基づいて、3 つのカテゴリ(緑、黄、または赤)のいずれかに属するものとしてマークされます。

    シングルレートの3カラーポリサーは、サービスがピーク到着率ではなくパケット長に従って構造化されている場合に最も役立ちます。

  • ツー レート スリー カラー—このタイプのポリサーは、差別化サービス(DiffServ)環境向けの確実転送(AF)ホップ動作(PHB)分類システムの一部として、RFC 2698、A Two Rate Three Color Marker で定義されています。このタイプのポリサーは、設定された CIR とピーク情報レート(PIR)、および関連するバースト サイズ、CBS および ピーク バースト サイズ (PBS)に基づいてトラフィックを測定します。トラフィックは、到着するパケットがCIRを下回っているか(緑)、CIRを超えているがPIRを超えていないか(黄色)、またはPIR(赤)を超えているかに基づいて、3つのカテゴリ(緑、黄、または赤)のいずれかに属するものとしてマークされます。

    ツー レート スリー カラー ポリサーは、サービスがパケット長ではなく到着レートに従って構造化されている場合に最も役立ちます。

ポリサーのアクションは暗黙的または明示的であり、ポリサーのタイプによって異なります。暗黙的という言葉は、Junosが損失の優先度を自動的に割り当てることを意味します。表 1では、ポリサーのアクションについて説明します。

表 1: ポリサーのアクション

ポリサー

マーキング

暗黙的なアクション

設定可能なアクション

シングルレート2色

緑(適合)

低損失優先度の割り当て

なし

赤(不適合)

なし

低または高損失優先度の割り当て、転送クラスの割り当て、または破棄一部のプラットフォームでは、中低または中-高損失の優先度を割り当てることができます

シングルレート3色

緑(適合)

低損失優先度の割り当て

なし

黄色(CIRとCBSの上)

中高損失の優先度を割り当てる

なし

赤(EBSの上)

高損失優先度の割り当て

捨てる

ツーレートスリーカラー

緑(適合)

低損失優先度の割り当て

なし

黄色(CIRとCBSの上)

中高損失の優先度を割り当てる

なし

赤(PIRとPBSの上)

高損失優先度の割り当て

捨てる

転送クラスと PLP レベル

パケットの転送クラスの割り当てとPLPレベルは、Junos OSのサービスクラス(CoS)機能によって使用されます。Junos OS CoSの機能には、ベストエフォート型のトラフィック配信が不十分な場合に差別化されたサービスを提供するために使用できる一連のメカニズムが含まれています。IPv4、IPv6、MPLS トラフィックを伝送するルーター(およびスイッチ)インターフェイスでは、ネットワークのエッジに入るトラフィックの単一フローを取り込み、個々のパケットの転送クラスの割り当てと PLP レベルに基づいて、ネットワーク全体にさまざまなレベルのサービス(内部転送と出力のスケジューリング(キューイング))を提供するように CoS 機能を設定できます。

注:

ポリサーまたはステートレス ファイアウォール フィルターによって実行された転送クラスまたは損失優先度の割り当ては、すべての論理インターフェイスにおける CoS デフォルト IP 優先度分類、または論理インターフェイスに明示的にマッピングされた設定済みの動作集約(BA)分類子によって入力に対して実行されたそのような割り当てを上書きします。

CoS設定に基づいて、特定の転送クラスのパケットが特定の出力キューを介して送信され、各出力キューは スケジューラで定義された伝送サービスレベルに関連付けられます。

他の CoS 設定に基づくと、出力キュー内のパケットが輻輳すると、損失優先度の値が高いパケットは、ランダム早期検出(RED)アルゴリズムによって破棄される可能性が高くなります。パケット損失の優先度の値は、トラフィック フロー内のパケットの相対的な順序に影響を与えることなく、パケットのスケジューリングに影響を与えます。

トラフィックへのポリサーアプリケーション

ポリサーを定義して名前を付けると、そのポリサーはテンプレートとして保存されます。後で同じポリサー名を使用して、使用するたびに同じポリサー構成を提供できます。これにより、同じポリサー値を複数回定義する必要がなくなります。

ポリサーをトラフィック フローに適用する方法は、次の 2 つの方法のいずれかです。

  • 標準のステートレス ファイアウォール フィルターを設定して、 policer policer-name 非終了アクションまたは three-color-policer (single-rate | two-rate) policer-name 非終了アクションを指定できます。論理インターフェイスの入力または出力に標準フィルターを適用すると、フィルター構成で指定された条件に一致する、フィルター固有のプロトコルファミリーのすべてのパケットにポリサーが適用されます。

    この方法でポリサーを適用すると、インターフェイス上で特定のトラフィック クラスを定義し、各クラスにトラフィック レート制限を適用できます。

  • ポリサーをインターフェイスに直接適用することで、プロトコルファミリーや一致条件に関係なく、そのインターフェイス上のすべてのトラフィックにトラフィックレート制限を適用することができます。

ポリサーは、キュー、論理インターフェイス、またはレイヤー 2(MAC)レベルで設定できます。エグレス キューのパケットに適用されるポリサーは 1 つだけで、ポリサーの検索は次の順序で行われます。

  • キュー レベル

  • 論理インターフェイス レベル

  • レイヤー 2(MAC)レベル