802.1p と DSCP QoS

802.1p の有効化

SonicOS では、QoS に対応する環境に参加している外部システムとの広い範囲での相互運用性を実現するために、第 2 層と第 3 層 CoS 方式をサポートしています。第 2 層の方式は、下図に示すように、フレームの優先順位を指定するために、イーサネットフレームのヘッダーに挿入された追加の 16 ビットのうちの 3 ビットを用いることのできる、IEEE 802.1p 標準です。

図 41. イーサネットデータフレーム

•

TPID:TPID (Tag Protocol Identifier) は、バイト 12 から始まります (6 バイトの宛先アドレスと送信元アドレスの後)。2 バイトの長さで、タグ付けされたトラフィックは 0x8100 のイーサ種別を持ちます。

•

802.1p:TCI (タグ制御情報－バイト 14 から始まり、2 バイトの長さ) の最初の 3 ビットは、ユーザ優先順位を定義します (8 つ (2 の 3 乗) の優先順位レベルを与えます)。IEEE 802.1p では、これらの 3 ビットのユーザ優先順位の処理を定義しています。

•

CFI:CFI (Canonical Format Indicator) は、単一ビットフラグで、イーサネットスイッチの場合は常に 0 に設定されます。CFI は、イーサネットネットワークとトークンリングネットワークの間の互換性のために使用されます。イーサネットポートで受信されたフレームの CFI が 1 に設定されている場合、そのフレームは、タグ付けされていないポート用なので転送してはいけません。

•

VLAN ID:VLAN ID (バイト 14 のビット 5 から始まる) は、VLAN の ID です。12 ビットあり、4,096 (2 の 12 乗) の VLAN ID を表現することができます。4,096 の ID のうち、ID 0 が優先順位フレームの識別に使用され、ID4,095 (FFF) が予約されているので、最大 4,094 の VLAN を設定できます。

802.1p のサポートは、802.1p タグを処理するインターフェース上で 802.1p 級割を有効にすることにより開始されます。802.1p は、SonicWALL 装置の任意のイーサネットインターフェースで有効にすることができます。

これらのタグの内部の 802.1p フィールドの動作は、アクセスルールで制御することができます。既定の 802.1p アクセスルール動作の「なし」は、特に指定しない限り、既存の 802.1p タグを 0 にリセットします (詳細は、QoS 級割の管理を参照)。

802.1p 級割を有効化すると、802.1p 対応ネットワーク機器により生成された着信 802.1p タグをターゲットインターフェースが認識できるようになり、また、アクセスルールによる制御としてターゲットインターフェースが 802.1p タグを生成することが可能になります。SonicOS により挿入された802.1p タグを持つフレームは、VLAN ID 0 を運びます。

802.1p タグは、アクセスルールに従って挿入されるだけなので、インターフェース上で既定の設定で802.1p 級割を有効にしても、802.1p 非対応機器との通信は中断されません。

802.1p の場合、この優先順位付け方式を使用したいネットワーク機器による特定のサポートを必要とします。多くのボイスおよびビデオオーバー IP 機器は、802.1p のサポートを提供していますが、機能を有効化する必要があります。不確かな場合には、802.1p のサポートについて、装置の説明書を確認してください。同様に、多くのサーバとホストのネットワークカード (NIC) は 802.1p をサポートする機能を持ちますが、通常この機能は既定で無効になっています。Win32 オペレーティングシステムの場合、ネットワークカードの「プロパティ」ページの「詳細設定」タブで 802.1p の設定を確認および設定することができます。カードが 802.1p をサポートしている場合、「802.1p QoS」、「802.1p Support」、「802.1p QoS Packet Tagging」のような項目が表示されます。

802.1p タグを処理するためには、ネットワークインターフェースで機能が存在し有効にされている必要があります。これにより、ネットワークインターフェースは、QoS 対応アプリケーションにより制御され、802.1p タグ付きのパケットを生成できます。既定では、一般的なネットワーク通信では、802.1p 非対応機器との互換性を維持するためにタグは挿入されません。


	補足：802.1p をサポートしていないネットワークインターフェースは、802.1p のタグ付けされたトラフィックを処理できず、無視します。802.1p 級割を有効にするためのアクセスルールを定義する場合は、ターゲット機器が 802.1p に対応することを確認してください。また、(Ethereal 診断ツールを使用して) 802.1p 対応機器上でパケット監視を行う場合は、いくつかの 802.1p 対応機器でパケット監視内で 802.1p ヘッダーが表示されないことがある点にも注意してください。逆に言えば、802.1p 非対応機器上でパケット監視を行うと、ほとんど例外なくヘッダーが表示されますが、ホストはパケットを処理することができなくなります。

QoS 級割方式と DSCP 級割方式の間には潜在的な相互依存があるので、QoS 級割の管理に進む前に、'DSCP 級割' について紹介し、相互依存が存在する理由について説明します。

図 42. DSCP 級割:サンプルシナリオ

上記シナリオには、IPSec VPN により 'メインサイト' に接続されたリモートサイト 1 があります。この企業は、プライベート VoIP シグナリングサーバをメインサイトに配置して、内部で 802.1p/DSCP 対応 VoIP 電話システムを使用しています。メインサイトでは、ギガビットとファーストイーサネットの混合した基盤を使用しています。一方、リモートサイト 1 では、すべてファーストイーサネットを使用しています。内部トラフィックの優先順位付けのために、両方のサイトで 802.1p 対応スイッチが使用されています。

リモートサイト 1 の PC-1 は、23 テラバイトのパワーポイントプレゼンテーションをファイルサーバ 1 へ送信しており、ワークグループスイッチと上流スイッチとの間の 100 Mbps のリンクは完全に飽和状態になっています。

メインサイトで、802.1p/DSCP 対応 VoIP 電話 (10.50.165.200) のユーザが、VoIP 電話 (192.168.168.200) のユーザに電話をかけます。呼び出し元の VoIP 電話の 802.1p によりトラフィックに優先順位タグ 6 (音声) が付けられ、また、DSCP によりトラフィックに 48 のタグが付けられます。

コアスイッチとファイアウォールの間のリンクが VLAN の場合、スイッチによっては、ファイアウォールへ送信されるパケット内に、受信した 802.1p 優先順位タグを DSCP タグに加えて含めるものがあります (この動作はスイッチによって異なり、設定が可能な場合もあります)。

コアスイッチとファイアウォールの間のリンクが VLAN でない場合、スイッチが 802.1p 優先順位タグを含める方法はありません。802.1p 優先順位は削除され、(DSCP タグのみを含む) パケットがファイアウォールに転送されます。

VPN/WAN リンクを経由してパケットを送信する場合、ファイアウォールでパケット内に DSCPタグを含めることができますが、802.1p タグを含めることはできません。これは、VoIP トラフィックのすべての優先順位情報を失う結果となります。なぜならば、パケットがリモートサイトに到着した際に、トラフィックの優先順位付けを行うための 802.1p MAC 層情報をスイッチが持たないからです。リモートサイトスイッチは、VoIP トラフィックを低優先順位のファイル転送と同じと見なします。リンクが飽和状態のため、VoIP フローは遅延し (パケットが破棄される場合もあります)、音質の低下を招く結果となります。

では、メインサイト LAN からの重要な 802.1p 優先順位情報を VPN/WAN リンクを横断してリモートサイト LAN へと引き継ぐにはどうしたらよいのでしょうか。それには、QoS 割付を使用します。

QoS 割付は、第 2 層の 802.1p タグを第 3 層の DSCP タグに変換して、(割り付けられた形式で) 802.1p タグが 802.1p 非対応リンクを安全に横断できるようにする機能です。パケットが配送のために次の 802.1p 対応セグメントに到着すると、QoS 割付機能により、DSCP が元の802.1p タグに変換され、第 2 層 QoS が利用できるようになります。

上記のシナリオでは、メインサイトのファイアウォールで DSCP タグ (例えば、値 48) を VoIP パケットとカプセル化 ESP パケットに割り当てて、WAN にわたってレイヤ 3 QoS を適用します。この割り当ては、既存の DSCP タグを維持すること、または、802.1p タグから値を割り付けることにより発生します。VoIP パケットがリンクの反対側に到着すると、受信側 SonicWALL によって逆の割付処理が行われます。すなわち、DSCP タグが元の 802.1p タグに割り付けられます。

リモートサイトの受信側 SonicWALL は、DSCP タグ範囲 48～55 を 802.1p タグ 6 に割り付けるように設定されています。SonicWALL から発信されるパケットは、802.1p タグ 6 を運びます。スイッチは、それが音声トラフィックであると認識し、ファイル転送よりも優先して、リンクが飽和した場合でも QoS を保証します。

DSCP 級割

DSCP (Differentiated Services Code Point) 級割では、IP ヘッダー内の 8 ビットの ToS フィールドのうちの 6 ビットを使用して、最大 64 のトラフィックの等級 (またはコードポイント) を提供します。DSCP は第 3 層の級割方式なので、802.1p の級割であったような互換性についての心配はありません。DSCP をサポートしていない機器では単にタグが無視されます。最悪の場合でも、タグの値が 0 にリセットされるだけです。

図 43. DSCP 級割:IP パケット

上図は、IP パケットと、ヘッダーの ToS 部分を拡大した図です。ToS ビットは、元々は優先順位とToS (遅延、スループット、信頼性、コスト) 設定のために使用されていましたが、その後、より多用途の DSCP 設定用に RFC2474 で再定義されました。

以下の表に、一般的に使用されているコードポイントと、従来の優先順位および ToS 設定に対する割り当てを示します。

表 123. DSCP 級割:一般的に使用されるコードポイント
DSCP	DSCP の説明	従来の IP 優先順位	従来の IP ToS (D、T、R)
0	最大努力型	0 (通常－ 000)	-
8	等級 1	1 (優先順位－ 001)	-
10	等級 1、金 (AF11)	1 (優先順位－ 001)	T
12	等級 2、銀 (AF12)	1 (優先順位－ 001)	D
14	等級 1、銅 (AF13)	1 (優先順位－ 001)	D、T
16	等級 2	2 (即時－ 010)	-
18	等級 2、金 (AF21)	2 (即時－ 010)	T
20	等級 2、銀 (AF22)	2 (即時－ 010)	D
22	等級 2、銅 (AF23)	2 (即時－ 010)	D、T
24	等級 3	3 (フラッシュ－ 011)	-
26	等級 3、金 (AF31)	3 (フラッシュ－ 011)	T
27	等級 3、銀 (AF32)	3 (フラッシュ－ 011)	D
30	等級 3、銅 (AF33)	3 (フラッシュ－ 011)	D、T
32	等級 4	4 (フラッシュオーバライド－ 100)	-
34	等級 4、金 (AF41)	4 (フラッシュオーバライド－ 100)	T
36	等級 4、銀 (AF42)	4 (フラッシュオーバライド－ 100)	D
38	等級 4、銅 (AF43)	4 (フラッシュオーバライド－ 100)	D、T
40	エキスプレス転送	5 (CRITIC/ECP¹ – 101)	-
46	緊急転送 (EF)	5 (CRITIC/ECP － 101)	D、T
48	制御用	6 (インターネット制御用－ 110)	-
56	制御用	7 (ネットワーク制御用－ 111)	-

ECP:Elliptic Curve Group (楕円曲線群)

DSCP 級割は、すべてのインターフェースの発着信トラフィックに対して、ゾーンのタイプを問わず、例外なく実行することができます。DSCP 級割は、「QoS」タブのアクセスルールで制御され、802.1p 級割と併用して使用できます。また、SonicOS 内部の帯域幅管理でも使用されます。

トピック:

•

DSCP 級割と混在 VPN トラフィック

•

802.1p CoS 4 – 負荷制御型の設定

•

QoS 割付

•

QoS 級割の管理


	補足：割付は、アクセスルールの「QoS」タブの動作として、「参照」を割り当てるまで行われません。割付テーブルは、アクセスルールの参照の方針によって使用される対応を定義しているだけです。

例えば、既定のテーブルに従った場合、値が 2 の 802.1p タグは、送信用に 16 という DSCP 値が割り当てられ、値が 43 の DSCP タグは、受信用に 5 という 802.1p 値が割り当てられます。

これらの割付は再設定できます。802.1p タグ 4 の送信割付を既定の DSCP 値の 32 から 43 に変更したい場合、「4 －負荷制御型」の設定アイコンを選択し、ドロップダウンボックスから新しい「変換先 DSCP」の値を選択します。

「QoS 設定の初期化」ボタンを選択することにより、既定の割付に戻すことができます。

QoS 級割の管理

QoS 級割は、管理インターフェースの「ファイアウォール > アクセスルール」ページのアクセスルールの「QoS」タブで設定します。SonicOS のアクセスルールで管理される 802.1p と DSCP 級割では、「なし」、「維持」、「指定」、「参照」の 4 つの方針が提供されます。DSCP の既定の方針は「維持」で、802.1p の既定の方針は「なし」です。

次の表に、両方の級割方式での各方針の動作について説明します。

表 124. QoS 級割:動作
アクション	802.1p (レイヤ 2 CoS)	DSCP (第 3 層)	注
なし	(アクセスルールにより定義された) このトラフィック等級に一致するパケットがイーグレスインターフェースから送出されるとき、802.1p タグは追加されません。	DSCP タグは明示的に 0 に設定 (リセット) されます。	このトラフィック等級のターゲットインターフェースが VLAN 副インターフェースの場合、802.1q タグの802.1p 部分が明示的に 0 に設定されます。このトラフィック等級がVLAN 向けであり、優先順位付けに 802.1p が使用されている場合、「維持」、「指定」、「参照」方針を使用した特定のアクセスルールをこのトラフィック等級に定義する必要があります。
維持	現存する 802.1p タグが維持されます。	現存する DSCP タグが維持されます。
指定	表示されるドロップダウンメニューから明示的な 802.1p タグ値 (0～7) を割り当てることができます。	表示されるドロップダウンメニューから明示的な DSCP タグ値 (0～63) を割り当てることができます。	802.1p または DSCP 方針のどちらかを「指定」に設定し、もう一方を「参照」に設定した場合、明示的に指定された割り当てが最初に行われ、その後、もう一方がその割り当てに従って参照されます。
参照	「ファイアウォール > QoS 割付」ページで定義された割付設定が、DSCP タグから802.1p タグへの割付に使用されます。	「ファイアウォール > QoS 割付」ページで定義された割付設定が、802.1 タグから DSCP タグへの割付に使用されます。追加の「802.1p 級割を、DSCP 値に優先する」チェックボックスが現れます。このチェックボックスを選択すると、割り付けられた 802.1p 値が、クライアントにより設定されたDSCP 値に優先して使用されます。これは、DSCP CoS 値を設定しているクライアントをオーバライドするのに有用です。	DSCP と 802.1p の両方で方針として「参照」を設定した場合、割付は一方向でのみ発生します。 VLAN から 802.1p タグとともにパケットが到着した場合、DSCP が802.1p タグから割り付けられます。パケットが VLAN 宛ての場合、802.1p が DSCP タグから割り付けられます。

ここで、両方向の DSCP タグの方針を提供する次の例を見てください。

192.168.168.100 上のウェブブラウザから 10.50.165.2 上のウェブサーバに対して HTTP アクセスを行うと、内部 (ペイロード) パケットと外部 (カプセル化 ESP) パケットに DSCP 値 8 のタグが付けられます。パケットがトンネルの反対側から出て、10.50.165.2 に配送されるとき、DSCP タグ値 8 が使用されます。10.50.165.2 からトンネル経由で応答パケットを (最初の SYN/ACKパケットから) 192.168.168.100 に送り返すとき、アクセスルールにより、192.168.168.100 に配送される応答パケットに DSCP 値 8 のタグが付けられます。

この動作は、DSCP と 802.1p 級割の 4 つの QoS 方針設定のすべてに適用されます。

この動作の 1 つの実用的な応用例として、VPN ゾーン宛てのトラフィックに対する 802.1p 級割ルールの設定があります。VPN を横断して 802.1p タグを送信することはできませんが、VPN を横断して返された応答パケットに対して、トンネルからの出口で 802.1p タグを付けることができます。そのためには、物理的なイーグレスインターフェースで 802.1p のタグ付けを有効にし、ゾーンの「VPNアクセスルール」で「なし」以外の 802.1p 級割方式を設定する必要があります。

次の図に示すように、リモートサイト 1 ネットワークに対して 2 つのアクセスルールを設定することができます。

表 125. リモートサイト 1:アクセスルール設定の例
設定	アクセスルール1	アクセスルール2
「一般」タブ
アクション	許可	許可
送信元ゾーン	LAN	VPN
送信先ゾーン	VPN	LAN
サービス	VOIP	VOIP
送信元	LAN プライマリサブネット	メインサイトのサブネット
送信先	メインサイトのサブネット	LAN プライマリサブネット
許可されたユーザ	すべて	すべて
スケジュール	常に有効	常に有効
ログを有効にする	有効	有効
断片化パケットを許可する	有効	有効
「QoS」タブ
DSCP 級割の動作	参照	参照
802.1p 級割を、DSCP 値に優先する	有効	有効
802.1p 級割の方針	参照	参照

最初のアクセスルール (管理 LAN の「VPN」) は、以下の効果を持ちます。

•

VPN 経由で LAN プライマリサブネットからメインサイトのサブネットに送信される、(サービスグループにより定義されている) VoIP トラフィックは、DSCP タグと 802.1p タグの両方について評価されます。

•

「参照」に対する DSCP 級割方式と 802.1p 級割方式の組み合わせについては、QoS 級割の管理の表に説明しています。

•

送信されたトラフィックに 802.1p タグ (例えば、CoS=6) のみが含まれている場合、VPNへの内部 (ペイロード) パケットは、DSCP 値 48 でタグ付けられます。また、外部 (ESP) パケットも値 48 でタグ付けられます。

•

メインサイトの SonicWALL によって戻りのトラフィックに DSCP タグ (CoS=48) が付けられていると仮定した場合、出口において CoS=6 の 802.1p タグが戻りのトラフィックに付けられます。

•

送信されたトラフィックに DSCP タグ (例えば、CoS=48) のみが含まれている場合、DSCP値が内部と外部の両方のパケットで維持されます。

•

送信されたトラフィックに 802.1p タグ (例えば、CoS=6) と DSCP タグ (例えば、CoS=63) の両方が含まれている場合、802.1p タグが優先され、それに応じて割付が行われます。VPN への内部 (ペイロード) パケットは、DSCP 値 48 でタグ付けられます。また、外部 (ESP) パケットも値 48 でタグ付けられます。

2 番目のアクセスルール (「VPN > LAN」) の効果を調べるには、メインサイトで設定されたアクセスルールを確認します。

表 126. メインサイト:アクセスルール設定の例
設定	アクセスルール1	アクセスルール2
「一般」タブ
アクション	許可	許可
送信元ゾーン	LAN	VPN
送信先ゾーン	VPN	LAN
サービス	VOIP	VOIP
送信元	LAN サブネット	リモートサイト 1 サブネット
送信先	リモートサイト 1 サブネット	LAN サブネット
許可されたユーザ	すべて	すべて
スケジュール	常に有効	常に有効
ログを有効にする	有効	有効
断片化パケットを許可する	有効	有効
「QoS」タブ
DSCP 級割の動作	参照	参照
802.1p 級割を、DSCP 値に優先する	有効	有効
802.1p 級割の方針	参照	参照

VPN 経由でリモートサイト 1 サブネットからメインサイトの LAN ゾーンの LAN サブネットに送信される、(サービスグループにより定義されている) VoIP トラフィックには、着信 VoIP 通話用のアクセスルールが適用されます。VPN ゾーンに到着したトラフィックには、802.1p タグはなく、DSCP タグだけが付けられています。

•

DSCP タグ (例えば CoS=48) を含んでいるトンネルを出て行くトラフィックでは、DSCP 値が維持されます。LAN 上の目的地へパケットが配送される前に、メインサイトの SonicWALLによって、「QoS 割付」設定 (例えば、CoS=6) に応じた 802.1p タグが付けられます。

•

メインサイトで電話を受けている VoIP 電話によって戻りのトラフィックに 802.1p タグ (例えばCoS=6) が付けられていると仮定した場合、戻りのトラフィックでは、VPN を経由して送り返される内部と外部の両方のパケットにおいて、変換割付に従って DSCP タグ (CoS=48) が付けられます。

•

メインサイトで電話を受けている VoIP 電話によって戻りのトラフィックに DSCP タグ (例えばCoS=48) が付けられていると仮定した場合、戻りのトラフィックでは、VPN を経由して送り返される内部と外部の両方のパケットにおいて、DSCP タグが維持されます。

•

メインサイトで電話を受けている VoIP 電話によって戻りのトラフィックに 802.1p タグ (例えば CoS = 6) と DSCP タグ (例えば CoS = 14) の両方が付けられていると仮定した場合、戻りのトラフィックでは、VPN を経由して送り返される内部と外部の両方のパケットにおいて、変換割付に従って DSCP タグ (CoS = 48) が付けられます。