정책 프레임워크 개요
Junos® 운영 체제(Junos OS)는 라우팅 정보 및 패킷의 흐름을 제어할 수 있는 Junos OS 정책 모음인 정책 프레임워크를 제공합니다.
Junos OS 정책 아키텍처는 간단하고 직관적입니다. 그러나 각 정책을 실제로 구현하면 정책에 복잡성 계층이 추가될 뿐만 아니라 라우터의 기능에 성능과 유연성이 추가됩니다. 정책 구성은 라우터 내부 및 라우터를 통과하는 라우팅 정보 또는 패킷의 흐름에 큰 영향을 미칩니다. 예를 들어, 특정 고객과 연관된 경로가 라우팅 테이블에 배치되는 것을 허용하지 않는 라우팅 정책을 구성할 수 있습니다. 이 라우팅 정책의 결과로, 고객 경로는 데이터 패킷을 다양한 목적지로 전달하는 데 사용되지 않으며, 경로는 라우팅 프로토콜에 의해 인접 라우터에 보급되지 않습니다.
정책을 구성하기 전에 정책으로 달성하고자 하는 사항을 결정하고 다양한 일치 조건 및 작업을 사용하여 목표를 달성하는 방법을 철저히 이해해야 합니다. 또한 구성 중인 정책에 대한 기본 정책 및 작업을 이해해야 합니다.
라우팅 정책 및 방화벽 필터
정책 프레임워크는 다음과 같은 정책으로 구성됩니다.
라우팅 정책 - 라우팅 프로토콜과 라우팅 테이블 사이 및 라우팅 테이블과 포워딩 테이블 사이의 라우팅 정보를 제어할 수 있습니다. 모든 라우팅 프로토콜은 Junos OS 라우팅 테이블을 사용하여 학습한 경로를 저장하고 프로토콜 패킷에 보급할 경로를 결정합니다. 라우팅 정책을 사용하면 라우팅 프로토콜이 라우팅 테이블에 저장 및 검색되는 경로를 제어할 수 있습니다.
방화벽 필터 정책 - 라우터를 네트워크 대상으로 전송하는 패킷과 라우터로 향하고 라우터에서 보내는 패킷을 제어할 수 있습니다.
주:여기서 방화벽 필터 정책 이라는 용어는 방화벽 필터가 정책이며 라우팅 정책과 몇 가지 기본적인 유사점을 공유한다는 것을 강조하는 데 사용됩니다. 그러나 이 설명서의 나머지 부분에서 방화벽 필터 정책을 언급할 때는 방화벽 필터 라는 용어가 사용됩니다.
라우팅 정책을 만들어야 하는 이유
다음은 자체 라우팅 정책을 만들어 라우팅 정책 프레임워크에서 기본 라우팅 정책을 선점할 수 있는 일반적인 상황입니다.
프로토콜이 모든 경로를 라우팅 테이블로 가져오는 것을 원하지 않습니다. 라우팅 테이블이 특정 경로를 학습하지 않으면 패킷을 전달하는 데 사용할 수 없으며 다른 라우팅 프로토콜로 재배포할 수 없습니다.
라우팅 프로토콜이 학습한 모든 활성 경로를 내보내는 것을 원하지 않습니다.
라우팅 프로토콜이 다른 라우팅 프로토콜에서 학습한 활성 경로를 알리려고 하며, 이를 경로 재분배라고도 합니다.
선호 값, AS 경로 또는 커뮤니티와 같은 경로 특성을 조작하려고 합니다. 경로 특성을 조작하여 목적지에 도달하기 위한 활성 경로로 선택되는 경로를 제어할 수 있습니다. 일반적으로 활성 경로는 라우터의 인접 라우터에도 보급됩니다.
기본 BGP 경로 플랩 감쇠 매개 변수를 변경하려고 합니다.
패킷당 로드 밸런싱을 수행하려고 합니다.
CoS( Class of Service)를 활성화하려고 합니다.
정책의 영향을 받는 라우터 플로우
Junos OS 정책은 다음 라우터 플로우에 영향을 미칩니다.
라우팅 프로토콜과 라우팅 테이블 간, 라우팅 테이블과 포워딩 테이블 간의 라우팅 정보 흐름입니다. 라우팅 엔진은 이 플로우를 처리합니다. 라우팅 정보는 라우터의 인접 라우터의 라우팅 프로토콜에서 학습한 경로에 대한 정보입니다. 이 정보는 라우팅 테이블에 저장되며, 이후 라우팅 프로토콜에 의해 라우터의 이웃에 보급됩니다. 라우팅 정책을 사용하면 이 정보의 흐름을 제어할 수 있습니다.
라우터의 물리적 인터페이스에서 들어오고 나가는 데이터 패킷의 흐름. 패킷 전달 엔진이 이 플로우를 처리합니다. 데이터 패킷 은 소스에서 대상으로 전달될 때 라우터를 전송하는 데이터 청크입니다. 라우터가 인터페이스에서 데이터 패킷을 수신하면 포워딩 테이블에서 목적지까지의 최적 경로를 찾아 패킷을 포워딩할 위치를 결정합니다. 그런 다음 라우터는 적절한 인터페이스를 통해 데이터 패킷을 대상으로 전달합니다. 방화벽 필터를 사용하면 이러한 데이터 패킷의 흐름을 제어할 수 있습니다.
라우터의 물리적 인터페이스에서 라우팅 엔진으로의 로컬 패킷 흐름. 라우팅 엔진은 이 플로우를 처리합니다. 로컬 패킷 은 라우터로 전송되거나 라우터에 의해 전송되는 데이터 청크입니다. 로컬 패킷에는 일반적으로 라우팅 프로토콜 데이터, Telnet 또는 SSH와 같은 IP 서비스에 대한 데이터, ICMP(Internet Control Message Protocol)와 같은 관리 프로토콜에 대한 데이터가 포함됩니다. 라우팅 엔진이 로컬 패킷을 수신하면 패킷을 라우팅 엔진의 일부인 적절한 프로세스나 커널 또는 패킷 전달 엔진으로 전달합니다. 방화벽 필터를 사용하면 이러한 로컬 패킷의 흐름을 제어할 수 있습니다.
주:이 장의 나머지 부분에서 패킷 이라는 용어는 달리 명시적으로 언급되지 않는 한 데이터 패킷과 로컬 패킷을 모두 의미합니다.
그림 1 은(는) 라우터를 통과하는 플로우를 보여줍니다. 흐름은 서로 매우 다르지만 상호 의존적이기도 합니다. 라우팅 정책은 포워딩 테이블에 배치되는 경로를 결정합니다. 포워딩 테이블은 패킷을 포워딩할 적절한 물리적 인터페이스를 결정하는 데 중요한 역할을 합니다.
라우팅 정책을 구성하여 라우팅 프로토콜이 라우팅 테이블에 배치하는 경로를 제어하고 라우팅 프로토콜이 라우팅 테이블에서 보급하는 경로를 제어할 수 있습니다( 그림 2참조). 라우팅 프로토콜은 라우팅 테이블에서만 활성 경로를 보급합니다. ( 활성 경로는 라우팅 테이블의 모든 경로 중에서 선택되어 목적지에 도달하는 경로입니다.)
라우팅 정책을 사용하여 다음을 수행할 수도 있습니다.
특정 경로 특성을 변경하여 목적지에 도달하기 위한 활성 경로로 선택되는 경로를 제어할 수 있습니다. 일반적으로 활성 경로는 라우터의 인접 라우터에도 보급됩니다.
기본 BGP 경로 플랩 감쇠 값으로 변경합니다.
패킷당 로드 밸런싱을 수행합니다.
CoS(Class of Service)를 활성화합니다.
방화벽 필터를 구성하여 패킷 흐름의 다음 측면을 제어할 수 있습니다 그림 3( 참조).
물리적 인터페이스에서 수락 및 전송되는 데이터 패킷. 데이터 패킷의 흐름을 제어하려면 물리적 인터페이스에 방화벽 필터를 적용합니다.
물리적 인터페이스에서 라우팅 엔진으로 전송되는 로컬 패킷 로컬 패킷을 제어하려면 라우팅 엔진에 대한 인터페이스인 루프백 인터페이스에 방화벽 필터를 적용합니다.
방화벽 필터는 라우터를 네트워크 대상으로 전송하거나 라우팅 엔진으로 향하는 과도한 트래픽으로부터 라우터를 보호하는 수단을 제공합니다. 로컬 패킷을 제어하는 방화벽 필터는 서비스 거부 공격과 같은 외부 사고로부터 라우터를 보호할 수도 있습니다.
제어점
모든 정책은 라우터를 통해 라우팅 정보 또는 패킷을 제어할 수 있는 두 지점을 제공합니다(참조 그림 4). 이러한 제어점을 통해 다음을 제어할 수 있습니다.
라우팅 테이블에 배치되기 전후의 라우팅 정보입니다.
포워딩 테이블 조회 전후의 데이터 패킷.
라우팅 엔진에서 수신하기 전후의 로컬 패킷. 그림 4 ( 하나의 제어점을 나타내는 것처럼 보이지만 로컬 패킷의 양방향 흐름 때문에 실제로 두 개의 제어점이 존재합니다.)
두 개의 컨트롤 포인트가 있기 때문에 해당 테이블과의 상호 작용 전후에 라우팅 정보 또는 데이터 패킷을 제어하는 정책과 라우팅 엔진과의 상호 작용 전후에 로컬 패킷을 제어하는 정책을 구성할 수 있습니다. 가져오기 라우팅 정책은 라우팅 테이블에 배치되는 라우팅 정보를 제어하고, 내보내기 라우팅 정책은 라우팅 테이블에서 보급되는 라우팅 정보를 제어합니다. 입력 방화벽 필터는 라우터 인터페이스에서 수신되는 패킷을 제어하는 반면, 출력 방화벽 필터는 라우터 인터페이스에서 전송되는 패킷을 제어합니다.
정책 구성 요소
모든 정책은 구성하는 다음 구성 요소로 구성됩니다.
일치 조건 - 경로 또는 패킷이 비교되는 기준입니다. 하나 이상의 기준을 구성할 수 있습니다. 모든 기준이 일치하면 하나 이상의 작업이 적용됩니다.
작업(Actions) - 모든 기준이 일치하면 어떻게 되나요? 하나 이상의 작업을 구성할 수 있습니다.
용어(Terms) - 일치 조건 및 작업이 정의된 명명된 구조입니다. 하나 이상의 용어를 정의할 수 있습니다.
정책 프레임워크 소프트웨어는 용어의 일치 조건에 대해 각 수신 및 발신 경로 또는 패킷을 평가합니다. 일치 조건의 기준이 충족되면 정의된 작업이 수행됩니다.
일반적으로 정책 프레임워크 소프트웨어는 경로 또는 패킷을 정책의 첫 번째 용어의 일치 조건과 비교한 후 다음 용어로 넘어가는 식입니다. 따라서 정책에서 용어를 정렬하는 순서는 관련이 있습니다.
작업이 수행되려면 경로 또는 패킷이 용어의 모든 일치 조건과 일치해야 하므로 용어 내의 일치 조건 순서는 관련이 없습니다.