ベーシック シングル レート ツー カラー ポリサー
シングルレート 2 カラー ポリサーの概要
シングルレート2カラーポリシングは、制限に適合しないトラフィックに暗黙的または設定されたアクションを適用することにより、特定のサービスレベルに対して設定されたトラフィックフローのレートを強制します。インターフェイスの入力トラフィックまたは出力トラフィックにシングルレート 2 カラー ポリサーを適用すると、ポリサーは次のコンポーネントで定義されたレート制限までトラフィック フローを計測します。
-
帯域幅制限—インターフェイスで受信または送信されたパケットに許可される平均ビット数/秒。帯域幅制限は、1 秒あたりのビット数の絶対数、または 1 から 100 までのパーセント値で指定できます。パーセント値を指定した場合、実効帯域幅制限は、物理インターフェイスのメディア レートまたは 論理インターフェイス で構成されたシェーピング レートのいずれかの割合として計算されます。
-
pps(パケット/秒)制限(MPC搭載MXシリーズのみ)- インターフェイスで受信または送信されたパケットに許可される1秒あたりの平均パケット数。pps 制限は、1 秒あたりのパケット数の絶対数として指定します。
-
バーストサイズ制限 - データのバーストに許可される最大サイズ。
-
パケットバースト制限–
設定された制限に準拠するトラフィックフロー(グリーントラフィックとして分類)の場合、パケットは暗黙的にPLP(パケット損失優先度)レベル low でマークされ、無制限にインターフェイスを通過できます。
設定された制限を超えるトラフィックフロー(レッドトラフィックとして分類)の場合、パケットはポリサーに設定されたトラフィックポリシングアクションに従って処理されます。アクションは、パケットを破棄すること、またはアクションとして、指定された転送クラス、指定されたPLP、またはその両方でパケットを再マーキングしてから、パケットを送信することです。
レイヤー 3 トラフィックのレート制限を行うには、以下の方法で 2 色ポリサーを適用します。
-
特定のプロトコルレベルで、論理インターフェイスに直接接続します。
-
特定のプロトコルレベルで論理インターフェイスに適用される標準ステートレス ファイアウォールフィルター のアクションとして。
レイヤー 2 トラフィックのレートを制限するには、 論理インターフェイス ポリサー としてのみ 2 色ポリサーを適用できます。ファイアウォールフィルターを介してレイヤー2トラフィックに2色ポリサーを適用することはできません。
MXプラットフォームでは、トラフィックフローが設定されたポリサー制限を確認するときに、パケット損失の優先度(PLP)が暗黙的に低(緑)になることはありません。代わりに、高、中高、中低などのユーザーが設定したPLP値を取得します。MX プラットフォームでこの動作を有効にするには、edit firewall policer <policer-name> の下の dp-rewrite を使用します。ノブが有効になっていない場合、パケットは元の色と損失の優先順位を伝える可能性があります。
関連項目
例:ingressシングルレート2カラーポリサーの設定によるネットワーク境界でのインバウンドトラフィックの制限
この例では、着信トラフィックをフィルタリングするために、イングレスのシングルレート2カラーポリサーを設定する方法を示しています。ポリサーは、契約内および契約外のトラフィックに対してサービスクラス(CoS)戦略を実施します。シングルレート 2 カラー ポリサーは、着信パケット、発信パケット、またはその両方に適用できます。この例では、ポリサーを入力(イングレス)ポリサーとして適用します。このトピックでは、実際のトラフィック ポリシングを示す例を使用して、ポリシングの概要を説明することを目的としています。
ポリサーは、トークン・バケットと呼ばれる概念を使用して、ポリサーに定義されたパラメーターに基づいてシステム・リソースを割り当てます。トークン バケットの概念とその基になるアルゴリズムの詳細な説明は、このドキュメントの範囲を超えています。トラフィックポリシングとCoS全般の詳細については、Miguel BarreirosとPeter Lundqvistによる 『QOS-Enabled Networks—Tools and Foundations 』を参照してください。この本は、多くのオンライン書店や www.juniper.net/books で入手できます。
要件
この手順を確認するために、この例ではトラフィック ジェネレーターを使用します。トラフィックジェネレータは、ハードウェアベースにすることも、サーバやホストマシン上で動作するソフトウェアにすることもできます。
この手順の機能は、Junos OS を実行するデバイスで広くサポートされています。ここに示す例は、Junos OSリリース10.4を実行するMXシリーズルーターでテストおよび検証されたものです。
概要
シングル レート ツー カラー ポリシングは、制限に適合しないトラフィックに暗黙的または設定されたアクションを適用することにより、特定のサービス レベルに対して設定されたトラフィック フロー レートを適用します。インターフェイスの入力トラフィックまたは出力トラフィックにシングルレート 2 カラー ポリサーを適用すると、ポリサーは次のコンポーネントで定義されたレート制限までトラフィック フローを計測します。
帯域幅制限—インターフェイスで受信または送信されたパケットに許可される平均ビット数/秒。帯域幅制限は、1 秒あたりのビット数の絶対数、または 1 から 100 までのパーセント値で指定できます。パーセント値を指定した場合、実効帯域幅制限は、物理インターフェイスのメディア レートまたは論理インターフェイスで構成されたシェーピング レートのいずれかの割合として計算されます。
バーストサイズ制限 - データのバーストに許可される最大サイズ。バースト サイズはバイト単位で測定されます。バースト サイズの計算には、次の 2 つの式をお勧めします。
バースト サイズ = 帯域幅 x バースト トラフィックの許容時間 / 8
又は
バースト サイズ = インターフェイス MTU x 10
バースト サイズの設定については、 トラフィック ポリサーの適切なバースト サイズを決定するを参照してください。
注:インターフェイスには有限のバッファ空間があります。一般に、インターフェイスの推定合計バッファー深度は約 125 ミリ秒です。
設定された制限に準拠するトラフィックフロー(グリーントラフィックとして分類)の場合、パケットは暗黙的にPLP(パケット損失優先度)レベル低でマークされ、無制限にインターフェイスを通過できます。
設定された制限を超えるトラフィックフロー(レッドトラフィックとして分類)の場合、パケットはポリサーに設定されたトラフィックポリシングアクションに従って処理されます。この例では、15 KBps の制限を超えてバーストするパケットを破棄します。
レイヤー 3 トラフィックのレート制限を行うには、以下の方法で 2 色ポリサーを適用します。
特定のプロトコルレベルで、論理インターフェイスに直接接続します。
特定のプロトコルレベルで論理インターフェイスに適用される標準ステートレスファイアウォールフィルターのアクションとして。これは、この例で使用されている手法です。
レイヤー 2 トラフィックのレートを制限するには、論理インターフェイス ポリサーとしてのみ 2 色ポリサーを適用できます。ファイアウォールフィルターを介してレイヤー2トラフィックに2色ポリサーを適用することはできません。
ポリサー内で帯域幅制限または帯域幅パーセントのいずれかを選択できますが、これは相互に排他的です。集約インターフェイス、トンネルインターフェイス、およびソフトウェア インターフェイスに帯域幅の割合を使用するようにポリサーを設定することはできません。
この例では、ホストは Web サーバーをエミュレートするトラフィック ジェネレーターです。デバイス R1 および R2 は、サービス プロバイダが所有しています。Web サーバーには、デバイス Host2 上のユーザーがアクセスします。デバイスHost1は、送信元TCP HTTPポートが80のトラフィックをユーザーに送信します。シングルレート2カラーポリサーが設定され、デバイスHost1に接続するデバイスR1上のインターフェイスに適用されます。ポリサーは、デバイス Host1 とデバイス R1 を接続するリンク上を流れる Web トラフィックに対して、Web サーバーの所有者とデバイス R1 を所有するサービス プロバイダーとの間で行われる契約上の帯域幅の可用性を強制します。
Web サーバーの所有者とデバイス R1 およびデバイス R2 を所有するサービス プロバイダーとの間で締結された契約上の帯域幅の可用性に応じて、ポリサーは、ホスト デバイス Host1 から発信される HTTP ポート 80 のトラフィックを、ホスト デバイス Host1 とデバイス R1 間のギガビット イーサネット インターフェイスの MTU サイズの 10 倍の許容バースト レートで、利用可能な帯域幅の 700 Mbps(70%)を使用するように制限します。
実際のシナリオでは、FTP、SFTP、SSH、TELNET、SMTP、IMAP、POP3 など、他のさまざまなポートのトラフィックもレート制限します。これは、多くの場合、Web ホスティング サービスの追加サービスとして含まれているためです。
ルーティング プロトコル、DNS、およびネットワーク接続の運用を維持するために必要なその他のプロトコルなどのネットワーク制御プロトコルのレート制限を受けない追加の帯域幅を利用できるようにしておく必要があります。これが、ファイアウォールフィルターに最終的な受け入れ条件がある理由です。
設定
手順
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。
デバイスR1
set interfaces ge-2/0/5 description to-Host set interfaces ge-2/0/5 unit 0 family inet address 172.16.70.2/30 set interfaces ge-2/0/5 unit 0 family inet filter input mf-classifier set interfaces ge-2/0/8 description to-R2 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.1/30 set interfaces lo0 unit 0 description looback-interface set interfaces lo0 unit 0 family inet address 192.168.13.1/32 set firewall policer discard if-exceeding bandwidth-limit 700m set firewall policer discard if-exceeding burst-size-limit 15k set firewall policer discard then discard set firewall family inet filter mf-classifier term t1 from protocol tcp set firewall family inet filter mf-classifier term t1 from port 80 set firewall family inet filter mf-classifier term t1 then policer discard set firewall family inet filter mf-classifier term t2 then accept set protocols ospf area 0.0.0.0 interface ge-2/0/5.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
デバイスR2
set interfaces ge-2/0/8 description to-R1 set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.2/30 set interfaces ge-2/0/7 description to-Host set interfaces ge-2/0/7 unit 0 family inet address 172.16.80.2/30 set interfaces lo0 unit 0 description looback-interface set interfaces lo0 unit 0 family inet address 192.168.14.1/32 set protocols ospf area 0.0.0.0 interface ge-2/0/7.0 passive set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
ステップバイステップでの手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用する を参照してください。
Device R1を設定するには:
デバイスインターフェイスを設定します。
[edit interfaces] user@R1# set ge-2/0/5 description to-Host user@R1# set ge-2/0/5 unit 0 family inet address 172.16.70.2/30 user@R1# set ge-2/0/8 description to-R2 user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.1/30 user@R1# set lo0 unit 0 description looback-interface user@R1# set lo0 unit 0 family inet address 192.168.13.1/32
ファイアウォールフィルターを入力フィルターとしてインターフェイスge-2/0/5に適用します。
[edit interfaces ge-2/0/5 unit 0 family inet] user@R1# set filter input mf-classifier
ポリサーを構成して、HTTP トラフィック(TCP ポート 80)の帯域幅を 700 Mbps、バースト サイズを 15000 KBps に制限します。
[edit firewall policer discard] user@R1# set if-exceeding bandwidth-limit 700m user@R1# set if-exceeding burst-size-limit 15k
red トラフィックフローのパケットを破棄するようにポリサーを設定します。
[edit firewall policer discard] user@R1# set then discard
ポート HTTP (ポート 80) へのすべての TCP トラフィックを受け入れるように、ファイアウォールの 2 つの条件を構成します。
[edit firewall family inet filter mf-classifier] user@R1# set term t1 from protocol tcp user@R1# set term t1 from port 80
ポリサーを使用して HTTP TCP トラフィックのレートを制限するようにファイアウォール アクションを構成します。
[edit firewall family inet filter mf-classifier] user@R1# set term t1 then policer discard
ファイアウォールフィルターの最後に、他のすべてのトラフィックを受け入れるデフォルトアクションを設定します。
それ以外の場合、インターフェイスに到着し、ファイアウォールによって明示的に受け入れられないすべてのトラフィックは破棄されます。
[edit firewall family inet filter mf-classifier] user@R1# set term t2 then accept
OSPFを設定します。
[edit protocols ospf] user@R1# set area 0.0.0.0 interface ge-2/0/5.0 passive user@R1# set area 0.0.0.0 interface lo0.0 passive user@R1# set area 0.0.0.0 interface ge-2/0/8.0
ステップバイステップでの手順
デバイスR2 を設定するには:
デバイスインターフェイスを設定します。
[edit interfaces] user@R1# set ge-2/0/8 description to-R1 user@R1# set ge-2/0/7 description to-Host user@R1# set lo0 unit 0 description looback-interface user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.2/30 user@R1# set ge-2/0/7 unit 0 family inet address 172.16.80.2/30 user@R1# set lo0 unit 0 family inet address 192.168.14.1/32
OSPFを設定します。
[edit protocols ospf] user@R1# set area 0.0.0.0 interface ge-2/0/7.0 passive user@R1# set area 0.0.0.0 interface lo0.0 passive user@R1# set area 0.0.0.0 interface ge-2/0/8.0
結果
設定モードから、 show interfaces 、 show firewall、および show protocols ospf コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@R1# show interfaces
ge-2/0/5 {
description to-Host;
unit 0 {
family inet {
filter {
input mf-classifier;
}
address 172.16.70.2/30;
}
}
}
ge-2/0/8 {
description to-R2;
unit 0 {
family inet {
address 10.50.0.1/30;
}
}
}
lo0 {
unit 0 {
description looback-interface;
family inet {
address 192.168.13.1/32;
}
}
}
user@R1# show firewall
family inet {
filter mf-classifier {
term t1 {
from {
protocol tcp;
port 80;
}
then policer discard;
}
term t2 {
then accept;
}
}
}
policer discard {
if-exceeding {
bandwidth-limit 700m;
burst-size-limit 15k;
}
then discard;
}
user@R1# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/5.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-2/0/8.0;
}
デバイス R1 の設定が完了したら、設定モードから commit を入力します。
user@R2# show interfaces
ge-2/0/7 {
description to-Host;
unit 0 {
family inet {
address 172.16.80.2/30;
}
}
}
ge-2/0/8 {
description to-R1;
unit 0 {
family inet {
address 10.50.0.2/30;
}
}
}
lo0 {
unit 0 {
description looback-interface;
family inet {
address 192.168.14.1/32;
}
}
}
user@R2# show protocols ospf
area 0.0.0.0 {
interface ge-2/0/7.0 {
passive;
}
interface lo0.0 {
passive;
}
interface ge-2/0/8.0;
}
デバイス R2 の設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
カウンターのクリア
目的
ファイアウォール カウンターがクリアされていることを確認します。
アクション
デバイスR1で、 clear firewall all コマンドを実行して、ファイアウォールカウンターを0にリセットします。
user@R1> clear firewall all
ネットワークへのTCPトラフィックの送信と破棄の監視
目的
送信される対象のトラフィックが、入力インターフェイス(ge-2/0/5)でレート制限されていることを確認します。
アクション
トラフィック ジェネレーターを使用して、送信元ポート 80 で 10 個の TCP パケットを送信します。
-s フラグは送信元ポートを設定します。-k フラグを指定すると、ソース・ポートは増加するのではなく、80 で安定します。-c フラグは、パケット数を 10 に設定します。-d フラグはパケット・サイズを設定します。
宛先 IP アドレス 172.16.80.1 は、デバイス R2 に接続されているデバイス ホスト 2 に属しています。デバイス ホスト 2 のユーザーが、デバイス ホスト 1 (デバイス ホスト 1 のトラフィック ジェネレーターによってエミュレートされた Web サーバー)から Web ページを要求しました。レート制限されるパケットは、デバイス ホスト 2 からの要求に応答して、デバイス ホスト 1 から送信されます。
注:この例では、ポリサー番号を帯域幅制限 8 Kbps、バースト サイズ制限 1500 KBps に減らして、このテスト中に一部のパケットがドロップされるようにしています。
[root@host]# hping 172.16.80.1 -c 10 -s 80 -k -d 300 [User@Host]# hping 172.16.80.1 -c 10 -s 80 -k -d 350 HPING 172.16.80.1 (eth1 172.16.80.1): NO FLAGS are set, 40 headers + 350 data bytes len=46 ip=172.16.80.1 ttl=62 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=0.5 ms . . . --- 172.16.80.1 hping statistic --- 10 packets transmitted, 6 packets received, 40% packet loss round-trip min/avg/max = 0.5/3000.8/7001.3 ms
デバイスR1で、
show firewallコマンドを使用してファイアウォールカウンターを確認します。user@R1> show firewall User@R1# run show firewall Filter: __default_bpdu_filter__ Filter: mf-classifier Policers: Name Bytes Packets discard-t1 1560 4
意味
ステップ1と2では、両方のデバイスからの出力は、4つのパケットが破棄されたことを示しています。 これは、少なくとも 8 Kbps の緑(コントラクト内 HTTP ポート 80)トラフィックがあり、赤のコントラクト外 HTTP ポート 80 トラフィックの 1500 KBps バースト オプションを超えたことを意味します。
例:同じインターフェイスでのインターフェイスとファイアウォールフィルターポリサーの設定
この例では、3 つのシングルレート 2 カラー ポリサーを設定し、同じシングルタグ仮想 LAN(VLAN)論理インターフェイスで IPv4 入力トラフィックにポリサーを適用する方法を示します。
要件
この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。
概要
この例では、3 つのシングルレート 2 カラー ポリサーを設定し、同じシングルタグ VLAN 論理インターフェイスの IPv4 入力トラフィックにポリサーを適用します。2 つのポリサーはファイアウォール フィルターを介してインターフェイスに適用され、1 つのポリサーはインターフェイスに直接適用されます。
p-all-1m-5k-discard という名前のポリサーを 1 つ構成して、5000 バイトのバースト サイズでトラフィックを 1 Mbps に制限します。このポリサーは、論理インターフェイスで IPv4 入力トラフィックに直接適用します。論理インターフェイスでプロトコル固有のトラフィックにポリサーを直接適用する場合、ポリサーは インターフェイス ポリサーとして適用されると言われ ます。
他の 2 つのポリサーは 500 KB のバースト サイズを許可するように構成し、IPv4 標準のステートレス ファイアウォール フィルターを使用して、これらのポリサーを論理インターフェイスの IPv4 入力トラフィックに適用します。ファイアウォールフィルターアクションを介して論理インターフェイスのプロトコル固有のトラフィックにポリサーを適用する場合、ポリサーは ファイアウォールフィルターポリサーとして適用されると言われ ます。
p-icmp-500k-500k-discardという名前のポリサーを設定して、これらの制限に適合しないパケットを破棄する ことで、 500 K バイトのバースト サイズでトラフィックを 500 Kbps に制限します。ファイアウォール フィルター条件の 1 つを設定して、このポリサーをインターネット制御メッセージ プロトコル (ICMP) パケットに適用します。p-ftp-10p-500k-discardという名前のポリサーを構成すると、これらの制限に適合しないパケットを破棄する ことで、バースト サイズ500 KBの帯域幅 10%にトラフィックをレート制限できます。別のファイアウォール フィルター条件を設定して、このポリサーをファイル転送プロトコル (FTP) パケットに適用します。
(絶対帯域幅値ではなく)パーセンテージ値で表される帯域幅制限で設定するポリサーは、 帯域幅 ポリサーと呼ばれます。パーセンテージ帯域幅を指定して設定できるのは、シングルレート2カラーポリサーのみです。デフォルトでは、帯域幅ポリサーは、ターゲット論理インターフェイスの基礎となる物理インターフェイスのラインレートの指定された割合にトラフィックをレート制限します。
トポロジー
ターゲット論理インターフェイスは、100 Mbpsで動作するファストイーサネットインターフェイス上の単一タグVLAN論理インターフェイスとして設定します。つまり、10% の帯域幅制限で設定したポリサー(FTP パケットに適用するポリサー)は、このインターフェイスの FTP トラフィックを 10 Mbps にレート制限します。
この例では、帯域幅ポリサーを 論理帯域幅ポリサー として設定しません。したがって、割合は、論理インターフェイスの設定されたシェーピング レートではなく、物理メディア レートに基づきます。
2 つのポリサーを参照するように設定するファイアウォール フィルターは、 インターフェイス固有のフィルターとして設定する必要があります。FTP パケットのレート制限に使用されるポリサーは帯域幅制限をパーセンテージ値で指定するため、このポリサーを参照するファイアウォール フィルターはインターフェイス固有のフィルターとして構成する必要があります。したがって、この例のファスト イーサネット インターフェイスだけでなく、このファイアウォール フィルターを複数のインターフェイスに適用すると、フィルターが適用されるインターフェイスごとに固有のポリサーとカウンターが作成されます。
設定
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。
この例を設定するには、以下のタスクを実行します。
- CLIクイック構成
- 単一タグVLAN論理インターフェイスの設定
- 3 つのポリサーの設定
- IPv4ファイアウォールフィルターの設定
- インターフェイス ポリサーとファイアウォール フィルター ポリサーの論理インターフェイスへの適用
CLIクイック構成
この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。
set interfaces fe-0/1/1 vlan-tagging set interfaces fe-0/1/1 unit 0 vlan-id 100 set interfaces fe-0/1/1 unit 0 family inet address 10.20.15.1/24 set interfaces fe-0/1/1 unit 1 vlan-id 101 set interfaces fe-0/1/1 unit 1 family inet address 10.20.240.1/24 set firewall policer p-all-1m-5k-discard if-exceeding bandwidth-limit 1m set firewall policer p-all-1m-5k-discard if-exceeding burst-size-limit 5k set firewall policer p-all-1m-5k-discard then discard set firewall policer p-ftp-10p-500k-discard if-exceeding bandwidth-percent 10 set firewall policer p-ftp-10p-500k-discard if-exceeding burst-size-limit 500k set firewall policer p-ftp-10p-500k-discard then discard set firewall policer p-icmp-500k-500k-discard if-exceeding bandwidth-limit 500k set firewall policer p-icmp-500k-500k-discard if-exceeding burst-size-limit 500k set firewall policer p-icmp-500k-500k-discard then discard set firewall family inet filter filter-ipv4-with-limits interface-specific set firewall family inet filter filter-ipv4-with-limits term t-ftp from protocol tcp set firewall family inet filter filter-ipv4-with-limits term t-ftp from port ftp set firewall family inet filter filter-ipv4-with-limits term t-ftp from port ftp-data set firewall family inet filter filter-ipv4-with-limits term t-ftp then policer p-ftp-10p-500k-discard set firewall family inet filter filter-ipv4-with-limits term t-icmp from protocol icmp set firewall family inet filter filter-ipv4-with-limits term t-icmp then policer p-icmp-500k-500k-discard set firewall family inet filter filter-ipv4-with-limits term catch-all then accept set interfaces fe-0/1/1 unit 1 family inet filter input filter-ipv4-with-limits set interfaces fe-0/1/1 unit 1 family inet policer input p-all-1m-5k-discard
単一タグVLAN論理インターフェイスの設定
ステップバイステップでの手順
単一タグVLAN論理インターフェイスを設定するには:
ファストイーサネットインターフェイスの設定を有効にします。
[edit] user@host# edit interfaces fe-0/1/1
単一タグVLANフレーミングを有効にします。
[edit interfaces fe-0/1/1] user@host# set vlan-tagging
VLAN ID を論理インターフェイスにバインドします。
[edit interfaces fe-0/1/1] user@host# set unit 0 vlan-id 100 user@host# set unit 1 vlan-id 101
単一タグのVLAN論理インターフェイスでIPv4を設定します。
[edit interfaces fe-0/1/1] user@host# set unit 0 family inet address 10.20.15.1/24 user@host# set unit 1 family inet address 10.20.240.1/24
結果
show interfaces 設定モード コマンドを入力して、VLAN の設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces
fe-0/1/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.20.15.1/24;
}
}
unit 1 {
vlan-id 101;
family inet {
address 10.20.240.1/24;
}
}
}
3 つのポリサーの設定
ステップバイステップでの手順
3 つのポリサーを構成するには:
帯域幅 1 Mbps、バースト サイズ 5000 バイトに適合しないパケットを破棄する 2 色ポリサーの設定を有効にします。
注:このポリサーは、単一タグVLAN論理インターフェイスのすべてのIPv4入力トラフィックに直接適用して、レート制限の対象になる前にパケットがフィルタリングされないようにします。
[edit] user@host# edit firewall policer p-all-1m-5k-discard
最初のポリサーを設定します。
[edit firewall policer p-all-1m-5k-discard] user@host# set if-exceeding bandwidth-limit 1m user@host# set if-exceeding burst-size-limit 5k user@host# set then discard
「10%」と指定された帯域幅と500,000バイトのバーストサイズに適合しないパケットを破棄する2カラーポリサーの設定を有効にします。
このポリサーは、単一タグの VLAN 論理インターフェイスの FTP トラフィックにのみ適用します。
このポリサーは、TCPからのFTPパケットと一致するIPv4ファイアウォールフィルター条件のアクションとして適用します。
[edit firewall policer p-all-1m-5k-discard] user@host# up [edit] user@host# edit firewall policer p-ftp-10p-500k-discard
ポリシングの制限とアクションを設定します。
[edit firewall policer p-ftp-10p-500k-discard] user@host# set if-exceeding bandwidth-percent 10 user@host# set if-exceeding burst-size-limit 500k user@host# set then discard
帯域幅制限はパーセンテージで指定されるため、このポリサーを参照するファイアウォールフィルターは、インターフェイス固有のフィルターとして設定する必要があります。
注:このポリサーを(物理インターフェイス メディア レートの 10% ではなく)論理インターフェイス設定されたシェーピング レート レートの 10 % に制限する場合は、
[edit firewall policer p-all-1m-5k-discard]階層レベルにlogical-bandwidth-policerステートメントを含める必要があります。このタイプのポリサーは、 論理帯域幅ポリサーと呼ばれます。ICMP パケットの IPv4 ファイアウォール フィルター ポリサーの構成を有効にします。
[edit firewall policer p-ftp-10p-500k-discard] user@host# up [edit] user@host# edit firewall policer p-icmp-500k-500k-discard
ポリシングの制限とアクションを設定します。
[edit firewall policer p-icmp-500k-500k-discard] user@host# set if-exceeding bandwidth-limit 500k user@host# set if-exceeding burst-size-limit 500k user@host# set then discard
結果
show firewall 設定モード コマンドを入力して、ポリサーの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit] user@host# show firewall policer p-all-1m-5k-discard { if-exceeding { bandwidth-limit 1m; burst-size-limit 5k; } then discard; } policer p-ftp-10p-500k-discard { if-exceeding { bandwidth-percent 10; burst-size-limit 500k; } then discard; } policer p-icmp-500k-500k-discard { if-exceeding { bandwidth-limit 500k; burst-size-limit 500k; } then discard; }
IPv4ファイアウォールフィルターの設定
ステップバイステップでの手順
IPv4ファイアウォールフィルターを設定するには:
IPv4ファイアウォールフィルターの設定を有効にします。
[edit] user@host# edit firewall family inet filter filter-ipv4-with-limits
ファイアウォールフィルターをインターフェイス固有として設定します。
[edit firewall family inet filter filter-ipv4-with-limits] user@host# set interface-specific
参照されるポリサーの1つがパーセンテージ値で表される帯域幅制限で構成されているため、ファイアウォールフィルターはインターフェイス固有である必要があります。
FTP パケットのレートを制限するためのフィルター条件の設定を有効にします。
[edit firewall family inet filter filter-ipv4-with-limits] user@host# edit term t-ftp [edit firewall family inet filter filter-ipv4-with-limits term t-ftp] user@host# set from protocol tcp user@host# set from port [ ftp ftp-data ]
FTP メッセージは、TCP ポート 20 (
ftp) で送信され、TCP ポート 21 (ftp-data) で受信されます。FTPパケットに一致するようにフィルター条件を設定します。
[edit firewall family inet filter filter-ipv4-with-limits term t-ftp] user@host# set then policer p-ftp-10p-500k-discard
ICMP パケットのレートを制限するためのフィルター条件の設定を有効にします。
[edit firewall family inet filter filter-ipv4-with-limits term t-ftp] user@host# up [edit firewall family inet filter filter-ipv4-with-limits] user@host# edit term t-icmp
ICMPパケットのフィルター条件を設定します
[edit firewall family inet filter filter-ipv4-with-limits term t-icmp] user@host# set from protocol icmp user@host# set then policer p-icmp-500k-500k-discard
フィルター条件を設定して、ポリシングなしで他のすべてのパケットを受け入れるようにします。
[edit firewall family inet filter filter-ipv4-with-limits term t-icmp] user@host# up [edit firewall family inet filter filter-ipv4-with-limits] user@host# set term catch-all then accept
結果
show firewall 設定モード コマンドを入力して、ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit] user@host# show firewall family inet { filter filter-ipv4-with-limits { interface-specific; term t-ftp { from { protocol tcp; port [ ftp ftp-data ]; } then policer p-ftp-10p-500k-discard; } term t-icmp { from { protocol icmp; } then policer p-icmp-500k-500k-discard; } term catch-all { then accept; } } } policer p-all-1m-5k-discard { if-exceeding { bandwidth-limit 1m; burst-size-limit 5k; } then discard; } policer p-ftp-10p-500k-discard { if-exceeding { bandwidth-percent 10; burst-size-limit 500k; } then discard; } policer p-icmp-500k-500k-discard { if-exceeding { bandwidth-limit 500k; burst-size-limit 500k; } then discard; }
インターフェイス ポリサーとファイアウォール フィルター ポリサーの論理インターフェイスへの適用
ステップバイステップでの手順
3 つのポリサーを VLAN に適用するには:
論理インターフェイスで IPv4 の設定を有効にします。
[edit] user@host# edit interfaces fe-0/1/1 unit 1 family inet
ファイアウォールフィルターポリサーをインターフェイスに適用します。
[edit interfaces fe-0/1/1 unit 1 family inet] user@host# set filter input filter-ipv4-with-limits
インターフェイス ポリサーをインターフェイスに適用します。
[edit interfaces fe-0/1/1 unit 1 family inet] user@host# set policer input p-all-1m-5k-discard
fe-0/1/1.0の入力パケットは、ファイアウォール フィルター ポリサーに対して評価される前に、インターフェイス ポリサーに対して評価されます。詳細については、ポリサーとファイアウォールフィルターの動作順序を参照してください。
結果
show interfaces 設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。
[edit]
user@host# show interfaces
fe-0/1/1 {
vlan-tagging;
unit 0 {
vlan-id 100;
family inet {
address 10.20.15.1/24;
}
}
unit 1 {
vlan-id 101;
family inet {
filter {
input filter-ipv4-with-limits;
}
policer {
input p-all-1m-5k-discard;
}
address 10.20.240.1/24;
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。
検証
設定が正常に機能していることを確認します。
- 論理インターフェイスに直接適用されたポリサーの表示
- 論理インターフェイスに直接適用されたポリサーの統計情報の表示
- インターフェイスに適用されたポリサーとファイアウォールフィルターの表示
- ファイアウォールフィルターポリサーの統計情報の表示
論理インターフェイスに直接適用されたポリサーの表示
目的
論理インターフェイスでパケットを受信したときに、インターフェイス ポリサーが評価されることを確認します。
アクション
論理インターフェイスfe-0/1/1.1には、show interfaces policers 動作モード コマンドを使用します。Proto列とInput Policer列のコマンド出力セクションは、論理インターフェイスでパケットが受信されたときにポリサーp-all-1m-5k-discardが評価されることを示しています。
user@host> show interfaces policers fe-0/1/1.1
Interface Admin Link Proto Input Policer Output Policer
fe-0/1/1.1 up up
inet p-all-1m-5k-discard-fe-0/1/1.1-inet-i
この例では、インターフェイス ポリサーは入力方向の論理インターフェイス トラフィックにのみ適用されます。
論理インターフェイスに直接適用されたポリサーの統計情報の表示
目的
インターフェイス ポリサーによって評価されたパケットの数を確認します。
アクション
show policer 動作モード コマンドを使用し、オプションでポリサーの名前を指定します。コマンドの出力は、設定された各ポリサー(または指定されたポリサー)が各方向に評価したパケットの数を表示します。
user@host> show policer p-all-1m-5k-discard-fe-0/1/1.1-inet-i Policers: Name Bytes Packets p-all-1m-5k-discard-fe-0/1/1.1-inet-i 200 5
インターフェイスに適用されたポリサーとファイアウォールフィルターの表示
目的
ファイアウォールフィルター filter-ipv4-with-limits が、論理インターフェイス fe-0/1/1.1でIPv4入力トラフィックに適用されていることを確認します。
アクション
論理インターフェイスfe-0/1/1.1には show interfaces statistics operational mode コマンドを使用し、detail オプションを含めます。コマンド出力セクションの Protocol inet セクションの Input Filters 行と Policer 行には、入力方向の論理インターフェイスに適用されたフィルターとポリサーの名前が表示されます。
user@host> show interfaces statistics fe-0/1/1.1 detail
Logical interface fe-0/1/1.1 (Index 83) (SNMP ifIndex 545) (Generation 153)
Flags: SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.100 ] Encapsulation: ENET2
Traffic statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Local statistics:
Input bytes : 0
Output bytes : 46
Input packets: 0
Output packets: 1
Transit statistics:
Input bytes : 0 0 bps
Output bytes : 0 0 bps
Input packets: 0 0 pps
Output packets: 0 0 pps
Protocol inet, MTU: 1500, Generation: 176, Route table: 0
Flags: Sendbcast-pkt-to-re
Input Filters: filter-ipv4-with-limits-fe-0/1/1.1-i
Policer: Input: p-all-1m-5k-discard-fe-0/1/1.1-inet-i
Addresses, Flags: Is-Preferred Is-Primary
Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255,
Generation: 169
この例では、2 つのファイアウォール フィルター ポリサーが入力方向の論理インターフェイス トラフィックにのみ適用されます。
ファイアウォールフィルターポリサーの統計情報の表示
目的
ファイアウォール フィルター ポリサーによって評価されたパケットの数を確認します。
アクション
論理インターフェイスに適用したフィルターの show firewall operational mode コマンドを使用します。
[edit] user@host> show firewall filter filter-ipv4-with-limits-fe-0/1/1.1-i Filter: filter-ipv4-with-limits-fe-0/1/1.1-i Policers: Name Bytes Packets p-ftp-10p-500k-discard-t-ftp-fe-0/1/1.1-i 0 0 p-icmp-500k-500k-discard-t-icmp-fe-0/1/1.1-i 0 0
コマンド出力には、ポリサーの名前(p-ftp-10p-500k-discard および p-icmp-500k-500k-discard)と、ポリサー・アクションを指定するフィルター条件の名前(それぞれt-ftp および t-icmp)が表示されます。ポリサー固有の出力行には、フィルター条件に一致したパケットの数が表示されます。これは仕様外(仕様外)のパケット数に過ぎず、ポリサーがポリサーによってポリシングするすべてのパケットではありません。