サービスの改善にご協力お願いします。

お客様のご意見をお聞かせください。

アンケートの所要時間はおよそ 2 分です。

Announcement: Try the Ask AI chatbot for answers to your technical questions about Juniper products and solutions.

close
external-header-nav
Documentation
Menu
License Guide
Quick Starts
Validated Designs
Explore Pathfinder Apps
CLI Explorer
Feature Explorer
Hardware Compatibility Tool
Port Checker
Browse All
Collapse

Pathfinder Apps

All

By Software

By Hardware

Learn More
Pathfinder HomeCLI ExplorerCompliance AdvisorFeature ExplorerHardware Compatibility ToolJunos XML API ExplorerJunos YANG Data Model ExplorerPort CheckerPower CalculatorSNMP MIB ExplorerSystem Log Explorer
CLI ExplorerFeature ExplorerJunos XML API ExplorerJunos YANG Data Model ExplorerSNMP MIB ExplorerSystem Log Explorer
Compliance AdvisorFeature ExplorerHardware Compatibility ToolPort CheckerPower Calculator
Home Documentation Junos OS ルーティング ポリシー、ファイアウォール フィルター、およびトラフィック ポリサー ユーザー ガイド トラフィック ポリサーの設定 レイヤー 3 での 2 色および 3 色のトラフィック ポリサーの設定

ルーティング ポリシー、ファイアウォール フィルター、およびトラフィック ポリサー ユーザー ガイド

keyboard_arrow_up
close
keyboard_arrow_left
ルーティング ポリシー、ファイアウォール フィルター、およびトラフィック ポリサー ユーザー ガイド
Table of Contents Expand all
list Table of Contents
このページで
keyboard_arrow_right

この機械翻訳はお役に立ちましたでしょうか?

starstarstarstarstar
Go to English page
免責事項:

このページは、サードパーティー製機械翻訳ソフトウェアを使用して翻訳されます。質の高い翻訳を提供するために合理的な対応はされていますが、ジュニパーネットワークスがその正確性を保証することはできかねます。この翻訳に含まれる情報の正確性について疑問が生じた場合は、英語版を参照してください. ダウンロード可能なPDF (英語版のみ).

ベーシック シングル レート ツー カラー ポリサー

date_range 19-Jan-25
arrow_backward
arrow_forward

シングルレート 2 カラー ポリサーの概要

シングルレート2カラーポリシングは、制限に適合しないトラフィックに暗黙的または設定されたアクションを適用することにより、特定のサービスレベルに対して設定されたトラフィックフローのレートを強制します。インターフェイスの入力トラフィックまたは出力トラフィックにシングルレート 2 カラー ポリサーを適用すると、ポリサーは次のコンポーネントで定義されたレート制限までトラフィック フローを計測します。

  • 帯域幅制限—インターフェイスで受信または送信されたパケットに許可される平均ビット数/秒。帯域幅制限は、1 秒あたりのビット数の絶対数、または 1 から 100 までのパーセント値で指定できます。パーセント値を指定した場合、実効帯域幅制限は、物理インターフェイスのメディア レートまたは 論理インターフェイス で構成されたシェーピング レートのいずれかの割合として計算されます。

  • pps(パケット/秒)制限(MPC搭載MXシリーズのみ)- インターフェイスで受信または送信されたパケットに許可される1秒あたりの平均パケット数。pps 制限は、1 秒あたりのパケット数の絶対数として指定します。

  • バーストサイズ制限 - データのバーストに許可される最大サイズ。

  • パケットバースト制限–

設定された制限に準拠するトラフィックフロー(グリーントラフィックとして分類)の場合、パケットは暗黙的にPLP(パケット損失優先度)レベル low でマークされ、無制限にインターフェイスを通過できます。

設定された制限を超えるトラフィックフロー(レッドトラフィックとして分類)の場合、パケットはポリサーに設定されたトラフィックポリシングアクションに従って処理されます。アクションは、パケットを破棄すること、またはアクションとして、指定された転送クラス、指定されたPLP、またはその両方でパケットを再マーキングしてから、パケットを送信することです。

レイヤー 3 トラフィックのレート制限を行うには、以下の方法で 2 色ポリサーを適用します。

  • 特定のプロトコルレベルで、論理インターフェイスに直接接続します。

  • 特定のプロトコルレベルで論理インターフェイスに適用される標準ステートレス ファイアウォールフィルター のアクションとして。

レイヤー 2 トラフィックのレートを制限するには、 論理インターフェイス ポリサー としてのみ 2 色ポリサーを適用できます。ファイアウォールフィルターを介してレイヤー2トラフィックに2色ポリサーを適用することはできません。

注:

MXプラットフォームでは、トラフィックフローが設定されたポリサー制限を確認するときに、パケット損失の優先度(PLP)が暗黙的に低(緑)になることはありません。代わりに、高、中高、中低などのユーザーが設定したPLP値を取得します。MX プラットフォームでこの動作を有効にするには、edit firewall policer <policer-name> の下の dp-rewrite を使用します。ノブが有効になっていない場合、パケットは元の色と損失の優先順位を伝える可能性があります。

関連項目

例:ingressシングルレート2カラーポリサーの設定によるネットワーク境界でのインバウンドトラフィックの制限

この例では、着信トラフィックをフィルタリングするために、イングレスのシングルレート2カラーポリサーを設定する方法を示しています。ポリサーは、契約内および契約外のトラフィックに対してサービスクラス(CoS)戦略を実施します。シングルレート 2 カラー ポリサーは、着信パケット、発信パケット、またはその両方に適用できます。この例では、ポリサーを入力(イングレス)ポリサーとして適用します。このトピックでは、実際のトラフィック ポリシングを示す例を使用して、ポリシングの概要を説明することを目的としています。

ポリサーは、トークン・バケットと呼ばれる概念を使用して、ポリサーに定義されたパラメーターに基づいてシステム・リソースを割り当てます。トークン バケットの概念とその基になるアルゴリズムの詳細な説明は、このドキュメントの範囲を超えています。トラフィックポリシングとCoS全般の詳細については、Miguel BarreirosとPeter Lundqvistによる 『QOS-Enabled Networks—Tools and Foundations 』を参照してください。この本は、多くのオンライン書店や www.juniper.net/books で入手できます。

要件

この手順を確認するために、この例ではトラフィック ジェネレーターを使用します。トラフィックジェネレータは、ハードウェアベースにすることも、サーバやホストマシン上で動作するソフトウェアにすることもできます。

この手順の機能は、Junos OS を実行するデバイスで広くサポートされています。ここに示す例は、Junos OSリリース10.4を実行するMXシリーズルーターでテストおよび検証されたものです。

概要

シングル レート ツー カラー ポリシングは、制限に適合しないトラフィックに暗黙的または設定されたアクションを適用することにより、特定のサービス レベルに対して設定されたトラフィック フロー レートを適用します。インターフェイスの入力トラフィックまたは出力トラフィックにシングルレート 2 カラー ポリサーを適用すると、ポリサーは次のコンポーネントで定義されたレート制限までトラフィック フローを計測します。

  • 帯域幅制限—インターフェイスで受信または送信されたパケットに許可される平均ビット数/秒。帯域幅制限は、1 秒あたりのビット数の絶対数、または 1 から 100 までのパーセント値で指定できます。パーセント値を指定した場合、実効帯域幅制限は、物理インターフェイスのメディア レートまたは論理インターフェイスで構成されたシェーピング レートのいずれかの割合として計算されます。

  • バーストサイズ制限 - データのバーストに許可される最大サイズ。バースト サイズはバイト単位で測定されます。バースト サイズの計算には、次の 2 つの式をお勧めします。

    バースト サイズ = 帯域幅 x バースト トラフィックの許容時間 / 8

    又は

    バースト サイズ = インターフェイス MTU x 10

    バースト サイズの設定については、 トラフィック ポリサーの適切なバースト サイズを決定するを参照してください。

    注:

    インターフェイスには有限のバッファ空間があります。一般に、インターフェイスの推定合計バッファー深度は約 125 ミリ秒です。

設定された制限に準拠するトラフィックフロー(グリーントラフィックとして分類)の場合、パケットは暗黙的にPLP(パケット損失優先度)レベル低でマークされ、無制限にインターフェイスを通過できます。

設定された制限を超えるトラフィックフロー(レッドトラフィックとして分類)の場合、パケットはポリサーに設定されたトラフィックポリシングアクションに従って処理されます。この例では、15 KBps の制限を超えてバーストするパケットを破棄します。

レイヤー 3 トラフィックのレート制限を行うには、以下の方法で 2 色ポリサーを適用します。

  • 特定のプロトコルレベルで、論理インターフェイスに直接接続します。

  • 特定のプロトコルレベルで論理インターフェイスに適用される標準ステートレスファイアウォールフィルターのアクションとして。これは、この例で使用されている手法です。

レイヤー 2 トラフィックのレートを制限するには、論理インターフェイス ポリサーとしてのみ 2 色ポリサーを適用できます。ファイアウォールフィルターを介してレイヤー2トラフィックに2色ポリサーを適用することはできません。

注意:

ポリサー内で帯域幅制限または帯域幅パーセントのいずれかを選択できますが、これは相互に排他的です。集約インターフェイス、トンネルインターフェイス、およびソフトウェア インターフェイスに帯域幅の割合を使用するようにポリサーを設定することはできません。

この例では、ホストは Web サーバーをエミュレートするトラフィック ジェネレーターです。デバイス R1 および R2 は、サービス プロバイダが所有しています。Web サーバーには、デバイス Host2 上のユーザーがアクセスします。デバイスHost1は、送信元TCP HTTPポートが80のトラフィックをユーザーに送信します。シングルレート2カラーポリサーが設定され、デバイスHost1に接続するデバイスR1上のインターフェイスに適用されます。ポリサーは、デバイス Host1 とデバイス R1 を接続するリンク上を流れる Web トラフィックに対して、Web サーバーの所有者とデバイス R1 を所有するサービス プロバイダーとの間で行われる契約上の帯域幅の可用性を強制します。

Web サーバーの所有者とデバイス R1 およびデバイス R2 を所有するサービス プロバイダーとの間で締結された契約上の帯域幅の可用性に応じて、ポリサーは、ホスト デバイス Host1 から発信される HTTP ポート 80 のトラフィックを、ホスト デバイス Host1 とデバイス R1 間のギガビット イーサネット インターフェイスの MTU サイズの 10 倍の許容バースト レートで、利用可能な帯域幅の 700 Mbps(70%)を使用するように制限します。

注:

実際のシナリオでは、FTP、SFTP、SSH、TELNET、SMTP、IMAP、POP3 など、他のさまざまなポートのトラフィックもレート制限します。これは、多くの場合、Web ホスティング サービスの追加サービスとして含まれているためです。

注:

ルーティング プロトコル、DNS、およびネットワーク接続の運用を維持するために必要なその他のプロトコルなどのネットワーク制御プロトコルのレート制限を受けない追加の帯域幅を利用できるようにしておく必要があります。これが、ファイアウォールフィルターに最終的な受け入れ条件がある理由です。

トポロジー

この例では、 図 1 のトポロジーを使用しています。

図 1: シングルレート 2 カラー ポリサーのシナリオシングルレート 2 カラー ポリサーのシナリオ

図 2 は、ポリシングの動作を示しています。

図 2: シングルレート 2 カラー ポリサーのシナリオでのトラフィック制限シングルレート 2 カラー ポリサーのシナリオでのトラフィック制限

設定

手順

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。

デバイスR1

content_copy zoom_out_map
set interfaces ge-2/0/5 description to-Host
set interfaces ge-2/0/5 unit 0 family inet address 172.16.70.2/30
set interfaces ge-2/0/5 unit 0 family inet filter input mf-classifier
set interfaces ge-2/0/8 description to-R2
set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.1/30
set interfaces lo0 unit 0 description looback-interface
set interfaces lo0 unit 0 family inet address 192.168.13.1/32
set firewall policer discard if-exceeding bandwidth-limit 700m
set firewall policer discard if-exceeding burst-size-limit 15k
set firewall policer discard then discard
set firewall family inet filter mf-classifier term t1 from protocol tcp
set firewall family inet filter mf-classifier term t1 from port 80
set firewall family inet filter mf-classifier term t1 then policer discard
set firewall family inet filter mf-classifier term t2 then accept
set protocols ospf area 0.0.0.0 interface ge-2/0/5.0 passive
set protocols ospf area 0.0.0.0 interface lo0.0 passive
set protocols ospf area 0.0.0.0 interface ge-2/0/8.0

デバイスR2

content_copy zoom_out_map
set interfaces ge-2/0/8 description to-R1
set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.2/30
set interfaces ge-2/0/7 description to-Host
set interfaces ge-2/0/7 unit 0 family inet address 172.16.80.2/30
set interfaces lo0 unit 0 description looback-interface
set interfaces lo0 unit 0 family inet address 192.168.14.1/32
set protocols ospf area 0.0.0.0 interface ge-2/0/7.0 passive
set protocols ospf area 0.0.0.0 interface lo0.0 passive
set protocols ospf area 0.0.0.0 interface ge-2/0/8.0
ステップバイステップでの手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、Junos OS CLIユーザーガイド設定モードでCLIエディターを使用する を参照してください。

Device R1を設定するには:

  1. デバイスインターフェイスを設定します。

    content_copy zoom_out_map
    [edit interfaces]
user@R1# set ge-2/0/5 description to-Host
user@R1# set ge-2/0/5 unit 0 family inet address 172.16.70.2/30
user@R1# set ge-2/0/8 description to-R2
user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.1/30
user@R1# set lo0 unit 0 description looback-interface
user@R1# set lo0 unit 0 family inet address 192.168.13.1/32

  2. ファイアウォールフィルターを入力フィルターとしてインターフェイスge-2/0/5に適用します。

    content_copy zoom_out_map
    [edit interfaces ge-2/0/5 unit 0 family inet]
user@R1# set filter input mf-classifier

  3. ポリサーを構成して、HTTP トラフィック(TCP ポート 80)の帯域幅を 700 Mbps、バースト サイズを 15000 KBps に制限します。

    content_copy zoom_out_map
    [edit firewall policer discard]
user@R1# set if-exceeding bandwidth-limit 700m
user@R1# set if-exceeding burst-size-limit 15k

  4. red トラフィックフローのパケットを破棄するようにポリサーを設定します。

    content_copy zoom_out_map
    [edit firewall policer discard]
user@R1# set then discard

  5. ポート HTTP (ポート 80) へのすべての TCP トラフィックを受け入れるように、ファイアウォールの 2 つの条件を構成します。

    content_copy zoom_out_map
    [edit firewall  family inet filter mf-classifier]
user@R1# set term t1 from protocol tcp
user@R1# set term t1 from port 80

  6. ポリサーを使用して HTTP TCP トラフィックのレートを制限するようにファイアウォール アクションを構成します。

    content_copy zoom_out_map
    [edit firewall  family inet filter mf-classifier]
user@R1# set term t1 then policer discard

  7. ファイアウォールフィルターの最後に、他のすべてのトラフィックを受け入れるデフォルトアクションを設定します。

    それ以外の場合、インターフェイスに到着し、ファイアウォールによって明示的に受け入れられないすべてのトラフィックは破棄されます。

    content_copy zoom_out_map
    [edit firewall  family inet filter mf-classifier]
user@R1# set term t2 then accept

  8. OSPFを設定します。

    content_copy zoom_out_map
    [edit protocols ospf]
user@R1# set area 0.0.0.0 interface ge-2/0/5.0 passive
user@R1# set area 0.0.0.0 interface lo0.0 passive
user@R1# set area 0.0.0.0 interface ge-2/0/8.0
ステップバイステップでの手順

デバイスR2 を設定するには:

  1. デバイスインターフェイスを設定します。

    content_copy zoom_out_map
    [edit interfaces]
user@R1# set ge-2/0/8 description to-R1
user@R1# set ge-2/0/7 description to-Host
user@R1# set lo0 unit 0 description looback-interface
user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.2/30
user@R1# set ge-2/0/7 unit 0 family inet address 172.16.80.2/30
user@R1# set lo0 unit 0 family inet address 192.168.14.1/32

  2. OSPFを設定します。

    content_copy zoom_out_map
    [edit protocols ospf]
user@R1# set area 0.0.0.0 interface ge-2/0/7.0 passive
user@R1# set area 0.0.0.0 interface lo0.0 passive
user@R1# set area 0.0.0.0 interface ge-2/0/8.0
結果

設定モードから、 show interfacesshow firewall、および show protocols ospf コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

content_copy zoom_out_map
user@R1# show interfaces
ge-2/0/5 {
    description to-Host;
    unit 0 {
        family inet {
            filter {
                input mf-classifier;
            }
            address 172.16.70.2/30;
        }
    }
}
ge-2/0/8 {
    description to-R2;
    unit 0 {
        family inet {
            address 10.50.0.1/30;
        }
    }
}
lo0 {
    unit 0 {
        description looback-interface;
        family inet {
            address 192.168.13.1/32;
        }
    }
}
content_copy zoom_out_map
user@R1# show firewall
family inet {
    filter mf-classifier {
        term t1 {
            from {
                protocol tcp;
                port 80;
            }
            then policer discard;
        }
        term t2 {
            then accept;
        }
    }
}
policer discard {
    if-exceeding {
        bandwidth-limit 700m;
        burst-size-limit 15k;
    }
    then discard;
}
content_copy zoom_out_map
user@R1# show protocols ospf
area 0.0.0.0 {
    interface ge-2/0/5.0 {
        passive;
    }
    interface lo0.0 {
        passive;
    }
    interface ge-2/0/8.0;
}

デバイス R1 の設定が完了したら、設定モードから commit を入力します。

content_copy zoom_out_map
user@R2# show interfaces
ge-2/0/7 {
    description to-Host;
    unit 0 {
        family inet {
            address 172.16.80.2/30;
        }
    }
}
ge-2/0/8 {
    description to-R1;
    unit 0 {
        family inet {
            address 10.50.0.2/30;
        }
    }
}
lo0 {
    unit 0 {
        description looback-interface;
        family inet {
            address 192.168.14.1/32;
        }
    }
}
content_copy zoom_out_map
user@R2# show protocols ospf
area 0.0.0.0 {
    interface ge-2/0/7.0 {
        passive;
    }
    interface lo0.0 {
        passive;
    }
    interface ge-2/0/8.0;
}

デバイス R2 の設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

カウンターのクリア

目的

ファイアウォール カウンターがクリアされていることを確認します。

アクション

デバイスR1で、 clear firewall all コマンドを実行して、ファイアウォールカウンターを0にリセットします。

content_copy zoom_out_map
user@R1> clear firewall all

ネットワークへのTCPトラフィックの送信と破棄の監視

目的

送信される対象のトラフィックが、入力インターフェイス(ge-2/0/5)でレート制限されていることを確認します。

アクション

  1. トラフィック ジェネレーターを使用して、送信元ポート 80 で 10 個の TCP パケットを送信します。

    -s フラグは送信元ポートを設定します。-k フラグを指定すると、ソース・ポートは増加するのではなく、80 で安定します。-c フラグは、パケット数を 10 に設定します。-d フラグはパケット・サイズを設定します。

    宛先 IP アドレス 172.16.80.1 は、デバイス R2 に接続されているデバイス ホスト 2 に属しています。デバイス ホスト 2 のユーザーが、デバイス ホスト 1 (デバイス ホスト 1 のトラフィック ジェネレーターによってエミュレートされた Web サーバー)から Web ページを要求しました。レート制限されるパケットは、デバイス ホスト 2 からの要求に応答して、デバイス ホスト 1 から送信されます。

    注:

    この例では、ポリサー番号を帯域幅制限 8 Kbps、バースト サイズ制限 1500 KBps に減らして、このテスト中に一部のパケットがドロップされるようにしています。

    content_copy zoom_out_map
    [root@host]#  hping 172.16.80.1  -c 10 -s 80  -k -d 300


[User@Host]#  hping 172.16.80.1 -c 10 -s 80 -k -d 350
HPING 172.16.80.1 (eth1 172.16.80.1): NO FLAGS are set, 40 headers + 350 data bytes
len=46 ip=172.16.80.1 ttl=62 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=0.5 ms
.
.
.
--- 172.16.80.1 hping statistic ---
10 packets transmitted, 6 packets received, 40% packet loss
round-trip min/avg/max = 0.5/3000.8/7001.3 ms

  2. デバイスR1で、 show firewall コマンドを使用してファイアウォールカウンターを確認します。

    content_copy zoom_out_map
    user@R1> show firewall


User@R1# run show firewall         

Filter: __default_bpdu_filter__                                

Filter: mf-classifier                                          
Policers:
Name                                                Bytes              Packets
discard-t1                                          1560               4
意味

ステップ1と2では、両方のデバイスからの出力は、4つのパケットが破棄されたことを示しています。 これは、少なくとも 8 Kbps の緑(コントラクト内 HTTP ポート 80)トラフィックがあり、赤のコントラクト外 HTTP ポート 80 トラフィックの 1500 KBps バースト オプションを超えたことを意味します。

例:同じインターフェイスでのインターフェイスとファイアウォールフィルターポリサーの設定

この例では、3 つのシングルレート 2 カラー ポリサーを設定し、同じシングルタグ仮想 LAN(VLAN)論理インターフェイスで IPv4 入力トラフィックにポリサーを適用する方法を示します。

要件

この例を設定する前に、デバイス初期化以外の特別な設定を行う必要はありません。

概要

この例では、3 つのシングルレート 2 カラー ポリサーを設定し、同じシングルタグ VLAN 論理インターフェイスの IPv4 入力トラフィックにポリサーを適用します。2 つのポリサーはファイアウォール フィルターを介してインターフェイスに適用され、1 つのポリサーはインターフェイスに直接適用されます。

p-all-1m-5k-discard という名前のポリサーを 1 つ構成して、5000 バイトのバースト サイズでトラフィックを 1 Mbps に制限します。このポリサーは、論理インターフェイスで IPv4 入力トラフィックに直接適用します。論理インターフェイスでプロトコル固有のトラフィックにポリサーを直接適用する場合、ポリサーは インターフェイス ポリサーとして適用されると言われ ます。

他の 2 つのポリサーは 500 KB のバースト サイズを許可するように構成し、IPv4 標準のステートレス ファイアウォール フィルターを使用して、これらのポリサーを論理インターフェイスの IPv4 入力トラフィックに適用します。ファイアウォールフィルターアクションを介して論理インターフェイスのプロトコル固有のトラフィックにポリサーを適用する場合、ポリサーは ファイアウォールフィルターポリサーとして適用されると言われ ます。

  • p-icmp-500k-500k-discard という名前のポリサーを設定して、これらの制限に適合しないパケットを破棄する ことで、 500 K バイトのバースト サイズでトラフィックを 500 Kbps に制限します。ファイアウォール フィルター条件の 1 つを設定して、このポリサーをインターネット制御メッセージ プロトコル (ICMP) パケットに適用します。

  • p-ftp-10p-500k-discardという名前のポリサーを構成すると、これらの制限に適合しないパケットを破棄する ことで、バースト サイズ500 KBの帯域幅 10%にトラフィックをレート制限できます。別のファイアウォール フィルター条件を設定して、このポリサーをファイル転送プロトコル (FTP) パケットに適用します。

(絶対帯域幅値ではなく)パーセンテージ値で表される帯域幅制限で設定するポリサーは、 帯域幅 ポリサーと呼ばれます。パーセンテージ帯域幅を指定して設定できるのは、シングルレート2カラーポリサーのみです。デフォルトでは、帯域幅ポリサーは、ターゲット論理インターフェイスの基礎となる物理インターフェイスのラインレートの指定された割合にトラフィックをレート制限します。

トポロジー

ターゲット論理インターフェイスは、100 Mbpsで動作するファストイーサネットインターフェイス上の単一タグVLAN論理インターフェイスとして設定します。つまり、10% の帯域幅制限で設定したポリサー(FTP パケットに適用するポリサー)は、このインターフェイスの FTP トラフィックを 10 Mbps にレート制限します。

注:

この例では、帯域幅ポリサーを 論理帯域幅ポリサー として設定しません。したがって、割合は、論理インターフェイスの設定されたシェーピング レートではなく、物理メディア レートに基づきます。

2 つのポリサーを参照するように設定するファイアウォール フィルターは、 インターフェイス固有のフィルターとして設定する必要があります。FTP パケットのレート制限に使用されるポリサーは帯域幅制限をパーセンテージ値で指定するため、このポリサーを参照するファイアウォール フィルターはインターフェイス固有のフィルターとして構成する必要があります。したがって、この例のファスト イーサネット インターフェイスだけでなく、このファイアウォール フィルターを複数のインターフェイスに適用すると、フィルターが適用されるインターフェイスごとに固有のポリサーとカウンターが作成されます。

設定

次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、 設定モードでのCLIエディターの使用を参照してください。

この例を設定するには、以下のタスクを実行します。

CLIクイック構成

この例をすばやく設定するには、次の設定コマンドをテキスト ファイルにコピーし、改行を削除してから、 [edit] 階層レベルの CLI にコマンドを貼り付けます。

content_copy zoom_out_map
set interfaces fe-0/1/1 vlan-tagging
set interfaces fe-0/1/1 unit 0 vlan-id 100
set interfaces fe-0/1/1 unit 0 family inet address 10.20.15.1/24
set interfaces fe-0/1/1 unit 1 vlan-id 101
set interfaces fe-0/1/1 unit 1 family inet address 10.20.240.1/24
set firewall policer p-all-1m-5k-discard if-exceeding bandwidth-limit 1m
set firewall policer p-all-1m-5k-discard if-exceeding burst-size-limit 5k
set firewall policer p-all-1m-5k-discard then discard
set firewall policer p-ftp-10p-500k-discard if-exceeding bandwidth-percent 10
set firewall policer p-ftp-10p-500k-discard if-exceeding burst-size-limit 500k
set firewall policer p-ftp-10p-500k-discard then discard
set firewall policer p-icmp-500k-500k-discard if-exceeding bandwidth-limit 500k
set firewall policer p-icmp-500k-500k-discard if-exceeding burst-size-limit 500k
set firewall policer p-icmp-500k-500k-discard then discard
set firewall family inet filter filter-ipv4-with-limits interface-specific
set firewall family inet filter filter-ipv4-with-limits term t-ftp from protocol tcp
set firewall family inet filter filter-ipv4-with-limits term t-ftp from port ftp
set firewall family inet filter filter-ipv4-with-limits term t-ftp from port ftp-data
set firewall family inet filter filter-ipv4-with-limits term t-ftp then policer p-ftp-10p-500k-discard
set firewall family inet filter filter-ipv4-with-limits term t-icmp from protocol icmp
set firewall family inet filter filter-ipv4-with-limits term t-icmp then policer p-icmp-500k-500k-discard
set firewall family inet filter filter-ipv4-with-limits term catch-all then accept
set interfaces fe-0/1/1 unit 1 family inet filter input filter-ipv4-with-limits
set interfaces fe-0/1/1 unit 1 family inet policer input p-all-1m-5k-discard

単一タグVLAN論理インターフェイスの設定

ステップバイステップでの手順

単一タグVLAN論理インターフェイスを設定するには:

  1. ファストイーサネットインターフェイスの設定を有効にします。

    content_copy zoom_out_map
    [edit]
user@host# edit interfaces fe-0/1/1

  2. 単一タグVLANフレーミングを有効にします。

    content_copy zoom_out_map
    [edit interfaces fe-0/1/1]
user@host# set vlan-tagging

  3. VLAN ID を論理インターフェイスにバインドします。

    content_copy zoom_out_map
    [edit interfaces fe-0/1/1]
user@host# set unit 0 vlan-id 100
user@host# set unit 1 vlan-id 101

  4. 単一タグのVLAN論理インターフェイスでIPv4を設定します。

    content_copy zoom_out_map
    [edit interfaces fe-0/1/1]
user@host# set unit 0 family inet address 10.20.15.1/24
user@host# set unit 1 family inet address 10.20.240.1/24
結果

show interfaces 設定モード コマンドを入力して、VLAN の設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。

content_copy zoom_out_map
[edit]
user@host# show interfaces
fe-0/1/1 {
    vlan-tagging;
    unit 0 {
        vlan-id 100;
        family inet {
            address 10.20.15.1/24;
        }
    }
    unit 1 {
        vlan-id 101;
        family inet {
            address 10.20.240.1/24;
        }
    }
}

3 つのポリサーの設定

ステップバイステップでの手順

3 つのポリサーを構成するには:

  1. 帯域幅 1 Mbps、バースト サイズ 5000 バイトに適合しないパケットを破棄する 2 色ポリサーの設定を有効にします。

    注:

    このポリサーは、単一タグVLAN論理インターフェイスのすべてのIPv4入力トラフィックに直接適用して、レート制限の対象になる前にパケットがフィルタリングされないようにします。

    content_copy zoom_out_map
    [edit]
user@host# edit firewall policer p-all-1m-5k-discard

  2. 最初のポリサーを設定します。

    content_copy zoom_out_map
    [edit firewall policer p-all-1m-5k-discard]
user@host# set if-exceeding bandwidth-limit 1m
user@host# set if-exceeding burst-size-limit 5k
user@host# set then discard

  3. 「10%」と指定された帯域幅と500,000バイトのバーストサイズに適合しないパケットを破棄する2カラーポリサーの設定を有効にします。

    このポリサーは、単一タグの VLAN 論理インターフェイスの FTP トラフィックにのみ適用します。

    このポリサーは、TCPからのFTPパケットと一致するIPv4ファイアウォールフィルター条件のアクションとして適用します。

    content_copy zoom_out_map
    [edit firewall policer p-all-1m-5k-discard]
user@host# up
 
[edit]
user@host# edit firewall policer p-ftp-10p-500k-discard

  4. ポリシングの制限とアクションを設定します。

    content_copy zoom_out_map
    [edit firewall policer p-ftp-10p-500k-discard]
user@host# set if-exceeding bandwidth-percent 10
user@host# set if-exceeding burst-size-limit 500k
user@host# set then discard

    帯域幅制限はパーセンテージで指定されるため、このポリサーを参照するファイアウォールフィルターは、インターフェイス固有のフィルターとして設定する必要があります。

    注:

    このポリサーを(物理インターフェイス メディア レートの 10% ではなく)論理インターフェイス設定されたシェーピング レート レートの 10 % に制限する場合は、[edit firewall policer p-all-1m-5k-discard]階層レベルに logical-bandwidth-policer ステートメントを含める必要があります。このタイプのポリサーは、 論理帯域幅ポリサーと呼ばれます。

  5. ICMP パケットの IPv4 ファイアウォール フィルター ポリサーの構成を有効にします。

    content_copy zoom_out_map
    [edit firewall policer p-ftp-10p-500k-discard]
user@host# up
 
[edit]
user@host# edit firewall policer p-icmp-500k-500k-discard

  6. ポリシングの制限とアクションを設定します。

    content_copy zoom_out_map
    [edit firewall policer p-icmp-500k-500k-discard]
user@host# set if-exceeding bandwidth-limit 500k
user@host# set if-exceeding burst-size-limit 500k
user@host# set then discard
結果

show firewall 設定モード コマンドを入力して、ポリサーの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。

content_copy zoom_out_map
[edit]
user@host# show firewall
policer p-all-1m-5k-discard {
    if-exceeding {
        bandwidth-limit 1m;
        burst-size-limit 5k;
    }
    then discard;
}
policer p-ftp-10p-500k-discard {
    if-exceeding {
        bandwidth-percent 10;
        burst-size-limit 500k;
    }
    then discard;
}
policer p-icmp-500k-500k-discard {
    if-exceeding {
        bandwidth-limit 500k;
        burst-size-limit 500k;
    }
    then discard;
}

IPv4ファイアウォールフィルターの設定

ステップバイステップでの手順

IPv4ファイアウォールフィルターを設定するには:

  1. IPv4ファイアウォールフィルターの設定を有効にします。

    content_copy zoom_out_map
    [edit]
user@host# edit firewall family inet filter filter-ipv4-with-limits

  2. ファイアウォールフィルターをインターフェイス固有として設定します。

    content_copy zoom_out_map
    [edit firewall family inet filter filter-ipv4-with-limits]
user@host# set interface-specific

    参照されるポリサーの1つがパーセンテージ値で表される帯域幅制限で構成されているため、ファイアウォールフィルターはインターフェイス固有である必要があります。

  3. FTP パケットのレートを制限するためのフィルター条件の設定を有効にします。

    content_copy zoom_out_map
    [edit firewall family inet filter filter-ipv4-with-limits]
user@host# edit term t-ftp
 
[edit firewall family inet filter filter-ipv4-with-limits term t-ftp]
user@host# set from protocol tcp
user@host# set from port [ ftp ftp-data ]

    FTP メッセージは、TCP ポート 20 (ftp) で送信され、TCP ポート 21 (ftp-data) で受信されます。

  4. FTPパケットに一致するようにフィルター条件を設定します。

    content_copy zoom_out_map
    [edit firewall family inet filter filter-ipv4-with-limits term t-ftp]
user@host# set then policer p-ftp-10p-500k-discard

  5. ICMP パケットのレートを制限するためのフィルター条件の設定を有効にします。

    content_copy zoom_out_map
    [edit firewall family inet filter filter-ipv4-with-limits term t-ftp]
user@host# up
 
[edit firewall family inet filter filter-ipv4-with-limits]
user@host# edit term t-icmp

  6. ICMPパケットのフィルター条件を設定します

    content_copy zoom_out_map
    [edit firewall family inet filter filter-ipv4-with-limits term t-icmp]
user@host# set from protocol icmp
user@host# set then policer p-icmp-500k-500k-discard

  7. フィルター条件を設定して、ポリシングなしで他のすべてのパケットを受け入れるようにします。

    content_copy zoom_out_map
    [edit firewall family inet filter filter-ipv4-with-limits term t-icmp]
user@host# up
 
[edit firewall family inet filter filter-ipv4-with-limits]
user@host# set term catch-all then accept
結果

show firewall 設定モード コマンドを入力して、ファイアウォール フィルターの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。

content_copy zoom_out_map
[edit]
user@host# show firewall
family inet {
    filter filter-ipv4-with-limits {
        interface-specific;
        term t-ftp {
            from {
                protocol tcp;
                port [ ftp ftp-data ];
            }
            then policer p-ftp-10p-500k-discard;
        }
        term t-icmp {
            from {
                protocol icmp;
            }
            then policer p-icmp-500k-500k-discard;
        }
        term catch-all {
            then accept;
        }
    }
}
policer p-all-1m-5k-discard {
    if-exceeding {
        bandwidth-limit 1m;
        burst-size-limit 5k;
    }
    then discard;
}
policer p-ftp-10p-500k-discard {
    if-exceeding {
        bandwidth-percent 10;
        burst-size-limit 500k;
    }
    then discard;
}
policer p-icmp-500k-500k-discard {
    if-exceeding {
        bandwidth-limit 500k;
        burst-size-limit 500k;
    }
    then discard;
}

インターフェイス ポリサーとファイアウォール フィルター ポリサーの論理インターフェイスへの適用

ステップバイステップでの手順

3 つのポリサーを VLAN に適用するには:

  1. 論理インターフェイスで IPv4 の設定を有効にします。

    content_copy zoom_out_map
    [edit]
user@host# edit interfaces fe-0/1/1 unit 1 family inet

  2. ファイアウォールフィルターポリサーをインターフェイスに適用します。

    content_copy zoom_out_map
    [edit interfaces fe-0/1/1 unit 1 family inet]
user@host# set filter input filter-ipv4-with-limits

  3. インターフェイス ポリサーをインターフェイスに適用します。

    content_copy zoom_out_map
    [edit interfaces fe-0/1/1 unit 1 family inet]
user@host# set policer input p-all-1m-5k-discard

    fe-0/1/1.0の入力パケットは、ファイアウォール フィルター ポリサーに対して評価される前に、インターフェイス ポリサーに対して評価されます。詳細については、ポリサーとファイアウォールフィルターの動作順序を参照してください。

結果

show interfaces 設定モード コマンドを入力して、インターフェイスの設定を確認します。コマンドの出力結果に意図した設定内容が表示されない場合は、この手順の手順を繰り返して設定を修正します。

content_copy zoom_out_map
[edit]
user@host# show interfaces
fe-0/1/1 {
    vlan-tagging;
    unit 0 {
        vlan-id 100;
        family inet {
            address 10.20.15.1/24;
        }
    }
    unit 1 {
        vlan-id 101;
        family inet {
            filter {
                input filter-ipv4-with-limits;
            }
            policer {
                input p-all-1m-5k-discard;
            }
            address 10.20.240.1/24;
        }
    }
}

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

論理インターフェイスに直接適用されたポリサーの表示

目的

論理インターフェイスでパケットを受信したときに、インターフェイス ポリサーが評価されることを確認します。

アクション

論理インターフェイスfe-0/1/1.1には、show interfaces policers 動作モード コマンドを使用します。Proto列とInput Policer列のコマンド出力セクションは、論理インターフェイスでパケットが受信されたときにポリサーp-all-1m-5k-discardが評価されることを示しています。

content_copy zoom_out_map
user@host> show interfaces policers fe-0/1/1.1
Interface       Admin Link Proto Input Policer         Output Policer
fe-0/1/1.1      up    up        
                           inet  p-all-1m-5k-discard-fe-0/1/1.1-inet-i

この例では、インターフェイス ポリサーは入力方向の論理インターフェイス トラフィックにのみ適用されます。

論理インターフェイスに直接適用されたポリサーの統計情報の表示

目的

インターフェイス ポリサーによって評価されたパケットの数を確認します。

アクション

show policer 動作モード コマンドを使用し、オプションでポリサーの名前を指定します。コマンドの出力は、設定された各ポリサー(または指定されたポリサー)が各方向に評価したパケットの数を表示します。

content_copy zoom_out_map
user@host> show policer p-all-1m-5k-discard-fe-0/1/1.1-inet-i
Policers:
Name                                                Bytes              Packets
p-all-1m-5k-discard-fe-0/1/1.1-inet-i                 200                    5

インターフェイスに適用されたポリサーとファイアウォールフィルターの表示

目的

ファイアウォールフィルター filter-ipv4-with-limits が、論理インターフェイス fe-0/1/1.1でIPv4入力トラフィックに適用されていることを確認します。

アクション

論理インターフェイスfe-0/1/1.1には show interfaces statistics operational mode コマンドを使用し、detail オプションを含めます。コマンド出力セクションの Protocol inet セクションの Input Filters 行と Policer 行には、入力方向の論理インターフェイスに適用されたフィルターとポリサーの名前が表示されます。

content_copy zoom_out_map
user@host> show interfaces statistics fe-0/1/1.1 detail
  Logical interface fe-0/1/1.1 (Index 83) (SNMP ifIndex 545) (Generation 153)
    Flags: SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.100 ]  Encapsulation: ENET2
    Traffic statistics:
     Input  bytes  :                    0
     Output bytes  :                   46
     Input  packets:                    0
     Output packets:                    1
    Local statistics:
     Input  bytes  :                    0
     Output bytes  :                   46
     Input  packets:                    0
     Output packets:                    1
    Transit statistics:
     Input  bytes  :                    0                    0 bps
     Output bytes  :                    0                    0 bps
     Input  packets:                    0                    0 pps
     Output packets:                    0                    0 pps
    Protocol inet, MTU: 1500, Generation: 176, Route table: 0
      Flags: Sendbcast-pkt-to-re
      Input Filters: filter-ipv4-with-limits-fe-0/1/1.1-i
      Policer: Input: p-all-1m-5k-discard-fe-0/1/1.1-inet-i
      Addresses, Flags: Is-Preferred Is-Primary
        Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255,
        Generation: 169

この例では、2 つのファイアウォール フィルター ポリサーが入力方向の論理インターフェイス トラフィックにのみ適用されます。

ファイアウォールフィルターポリサーの統計情報の表示

目的

ファイアウォール フィルター ポリサーによって評価されたパケットの数を確認します。

アクション

論理インターフェイスに適用したフィルターの show firewall operational mode コマンドを使用します。

content_copy zoom_out_map
[edit]
user@host> show firewall filter filter-ipv4-with-limits-fe-0/1/1.1-i

Filter: filter-ipv4-with-limits-fe-0/1/1.1-i                              
Policers:
Name                                                Bytes              Packets
p-ftp-10p-500k-discard-t-ftp-fe-0/1/1.1-i               0                    0
p-icmp-500k-500k-discard-t-icmp-fe-0/1/1.1-i            0                    0

コマンド出力には、ポリサーの名前(p-ftp-10p-500k-discard および p-icmp-500k-500k-discard)と、ポリサー・アクションを指定するフィルター条件の名前(それぞれt-ftp および t-icmp)が表示されます。ポリサー固有の出力行には、フィルター条件に一致したパケットの数が表示されます。これは仕様外(仕様外)のパケット数に過ぎず、ポリサーがポリサーによってポリシングするすべてのパケットではありません。

関連項目

関連項目

arrow_backward PREVIOUS 2 カラー ポリサー構成の概要
NEXT arrow_forward 帯域幅ポリサー
external-footer-nav