大きなダウンロードによる帯域逼迫を防ぐために、Juniper SRXで特定のダウンロードトラフィックのみの帯域を制限する方法を解説します。
■想定するケース
【ケースA:ホストごとに制御する】
LAN内の任意のPCによる「deer.example」および「goat.example」からのダウンロードを、それぞれ最大500Mbpsに制限します。
各ホストからのダウンロードが同時に行われる場合は、合計最大1Gbpsの帯域を消費する可能性があります。
LAN内の任意のPCによる「deer.example」および「goat.example」からのダウンロードを、それぞれ最大500Mbpsに制限します。
各ホストからのダウンロードが同時に行われる場合は、合計最大1Gbpsの帯域を消費する可能性があります。
【ケースB:複数のホストをまとめて制御する】
LAN内の任意のPCによる「deer.example」および「goat.example」からのダウンロードを、合計500Mbpsに制限します。
どちらか一方が大量に通信する場合は、もう一方の帯域が圧迫される可能性があります。
LAN内の任意のPCによる「deer.example」および「goat.example」からのダウンロードを、合計500Mbpsに制限します。
どちらか一方が大量に通信する場合は、もう一方の帯域が圧迫される可能性があります。
■設定内容
(1) 帯域幅を500Mbpsに制限するポリサー(Limit-500Mbps)を設定します。
この上限を超えたパケットは破棄されます。
また、バーストに許容する上限サイズを625,000バイト(約610KB)に設定します。
この上限を超えたパケットは破棄されます。
また、バーストに許容する上限サイズを625,000バイト(約610KB)に設定します。
set firewall policer Limit-500Mbps if-exceeding bandwidth-limit 500m
set firewall policer Limit-500Mbps if-exceeding burst-size-limit 625000
set firewall policer Limit-500Mbps then discard
(2) 対象のホスト(deer.exampleまたはgoat.example)からのトラフィックに対して、それぞれポリサー(Limit-500Mbps)を適用するフィルター(Untrust-Filter)を作成します。
今回はダウンロードなので、各ホストがSourceとなるトラフィックに対して制限を適用します。
また、フィルターの最後に、明示的に全てを許可する設定をします。
今回はダウンロードなので、各ホストがSourceとなるトラフィックに対して制限を適用します。
また、フィルターの最後に、明示的に全てを許可する設定をします。
[ケースA:ホストごとに制御する]
set firewall family inet filter Untrust-Filter term Term_01 from source-address deer.example
set firewall family inet filter Untrust-Filter term Term_01 then policer Limit-500Mbps
set firewall family inet filter Untrust-Filter term Term_01 then accept
set firewall family inet filter Untrust-Filter term Term_02 from source-address goat.example
set firewall family inet filter Untrust-Filter term Term_02 then policer Limit-500Mbps
set firewall family inet filter Untrust-Filter term Term_02 then accept
set firewall family inet filter Untrust-Filter term Term_Else then accept[ケースB:複数のホストをまとめて制御する]
set firewall family inet filter Untrust-Filter term Term_01 from source-address deer.example
set firewall family inet filter Untrust-Filter term Term_01 from source-address goat.example
set firewall family inet filter Untrust-Filter term Term_01 then policer Limit-500Mbps
set firewall family inet filter Untrust-Filter term Term_01 then accept
set firewall family inet filter Untrust-Filter term Term_Else then accept
(3) 作成したファイアウォールフィルターを、Untrustに相当するインターフェイス(今回はge-0/0/2)の論理ユニットに適用します。
set interfaces ge-0/0/2 unit 0 family inet filter input Untrust-Filter