• SonicOS 7 プロファイル オブジェクト
• エンドポイント セキュリティ
• 帯域幅
• サービス品質 (QoS) 級割
  • 分類
  • 級割
  • 制限
    • QoS 対応ネットワークでのサイト間 VPN
    • パブリック ネットワークでのサイト間 VPN
  • 802.1p と DSCP QoS
    • 802.1p の有効化
    • DSCP 級割
      • DSCP 級割と混在 VPN トラフィック
      • 802.1p CoS 4 – 負荷制御型の構成
      • QoS 割付
      • QoS 級割の管理
  • 用語集
• コンテンツ フィルタ
  • CFS プロファイル オブジェクトの管理
    • CFS プロファイル オブジェクトについて
    • CFS プロファイル オブジェクト用 UUID について
    • CFS プロファイル オブジェクトの設定
      • 詳細画面
      • 規約画面
      • ユーザ定義ヘッダー画面
    • CFS プロファイル オブジェクトの編集
    • CFS プロファイル オブジェクトの削除
  • コンテンツ フィルタ オブジェクトの適用
• DHCP オプション
  • DHCP オプション オブジェクトの設定
    • RFC で定義された DHCPV4 オプション番号
    • RFC で定義された DHCPV6 オプション番号
  • DHCP オプション オブジェクトの編集
  • DHCP オプション オブジェクトの削除
• AWS
  • AWS オブジェクト
    • AWS によるアドレス オブジェクト割り当てについて
    • SonicOS でのインスタンス プロパティの表示
    • 新規のアドレス オブジェクト割り当ての作成
    • 割り当てを有効にする
    • 同期の設定
    • 監視するリージョンの設定
    • AWS アドレス オブジェクトとアドレス グループの確認
• SonicWall サポート
  • このドキュメントについて

DSCP 級割と混在 VPN トラフィック

数ある安全対策と特性の中で、IPSec VPN では、ESP ヘッダーに追加される単調に増加するシーケンス番号に基づくアンチリプレイ機構を採用しました。シーケンス番号が重複するパケットは、シーケンス基準を満たさないという理由で破棄されます。このような基準の 1 つは、到着順序の異なるパケットの処理を管理します。SonicOS では、64 パケット分のリプレイ ウィンドウが提供されます。すなわち、Security Association (SA) の ESP パケットが 64 パケットを超えて遅延した場合、パケットは破棄されます。

DSCP 級割を使用して VPN を横断するトラフィックに第 3 層 QoS を提供する場合は、この点を考慮する必要があります。さまざまなトラフィックが転送されている VPN トンネルがあるとします。高優先順位の DSCP タグが付けられたトラフィック (VoIP など)、低優先順位の DSCP タグが付けられたトラフィック、タグを付けられていないトラフィック、最大努力型 (FTP など) の DSCP タグが付けられたトラフィックが混在する場合、サービス プロバイダは、最大努力型の ESP パケットよりも、高優先順位の ESP パケットの処理と配送を最も優先します。その結果、トラフィックの条件によっては、最大努力型のパケットが 64 パケットを超えて遅延し、受信側の SonicWall のアンチリプレイ防御によりパケットが破棄される場合があります。

そのような現象が発生する場合 (例えば、低優先順位のトラフィックの過度の再送が発生する場合) は、高優先順位と低優先順位のトラフィック用に別個の VPN ポリシーを作成することをお勧めします。これを簡単に実現するには、高優先順位のホスト (例えば、VoIP ネットワーク) を、それら自身のサブネットに配置します。