•
|
図 41. イーサネット データ フレーム
•
|
TPID:TPID (Tag Protocol Identifier) は、バイト 12 から始まります (6 バイトの宛先アドレスと送信元アドレスの後)。2 バイトの長さで、タグ付けされたトラフィックは 0x8100 のイーサ種別を持ちます。
|
•
|
802.1p:TCI (タグ制御情報 - バイト 14 から始まり、2 バイトの長さ) の最初の 3 ビットは、ユーザ優先順位を定義します (8 つ (2 の 3 乗) の優先順位レベルを与えます)。IEEE 802.1p では、これらの 3 ビットのユーザ優先順位の処理を定義しています。
|
•
|
CFI:CFI (Canonical Format Indicator) は、単一ビットフラグで、イーサネット スイッチの場合は常に 0 に設定されます。CFI は、イーサネット ネットワークとトークン リング ネットワークの間の互換性のために使用されます。イーサネット ポートで受信されたフレームの CFI が 1 に設定されている場合、そのフレームは、タグ付けされていないポート用なので転送してはいけません。
|
•
|
VLAN ID:VLAN ID (バイト 14 のビット 5 から始まる) は、VLAN の ID です。12 ビットあり、4,096 (2 の 12 乗) の VLAN ID を表現することができます。4,096 の ID のうち、ID 0 が優先順位フレームの識別に使用され、ID4,095 (FFF) が予約されているので、最大 4,094 の VLAN を設定できます。
|
これらのタグの内部の 802.1p フィールドの動作は、アクセス ルールで制御することができます。既定の 802.1p アクセス ルール動作の「なし」は、特に指定しない限り、既存の 802.1p タグを 0 にリセットします (詳細は、QoS 級割の管理 を参照)。
802.1p タグは、アクセス ルールに従って挿入されるだけなので、インターフェース上で既定の設定で802.1p 級割を有効にしても、802.1p 非対応機器との通信は中断されません。
802.1p の場合、この優先順位付け方式を使用したいネットワーク機器による特定のサポートを必要とします。多くのボイスおよびビデオ オーバー IP 機器は、802.1p のサポートを提供していますが、機能を有効化する必要があります。不確かな場合には、802.1p のサポートについて、装置の説明書を確認してください。同様に、多くのサーバとホストのネットワーク カード (NIC) は 802.1p をサポートする機能を持ちますが、通常この機能は既定で無効になっています。Win32 オペレーティング システムの場合、ネットワーク カードの「プロパティ」ページの「詳細設定」タブで 802.1p の設定を確認および設定することができます。カードが 802.1p をサポートしている場合、「802.1p QoS」、「802.1p Support」、「802.1p QoS Packet Tagging」のような項目が表示されます。
QoS 級割方式と DSCP 級割方式の間には潜在的な相互依存があるので、QoS 級割の管理 に進む前に、'DSCP 級割' について紹介し、相互依存が存在する理由について説明します。
図 42. DSCP 級割:サンプル シナリオ
上記シナリオには、IPSec VPN により 'メイン サイト' に接続されたリモート サイト 1 があります。この企業は、プライベート VoIP シグナリング サーバをメイン サイトに配置して、内部で 802.1p/DSCP 対応 VoIP 電話システムを使用しています。メイン サイトでは、ギガビットとファースト イーサネットの混合した基盤を使用しています。 一方、リモート サイト 1 では、すべてファースト イーサネットを使用しています。内部トラフィックの優先順位付けのために、両方のサイトで 802.1p 対応スイッチが使用されています。
VPN/WAN リンクを経由してパケットを送信する場合、ファイアウォールでパケット内に DSCPタグを含めることができますが、802.1p タグを含めることはできません。これは、VoIP トラフィックのすべての優先順位情報を失う結果となります。 なぜならば、パケットがリモート サイトに到着した際に、トラフィックの優先順位付けを行うための 802.1p MAC 層情報をスイッチが持たないからです。リモート サイト スイッチは、VoIP トラフィックを低優先順位のファイル転送と同じと見なします。 リンクが飽和状態のため、VoIP フローは遅延し (パケットが破棄される場合もあります)、音質の低下を招く結果となります。
上記のシナリオでは、メイン サイトのファイアウォールで DSCP タグ (例えば、値 48) を VoIP パケットとカプセル化 ESP パケットに割り当てて、WAN にわたってレイヤ 3 QoS を適用します。この割り当ては、既存の DSCP タグを維持すること、または、802.1p タグから値を割り付けることにより発生します。VoIP パケットがリンクの反対側に到着すると、受信側 SonicWALL によって逆の割付処理が行われます。 すなわち、DSCP タグが元の 802.1p タグに割り付けられます。
図 43. DSCP 級割:IP パケット
以下の表に、一般的に使用されているコード ポイントと、従来の優先順位および ToS 設定に対する割り当てを示します。
5 (CRITIC/ECP1 – 101) |
|||
•
|
図 44. QoS 割付
例えば、既定のテーブルに従った場合、値が 2 の 802.1p タグは、送信用に 16 という DSCP 値が割り当てられ、値が 43 の DSCP タグは、受信用に 5 という 802.1p 値が割り当てられます。
これらの割付は再設定できます。802.1p タグ 4 の送信割付を既定の DSCP 値の 32 から 43 に変更したい場合、「4 - 負荷制御型」の設定アイコンを選択し、ドロップダウン ボックスから新しい「変換先 DSCP」の値を選択します。
「QoS 設定の初期化」ボタンを選択することにより、既定の割付に戻すことができます。
QoS 級割は、管理インターフェースの「ファイアウォール > アクセス ルール」ページのアクセス ルールの「QoS」タブで設定します。SonicOS のアクセス ルールで管理される 802.1p と DSCP 級割では、「なし」、「維持」、「指定」、「参照」の 4 つの方針が提供されます。DSCP の既定の方針は「維持」で、802.1p の既定の方針は「なし」です。
次の表に、両方の級割方式での各方針の動作について説明します。
(アクセス ルールにより定義された) このトラフィック等級に一致するパケットがイーグレス インターフェースから送出されるとき、802.1p タグは追加されません。 |
このトラフィック等級のターゲット インターフェースが VLAN 副インターフェースの場合、802.1q タグの802.1p 部分が明示的に 0 に設定されます。このトラフィック等級がVLAN 向けであり、優先順位付けに 802.1p が使用されている場合、「維持」、「指定」、「参照」方針を使用した特定のアクセス ルールをこのトラフィック等級に定義する必要があります。 |
||
802.1p または DSCP 方針のどちらかを「指定」に設定し、もう一方を「参照」に設定した場合、明示的に指定された割り当てが最初に行われ、その後、もう一方がその割り当てに従って参照されます。 |
|||
「ファイアウォール > QoS 割付」ページで定義された割付設定が、DSCP タグから802.1p タグへの割付に使用されます。 |
「ファイアウォール > QoS 割付」ページで定義された割付設定が、802.1 タグから DSCP タグへの割付に使用されます。追加の「802.1p 級割を、DSCP 値に優先する」チェックボックスが現れます。このチェックボックスを選択すると、割り付けられた 802.1p 値が、クライアントにより設定されたDSCP 値に優先して使用されます。これは、DSCP CoS 値を設定しているクライアントをオーバライドするのに有用です。 |
DSCP と 802.1p の両方で方針として「参照」を設定した場合、割付は一方向でのみ発生します。 VLAN から 802.1p タグとともにパケットが到着した場合、DSCP が802.1p タグから割り付けられます。 パケットが VLAN 宛ての場合、802.1p が DSCP タグから割り付けられます。 |
ここで、両方向の DSCP タグの方針を提供する次の例を見てください。
この動作は、DSCP と 802.1p 級割の 4 つの QoS 方針設定のすべてに適用されます。
次の図に示すように、リモート サイト 1 ネットワークに対して 2 つのアクセス ルールを設定することができます。
最初のアクセス ルール (管理 LAN の「VPN」) は、以下の効果を持ちます。
•
|
VPN 経由で LAN プライマリ サブネットからメイン サイトのサブネットに送信される、(サービス グループにより定義されている) VoIP トラフィックは、DSCP タグと 802.1p タグの両方について評価されます。
|
2 番目のアクセス ルール (「VPN > LAN」) の効果を調べるには、メイン サイトで設定されたアクセス ルールを確認します。
VPN 経由でリモート サイト 1 サブネットからメイン サイトの LAN ゾーンの LAN サブネットに送信される、(サービス グループにより定義されている) VoIP トラフィックには、着信 VoIP 通話用のアクセス ルールが適用されます。VPN ゾーンに到着したトラフィックには、802.1p タグはなく、DSCP タグだけが付けられています。
•
|
DSCP タグ (例えば CoS=48) を含んでいるトンネルを出て行くトラフィックでは、DSCP 値が維持されます。LAN 上の目的地へパケットが配送される前に、メイン サイトの SonicWALLによって、「QoS 割付」設定 (例えば、CoS=6) に応じた 802.1p タグが付けられます。
|