- play_arrow Junosルーティングポリシーの理解と設定
- play_arrow 概要
- play_arrow 一致条件、アクション、条件、および式を使用したルーティングポリシーの評価
- ルーティング・ポリシーの評価方法
- ルーティングポリシー一致条件のカテゴリー
- ルーティングポリシー一致条件
- ルート フィルター一致条件
- ルーティングポリシーの用語におけるアクション
- ルーティングポリシーアクションの概要
- 例:内部ピアに最適な外部ルートを告知するルーティングポリシーの設定
- 例:無効なルートをアドバタイズするBGPの設定
- 例:ルーティングポリシーを使用したBGPルートの優先値の設定
- 例:BGP ルート広告の有効化
- 例:既知の無効なルートを拒否する
- 例:ISP ネットワークでのルーティング ポリシーの使用
- ポリシー式の理解
- OSPF プロトコルのバックアップ選択ポリシーについて
- OSPFプロトコルのバックアップ選択ポリシーの設定
- IS-IS プロトコルのバックアップ選択ポリシーの設定
- 例:OSPF または OSPF3 プロトコルのバックアップ選択ポリシーの設定
- play_arrow ポリシーチェーンとサブルーチンを使用した複雑なケースの評価
- play_arrow ルートフィルターとプレフィックスリストを一致条件として構成する
- ルーティング ポリシー一致条件で使用するルート フィルターについて
- ルーティング ポリシー一致条件で使用するルート フィルターと送信元アドレス フィルター リストの理解
- 送信元または宛先 IP のみを使用したロード バランシングについて
- 送信元または宛先 IP のみを使用したロード バランシングの設定
- ルート フィルターのウォークアップの概要
- 運用効率を向上させるためのルート フィルターのウォークアップの構成
- 例:ルート フィルタ リストの構成
- 例:運用効率を向上させるために、ルート フィルターのウォークアップをグローバルに構成する
- 例:ルート フィルターのウォークアップをローカルで構成して運用効率を向上させる
- 例:OSPF を介して学習したプレフィックスの優先度を指定するためのルート フィルター ポリシーの設定
- 例:ルート フィルターを使用した MED の設定
- 例:ルート フィルターのレイヤー 3 VPN プロトコル ファミリー修飾子の設定
- ルーティングポリシー一致条件で使用するプレフィックスリストについて
- 例:ルーティングポリシープレフィックスリストの設定
- 例:RPDインフラストラクチャにおけるルートプレフィックスの優先度の設定
- RPDインフラストラクチャでのルートプレフィックスの優先度の設定
- play_arrow ASパスを一致条件として設定する
- play_arrow コミュニティを一致条件として設定する
- play_arrow BGPルートフラッピングアクションによるネットワークの安定性の向上
- play_arrow ソースクラス使用率と宛先クラス使用率アクションによるトラフィック使用状況の追跡
- ソースクラスの使用方法と宛先クラスの使用オプションについて
- ソースクラスの使用の概要
- SCUを設定するためのガイドライン
- SCUのシステム要件
- SCUの用語と頭字語
- SCUを設定するためのロードマップ
- レイヤー3 VPNでSCUを設定するためのロードマップ
- ルーティング・ポリシーでのルート・フィルタおよびソース・クラスの設定
- 転送テーブルへのポリシーの適用
- インバウンドおよびアウトバウンドインターフェイスでのアカウンティングの有効化
- エグレスPEルーターのvtインターフェイスでの入力SCUの設定
- SCU対応vtインターフェイスのVRFインスタンスへのマッピング
- 出力インターフェイスでのSCUの設定
- 会計プロファイルとSCUクラスの関連付け
- SCUアカウンティングプロファイルの検証
- SCUの設定
- レイヤー3 VPN設定のSCU
- 例:送信元プレフィックスと宛先プレフィックスの転送クラスへのグループ化
- play_arrow 条件付きルーティングポリシーによるトラフィックルーティングの脅威の回避
- play_arrow Discard インターフェイスへのトラフィック転送による DoS 攻撃からの保護
- play_arrow 動的ルーティング ポリシーによるコミット時間の改善
- play_arrow ルーティングポリシーを適用する前のテスト
-
- play_arrow ファイアウォールフィルターの設定
- play_arrow ファイアウォールフィルターがネットワークを保護する仕組みを理解する
- ファイアウォールフィルターの概要
- ルーター データ フローの概要
- ステートレス ファイアウォール フィルターの概要
- 標準ファイアウォールフィルターの使用方法について
- ファイアウォールフィルターがパケットフローを制御する方法の理解
- ステートレス ファイアウォール フィルターのコンポーネント
- ステートレス ファイアウォール フィルター アプリケーション ポイント
- 標準ファイアウォールフィルターによるパケットの評価方法
- ファイアウォールフィルターの理解高速検索フィルター
- PVLAN を使用したエグレス ファイアウォール フィルターについて
- PTXルーターでの選択的クラスベースフィルタリング
- ファイアウォールフィルターの設定に関するガイドライン
- 標準ファイアウォールフィルターの適用に関するガイドライン
- サポートされているフィルタリング基準
- ファイアウォールトラフィックの監視
- ファイアウォールフィルターのトラブルシューティング
- play_arrow ファイアウォールフィルターの一致条件とアクション
- ファイアウォールフィルター(OCXシリーズ)の概要
- ACXシリーズルーター(Junos OS Evolved)のファイアウォールフィルタープロファイルの概要
- ファイアウォールフィルター一致条件について
- ファイアウォールフィルターの計画について
- ファイアウォールフィルターの評価方法の理解
- ファイアウォールフィルター一致条件について
- ファイアウォールフィルターフレキシブル一致条件
- ファイアウォールフィルター非終了アクション
- ファイアウォールフィルター終了アクション
- ファイアウォールフィルターの一致条件およびアクション(ACXシリーズルーター)
- ACXシリーズルーター(Junos OS Evolved)のファイアウォールフィルターの一致条件とアクション
- プロトコル非依存型トラフィックのファイアウォールフィルター一致条件
- IPv4トラフィックのファイアウォールフィルター一致条件
- IPv6トラフィックのファイアウォールフィルター一致条件
- 数字またはテキストエイリアスに基づくファイアウォールフィルター一致条件
- ビットフィールド値に基づくファイアウォールフィルター一致条件
- アドレスフィールドに基づくファイアウォールフィルター一致条件
- アドレス クラスに基づくファイアウォール フィルター一致条件
- MPLS トラフィックの IP ベース フィルタリングと選択的ポート ミラーリングについて
- MPLSトラフィックのファイアウォールフィルター一致条件
- MPLSタグ付きIPv4またはIPv6トラフィックのファイアウォールフィルター一致条件
- VPLSトラフィックのファイアウォールフィルター一致条件
- レイヤー2 CCCトラフィックのファイアウォールフィルター一致条件
- レイヤー2ブリッジングトラフィックのファイアウォールフィルター一致条件
- ループバック インターフェイスでのファイアウォール フィルターのサポート
- play_arrow ルーティング エンジン トラフィックへのファイアウォール フィルターの適用
- ループバックインターフェイスでの論理ユニットの設定 - レイヤー3 VPNのルーティングインスタンス用
- 例:プレフィックスリストに基づいてポートへのTCPアクセスを制限するフィルターの設定
- 例:信頼できる送信元からのトラフィックを受け入れるステートレス ファイアウォール フィルターの設定
- 例:Telnet および SSH アクセスをブロックするフィルターの設定
- 例:TFTPアクセスをブロックするフィルターの設定
- 例:IPv6 TCPフラグに基づいてパケットを受け入れるためのフィルターの設定
- 例:指定された BGP ピア以外からのポートへの TCP アクセスをブロックするフィルターの設定
- 例:TCP および ICMP フラッドから保護するステートレス ファイアウォール フィルターの構成
- 例:パケット/秒レート制限フィルターによるルーティングエンジンの保護
- 例:LAC 加入者の DHCPv6 および ICMPv6 制御トラフィックを除外するフィルターの設定
- DHCPファイアウォールフィルターのポート番号に対する要件
- 例:Configuring a DHCP Firewall Filter to Protect the Routing Engine
- play_arrow トランジットトラフィックへのファイアウォールフィルターの適用
- 例:イングレス キューイング フィルターとして使用するフィルターの設定
- 例:IPv6 フラグに一致するフィルターの設定
- 例:ポートとプロトコルのフィールドで一致するフィルタの設定
- 例:受け入れたパケットと拒否されたパケットをカウントするフィルターの設定
- 例:IP オプション パケットをカウントおよび破棄するフィルターの設定
- 例:IP オプション パケットをカウントするフィルターの設定
- 例:受け入れられたパケットをカウントしてサンプルするフィルターの設定
- 例:DSCP ビットをゼロに設定するフィルターの設定
- 例:DSCP ビットをゼロに設定するフィルターの設定
- 例:関連性のない 2 つの基準に一致するようにフィルターを構成する
- 例:アドレスに基づいてDHCPパケットを受け入れるようにフィルタを構成する
- 例:プレフィックスから OSPF パケットを受信するためのフィルターの設定
- 例:フラグメントを処理するためのステートレス ファイアウォール フィルターの設定
- IPv4パケットのフラグメント化を防止または許可するファイアウォールフィルターの設定
- モビリティ拡張ヘッダーを持つイングレスIPv6パケットを破棄するファイアウォールフィルターの設定
- 例:IPv6 送信元または宛先 IP アドレスに基づくエグレス フィルターの設定
- 例:宛先クラスに基づくレート制限フィルターの設定
- play_arrow 論理システムでのファイアウォールフィルターの設定
- 論理システムのファイアウォール フィルターの概要
- 論理システムでファイアウォールフィルターを設定および適用するためのガイドライン
- 論理システムのファイアウォールフィルターから従属オブジェクトへの参照
- 論理システムのファイアウォールフィルターから非ファイアウォールオブジェクトへの参照
- 論理システム内の非ファイアウォール オブジェクトからファイアウォール フィルターへの参照
- 例:フィルターベース転送の設定
- 例:論理システムでのフィルターベース転送の設定
- 例:ICMP フラッドから論理システムを保護するステートレス ファイアウォール フィルターの設定
- 例:ICMP フラッドから論理システムを保護するステートレス ファイアウォール フィルターの設定
- 論理システムに対してサポートされていないファイアウォール フィルター ステートメント
- 論理システムのファイアウォールフィルターでサポートされていないアクション
- ルーティングインスタンスのフィルターベースフォワーディング
- ACX シリーズルーター上のルーティングインスタンス用の転送テーブルフィルター
- 転送テーブル フィルターの設定
- play_arrow ファイアウォールフィルターのアカウンティングとロギングの設定
- play_arrow 単一のインターフェイスへの複数のファイアウォールフィルターのアタッチ
- インターフェイスへのファイアウォールフィルターの適用
- ファイアウォールフィルターの設定
- Multifield Classifier 例: マルチフィールド分類の設定
- MPCを使用するMXシリーズルーターのイングレスキューイングのためのマルチフィールド分類子
- パケット転送動作を指定するためのファイアウォールフィルターのマルチフィールド分類子の割り当て(CLI手順)
- ネストされた構成における複数のファイアウォールフィルターについて
- 複数のファイアウォールフィルターへの参照を入れ子にするためのガイドライン
- リストとして適用された複数のファイアウォールフィルターについて
- 複数のファイアウォールフィルターをリストとして適用するためのガイドライン
- 例:複数のファイアウォールフィルターのリストの適用
- 例:複数のファイアウォールフィルターへの参照のネスト
- 例:インターフェイス セットで受信したパケットのフィルタリング
- play_arrow 単一のファイアウォールフィルターを複数のインターフェイスにアタッチする
- play_arrow IP ネットワーク間でのフィルターベーストンネリングの設定
- play_arrow サービスフィルターの設定
- play_arrow 簡易フィルターの構成
- play_arrow レイヤー 2 ファイアウォール フィルターの設定
- play_arrow 転送、フラグメント、およびポリシング用のファイアウォール フィルターの設定
- play_arrow ファイアウォールフィルターの設定(EXシリーズスイッチ)
- EXシリーズスイッチ用ファイアウォールフィルターの概要
- ファイアウォールフィルターの計画について
- ファイアウォールフィルター一致条件について
- ファイアウォールフィルターがパケットフローを制御する方法の理解
- ファイアウォールフィルターの評価方法の理解
- EXシリーズスイッチ上のブリッジングおよびルーティングパケットのファイアウォールフィルター処理ポイントの理解
- EXシリーズスイッチのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子
- EXシリーズスイッチでのファイアウォールフィルターの一致条件、アクション、およびアクション修飾子に対するプラットフォームのサポート
- スイッチでのループバックファイアウォールフィルターの一致条件とアクションのサポート
- ファイアウォールフィルターの設定(CLI手順)
- ファイアウォールフィルターがパケットのプロトコルをテストする方法の理解
- EXシリーズスイッチのフィルターベースフォワーディングについて
- 例:EXシリーズスイッチのポート、VLAN、およびルータートラフィック用のファイアウォールフィルターの設定
- 例:EX シリーズスイッチ上の管理インターフェイスにファイアウォールフィルターを設定する
- 例:フィルターベースの転送を使用して、アプリケーショントラフィックをセキュリティデバイスにルーティングする
- 例:802.1XまたはMAC RADIUS認証が有効なインターフェイス上の複数のサプリカントへのファイアウォールフィルターの適用
- ポリサーの動作確認
- ファイアウォールフィルターのトラブルシューティング
- play_arrow ファイアウォールフィルターの設定(QFXシリーズスイッチ、EX4600スイッチ、PTXシリーズルーター)
- ファイアウォールフィルター(QFXシリーズ)の概要
- ファイアウォールフィルターの計画について
- 作成するファイアウォール フィルターの数の計画
- ファイアウォールフィルターの一致条件およびアクション(QFXおよびEXシリーズスイッチ)
- ファイアウォールフィルターの一致条件およびアクション(QFX10000スイッチ)
- ファイアウォールフィルターの一致条件およびアクション(PTXシリーズルーター)
- PTXシリーズパケットトランスポートルーターとTシリーズマトリックスルーターのファイアウォールとポリシングの違い
- ファイアウォールフィルターの設定
- インターフェイスへのファイアウォールフィルターの適用
- ループバック インターフェイスでの MPLS ファイアウォール フィルターの概要
- スイッチでの MPLS ファイアウォール フィルターとポリサーの設定
- ルーターでの MPLS ファイアウォール フィルターとポリサーの設定
- MPLS ファイアウォール フィルターとポリサーの設定
- ファイアウォールフィルターがプロトコルをテストする方法の理解
- ブリッジングおよびルーティングされたパケットに対するファイアウォールフィルター処理ポイントの理解
- フィルターベース転送について
- 例:フィルターベースの転送を使用して、アプリケーショントラフィックをセキュリティデバイスにルーティングする
- ファイアウォールフィルターを設定して、GRE またはIPIP トラフィックをカプセル化解除する
- ファイアウォールフィルターの動作確認
- ファイアウォールトラフィックの監視
- ファイアウォールフィルター設定のトラブルシューティング
- play_arrow ファイアウォールフィルターのアカウンティングとロギングの設定(EX9200スイッチ)
-
- play_arrow 設定ステートメントと運用コマンド
- play_arrow トラブルシューティング
- play_arrow ナレッジベース
-
ポリサーの概要
スイッチは、ユーザーが定義した基準に従ってトラフィッククラスの入力または出力伝送速度を制限することにより、トラフィックをポリシングします。トラフィックのポリシング(またはレート制限)により、インターフェイスで送受信されるトラフィックの最大レートを制御し、複数の優先度レベルまたはサービス クラスを提供できます。
ポリシングもファイアウォールフィルターの重要なコンポーネントです。ファイアウォール フィルターの構成にポリサーを含めることで、ポリシングを実現できます。
ポリサーの概要
ポリサーを使用して、トラフィックフローに制限を適用し、この制限を超えたパケットに対する結果を設定し(通常はより高い損失優先度を適用します)、ダウンストリームのパケットが輻輳に遭遇した場合に、最初にパケットを破棄できるようにします。ポリサーは、ユニキャスト パケットにのみ適用されます。
ポリサーには 2 つの機能があります。メータリングとマーキング。ポリサーは、設定したトラフィックレートとバーストサイズに対して各パケットを測定(測定)します。次に、パケットとメータリング結果をマーカーに渡し、メータリング結果に対応するパケット損失の優先度を割り当てます。 図 1 、このプロセスを示しています。
ポリサーは、PFE ごとに設定された伝送速度でトラフィックを制限します。QFX10016、QFX10002、QFX10002-60C、および QFX10008 スイッチでは、集約されたイーサネット(AE)インターフェイスのバンドルが複数の PFE にまたがる場合、加入者に対するポリサーの全体的な伝送速度が、ポリサーの設定された伝送速度を超える可能性があります(関係する PFE の数によって異なります)。
次に例を示します。
メンバーリンクxe-1/0/0(fpc1-pfe0)およびxe-1/0/30(fpc1-pfe1)を持つAEインターフェイスに設定された帯域幅制限100 mbpsのポリサー。ここでは、2 つのメンバー リンクは FPC1 に属していますが、異なる PFE 上にあります。ポリサーを AE インターフェイスに適用すると、2 つの PFE に対してポリサーが設定されているため、合計帯域幅は 200 Mbps になります。
メンバーリンクxe-1/0/0(fpc1-pfe0)、et-2/0/1(fpc2-pfe1)、xe-2/0/18:0(fpc2-pfe2)を持つAEインターフェイスに設定された帯域幅制限100 Mbpsのポリサー。ここでは、1つのメンバーリンクがこのFPC上のFPC1とPFE0に属しています。残りの2つのメンバーリンクはFPC2に属しますが、PFEが異なります。ポリサーを AE インターフェイスに適用すると、3 つの PFE に対してポリサーが設定されているため、合計帯域幅は 300 Mbps になります。
単一のPFE(fpc1-pfe0)上にメンバーリンクxe-1/0/0およびxe-1/0/1を持つAEインターフェイス上に設定された帯域幅制限100 mbpsのポリサー。ここでは、メンバー リンクは FPC1 と同じ PFE に属しています。ポリサーを AE インターフェイスに適用すると、PFE ごとにポリサーが設定されるため、合計帯域幅は 100 Mbps になります。
ポリサーに名前を付けて構成した後、1 つ以上のファイアウォール フィルターでアクションとして指定して使用できます。
ポリサーのタイプ
スイッチは、次の 3 種類のポリサーをサポートします。
シングルレート 2 カラー マーカー - 2 カラー ポリサー(または資格なしで使用する場合は「ポリサー」)がトラフィック ストリームを計測し、設定された帯域幅とバーストサイズ制限に従って、パケットを PLP(パケット損失の優先度)の 2 つのカテゴリーに分類します。指定した PLP で帯域幅とバースト サイズ制限を超えるパケットをマークするか、単に廃棄することができます。
このタイプのポリサーは、イングレスまたはエグレス ファイアウォールで指定できます。
注:2 カラー ポリサーは、ポート(物理インターフェイス)レベルでトラフィックを計測する場合に最も役立ちます。
シングルレート3カラーマーカー—このタイプのポリサーは、 RFC2697のシングル レートスリーカラーマーカーで、差別化されたサービス(DiffServ)環境向けの確実転送(AF)ホップごとの動作(PHB)分類システムの一部として定義されています。このタイプのポリサーは、設定された認定情報レート(CIR)と、認定バースト サイズ(CBS)および超過バースト サイズ(EBS)という 1 つのレートに基づいてトラフィックを計測します。CIR は、ビットがスイッチに許可される平均レートを指定します。CBS は通常のバースト サイズをバイト単位で指定し、EBS は最大バースト サイズをバイト単位で指定します。EBS は CBS 以上である必要があり、どちらも 0 にすることはできません。
このタイプのポリサーは、イングレスまたはエグレス ファイアウォールで指定できます。
注:シングルレート3カラーマーカー(TCM)は、サービスがピーク到着率ではなくパケット長に従って構造化されている場合に最も役立ちます。
ツー レート スリー カラー マーカー—このタイプのポリサーは、RFC 2698、 A Two Rate Three Color Marker で、差別化サービス環境向けのホップ単位の保証転送動作分類システムの一部として定義されています。このタイプのポリサーは、CIR とピーク情報レート(PIR)とそれに関連するバースト サイズである CBS とピーク バースト サイズ(PBS)の 2 つのレートに基づいてトラフィックをメーターします。PIR は、ビットがネットワークに許可される最大レートを指定し、CIR 以上である必要があります。
このタイプのポリサーは、イングレスまたはエグレス ファイアウォールで指定できます。
注:ツー レート スリー カラー ポリサーは、サービスがパケット長ではなく到着レートに従って構造化されている場合に最も役立ちます。
これらの各ポリサーの種類にメータリング結果を適用する方法については、 表 1 を参照してください。
ポリサーのアクション
ポリサーのアクションは暗黙的または明示的であり、ポリサーのタイプによって異なります。暗黙的とは 、Junos OSが損失の優先度を自動的に割り当てることを意味します。 表 1 では、ポリサーのアクションについて説明します。
ポリサー | マーキング | 暗黙的なアクション | 設定可能なアクション |
|---|---|---|---|
シングルレート2色 | 緑(準拠) | 低損失優先度の割り当て | なし |
赤(不適合) | なし | 捨てる | |
シングルレート3色 | 緑(準拠) | 低損失優先度の割り当て | なし |
黄色(CIRとCBSの上) | 中高損失の優先度を割り当てる | なし | |
赤(EBS の上) | 高損失優先度の割り当て | 捨てる | |
ツーレートスリーカラー | 緑(準拠) | 低損失優先度の割り当て | なし |
黄色(CIRとCBSの上) | 中高損失の優先度を割り当てる | なし | |
赤(PIRとPBSの上) | 高損失優先度の割り当て | 捨てる |
エグレス ファイアウォールフィルターでポリサーを指定した場合、サポートされるアクションは discard のみです。
ポリサー カラー
1 レートおよび 2 レートの 3 カラー ポリサーは、次の 2 つのモードで動作できます。
色覚異常—色覚異常モードでは、3 色ポリサーは、検査対象のすべてのパケットが以前にマーキングまたは計測されていないと想定します。言い換えれば、3色のポリサーは、パケットが持っていたかもしれない以前の色付けに対して「盲目」です。
カラー認識—カラー認識モードでは、3カラーポリサーは、検査されたすべてのパケットが以前にマーキングまたはメータリングされていると仮定します。つまり、3 色のポリサーは、パケットが以前に持っていた可能性のある色を「認識」しています。カラー認識モードでは、3 カラー ポリサーはパケットの PLP を増やすことはできますが、減らすことはできません。たとえば、カラー対応の 3 カラー ポリサーが中程度の PLP マーキングを持つパケットを計測する場合、PLP レベルを高に上げることはできますが、PLP レベルを低くすることはできません。
フィルター固有のポリサー
ポリサーをフィルター固有に設定することができます。つまり、ポリサーが何回参照されても、Junos OSはポリサーインスタンスを1つだけ作成します。一部の QFX スイッチでは、レート制限が集約されて適用されるため、1 Gbps を超えるトラフィックを破棄するようにポリサーを設定し、そのポリサーを 3 つの異なる条件で参照する場合、フィルターで許容される合計帯域幅は 1 Gbps になります。ただし、フィルタ固有のポリサーの動作は、ポリサーを参照するファイアウォール フィルタ用語が TCAM にどのように保存されるかによって影響を受けます。フィルター固有のポリサーを作成し、それを複数のファイアウォール フィルター用語で参照する場合、用語が異なる TCAM スライスに格納されている場合、ポリサーは予想よりも多くのトラフィックを許可します。例えば、1 Gbps を超えるトラフィックを廃棄するようにポリサーを設定し、そのポリサーを 3 つの異なる用語で参照し、3 つの別々のメモリ スライスに格納する場合、フィルターで許容される総帯域幅は 1 Gbps ではなく 3 Gbps になります。(この動作はQFX10000スイッチでは発生しません)。
この予期しない動作の発生を防ぐには、 作成するファイアウォール フィルターの数 の計画に記載されている TCAM スライスに関する情報を使用して構成ファイルを整理し、特定のフィルター固有のポリサーを参照するすべてのファイアウォール フィルター条件が同じ TCAM スライスに保存されるようにします。
ポリサーに推奨される命名規則
3 カラー ポリサーを設定する場合は命名規則 policertypeTCM#-color type 、2 カラー ポリサーを設定するには policer# を使用することを推奨します。TCM は 3 色マーカー を表します。ポリサーは多数存在する可能性があり、機能するには正しく適用する必要があるため、単純な命名規則を使用すると、ポリサーを適切に適用しやすくなります。たとえば、最初に設定されたシングル レートのカラー認識 3 カラー ポリサーの名前は srTCM1-ca になります。2 番目に構成された 2 レート、色覚異常の 3 色は、 trTCM2-cb という名前になります。この命名規則の要素について、以下で説明します。
SR(シングルレート)
TR(ツーレート)
TCM(トリコロールマーキング)
1 または 2 (マーカーの数)
CA (カラー認識)
CB(色覚異常)
ポリサーカウンター
一部の QFX スイッチでは、設定する各ポリサーに、ポリサーに指定されたレート制限を超えるパケットの数をカウントする暗示的なカウンターが含まれています。同じフィルター内または異なるフィルター内で、同じポリサーを複数の条件で使用すると、暗黙的なカウンターは、これらすべての条件でポリシングされるすべてのパケットをカウントし、合計量を提供します。(これはQFX10000スイッチには適用されません)。影響を受けるスイッチの条件ごとに個別のパケット数を取得する場合は、次のオプションを使用します。
各条件に固有のポリサーを設定します。
ポリサーを 1 つだけ設定しますが、各条件に一意の明示的なカウンターを使用します。
ポリサー アルゴリズム
ポリシングでは、 トークンバケットアルゴリズムを使用して、平均帯域幅に制限を強制しながら、指定された最大値までのバーストを許可します。リーキーバケットアルゴリズムよりも柔軟性が高く、パケットの破棄を開始する前に一定量のバースト性トラフィックを許可します。
バースト性トラフィックが少ない環境では、QFX5200すべてのマルチキャスト パケットを 2 つ以上のダウンストリーム インターフェイスに複製できない場合があります。これはライン レート バーストでのみ発生し、トラフィックが一貫していれば問題は発生しません。さらに、この問題は、1 ギガビットのトラフィック フローでパケット サイズが 6k を超える場合にのみ発生します。
サポートされるポリサーの数はいくつですか?
QFX10000スイッチは、8K ポリサー(すべてのポリサー タイプ)をサポートしています。QFX5100 および QFX5200 スイッチは、1535 個のイングレス ポリサーと 1024 個のエグレス ポリサーをサポートします(ファイアウォール フィルター条件ごとに 1 つのポリサーを想定)。QFX5110スイッチは、6144 個のイングレス ポリサーと 1024 個のエグレス ポリサーをサポートします(ファイアウォール フィルター条件ごとに 1 つのポリサーを想定)。
QFX3500およびQFX3600スタンドアロンスイッチとQFabricノードデバイスは、以下の数のポリサーをサポートします(ファイアウォールフィルター条件ごとに1つのポリサーを想定)。
イングレスファイアウォールフィルターで使用される2色のポリサー: 767
イングレスファイアウォールフィルターで使用される3色ポリサー: 767
エグレスファイアウォールフィルターで使用される2色のポリサー: 1022
エグレスファイアウォールフィルターで使用される3色ポリサー: 512
ポリサーはエグレスファイアウォールフィルターを制限できる
一部のスイッチでは、設定したエグレスポリサーの数が、許可されるエグレスファイアウォールフィルターの総数に影響を与えることがあります。すべてのポリサーには、1024エントリのTCAMで2つのエントリを占める2つの暗黙的なカウンターがあります。これらは、ファイアウォール フィルターの用語でアクション修飾子として構成されているカウンターなど、カウンターに使用されます。(ポリサーのタイプに関係なく、1つはグリーンパケットに使用され、もう1つは非グリーンパケットに使用されるため、ポリサーは2つのエントリを消費します)。TCAMがいっぱいになると、カウンターを含む条件を持つエグレスファイアウォールフィルターをこれ以上コミットできなくなります。例えば、512 個のエグレス ポリサー(2 色、3 色、または両方のポリサー タイプの組み合わせ)を設定してコミットすると、カウンターのすべてのメモリ エントリーが使い果たされます。構成ファイルの後半で、カウンターを含む条件を持つ追加のエグレス ファイアウォール フィルターを挿入した場合、カウンターに使用できるメモリ領域がないため、これらのフィルターのどの条件 も コミットされません。
その他の例を次に示します。
合計512のポリサーを含み、カウンターを含まないエグレスフィルターを設定するとします。構成ファイルの後半に、10 個の条件を持つ別のエグレス フィルターを含め、そのうちの 1 つにカウンター アクション修飾子を設定します。カウンターに十分な TCAM スペースがないため、このフィルターのどの条件もコミットされません。
合計500のポリサーを含むエグレスフィルターを設定すると、1000のTCAMエントリーが占有されるとします。構成ファイルの後半で、次の 2 つのエグレス フィルターを含めます。
20 個の項と 20 個のカウンターでフィルター A。すべてのカウンターに十分なTCAMスペースがあるため、このフィルターのすべての条件がコミットされます。
フィルター B はフィルター A の後にあり、5 つの項と 5 つのカウンターがあります。すべてのカウンターに十分なメモリ領域がないため、このフィルターのどの条件もコミットされません。(5 つの TCAM エントリが必要ですが、使用可能は 4 つだけです)。
この問題を防ぐには、カウンターアクションを含むエグレスファイアウォールフィルター条件が、ポリサーを含む用語よりも構成ファイルの早い位置に配置されるようにします。この状況では、暗黙的なカウンターのための十分なTCAMスペースがない場合でも、Junos OSはポリサーをコミットします。たとえば、次のことを想定します。
カウンターアクションを含む1024個のエグレスファイアウォールフィルター条件があります。
構成ファイルの後半には、10語のエグレスフィルターがあります。どの条件にもカウンターはありませんが、1 つの用語にはポリサー アクション修飾子があります。
ポリサーの暗黙的なカウンターのための十分なTCAMスペースがない場合でも、10語でフィルターを正常にコミットできます。ポリサーはカウンターなしでコミットされます。
