2 色および 3 色の論理インターフェイス ポリサー
論理インターフェイス(集約)ポリサーの概要
論理インターフェイス ポリサー(集合型ポリサーとも呼ばれる)は、2 色または 3 色のトラフィック ポリサーで、ポリサーの複数のインスタンスを作成しなくても、同じ論理インターフェイス上の複数のプロトコル ファミリーの入力または出力トラフィックに適用できるトラフィック レート制限を定義します。
シングルレート 2 カラー 論理インターフェイス ポリサーを設定するには、次のいずれかの階層レベルで logical-interface-policer ステートメントを含めます。
シングルレートまたはツーレートの3カラー論理インターフェイスポリサーを設定するには、次のいずれかの階層レベルで logical-interface-policer ステートメントを含めます。
[edit firewall three-color-policer name][edit logical-systems logical-system-name firewall three-color-policer name]
3 カラー ポリサーは、論理インターフェイス ポリサーとしてのみレイヤー 2 トラフィックに適用できます。3 色ポリサーを物理インターフェイス ポリサーとして( ファイアウォール フィルター経由で)レイヤー 2 トラフィックに適用することはできません。
レイヤー 3 トラフィックに対する論理インターフェイス ポリサーは、論理ユニット レベル(プロトコル ファミリーに関係なく、すべてのトラフィック タイプのレート制限を行う)またはプロトコル ファミリー レベル(特定のプロトコル ファミリーのトラフィックのレート制限)で、インターフェイス設定に直接適用します。ステートレスファイアウォールフィルターの条件から論理インターフェイスポリサーを参照し、そのフィルターを論理インターフェイスに適用してもかまいません。
論理インターフェイス ポリサーは、ユニキャスト トラフィックにのみ適用できます。フラッディングされたトラフィックに対するステートレス ファイアウォール フィルターの構成については、『ルーティング ポリシー、ファイアウォール フィルター、およびトラフィック ポリサー ユーザー ガイド』の「トラフィックのサンプリング、転送、および監視」セクションの「転送テーブル フィルターの適用」を参照してください。
特定のインターフェイスの論理インターフェイス ポリサーを表示するには、 show interfaces policers 運用モード コマンドを発行します。
関連項目
例:2 色論理インターフェイス(集約)ポリサーの設定
この例では、シングルレート 2 カラー ポリサーを論理インターフェイス ポリサーとして設定し、論理インターフェイス上の着信 IPv4 トラフィックに適用する方法を示します。
要件
開始する前に、2 色の論理インターフェイス ポリサーを適用する論理インターフェイスが、ギガビット イーサネット インターフェイス(ge-)または 10 ギガビット イーサネット インターフェイス(xe-)でホストされていることを確認します。
概要
この例では、 policer_IFL シングルレート 2 カラー ポリサーを論理インターフェイス ポリサーとして設定し、論理インターフェイス ge-1/3/1.0 で受信する IPv4 トラフィックに適用します。
トポロジー
物理インターフェイス ge-1/3/1の入力 IPv4 トラフィックが、300 KB のバーストサイズ制限でメディア レートの 90 % に等しい帯域幅制限を超えた場合、論理インターフェイス ポリサーは論理インターフェイス ge-1/3/1.0の入力 IPv4 トラフィックをレート制限policer_IFL。パケット損失の優先度(PLP)レベルを high に設定し、パケットを best-effortとして分類することで、不適合トラフィックをマークするようにポリサーを構成します。
物理インターフェイス上の受信IPv4トラフィックレートが遅くなり、設定された制限に準拠すると、Junos OSは論理インターフェイスで受信IPv4パケットのマーキングを停止します。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
この例を設定するには、以下のタスクを実行します。
- CLIクイック構成
- 論理インターフェイスの設定
- シングルレート 2 カラー ポリサーの論理インターフェイス ポリサーとしての設定
- 論理インターフェイスでの入力 IPv4 トラフィックへの論理インターフェイス ポリサーの適用
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。
set interfaces ge-1/3/1 vlan-tagging set interfaces ge-1/3/1 unit 0 vlan-id 100 set interfaces ge-1/3/1 unit 0 family inet address 10.10.10.1/30 set interfaces ge-1/3/1 unit 1 vlan-id 101 set interfaces ge-1/3/1 unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44 set firewall policer policer_IFL logical-interface-policer set firewall policer policer_IFL if-exceeding bandwidth-percent 90 set firewall policer policer_IFL if-exceeding burst-size-limit 300k set firewall policer policer_IFL then loss-priority high set firewall policer policer_IFL then forwarding-class best-effort set interfaces ge-1/3/1 unit 0 family inet policer input policer_IFL
論理インターフェイスの設定
ステップバイステップでの手順
論理インターフェイスを設定するには:
インターフェイスの設定を有効にします。
[edit] user@host# edit interfaces ge-1/3/1
単一のタグ付けを設定します。
[edit interfaces ge-1/3/1] user@host# set vlan-tagging
論理インターフェイス
ge-1/3/1.0を設定します。[edit interfaces ge-1/3/1] user@host# set unit 0 vlan-id 100 user@host# set unit 0 family inet address 10.10.10.1/30
論理インターフェイス
ge-1/3/1.0を設定します。[edit interfaces ge-1/3/1] user@host# set unit 1 vlan-id 101 user@host# set unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44
結果
show interfaces 設定モード コマンドを入力して、論理インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
シングルレート 2 カラー ポリサーの論理インターフェイス ポリサーとしての設定
ステップバイステップでの手順
シングルレート2カラーポリサーを論理インターフェイスポリサーとして設定するには:
シングルレート 2 カラー ポリサーの設定を有効にします。
[edit] user@host# edit firewall policer policer_IFL
ポリサーが論理インターフェイス(集約)ポリサーであることを指定します。
[edit firewall policer policer_IFL] user@host# set logical-interface-policer
論理インターフェイス ポリサーは、ポリサーが適用される論理インターフェイスの基礎となる物理インターフェイスのメディア レートの割合に基づいてトラフィックをレート制限します。ポリサーは、ファイアウォール フィルターによって参照されるのではなく、インターフェイスに直接適用されます。
ポリサーのトラフィック制限を指定します。
帯域幅制限を指定します。
帯域幅制限を絶対速度で指定するには、8,000 ビット / 秒から 50,000,000,000 ビット / 秒まで、
bandwidth-limit bpsステートメントを含めます。帯域幅制限をインターフェイス上の物理ポート速度に対する割合で指定するには、
bandwidth-percent percentステートメントを含めます。
この例では、CLI コマンドと出力は、絶対レートではなくパーセンテージで指定された帯域幅制限に基づいています。
[edit firewall policer policer_IFL] user@host# set if-exceeding bandwidth-percent 90
バーストサイズ制限を、1,500バイトから100,000,000,000バイトまで指定します。これは、指定された帯域幅制限を超えるデータバーストに許容される最大パケットサイズです。
[edit firewall policer policer_IFL] user@host# set if-exceeding burst-size-limit 300k
構成されたレート制限を超えたトラフィックに対して実行するポリサーアクションを指定します。
パケットを破棄するには、
discardステートメントを含めます。パケットの損失優先度値を設定するには、
loss-priority (low | medium-low | medium-high | high)ステートメントを含めます。パケットを転送クラスに分類するには、
forwarding-class (forwarding-class | assured-forwarding | best-effort | expedited-forwarding | network-control)ステートメントを含めます。
この例では、CLI コマンドと出力は、パケット損失の優先度レベルの設定とパケットの分類の両方に基づいています。
[edit firewall policer policer_IFL] user@host# set then loss-priority high user@host# set then forwarding-class best-effort
結果
show firewall 設定モード コマンドを入力して、ポリサーの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show firewall
policer policer_IFL {
logical-interface-policer;
if-exceeding {
bandwidth-percent 90;
burst-size-limit 300k;
}
then {
loss-priority high;
forwarding-class best-effort;
}
}
論理インターフェイスでの入力 IPv4 トラフィックへの論理インターフェイス ポリサーの適用
ステップバイステップでの手順
2 色の論理インターフェイス ポリサーを適用して、IPv4 トラフィックに論理インターフェイスを入力するには:
論理インターフェイスの設定を有効にします。
[edit] user@host# edit interfaces ge-1/3/1 unit 0
ポリサーをすべてのトラフィック タイプ、または論理インターフェイス上の特定のトラフィック タイプに適用します。
プロトコルファミリーに関係なく、すべてのトラフィックタイプにポリサーを適用するには、
[edit interfaces interface-name unit number]階層レベルにpolicer (input | output) policer-nameステートメントを含めます。特定のプロトコルファミリーのトラフィックにポリサーを適用するには、
[edit interfaces interface-name unit unit-number family family-name]階層レベルでpolicer (input | output) policer-nameステートメントを含めます。
着信パケットに論理インターフェイス ポリサーを適用するには、
policer input policer-nameステートメントを使用します。発信パケットに論理インターフェイス ポリサーを適用するには、policer output policer-nameステートメントを使用します。この例では、CLI コマンドと出力は、論理インターフェイス
ge-1/3/1.0での IPv4 入力トラフィックのレート制限に基づいています。[edit interfaces ge-1/3/1 unit 0] user@host# set family inet policer input policer_IFL
結果
show interfaces 設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
policer input policer_IFL;
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
論理インターフェイスのトラフィック統計とポリサーの表示
目的
論理インターフェイスを通過するトラフィック フローと、論理インターフェイスでパケットを受信したときにポリサーが評価されることを確認します。
アクション
論理インターフェイスge-1/3/1.0には show interfaces operational mode コマンドを使用し、detail または extensive オプションを含めます。Traffic statisticsのコマンド出力セクションには、論理インターフェイス上で送受信されたバイト数とパケット数が一覧表示されます。Protocol inetサブセクションには、次のように、入力または出力論理インターフェイス ポリサーとしてpolicer_IFLポリサーを一覧表示するPolicer フィールドが含まれています。
Input: policer_IFL-ge-1/3/1.0-log_int-i
Output: policer_IFL-ge-1/3/1.0-log_int-o
log_int-i サフィックスは入力トラフィックに適用される論理インターフェイス ポリサーを示し、log_int-o サフィックスは出力トラフィックに適用される論理インターフェイス ポリサーを示します。この例では、論理インターフェイス ポリサーは入力トラフィックにのみ適用されます。
ポリサーの統計情報の表示
目的
ポリサーによって評価されたパケットの数を確認します。
アクション
show policer 動作モード コマンドを使用し、オプションでポリサーの名前を指定します。コマンドの出力は、設定された各ポリサー(または指定されたポリサー)が各方向に評価したパケットの数を表示します。ポリサー policer_IFLの場合、入出力ポリサー名は次のように表示されます。
policer_IFL-ge-1/3/1.0-log_int-i
policer_IFL-ge-1/3/1.0-log_int-o
log_int-i サフィックスは入力トラフィックに適用される論理インターフェイス ポリサーを示し、log_int-o サフィックスは出力トラフィックに適用される論理インターフェイス ポリサーを示します。この例では、論理インターフェイス ポリサーは入力トラフィックにのみ適用されます。
例:3 色論理インターフェイス(集約)ポリサーの設定
この例では、ツー レート スリー カラー カラー ポリサーを論理インターフェイス(集約)ポリサーとして設定し、サポートされている論理インターフェイスのレイヤー 2 入力トラフィックにポリサーを直接適用する方法を示します。
要件
開始する前に、3 色論理インターフェイス ポリサーを適用する論理インターフェイスが、MX シリーズ ルーターのギガビット イーサネット インターフェイス(ge-)または 10 ギガビット イーサネット インターフェイス(xe-)でホストされていることを確認します。
概要
ツー レート スリー カラー ポリサーは、保証されたトラフィックの帯域幅制限とバースト サイズ制限に加えて、ピーク トラフィックの帯域幅とバースト サイズ制限の 2 番目のセットに対してトラフィック フローを測定します。保証トラフィックの制限に適合するトラフィックは緑に分類され、不適合トラフィックは 2 つのカテゴリのいずれかに分類されます。
ピークトラフィックの帯域幅とバーストサイズの制限を超えない不適合トラフィックは、黄色に分類されます。
ピークトラフィックの帯域幅とバーストサイズの制限を超える不適合トラフィックは、赤に分類されます。
論理インターフェイス ポリサーは、ポリサーの複数のインスタンスを作成しなくても、同じ論理インターフェイス上の複数のプロトコル ファミリーに適用できるトラフィック レート制限ルールを定義します。
論理インターフェイス ポリサーは、ステートレス ファイアウォール フィルターでポリサーを参照し、プロトコル ファミリー レベルで論理インターフェイスにフィルターを適用するのではなく、論理ユニット レベルで論理インターフェイスに直接適用します。
トポロジー
この例では、 trTCM2-cb ツー レート スリー カラー ポリサーを色覚異常論理インターフェイス ポリサーとして設定し、論理インターフェイス ge-1/3/1.0 の着信レイヤー 2 トラフィックにポリサーを適用します。
3 色ポリサーを使用してレイヤー 2 トラフィックのレート制限を行う場合、カラー認識ポリシングはエグレス トラフィックにのみ適用できます。
ポリサーは、(token-bucket 式に基づく) トラフィック バーストの 100 KB 許容量を持つ 40 Mbps の帯域幅制限に準拠するトラフィックが緑色に分類されるように、保証されたトラフィック レート制限を定義します。ポリシングされた他のトラフィックと同様に、グリーン フローのパケットは暗黙的に low 損失優先度に設定されてから送信されます。
60 Mbps の帯域幅制限と 200 KB のトラフィック バースト許容量 (token-bucket 式に基づく) のピーク トラフィック制限内に収まる不適合トラフィックは、黄色として分類されます。黄色のトラフィックフローのパケットは、暗黙的に medium-high 損失優先度に設定されてから送信されます。
ピークトラフィック制限を超える不適合トラフィックは赤として分類されます。赤色のトラフィックフローのパケットは、暗黙的に high 損失優先度に設定されます。この例では、red トラフィック(loss-priority high then discard)に対するオプションのポリサー アクションが設定されているため、red トラフィック フローのパケットは送信されずに破棄されます。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
この例を設定するには、以下のタスクを実行します。
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。
set interfaces ge-1/3/1 vlan-tagging set interfaces ge-1/3/1 unit 0 vlan-id 100 set interfaces ge-1/3/1 unit 0 family inet address 10.10.10.1/30 set interfaces ge-1/3/1 unit 1 vlan-id 101 set interfaces ge-1/3/1 unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44 set firewall three-color-policer trTCM2-cb logical-interface-policer set firewall three-color-policer trTCM2-cb two-rate color-blind set firewall three-color-policer trTCM2-cb two-rate committed-information-rate 40m set firewall three-color-policer trTCM2-cb two-rate committed-burst-size 100k set firewall three-color-policer trTCM2-cb two-rate peak-information-rate 60m set firewall three-color-policer trTCM2-cb two-rate peak-burst-size 200k set firewall three-color-policer trTCM2-cb action loss-priority high then discard set interfaces ge-1/3/1 unit 0 layer2-policer input-three-color trTCM2-cb
論理インターフェイスの設定
ステップバイステップでの手順
論理インターフェイスを設定するには:
インターフェイスの設定を有効にします。
[edit] user@host# edit interfaces ge-1/3/1
単一のタグ付けを設定します。
[edit interfaces ge-1/3/1] user@host# set vlan-tagging
論理インターフェイス
ge-1/3/1.0を設定します。[edit interfaces ge-1/3/1] user@host# set unit 0 vlan-id 100 user@host# set unit 0 family inet address 10.10.10.1/30
論理インターフェイス
ge-1/3/1.0を設定します。[edit interfaces ge-1/3/1] user@host# set unit 1 vlan-id 101 user@host# set unit 1 family inet address 20.20.20.1/30 arp 20.20.20.2 mac 00:00:11:22:33:44
結果
show interfaces 設定モード コマンドを入力して、論理インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
2 レート スリー カラー ポリサーの論理インターフェイス ポリサーとしての設定
ステップバイステップでの手順
ツー レート スリー カラー ポリサーを論理インターフェイス ポリサーとして設定するには:
3 カラー ポリサーの設定を有効にします。
[edit] user@host# edit firewall three-color-policer trTCM2-cb
ポリサーが論理インターフェイス(集約)ポリサーであることを指定します。
[edit firewall three-color-policer trTCM2-cb] user@host# set logical-interface-policer
論理インターフェイス ポリサーは、ポリサーが適用される論理インターフェイスの基礎となる物理インターフェイスのメディア レートの割合に基づいてトラフィックをレート制限し、ポリサーはファイアウォール フィルターによって参照されるのではなく、インターフェイスに直接適用されます。
ポリサーがツー レートで色覚異常であることを指定します。
[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate color-blind
カラー対応 3 カラー ポリサーは、以前のネットワーク ノードで設定された別のトラフィック ポリサーによってパケットに設定された可能性のあるカラーリング マーキングを考慮し、既存のカラー マーキングを使用してパケットの適切なポリシング アクションを決定します。
この 3 色ポリサーをレイヤー 2 の入力に適用するため、ポリサーを色覚異常に設定する必要があります。
グリーントラフィックフローの分類に使用するポリサートラフィック制限を指定します。
[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate committed-information-rate 40m user@host# set two-rate committed-burst-size 100k
黄色または赤色のトラフィックフローを分類するために使用する追加のポリサートラフィック制限を指定します。
[edit firewall three-color-policer trTCM2-cb] user@host# set two-rate peak-information-rate 60m user@host# set two-rate peak-burst-size 200k
(オプション)赤色のトラフィックフロー内のパケットに設定されたポリサーアクションを指定します。
[edit firewall three-color-policer trTCM2-cb] user@host# set action loss-priority high then discard
カラー認識モードでは、3 色ポリサーに設定されたアクションにより、パケットの PLP(パケット損失優先度)レベルを上げることができますが、下げることはありません。たとえば、カラー対応の 3 カラー ポリサーが、中程度の PLP マーキングを持つパケットを計測する場合、PLP レベルを高に上げることはできますが、PLP レベルを低くすることはできません。
結果
show firewall 設定モード コマンドを入力して、3 色ポリサーの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show firewall
three-color-policer trTCM2-cb {
logical-interface-policer;
action {
loss-priority high then discard;
}
two-rate {
color-blind;
committed-information-rate 40m;
committed-burst-size 100k;
peak-information-rate 60m;
peak-burst-size 200k;
}
}
論理インターフェイスのレイヤー2入力への3カラーポリサーの適用
ステップバイステップでの手順
論理インターフェイスのレイヤー2入力に3カラーポリサーを適用するには:
レイヤー 2 論理インターフェイス ポリサーの適用を有効にします。
[edit] user@host# edit interfaces ge-1/3/1 unit 0
3 色の論理インターフェイス ポリサーを論理インターフェイス入力に適用します。
[edit interfaces ge-1/3/1 unit 0] user@host# set layer2-policerinput-three-color trTCM2-cb
結果
show interfaces 設定モード コマンドを入力して、論理インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces
ge-1/3/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
layer2-policer {
input-three-color trTCM2-cb;
}
family inet {
address 10.10.10.1/30;
}
}
unit 1 {
vlan-id 101;
family inet {
address 20.20.20.1/30 {
arp 20.20.20.2 mac 00:00:11:22:33:44;
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
論理インターフェイスのトラフィック統計とポリサーの表示
目的
論理インターフェイスを通過するトラフィック フローと、論理インターフェイスでパケットを受信したときにポリサーが評価されることを確認します。
アクション
論理インターフェイスge-1/3/1.0には show interfaces operational mode コマンドを使用し、detail または extensive オプションを含めます。Traffic statistics の コマンド出力セクションには、論理インターフェイス上で送受信されたバイト数とパケット数が一覧表示され、Protocol inet セクションには、次のように入力または出力ポリサーとしてポリサーtrTCM2-cbを一覧表示するPolicerフィールドが含まれています。
Input: trTCM2-cb-ge-1/3/1.0-log_int-i
Output: trTCM2-cb-ge-1/3/1.0-log_int-o
log_int-i サフィックスは入力トラフィックに適用される論理インターフェイス ポリサーを示し、log_int-o サフィックスは出力トラフィックに適用される論理インターフェイス ポリサーを示します。この例では、論理インターフェイス ポリサーは入力方向にのみ適用されます。
ポリサーの統計情報の表示
目的
ポリサーによって評価されたパケットの数を確認します。
アクション
show policer 動作モード コマンドを使用し、オプションでポリサーの名前を指定します。コマンドの出力は、設定された各ポリサー(または指定されたポリサー)が各方向に評価したパケットの数を表示します。ポリサー trTCM2-cbの場合、入出力ポリサー名は次のように表示されます。
trTCM2-cb-ge-1/3/1.0-log_int-i
trTCM2-cb-e-1/3/1.0-log_int-o
log_int-i サフィックスは入力トラフィックに適用される論理インターフェイス ポリサーを示し、log_int-o サフィックスは出力トラフィックに適用される論理インターフェイス ポリサーを示します。この例では、論理インターフェイス ポリサーは入力トラフィックにのみ適用されます。