[index] CentreCOM 9924Ts コマンドリファレンス 3.1

スイッチング/クラシファイア

  - 概要
  - 基本設定
   - クラシファイアの作成
   - クラシファイアの使用
   - クラシファイアの変更・削除・確認
  - クラシファイアとルール領域消費量
   - ハードウェアパケットフィルターのみ使用時
   - ポリシーベースQoSのみ使用時
   - ハードウェアパケットフィルターとポリシーベースQoS併用時

ヘッダー情報に基づいてパケットを分類するクラシファイア（汎用パケットフィルター）について説明します。クラシファイアは単体で使用するのではなく、ハードウェアパケットフィルターやポリシーベースQoSと組み合わせて使用します。

概要

クラシファイアは、パケットの分類条件を定義するためのメカニズムです。パケットのヘッダー情報（MACアドレスやIPアドレス、プロトコルタイプなど）に基づき、パケットを「フロー」に分類する仕組みを提供します。

クラシファイアは分類条件を定義するだけなので、単体では意味をなしません。下記の機能と組み合わせて初めて効果を発揮します。

1. ハードウェアパケットフィルター
2. ポリシーベースQoS

各機能の処理順序は次のようになります。

Note - ハードウェアパケットフィルターにマッチしたパケットに対して、ポリシーベースQoSは適用されません（ここでの「マッチ」とは、破棄（Discard）だけでなく明示的な転送許可（Forward）も含みます）。ポリシーベースQoSを利用しながらパケットフィルタリングを行いたい場合は、ハードウェアパケットフィルターを併用するのではなく、QoSポリシーのフィルタリング機能（フローグループ、トラフィッククラスのアクション）を使ってください。

表 1：クラシファイアを使用する機能

番号機能 適用対象

1 ハードウェアパケットフィルターすべてのパケット

2 ポリシーベースQoS 1にマッチしなかったすべてのパケット（ここでの「マッチ」とは、破棄（Discard）、転送（Forward）の両方を指す）

次に、使用できる条件パラメーターの一覧を示します。より詳しくは次節「基本設定」をご覧ください。また、各機能の詳細については、それぞれ該当するセクションをご覧ください。

表 2：条件パラメーター

項目名 説明

レイヤー2

ETHFORMAT （Ethernet）フレームフォーマット（エンキャプセレーション）

PROTOCOL （Ethernet）プロトコルタイプ

MACTYPE （Ethernet）レイヤー2アドレス種別。L2UCAST（ユニキャスト）、L2MCAST（マルチキャスト）、L2BCAST（ブロードキャスト）、ANY（すべて）のいずれか

MACSADDR （Ethernet）送信元MACアドレス

MACDADDR （Ethernet）宛先MACアドレス

VLAN 入力VLAN

TPID （802.1Q）TPID（Tag Protocol Identifier）

VLANPRIORITY （802.1Q）802.1pユーザープライオリティー

INNERTPID （2つ目の802.1Q）TPID（Tag Protocol Identifier）

INNERVLANPRIORITY （2つ目の802.1Q）802.1pユーザープライオリティー

INNERVLANID （2つ目の802.1Q）VLAN ID

レイヤー3

IPSADDR （IPヘッダー）始点IPアドレス/マスク長

IPDADDR （IPヘッダー）終点IPアドレス/マスク長

IPDSCP （IPヘッダー）DSCP（DiffServ Code Point）

IPTOS （IPヘッダー）TOS優先度（precedence）

IPPROTOCOL （IPヘッダー）プロトコルタイプ（レイヤー4プロトコルタイプ）

レイヤー4

TCPSPORT （TCPヘッダー）始点ポート

TCPDPORT （TCPヘッダー）終点ポート

TCPFLAGS （TCPヘッダー）制御フラグ（URG,ACK,RST,SYN,FIN）

UDPSPORT （UDPヘッダー）始点ポート

UDPDPORT （UDPヘッダー）終点ポート

L4SMASK （TCP/UDPヘッダー）始点ポートに対するANDマスク

L4DMASK （TCP/UDPヘッダー）終点ポートに対するANDマスク

基本設定

クラシファイアの基本的な設定方法について解説します。

クラシファイアの作成

■ クラシファイアを作成するには、CREATE CLASSIFIERコマンドを使います。CLASSIFIERパラメーターに指定するのは、各クラシファイアを識別するための番号です。この番号は単なる識別子であり、値の大小は意味を持ちません。


CREATE CLASSIFIER=10 IPDADDR=192.168.10.0/24 ↓

クラシファイアの使用

前述のとおり、クラシファイアはパケットを分類するメカニズムを提供するだけです。実際になんらかの処理を行うには、ハードウェアパケットフィルター、QoSポリシーと関連付ける必要があります。

Note - 1つのクラシファイアをハードウェアパケットフィルターとQoSポリシーの両方に割り当てないでください。このような設定をすると、ハードウェアパケットフィルターに割り当てたクラシファイアしか機能しません。

■ ハードウェアパケットフィルターでは、クラシファイアとマッチ時のアクションの2つ1組でフィルターエントリーを構成します。ハードウェアパケットフィルターにエントリーを追加するには、ADD SWITCH HWFILTERコマンドを使います。

次の例では、受信したパケットのうち、クラシファイア「12」にマッチするパケットを破棄します。


ADD SWITCH HWFILTER=1 CLASSIFIER=12 ACTION=DISCARD ↓

■ ポリシーベースQoSでは、パケットをフローグループに分類するためにクラシファイアを使います。フローグループにクラシファイアを関連付けるには、ADD QOS FLOWGROUPコマンドを使います。


ADD QOS FLOWGROUP=10 CLASSIFIER=1-5 ↓

実際にはさらに、トラフィッククラスにフローグループを関連付け、QoSポリシーにトラフィッククラスを関連付け、QoSポリシーをスイッチポートに適用する必要があります。詳細は「スイッチング」/「QoS」をご覧ください。

ポリシーベースQoS、ハードウェアパケットフィルターの詳細については、それぞれ「スイッチング」/「QoS」、「ハードウェアパケットフィルター」をご覧ください。

クラシファイアの変更・削除・確認

■ 作成済みのクラシファイアを変更するには、SET CLASSIFIERコマンドを使います。


SET CLASSIFIER=10 IPDADDR=192.168.10.0/16 ↓

■ クラシファイアを削除するには、DESTROY CLASSIFIERコマンドを使います。ハードウェアパケットフィルターやQoSポリシー（厳密にはフローグループ）に関連付けられているクラシファイアは削除できません。先に関連付けを削除してからDESTROY CLASSIFIERコマンドを実行してください。

クラシファイア番号は、カンマ、ハイフンを使って複数指定が可能です。


DESTROY CLASSIFIER=1 ↓

DESTROY CLASSIFIER=10-15 ↓

DESTROY CLASSIFIER=23,25-27 ↓

DESTROY CLASSIFIER=ALL ↓

■ クラシファイアの一覧はSHOW CLASSIFIERコマンドで確認できます。


SHOW CLASSIFIER ↓

■ クラシファイア番号を指定した場合は、該当クラシファイアのパラメーター一覧が表示されます。


SHOW CLASSIFIER=1 ↓

SHOW CLASSIFIER=ALL ↓

クラシファイアとルール領域消費量

本製品では、ハードウェアによるフィルタリング機能を実現するために、システム内部の「ルールテーブル」を使用します。

クラシファイアはCREATE CLASSIFIERコマンドで9999個まで作成できますが、実際に使用できる数（フィルターやポリシーに関連付けられる数）はルールテーブル内にあるルール領域の空き容量に依存します。ルール領域の空きがなくなると、フィルター作成時やポリシーの適用時にエラーメッセージが表示され、それ以上フィルターやポリシーの追加ができなくなります。

ルールテーブルの使用状況は、SHOW SWITCHコマンドで確認できます。「Traffic Control Unit, hardware resource usage」以下をご覧ください。

まずは、ルール領域に関する基本原則を列挙します。

スイッチ本体には、いくつかのスイッチチップが搭載されている（通常1～2個）。以下の説明では、スイッチ本体に搭載されている個々のスイッチチップを「本体インスタンス」または単に「インスタンス」と呼ぶ。本製品のインスタンスは2個であり、それぞれにはポート1～12とポート13～24が所属している。
各インスタンスには、1024ルール分のルール領域がある。この領域は、ハードウェアパケットフィルター、ポリシーベースQoS、MLD Snoopingが使用する。
ルール領域は、ルール8個単位で割り当てられる
デフォルト有効のMLD Snoopingが、スイッチ本体のルール領域を1個使用している

以下では、この原則をもとに、ハードウェアパケットフィルター、ポリシーベースQoS、MLD Snoopingの各機能がルール領域をどのように消費するかを解説します。

Note - 以下の図は説明のためのイメージ図であり、内部実装を正確に表したものではありません。

ハードウェアパケットフィルターのみ使用時

ここでは、ハードウェアパケットフィルター（とMLD Snooping）だけを使用する場合の本体インスタンスのルール領域使用量について説明します。

ハードウェアパケットフィルターは、1つのフィルター（1クラシファイア）あたり、各インスタンスのルール領域を1つ使用します。

ここでは、8個のクラシファイア（1～8）を作成し、8個のハードウェアパケットフィルターを作成した場合のルール領域消費量について説明します。

■ MLD Snooping有効時（デフォルト有効）

MLD Snoopingが1個ルールを使用しているため、ハードウェアパケットフィルター8個とあわせて、合計ルール数は9個となります。ただし、ルール領域は8個単位で割り当てられるため、この状態でのルール領域消費量は16となります。

■ MLD Snooping無効時

MLD Snoopingが使用していた1個のルールがなくなるため、合計ルール数は8個となります。ルール領域は8個単位で割り当てられるため、この例ではちょうど1単位におさまります。すなわち、ルール領域の消費量は8となります。

ポリシーベースQoSのみ使用時

次に、ポリシーベースQoS（とMLD Snooping）だけを使用する場合の本体インスタンスのルール領域使用量について説明します。

ポリシーベースQoSでは、QoSポリシーを適用するスイッチポートごとに、ポートが所属するインスタンスのルール領域が8ルール単位で割り当てられ、ポートごとに1クラシファイアあたり1つのルールを使用します。また、デフォルトトラフィッククラスも1つのルールを使用します。

QoSポリシーを全ポートに割り当てた場合、それだけで各インスタンスのルール領域を「インスタンスの所属ポート数 × 8」消費してしまいます。QoSポリシーを適用するときは、なるべく必要なポートだけに限定するようにしてください。

ここでは、2個のクラシファイア（9～10）を作成し、2個のQoSフローグループ、1個のQoSポリシーを作成し、2つのポート（1～2）にQoSポリシーを適用した場合のルール領域消費量について説明します。

■ MLD Snooping有効時（デフォルト有効）

スイッチポートにQoSポリシーを適用すると、そのポート専用のルール領域が（ルール8個を1単位で）割り当てられます。

MLD Snoopingが使用する1個のルールは、ポート専用のルール領域ごとに割り当てられます。さらに、QoSポリシーを適用していないポート群のためのルール領域も割り当てられ、そこでもMLD Snooping用のルール1個が使われます。

結果的に、この例では、MLD Snooping用ルールが3個、QoSポリシー用のルールが6個（= 3×2）で、合計ルール数は9個となります。ただし、ルール領域が、ポート1用、ポート2用、その他のポート用の3つに分けて割り当てられるため、ルール領域消費量は24となります。

■ MLD Snooping無効時

MLD Snoopingが使用していた1個のルールがなくなるため、QoSポリシーを適用していないポート用の領域は解放されます。

結果的に、この例では、QoSポリシー用のルールが6個（= 3×2）で、合計ルール数は6個となります。ただし、ルール領域が、ポート1用、ポート2用の2つに分けて割り当てられるため、ルール領域消費量は16となります。

ハードウェアパケットフィルターとポリシーベースQoS併用時

次に、ハードウェアパケットフィルターとポリシーベースQoS（とMLD Snooping）を併用する場合の本体ルール領域使用量について説明します。

この場合は、ポリシーベースQoSだけを使用するときと基本的に同じです。ハードウェアパケットフィルターを1つ追加するたびに、各ポート専用のルール領域に同じルールが1つずつ追加されます。

ここでは、4個のクラシファイア（1～2、9～10）を作成し、そのうち1～2を2個のハードウェアパケットフィルターに割り当て、9～10を2つのQoSフローグループに割り当てるものとします。さらに、2つのフローグループを（トラフィッククラスを介して）1個のQoSポリシーに割り当て、これを2つのポート（1～2）に適用した場合のルール領域消費量について説明します。

■ MLD Snooping有効時（デフォルト有効）

スイッチポートにQoSポリシーを適用すると、そのポート専用のルール領域が（ルール8個を1単位で）割り当てられます。

MLD Snoopingが使用する1個のルールと、ハードウェアパケットフィルターが使用する2個のルールは、ポート専用のルール領域ごとに割り当てられます。さらに、QoSポリシーを適用していないポート群のためのルール領域も割り当てられ、そこでもMLD Snooping用のルール1個とハードウェアパケットフィルターのルール2個が使われます。

結果的に、この例では、MLD Snooping用ルールが3個、QoSポリシー用のルールが6個（= 3×2）、ハードウェアパケットフィルターのルールが6個（= 2×3）、合計ルール数は15個となります。ただし、ルール領域が、ポート1用、ポート2用、その他のポート用の3つに分けて割り当てられるため、ルール領域消費量は24となります。

■ MLD Snooping無効時

各ポート専用のルール領域から、MLD Snoopingが使用していた1個のルールがなくなるため、QoSポリシー用のルールが6個（= 3×2）、ハードウェアパケットフィルターのルールが6個（= 2×3）、合計ルール数は12個となります。ただし、ルール領域が、ポート1用、ポート2用、その他のポート用の3つに分けて割り当てられるため、ルール領域消費量は24となります。

PN: 613-000276 Rev.C

番号	機能	適用対象
1	ハードウェアパケットフィルター	すべてのパケット
2	ポリシーベースQoS	1にマッチしなかったすべてのパケット（ここでの「マッチ」とは、破棄（Discard）、転送（Forward）の両方を指す）

項目名	説明
レイヤー2
ETHFORMAT	（Ethernet）フレームフォーマット（エンキャプセレーション）
PROTOCOL	（Ethernet）プロトコルタイプ
MACTYPE	（Ethernet）レイヤー2アドレス種別。L2UCAST（ユニキャスト）、L2MCAST（マルチキャスト）、L2BCAST（ブロードキャスト）、ANY（すべて）のいずれか
MACSADDR	（Ethernet）送信元MACアドレス
MACDADDR	（Ethernet）宛先MACアドレス
VLAN	入力VLAN
TPID	（802.1Q）TPID（Tag Protocol Identifier）
VLANPRIORITY	（802.1Q）802.1pユーザープライオリティー
INNERTPID	（2つ目の802.1Q）TPID（Tag Protocol Identifier）
INNERVLANPRIORITY	（2つ目の802.1Q）802.1pユーザープライオリティー
INNERVLANID	（2つ目の802.1Q）VLAN ID
レイヤー3
IPSADDR	（IPヘッダー）始点IPアドレス/マスク長
IPDADDR	（IPヘッダー）終点IPアドレス/マスク長
IPDSCP	（IPヘッダー）DSCP（DiffServ Code Point）
IPTOS	（IPヘッダー）TOS優先度（precedence）
IPPROTOCOL	（IPヘッダー）プロトコルタイプ（レイヤー4プロトコルタイプ）
レイヤー4
TCPSPORT	（TCPヘッダー）始点ポート
TCPDPORT	（TCPヘッダー）終点ポート
TCPFLAGS	（TCPヘッダー）制御フラグ（URG,ACK,RST,SYN,FIN）
UDPSPORT	（UDPヘッダー）始点ポート
UDPDPORT	（UDPヘッダー）終点ポート
L4SMASK	（TCP/UDPヘッダー）始点ポートに対するANDマスク
L4DMASK	（TCP/UDPヘッダー）終点ポートに対するANDマスク