第 21 章 packet-tracer コマンド~ pwd コマンド
第 21 章 packet-tracer コマンド~ pwd コマンド
police
使用上のガイドライン ポリシングをイネーブルにするには、モジュラポリシーフレームワークを使用します。
1. class-map:ポリシングを実行するトラフィックを指定します。
2. policy-map:各クラスマップに関連付けるアクションを指定します。
a. class:アクションを実行するクラスマップを指定します。
b. police:クラスマップのポリシングをイネーブルにします。
3. service-policy:ポリシーマップをインターフェイスごとに、またはグローバルに割り当てます。
(注) police コマンドは、最大速度および最大バーストレートを適合レート値に強制的に合わせることで、
最大速度および最大バーストレートを規制するだけのものです。conform-action または
exceed-action が指定されていても、これらは強制されません。
(注) conform-burst パラメータが省略されている場合、デフォルト値は conform-rate の 1/32(バイト単位)
と見なされます(つまり、conform-rate が 100,000 の場合、デフォルトの conform-burst 値は
100,000/32 = 3,125 となります)。conform-burst の単位はバイトですが、conform-rate の単位はビット /秒であることに注意してください。
必要に応じて、適応型セキュリティアプライアンスの各 QoS 機能を個別に設定できます。ただし、多 くの場合、たとえば一部のトラフィックを優先して他のトラフィックが帯域幅の問題を引き起こさない ようにするために、適応型セキュリティアプライアンスで複数の QoS 機能を設定します。
インターフェイスごとにサポートされる次の機能の組み合わせを参照してください。
• 標準プライオリティキューイング(特定トラフィック)+ ポリシング(その他のトラフィック)。
同じトラフィックのセットに対して、プライオリティキューイングとポリシングを両方設定する ことはできません。
• トラフィックシェーピング(1 つのインターフェイス上のすべてのトラフィック)+ 階層型プライ オリティキューイング(トラフィックのサブセット)。
適応型セキュリティアプライアンスで制限されているわけではありませんが、通常、トラフィックシェー ピングをイネーブルにした場合、同じトラフィックに対してはポリシングはイネーブルにしません。
既存の VPN クライアント/LAN-to-LAN トラフィック、または非トンネルトラフィックがすでに確立
されているインターフェイスを対象として、サービスポリシーを適用または削除した場合、QoS ポリ シーが適用されたり、トラフィックストリームから削除されたりすることはありません。このような 接続を対象として QoS ポリシーを適用または削除するには、接続をクリア(つまりドロップ)して再 確立する必要があります。
例 次に、適合レート 100,000 ビット/秒、バースト値 20,000 バイトを設定し、バーストレートを超過し たトラフィックはドロップすることを指定した、出力方向の police コマンドの例を示します。
hostname(config)# policy-map localpolicy1 hostname(config-pmap)# class-map firstclass hostname(config-cmap)# class localclass
hostname(config-pmap-c)# police output 100000 20000 exceed-action drop hostname(config-cmap-c)# class class-default
hostname(config-pmap-c)#
次に、内部 Web サーバ宛てのトラフィックに対してレート制限を設定する例を示します。
hostname# access-list http_traffic permit tcp any 10.1.1.0 255.255.255.0 eq 80
第 21 章 packet-tracer コマンド~ pwd コマンド police
hostname(config-cmap)# match access-list http_traffic hostname(config-cmap)# policy-map outside_policy hostname(config-pmap)# class http_traffic hostname(config-pmap-c)# police input 56000
hostname(config-pmap-c)# service-policy outside_policy interface outside hostname(config)#
関連コマンド class トラフィックの分類に使用するクラスマップを指定します。
clear configure policy-map
すべてのポリシーマップコンフィギュレーションを削除します。ただし、
ポリシーマップが service-policy コマンド内で使用されている場合、そのポ
リシーマップは削除されません。
policy-map ポリシーを設定します。これは、1 つのトラフィッククラスと 1 つ以上のア
クションのアソシエーションです。
show running-config
policy-map 現在のポリシーマップコンフィギュレーションをすべて表示します。
第 21 章 packet-tracer コマンド~ pwd コマンド