「ネットワークが遅くなる原因がわからない…」「特定のユーザーが帯域を独占してしまう…」こんな悩みを抱えていませんか?
トラフィック ポリシングを活用すれば、帯域を適切に管理し、重要な通信を優先しながら不要なトラフィックを制限できます。
しかし、「ポリシングとシェーピングの違いは?」「具体的な設定方法は?」と疑問を持つ方も多いはず。
本記事では ポリシングの仕組みから設定手順、最新技術までを徹底解説 します。
企業ネットワークの最適化やセキュリティ対策にも役立つ内容なので、ぜひ最後までご覧ください!
この記事は以下のような人におすすめ!
- トラフィックポリシングとは何か知りたい人
- ポリシングとシェーピングの違いがよく分からない
- ネットワークの遅延を防ぐために、ポリシングの適切な設定値が知りたい
目次
トラフィック ポリシングの基礎知識
インターネットや企業ネットワークでは、一定の帯域幅や通信品質を維持し、不要なトラフィックを制限することが求められます。
そのための技術の一つが 「トラフィック ポリシング」 です。
本記事では、トラフィック ポリシングの基本概念や、混同されやすい 「トラフィック シェーピング」 との違いについて解説します。
1-1. トラフィック ポリシングとは何か
1-1-1. トラフィック ポリシングの概要
トラフィック ポリシング(Traffic Policing)とは、 ネットワークの帯域幅を超過する通信を制限し、ネットワークの品質を維持するための技術 です。
ポリシングの目的は、特定の通信トラフィックが設定された上限を超えないようにし、不正な帯域占有やネットワークの混雑を防ぐことにあります。
1-1-2. トラフィック ポリシングの仕組み
トラフィック ポリシングは、一般的に 「トークンバケットアルゴリズム」 を用いて制御されます。
この仕組みでは、各トラフィックフローに 許可された帯域 を超えたデータが発生すると、そのデータは以下のいずれかの処理が行われます。
- 破棄(Drop):上限を超えたパケットは削除される。
- マーキング(Marking):特定のQoS(Quality of Service)値を付与し、低優先度として扱う。
例えば、企業のネットワークで「動画ストリーミングのトラフィックは1Gbpsまで」と設定している場合、1Gbpsを超えた通信は 破棄 されたり、優先度が低く設定されたりします。
1-1-3. トラフィック ポリシングの主な用途
トラフィック ポリシングは、以下のような場面で活用されます。
| 用途 | 具体的な活用例 |
|---|---|
| 帯域制限 | 特定のアプリケーション(例:P2P通信)の帯域を制限し、業務トラフィックを優先する |
| QoS管理 | 重要な通信(例:音声通話やビデオ会議)を優先し、他のトラフィックの影響を受けにくくする |
| セキュリティ対策 | 不正な帯域占有を防ぎ、DDoS攻撃対策の一環として活用する |
1-2. トラフィック シェーピングとの違い
1-2-1. ポリシング vs. シェーピング:主な違い
トラフィック ポリシングとよく比較されるのが 「トラフィック シェーピング(Traffic Shaping)」 です。
この2つは目的が似ていますが、動作の仕組みが異なります。
| 項目 | トラフィック ポリシング | トラフィック シェーピング |
|---|---|---|
| 動作の仕組み | 許可された帯域を超えたトラフィックを「破棄またはマーキング」する | 許可された帯域を超えたトラフィックを「バッファリング」して送信を遅延させる |
| 処理方法 | 即座に制限を適用 | 帯域超過分を一時的に蓄え、スムーズに送信 |
| 適用環境 | 帯域を厳格に制限したい場合(ISPや企業ネットワークの帯域管理) | 通信の遅延を最小限にしながら帯域を制御したい場合(動画配信や音声通話) |
| 適用例 | ISPの上限帯域制限、不正なトラフィック制御 | クラウドサービスの帯域制御、エンタープライズのVoIP最適化 |
例えば、ポリシング は「通信速度を厳格に制限し、上限を超えたものは破棄する」方法ですが、シェーピング は「上限を超えたトラフィックを遅延させ、帯域内で送信する」方法です。
1-2-2. どちらを選ぶべきか?
ネットワークの帯域幅を厳格に管理する環境(ISP、企業LAN) → ポリシング
リアルタイム性が求められる環境(VoIP、ビデオ会議) → シェーピング
トラフィック ポリシングの仕組み
トラフィック ポリシングは、ネットワークの帯域を制御するための重要な技術です。
その動作の根幹を担うのが 「トークンバケットアルゴリズム」 であり、このアルゴリズムに基づいてポリシングの制御が行われます。
本章では、トラフィック ポリシングの仕組みを深掘りし、動作メカニズムについて詳しく解説します。
2-1. トークンバケットアルゴリズムの概要
トラフィック ポリシングでは、 「トークンバケットアルゴリズム」 と呼ばれる仕組みを用いて帯域の管理を行います。
これは、通信データの転送を 「トークン」 という概念で制御するアルゴリズムです。
2-1-1. トークンバケットとは?
トークンバケットとは、 「一定の間隔で補充されるトークン(許可)を持つバケット(容器)」 によって通信を管理する仕組みです。
このバケットにトークンが貯まることで、データパケットを送信する権利が得られます。
- バケットには上限がある(トークンが貯められる最大量が決まっている)
- トークンが補充される速度が一定(例:1秒あたり100トークン)
- データパケットはトークンを消費することで送信可能
この仕組みを利用することで、 通信速度を一定に保ちながら、許容される帯域幅を超えたトラフィックを制御 することができます。
2-1-2. トークンバケットの動作イメージ
トークンバケットの仕組みを、具体的な例で考えてみましょう。
| 要素 | 説明 |
|---|---|
| トークン | データパケットを送信するための「許可」 |
| バケット | トークンを貯めておく容器(上限あり) |
| トークン生成レート | 一定時間ごとに追加されるトークンの数 |
| パケット送信 | 送信時にトークンを消費 |
| トークン不足時の挙動 | 送信できず、ポリシングのルールに従って処理される(破棄やマーキング) |
たとえば、1秒あたり100トークンが補充され、1パケットあたり10トークンを消費する ルールの場合、1秒間に 最大10パケット(100トークン ÷ 10トークン) までしか送信できません。
2-2. ポリシングの動作メカニズム
トラフィック ポリシングの動作は、トークンバケットアルゴリズムを活用しながら、 帯域を超過したトラフィックをどのように処理するか によって決まります。
ポリシングのルールには 2つの基本動作 があります。
2-2-1. 帯域を超えたトラフィックの処理
ポリシングでは、ネットワーク管理者が設定した帯域幅を超過したトラフィックに対し、以下の 2つのアクション を実行します。
| ポリシングの動作 | 処理内容 |
|---|---|
| 破棄(Drop) | 許容帯域を超えたパケットは削除され、送信されない |
| マーキング(Marking) | 超過したパケットに特定のQoSタグを付与し、優先度を下げる |
例えば、帯域上限を超えたトラフィックは破棄する というルールが設定されている場合、
「1Gbpsまで許可」として 1.2Gbpsのトラフィックが流れると、0.2Gbps分は破棄 されます。
一方で、マーキングが適用される場合は、超過分のトラフィックは低優先度として扱われる ため、混雑時には遅延や損失が発生する可能性があります。
2-2-2. ポリシングの具体的な動作フロー
ポリシングの動作をステップごとに整理すると、以下のようになります。
- パケットが送信されようとする
- トークンバケットの残量をチェック
- トークンが十分にある場合 → パケットを送信
- トークンが不足している場合 → ルールに応じて「破棄」または「マーキング」
- ネットワークに送信(許容帯域内の通信のみ)
この動作によって、 特定の帯域幅を超える通信が抑制され、ネットワーク全体の品質が保たれます。
トラフィック ポリシングの適用方法
トラフィック ポリシングを効果的に運用するためには、 ネットワーク機器で適切に設定を行い、運用に即したベストプラクティスを適用する ことが重要です。
本章では、ネットワーク機器での設定手順と、実際の環境で役立つ設定例を紹介します。
3-1. ネットワーク機器での設定手順
トラフィック ポリシングは、 ルーターやスイッチ、ファイアウォールなどのネットワーク機器 に設定することで適用されます。
主要なネットワーク機器ごとに、基本的な設定手順を紹介します。
3-1-1. ルーターでのトラフィック ポリシング設定
ルーターでは、ポリシングを QoS(Quality of Service)機能の一部として適用 することが一般的です。
以下の手順で設定を行います。
設定手順(Cisco IOSの例)
// クラスマップの作成(対象トラフィックを定義)
Router(config)# class-map match-any POLICED_TRAFFIC
Router(config-cmap)# match access-group 100
// ポリシングポリシーの作成(帯域制限)
Router(config)# policy-map POLICING_POLICY
Router(config-pmap)# class POLICED_TRAFFIC
Router(config-pmap-c)# police 1000000 conform-action transmit exceed-action drop
// インターフェースに適用
Router(config)# interface GigabitEthernet0/1
Router(config-if)# service-policy input POLICING_POLICY
この設定では、 ACL(アクセスリスト)100 で定義されたトラフィックに対し、1Mbps(1000000bps)の帯域制限 を適用し、超過したパケットは破棄(drop)されます。
3-1-2. スイッチでのトラフィック ポリシング設定
スイッチでは、 ポートごとにトラフィック ポリシングを適用 することが多く、特定のVLANやトラフィック種別ごとに制御できます。
設定手順(Cisco Catalystスイッチの例)
// クラスマップの作成
Switch(config)# class-map match-any VLAN10_TRAFFIC
Switch(config-cmap)# match access-group 110
// ポリシングポリシーの作成
Switch(config)# policy-map VLAN10_POLICY
Switch(config-pmap)# class VLAN10_TRAFFIC
Switch(config-pmap-c)# police 500000 conform-action transmit exceed-action drop
// ポート(インターフェース)に適用
Switch(config)# interface FastEthernet0/24
Switch(config-if)# service-policy input VLAN10_POLICY
この設定では、 VLAN 10のトラフィックを500Kbpsに制限 し、超過したパケットを破棄します。
3-1-3. ファイアウォールでのトラフィック ポリシング設定
ファイアウォール(例:FortiGate)では、ポリシングを トラフィックシェーピングポリシー として適用することが一般的です。
設定手順(FortiGateのCLI例)
config firewall traffic-shaper
edit "LIMIT_STREAMING"
set max-bandwidth 2000
next
end
config firewall policy
edit 10
set srcintf "port1"
set dstintf "port2"
set action accept
set schedule "always"
set service "ALL"
set traffic-shaper "LIMIT_STREAMING"
next
end
この設定では、 特定のポリシーに2000Kbpsの帯域制限 を適用し、超過したトラフィックの転送を制限します。
3-2. 具体的な設定例とベストプラクティス
トラフィック ポリシングの適用には、 ネットワークの特性や運用方針に応じた適切な設定 が求められます。
ここでは、 代表的なユースケースとベストプラクティス を紹介します。
3-2-1. 帯域幅ごとのポリシング設定例
異なるトラフィック種別に対して、適切なポリシングを行うための設定例を以下に示します。
| トラフィック種別 | 推奨ポリシング設定 | 適用例 |
|---|---|---|
| VoIP(音声通話) | 100Kbps~500Kbps(マーキング推奨) | 通話品質を維持しつつ、優先度の高い処理を行う |
| 動画ストリーミング | 1Mbps~5Mbps(帯域制限) | 過剰な帯域消費を抑制し、業務トラフィックを確保 |
| P2Pファイル共有 | 500Kbps以下(厳格なポリシング) | 業務環境での帯域圧迫を防ぐ |
| 企業VPNトラフィック | 2Mbps~10Mbps(柔軟な制御) | 安定したリモートアクセス環境を提供 |
3-2-2. ポリシング適用のベストプラクティス
ポリシングを効果的に運用するために、 以下のポイントを考慮 することが重要です。
- 適切な帯域幅を設定する
- 極端に低い帯域制限を設けると、正常な通信まで阻害される可能性があるため、余裕を持った設定 を行う。
- 優先度の高いトラフィックにはマーキングを適用
- VoIPやビデオ会議などの 遅延に敏感なトラフィックにはマーキング(低優先度処理)を使用し、完全な破棄を避ける。
- モニタリングと調整を定期的に実施
- ネットワークのトラフィック状況は変化するため、ポリシング設定が適切か 定期的にモニタリングし、調整 する。
- ログを活用し、異常トラフィックを把握
- ポリシングの影響で 重要なトラフィックが制限されていないか ログを分析し、必要に応じて設定を最適化。
トラフィック ポリシングの活用シーン
トラフィック ポリシングは、単に帯域を制限するだけではなく、 ネットワークの最適化やセキュリティ対策 にも活用されます。
本章では、 帯域幅制限を利用したネットワークの最適化 と DoS(サービス拒否)攻撃対策 という2つの主要な活用シーンについて解説します。
4-1. 帯域幅制限によるネットワーク最適化
4-1-1. 帯域を制限する目的
ネットワークの帯域は有限であり、 一部のユーザーやアプリケーションが帯域を独占すると、他の通信に影響 を及ぼします。
これを防ぐために、トラフィック ポリシングを用いた帯域幅制限が活用されます。
帯域幅制限のメリット
- 業務トラフィックを優先 し、重要な通信(VoIP、業務アプリなど)の品質を維持できる
- ネットワークの混雑を抑制 し、レスポンスタイムを向上させる
- 不要なトラフィックの制御 により、帯域を効率的に活用できる
4-1-2. 帯域幅制限の適用例
企業やISP(インターネットサービスプロバイダー)でのポリシング適用例を紹介します。
| 適用環境 | ポリシング設定の例 | 目的 |
|---|---|---|
| 企業ネットワーク | P2Pアプリの帯域を500Kbps以下に制限 | 業務トラフィックの優先確保 |
| 教育機関(大学など) | SNSや動画サイトの利用を制限 | 学術トラフィックを優先 |
| ISP(インターネットプロバイダー) | 一般ユーザーの通信を1Gbps以内に制限 | 帯域の公平な分配 |
例えば、 オフィス環境では、ストリーミングサービス(YouTube、Netflixなど)に過剰な帯域を使わせないように制限 することで、業務トラフィックを安定させることができます。
4-1-3. 帯域幅制限の設定方法(Ciscoルーターの例)
Ciscoルーターで 動画ストリーミングの帯域を1Mbps以下に制限 する設定例を紹介します。
// ACLで動画トラフィックを識別
Router(config)# access-list 101 permit tcp any any eq 80
Router(config)# access-list 101 permit tcp any any eq 443
// クラスマップの作成
Router(config)# class-map match-any STREAMING
Router(config-cmap)# match access-group 101
// ポリシングポリシーの作成
Router(config)# policy-map LIMIT_STREAMING
Router(config-pmap)# class STREAMING
Router(config-pmap-c)# police 1000000 conform-action transmit exceed-action drop
// インターフェースに適用
Router(config)# interface GigabitEthernet0/1
Router(config-if)# service-policy input LIMIT_STREAMING
この設定により、HTTP/HTTPS(主に動画ストリーミング)のトラフィックが 1Mbps以下に制限 され、ネットワークの負荷を最適化できます。
4-2. サービス拒否(DoS)攻撃への対策
4-2-1. DoS攻撃とは?
DoS(Denial of Service)攻撃 とは、ネットワークやサーバーに大量のリクエストを送りつけ、 サービスを利用不能にする攻撃 です。
DoS攻撃には以下の種類があります。
| 攻撃の種類 | 概要 | 対策例 |
|---|---|---|
| SYN Flood | TCP接続を大量に開始し、サーバーのリソースを枯渇させる | 低レートポリシング |
| UDP Flood | UDPパケットを大量送信し、帯域を圧迫 | トラフィック ポリシング |
| ICMP Flood | Pingパケットを過剰に送信 | ICMP制限ポリシング |
| DNS Amplification | DNSリクエストを悪用し、大量のレスポンスを送信 | DNSクエリの制限 |
4-2-2. ポリシングを利用したDoS攻撃対策
トラフィック ポリシングを利用することで、DoS攻撃による 異常なトラフィックを制限 し、ネットワークの安定性を保つことが可能です。
具体的な対策
- SYNフラッド攻撃の対策
- TCP SYNパケットのレートを制限
- 例:「1秒間に1000 SYNパケット以上は拒否」
- ICMP(Ping攻撃)の制限
- 例:「ICMPトラフィックを100Kbps以下に制限」
- 特定のIPアドレスからの過剰なトラフィックをブロック
- 例:「1分間に100回以上のアクセスがあるIPを制限」
4-2-3. DoS攻撃対策の設定例(FortiGate)
FortiGateでは、ポリシングを活用してDoS攻撃を軽減できます。
config firewall DoS-policy
edit 1
set srcintf "wan1"
set dstintf "lan"
set service "ALL"
set status enable
config anomaly
edit "icmp_flood"
set status enable
set log enable
set action block
set threshold 100
next
edit "syn_flood"
set status enable
set log enable
set action block
set threshold 1000
next
end
next
end
この設定では、 ICMP(Ping攻撃)を100pps(パケット/秒)、SYNフラッド攻撃を1000pps で制限し、DoS攻撃を軽減します。
トラフィック ポリシングのメリットとデメリット
トラフィック ポリシングは、ネットワークの帯域を最適に管理するための重要な手法ですが、その導入には メリットとデメリット の両方があります。
本章では、トラフィック ポリシングの利点と、導入時に考慮すべき課題について詳しく解説し、適切な対処法についても紹介します。
5-1. 導入による利点
トラフィック ポリシングを導入することで、ネットワーク全体の品質向上やセキュリティ強化など、さまざまなメリットが得られます。
5-1-1. ネットワークの安定化
トラフィック ポリシングを適用することで、 特定のユーザーやアプリケーションによる過剰な帯域消費を防ぎ、ネットワークの混雑を抑える ことができます。
導入のメリット
- 重要な通信の品質を維持
- VoIP(音声通話)やビデオ会議の通信がスムーズになる
- 業務アプリケーション(ERP、CRMなど)の動作を最適化
- ネットワークの公平な利用を促進
- 一部のユーザーが帯域を独占するのを防ぎ、全体の安定性を向上
5-1-2. セキュリティ対策としての活用
ポリシングは、 異常なトラフィックを制限することで、ネットワークセキュリティの向上 に貢献します。
活用例
- DoS攻撃の軽減
- SYNフラッド攻撃 や UDPフラッド攻撃 などの 大量トラフィックを制限し、サーバー負荷を軽減
- マルウェアの拡散防止
- 異常な帯域消費を検出し、感染した端末を隔離
- 不正アクセスの制御
- 特定のポートやプロトコルに対する通信を制限し、セキュリティポリシーを強化
5-1-3. 帯域コストの削減
トラフィック ポリシングを導入することで、 不要な帯域消費を抑え、コストを削減 することが可能です。
具体的な削減効果
- ISP(インターネットプロバイダー)料金の最適化
- 帯域制限により、追加の回線契約を回避
- クラウドサービスのトラフィックコストを抑制
- 帯域上限を設定することで、クラウド利用料の増加を防止
- 機器の負荷軽減
- 過剰なトラフィックを抑え、ルーターやファイアウォールの寿命を延ばす
5-2. 考慮すべき課題とその対処法
トラフィック ポリシングには多くの利点がありますが、導入には いくつかの課題 も伴います。
ここでは、主要な問題点とその解決策を紹介します。
5-2-1. 過度な制限による業務影響
ポリシングを厳しく設定しすぎると、 業務に必要な通信まで制限してしまい、パフォーマンスに悪影響を及ぼす 可能性があります。
対策
- 通信ログを分析し、適切な閾値を設定
- 例:「ビデオ会議には最低1Mbps必要」といった基準を設ける
- QoS(Quality of Service)と組み合わせる
- ポリシングでトラフィックを制限するだけでなく、QoSを活用して重要な通信を優先する
5-2-2. ネットワーク管理の複雑化
ポリシングは、適切に運用しないと 管理が煩雑になり、誤設定によるネットワークトラブルを引き起こす可能性があります。
対策
- ポリシングルールの整理とドキュメント化
- 設定内容を明確にし、運用ルールを文書化
- 定期的な見直しと最適化
- トラフィックの使用状況を監視し、適用ルールを調整
- 自動化ツールの活用
- SDN(Software Defined Network)などの 自動化ツールを活用して、動的にポリシングを調整
5-2-3. ユーザー体験の低下
ポリシングによる帯域制限が 適切でない場合、ユーザーの通信が遅延し、使い勝手が悪くなる ことがあります。
対策
- 適用範囲を慎重に決定
- 例:「業務トラフィックには適用せず、エンターテインメント系のトラフィックのみに適用」
- シェーピング(Traffic Shaping)との併用
- シェーピングを活用することで、通信のスムーズな送信を確保
- 帯域の状況をリアルタイムで監視
- 過度な制限がかかっていないかを定期的に確認し、必要に応じて調整
トラフィック ポリシングの最新動向
ネットワーク技術の進化に伴い、 トラフィック ポリシングも従来の静的な制御方法から、より動的かつインテリジェントな制御へと進化 しています。
本章では、最新技術と今後の展望について解説します。
6-1. 最新技術と今後の展望
6-1-1. AI(人工知能)を活用したトラフィック ポリシング
近年のネットワーク管理では、 AI(人工知能)を活用してトラフィックをリアルタイムで分析し、最適なポリシングを動的に適用 する技術が進化しています。
AIによるポリシングのメリット
- リアルタイム適応:トラフィック状況に応じて、ポリシングポリシーを自動調整
- 異常検知と防御:DDoS攻撃や不正アクセスを即座に検出し、適切なポリシングを適用
- ユーザー体験の向上:業務アプリやストリーミングなどの重要なトラフィックを優先し、ネットワークの快適性を確保
AIポリシングの具体例
| 技術 | 概要 | 導入企業/事例 |
|---|---|---|
| 機械学習によるトラフィック予測 | ネットワークのトラフィックパターンを学習し、ポリシングポリシーを最適化 | Google Cloud、AWS |
| 異常トラフィックのリアルタイム検出 | AIが通常とは異なる通信を分析し、不正な帯域占有を防止 | Cisco Umbrella、FortiAI |
| 動的QoS制御 | AIがユーザーの通信状況を分析し、最適な帯域を割り当てる | SD-WANソリューション |
6-1-2. SDN(Software Defined Network)によるポリシングの進化
SDN(ソフトウェア定義型ネットワーク) は、従来のハードウェア依存のネットワーク管理から脱却し、 ソフトウェアベースで柔軟なトラフィック制御を実現する技術 です。
SDNによるポリシングの進化ポイント
- 集中管理が可能:ネットワーク全体を一元管理し、ポリシングルールを統一
- トラフィックの自動制御:ルールをリアルタイムで変更し、動的に最適化
- セキュリティ強化:異常な帯域消費を即時検知し、制御可能
SDNによるポリシングの活用例
| 適用シナリオ | SDNポリシングの効果 |
|---|---|
| 企業ネットワークの動的制御 | 支社ごとに異なる帯域を自動最適化し、業務効率を向上 |
| クラウド環境での帯域管理 | クラウド間トラフィックを適切に制御し、コスト最適化 |
| IoTデバイスのトラフィック制御 | IoT機器の帯域を制限し、ネットワークの負荷を軽減 |
6-1-3. クラウドベースのポリシングと5G対応
クラウドサービスの普及や 5G(第5世代通信)の拡大により、ポリシングのアプローチもクラウド中心へとシフト しています。
クラウドベースのポリシングの特徴
- クラウド環境に最適化:オンプレミスではなく、クラウドベースのトラフィック制御が可能
- マルチロケーション対応:企業の各拠点で統一されたポリシングを適用可能
- スケーラビリティの向上:需要に応じてポリシングの適用範囲を拡張
5G環境でのポリシングの進化
| 技術 | ポリシングへの影響 |
|---|---|
| エッジコンピューティング | データセンターではなく、ユーザーの近くでトラフィックを制御 |
| スライシング技術 | 用途別にネットワーク帯域を分割し、最適なポリシングを適用 |
| 超低遅延ネットワーク | リアルタイムアプリケーション向けに、ポリシングを最適化 |
例えば、5Gでは 「車両の自動運転トラフィックを最優先」し、「動画ストリーミングは低優先度で制限」するといった動的な制御が可能になります。
