Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

ポリサーの適用

ポリサーの適用の概要

ポリサーを使用すると、ファイアウォールフィルターを設定せずに、特定のインターフェイスまたはレイヤー2仮想プライベートネットワーク(VPN)で簡単なトラフィックポリシングを実行できます。ポリサーを適用するには、 policer ステートメントを含めます。

以下の階層レベルでこれらのステートメントを使用することができます。

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

family ステートメントでは、プロトコルファミリーは、cccinetinet6mplstcc、または vpls にすることができます。

arp ステートメントでは、アドレス解決プロトコル(ARP)パケットがインターフェイスで受信されたときに評価される 1 つのポリサー テンプレートの名前をリストします。デフォルトでは、ARP ポリサーがインストールされ、 family inet ステートメントを設定したすべてのイーサネット インターフェイスで共有されます。ARP パケットのポリシングをより厳格または寛大にしたい場合は、インターフェイス固有のポリサーを設定し、それをインターフェイスに適用できます。ARP ポリサーは、他のポリサーと同様に、 [edit firewall policer] 階層レベルで設定します。このポリサーをインターフェイスに適用すると、デフォルトの ARP パケット ポリサーが上書きされます。このポリサーを削除すると、デフォルト・ポリサーが再び有効になります。

  • インターフェイス上の各プロトコルファミリーに異なるポリサーを設定し、ファミリーごとに1つの入力ポリサーと1つの出力ポリサーを設定することができます。ポリサーを適用する場合、ファミリー cccinetinet6mplstcc、または vpls のみを設定し、ファミリー inet プロトコル用に 1 つの ARP ポリサーのみを設定できます。ポリサーが参照されるたびに、そのインターフェイスのパケット転送コンポーネントにポリサーの個別のコピーがインストールされます。

  • ポリサーとファイアウォールフィルターの両方をインターフェイスに適用した場合、入力ポリサーは入力ファイアウォールフィルターの前に評価され、出力ポリサーは出力ファイアウォールフィルターの後に評価されます。input ステートメントでは、インターフェイスでパケットが受信された時に評価される 1 つのポリサー テンプレートの名前をリストします。output ステートメントでは、インターフェイスでパケットが送信された時に評価される 1 つのポリサー テンプレートの名前をリストします。

  • 複数のFPCにまたがる集合型イーサネット(AE)インターフェイス上のMXシリーズルーターで終端する加入者の場合、ポリサーで設定された制限がAEバンドル内の各インターフェイスに個別に適用されるため、全体の加入者レートが設定レートを超える可能性があります。したがって、たとえば、3 メンバーの AE インターフェイス上のポリサーに bandwidth-limit600mを強制させる場合、AE の 3 つのインターフェイス(つまり、インターフェイスあたり 200 Mbps、合計 600 Mbps)を考慮して、200m のポリサーで bandwidth-limit を設定する必要があります。

  • インターフェイス lo0にポリサーを適用すると、ルーティング エンジンによって受信または送信されたパケットに適用されます。

  • T Series、M120、およびM320プラットフォームでは、インターフェイスが同じFPC上にある場合、フィルターまたはポリサーはインターフェイスに出入りするトラフィックの合計に作用しません。

集約ポリサーの適用

集約ポリサーの適用

デフォルトでは、同じ論理インターフェイス上の複数のプロトコルファミリーにポリサーを適用すると、ポリサーは各プロトコルファミリーのトラフィックを個別に制限します。例えば、IPv4 と IPv6 の両方のトラフィックに 50 Mbps の帯域幅制限が適用されたポリサーは、インターフェイスが 50 Mbps の IPv4 トラフィックと 50 Mbps の IPv6 トラフィックを受け入れることを可能にします。集約型ポリサーを適用した場合、ポリサーはインターフェイスに IPv4 と IPv6 のトラフィックの合計 50 Mbps のみの受信を許可します。

集約ポリサーを設定するには、[edit firewall policer policer-template-name]階層レベルで logical-interface-policer ステートメントを含めます。

ポリサーを集約として扱うには、 policer ステートメントを含めて、単一の論理インターフェイス上の複数のプロトコルファミリーに適用する必要があります。

以下の階層レベルでこれらのステートメントを使用することができます。

  • [edit interfaces interface-name unit logical-unit-number family family]

  • [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family family]

family ステートメントでは、プロトコルファミリーは、cccinetinet6mplstcc、または vpls にすることができます。

ポリサーを適用しないプロトコルファミリーは、ポリサーの影響を受けません。たとえば、MPLS、IPv4、および IPv6 トラフィックを受け入れるように単一の論理インターフェイスを設定し、論理インターフェイス ポリサー policer1 を IPv4 および IPv6 プロトコル ファミリのみに適用した場合、MPLS トラフィックは policer1 の制約を受けません。

異なる論理インターフェイスに policer1 を適用する場合、ポリサーのインスタンスは 2 つあります。つまり、同じ物理インターフェイス ポート上の複数の論理インターフェイスに同じ論理インターフェイス ポリサーが適用されている場合でも、Junos OS は集約としてではなく、別々の論理インターフェイス上のトラフィックを別々にポリシングします。

例:集約ポリサーの適用

2 つの論理インターフェイス ポリサーを構成します。aggregate_police1aggregate_police2 があります。論理インターフェイス fe-0/0/0.0で受信したIPv4およびIPv6トラフィックにaggregate_police1を適用します。論理インターフェイス fe-0/0/0.0 で受信した CCC および MPLS トラフィックに aggregate_police2 を適用します。この構成により、ソフトウェアは aggregate_police1 のインスタンスを 1 つだけ作成し、 aggregate_police2 のインスタンスを 1 つだけ作成します。

別の論理インターフェイス fe-0/0/0.1で受信した IPv4 および IPv6 トラフィックに aggregate_police1 を適用します。この設定により、ソフトウェアは、ユニット 0 に適用されるインスタンスとユニット 1 に適用される aggregate_police1 の新しいインスタンスを作成します。

拡張インテリジェント キューイングPICへの階層型ポリサーの適用

拡張インテリジェント キューイングPICへの階層型ポリサーの適用

拡張インテリジェントキューイング(IQE)PICを搭載したM40e、M120、M320エッジルーターとT Seriesコアルーターは、イングレス方向の階層型ポリサーをサポートしており、インターフェイスに対するプレミアムおよび集約(プレミアムとノーマル)トラフィックレベルの階層ポリサーを適用できます。階層型ポリサーは、設定された物理インターフェイスとパケット転送エンジンの間でクロスファンクショナルな機能を提供します。

開始する前に、階層ポリサーに適用される一般的な制限がいくつかあります。

  • 論理インターフェイスまたは物理インターフェイスに設定できるポリサーの種類は 1 つだけです。例えば、同じ論理インターフェイスに対して同じ方向の階層型ポリサーと通常のポリサーは許可されません。

  • ポリサーのチェイニング(つまり、ポートとそのポートの論理インターフェイスの両方にポリサーを適用すること)は許可されません。

  • BA 分類がない場合、インターフェイスごとに 64 件のポリシーに制限があり、DLCI ごとに 1 つのポリサーが提供されます。

  • 物理インターフェイスまたは論理インターフェイスに適用できるポリサーの種類は 1 つだけです。

  • ポリサーは、BA 分類から独立している必要があります。BA 分類を使用しない場合、インターフェイス上のすべてのトラフィックは、設定に基づいて EF または非 EF として扱われます。BA 分類では、インターフェイスは最大 64 のポリサーをサポートします。ここでも、ここでのインターフェイスは、物理インターフェイスまたは論理インターフェイス(DLCIなど)である可能性があります。

  • BA 分類では、その他のトラフィック(BA 分類の DSCP/EXP ビットのいずれとも一致 しない トラフィック)は非 EF トラフィックとしてポリシングされます。このトラフィックに個別のポリサーはインストールされません。

階層ポリサーの概要

階層型ポリシングでは、集約(非 EF)トラフィック用とプレミアム(EF)トラフィック用の 2 つのトークン バケットを使用します。どのトラフィックがEFで、どれが非EFかは、サービスクラス設定によって決まります。論理的には、階層ポリシングは 2 つのポリサーを連鎖させることによって実現されます。

図 1: 階層型ポリサー階層型ポリサー

図 1 の例では、EF トラフィックはプレミアム ポリサーによってポリシングされ、非 EF トラフィックは集約ポリサーによってポリシングされます。つまり、EF トラフィックの場合、仕様外アクションはプレミアム ポリサー用に構成されたアクションになりますが、仕様内 EF トラフィックは引き続き集約ポリサーからのトークンを消費します。

ただし、EF トラフィックは、集約ポリサーの仕様外アクションに送信されることはありません。また、プレミアム ポリサーの仕様外アクションが [破棄] に設定されていない場合、仕様外パケットは集約ポリサーからのトークンを消費しません。集約ポリサーは、非 EF トラフィックのみをポリシングします。ご覧のとおり、すべてのトークンが非EFトラフィックによって消費され、EFトラフィックのバーストが発生すると、集約ポリサートークンバケットが負になる可能性があります。しかし、それは非常に短い時間であり、一定期間にわたって平均化されます。たとえば、以下のように表示されます。

  • Premium Policer: 帯域幅 2Mbps、オブジェクト指向アクション: 捨てる

  • 集合型ポリサー: 帯域幅 10 Mbps、オブジェクト指向アクション: 捨てる

上記の場合、EF トラフィックは 2 Mbps が保証され、EF トラフィックの入力レートに応じて、非 EF トラフィックは 8 Mbps から 10 Mbps になります。

階層型ポリシングの特性

階層型トークンバケットの機能は次のとおりです。

  • イングレス トラフィックは、ポリサーを適用する前に、まず EF トラフィックと非 EF トラフィックに分類されます。

    • 分類は Q ツリー検索によって実行されます

  • チャネル番号は、共有トークン バケット ポリサーを選択します。

    • デュアル トークン バケット ポリサーは、2 つのシングル バケット ポリサーに分割されます。

      • ポリサー 1 - EF トラフィック

      • ポリサー 2 - 非 EF トラフィック

  • 共有トークン バケットは、次のようにトラフィックをポリシングするために使用されます。

    • ポリサー 1 が EF レート (2 Mbps など) に設定されている

    • Policer2 は、集約インターフェイス ポリシング レート(10 Mbps など)に設定されます。

    • EF トラフィックは Policer1 に適用されます。

      • トラフィックが仕様内の場合、Policer1 と Policer2 の両方からの通過と減少が許可されます。

      • トラフィックが仕様外の場合は、トラフィックを破棄するか、新しいFCまたは損失の優先度でマークすることができます。Policer2 は、仕様外の EF トラフィックに対しては何も行いません。

    • 非 EF トラフィックは Policer2 にのみ適用されます。

      • トラフィックが仕様内の場合、通過が許可され、Policer2 がデクリメントされます。

      • トラフィックが仕様外の場合、そのトラフィックは廃棄されるか、新しいFCでマークされるか、新しいドロップ優先度が設定されます。

  • レイヤー 2 でポート速度を目的のレートに制限します。

  • EF トラフィックのレート制限

  • 非 EF トラフィックのレート制限

  • ポリシングドロップは色ごとにカウントされます

関連項目

階層ポリサーの設定

階層型ポリサーを設定するには、 policing-priority ステートメントを適切な転送クラスに適用し、アグリゲートレベルおよびプレミアムレベル向けに階層型ポリサーを設定します。サービス クラスの詳細については、 ルーティング デバイス用 Junos OS サービス クラス ユーザー ガイドを参照してください。

注:

階層ポリサーは、IQE PICでホストされたSONET物理インターフェイスでのみ設定できます。アグリゲート レベルとプレミアム レベルのみがサポートされています。

階層型ポリサーの転送クラスのCoS設定

サービスクラスの設定とステートメントの詳細については、 ルーティングデバイス用Junos OSサービスクラスユーザーガイドを参照してください。

階層型ポリサーのファイアウォール設定

階層ポリサーは、以下のように適用できます。

また、次のように、物理ポートレベルでポリサーを適用するオプションもあります。

シングル レート 2 カラー ポリサーの設定

シングルレート 2 カラー ポリサーは、次のように設定できます。

ポリサーは次のように適用できます。

また、次のように、物理ポートレベルでポリサーを適用するオプションもあります。

シングルレート カラー ブラインド ポリサーの設定

このセクションでは、シングルレート カラー ブラインドおよびカラー認識ポリサーについて説明します。

シングルレート カラー ブラインド ポリサーは、次のように設定できます。

シングルレート カラー ブラインド ポリサーは、次のように適用できます。

シングル レート カラー認識ポリサーは、次のように設定できます。

シングル レート カラー認識ポリサーは、次のように適用できます。

また、次のように、物理ポートレベルでポリサーを適用するオプションもあります。

ツー レート トライカラー マーカー ポリサーの設定

入力ポリシングは、2 レート トライコロール マーカー(trTCM)を使用して実装されます。これは、2つのレート、コミット、およびピークを維持するデュアルトークンバケット(DTB)によって行われます。エグレス スタティック ポリシングもトークン バケットを使用します。

トークン バケットは、次のイングレス ポリシング機能を実行します。

  • (1K) trTCM - デュアルトークンバケット(赤、黄、緑のマーキング)

  • ポリシングはレイヤー 2 パケット サイズに基づきます。

    • +/- バイト調整オフセット後

  • マーキングは色を認識し、色覚異常です:

    • カラーアウェアは、以下に基づいてqツリールックアップによって色を設定する必要があります。

      • 目次

      • 経験値

  • プログラム可能なマーキングアクション:

    • 色(赤、黄、緑)

    • 色と輻輳プロファイルに基づくドロップ

  • ポリサーは、到着するチャネル番号に基づいて選択されます。

    • チャネル番号LUTは、ポリサーインデックスとキューインデックスを生成します

    • 複数のチャネルが同じポリサーを共有できる(LUTは同じポリサーインデックスを生成)

  • 以下のレベルでイングレスポリシングとtrTCMをサポートします。

    • 論理インターフェイス(ifl/DLCI)

    • 物理インターフェイス(ifd)

    • 物理ポート(コントローラ ifd)

    • 論理インターフェイス、物理インターフェイス、ポートの任意の組み合わせ

  • インターフェイス速度とビット/秒のサポート割合

レート制限は、イングレスで選択したキューと、エグレスで事前定義されたキューに適用できます。トークン バケットは、カラー認識モードと色覚異常モードで動作します(RFC 2698 で指定)。

色覚異常の trTCM の設定

3 色ツーレート カラー ブラインド ポリサーは、次のように適用できます。

また、次のように、物理ポートレベルでポリサーを適用するオプションもあります。

カラー認識 trTCM の設定

3 色 2 レート カラー認識ポリサーは、次のように適用できます。

また、次のように、物理ポートレベルでポリサーを適用するオプションもあります。

関連項目