- play_arrow Junos 라우팅 정책 이해 및 구성
- play_arrow 개요
- play_arrow 일치 조건, 작업, 용어 및 표현식을 사용한 라우팅 정책 평가
- 라우팅 정책 평가 방법
- 라우팅 정책 일치 조건의 범주
- 라우팅 정책 일치 조건
- 경로 필터 일치 조건
- 라우팅 정책 용어의 작업
- 라우팅 정책 작업 요약
- 예: 내부 피어에 최고의 외부 경로를 보급하는 라우팅 정책 구성
- 예: 비활성 경로를 보급하는 BGP 구성
- 예: 라우팅 정책을 사용하여 BGP 경로에 대한 기본 설정 값 지정
- 예: BGP 경로 보급 활성화
- 예: 알려진 잘못된 경로 거부
- 예: ISP 네트워크에서 라우팅 정책 사용
- 정책 표현식 이해
- OSPF 프로토콜에 대한 백업 선택 정책 이해
- OSPF 프로토콜에 대한 백업 선택 정책 구성
- IS-IS 프로토콜에 대한 백업 선택 정책 구성
- 예: OSPF 또는 OSPF3 프로토콜에 대한 백업 선택 정책 구성
- play_arrow 정책 체인 및 서브루틴을 사용하여 복잡한 케이스 평가
- play_arrow 경로 필터 및 접두사 목록을 일치 조건으로 구성
- 라우팅 정책 일치 조건에서 사용하기 위한 경로 필터 이해하기
- 라우팅 정책 일치 조건에서 사용하기 위한 경로 필터 및 소스 주소 필터 목록 이해
- 원본 또는 대상 IP만 사용하는 로드 밸런싱 이해
- 소스 또는 대상 IP만 사용하여 로드 밸런싱 구성
- 경로 필터에 대한 워크업 개요
- 운영 효율성 향상을 위한 경로 필터의 워크업 구성
- 예: 경로 필터 목록 구성
- 예: 운영 효율성 향상을 위해 전역적으로 경로 필터에 대한 워크업 구성
- 예: 운영 효율성 향상을 위해 로컬에서 경로 필터에 대한 워크업 구성
- 예: OSPF를 통해 학습된 접두사의 우선 순위를 지정하도록 경로 필터 정책 구성
- 예: 경로 필터를 사용하여 MED 구성
- 예: 경로 필터를 위한 레이어 3 VPN 프로토콜 제품군 한정자 구성
- 라우팅 정책 일치 조건에서 사용하기 위한 접두사 목록 이해하기
- 예: 라우팅 정책 접두사 목록 구성
- 예: RPD 인프라에서 경로 접두사에 대한 우선 순위 구성
- RPD 인프라에서 경로 접두사에 대한 우선 순위 구성
- play_arrow AS 경로를 일치 조건으로 구성
- play_arrow 일치 조건으로 커뮤니티 구성
- play_arrow BGP 경로 플래핑 작업으로 네트워크 안정성 향상
- play_arrow 소스 클래스 사용량 및 대상 클래스 사용 작업으로 트래픽 사용량 추적
- 소스 클래스 사용 및 대상 클래스 사용 옵션 이해
- 소스 클래스 사용 개요
- SCU 구성 지침
- SCU에 대한 시스템 요구 사항
- SCU의 용어 및 약어
- SCU 구성을 위한 로드맵
- 레이어 3 VPN으로 SCU를 구성하기 위한 로드맵
- 라우팅 정책에서 경로 필터 및 소스 클래스 구성
- 포워딩 테이블에 정책 적용
- 인바운드 및 아웃바운드 인터페이스에서 계정 사용
- 송신 PE 라우터의 vt 인터페이스에서 입력 SCU 구성
- SCU 지원 vt 인터페이스를 VRF 인스턴스에 매핑
- 출력 인터페이스에서 SCU 구성
- SCU 클래스와 어카운팅 프로파일 연결
- SCU 어카운팅 프로파일 확인
- SCU 구성
- SCU(레이어 3 VPN 구성 포함)
- 예: 소스 및 대상 접두사를 포워딩 클래스로 그룹화
- play_arrow 조건부 라우팅 정책으로 트래픽 라우팅 위협 방지
- play_arrow 폐기 인터페이스로 트래픽을 전달하여 DoS 공격으로부터 보호
- play_arrow 동적 라우팅 정책으로 커밋 시간 개선
- play_arrow 라우팅 정책을 적용하기 전에 테스트하기
-
- play_arrow 방화벽 필터 구성
- play_arrow 방화벽 필터가 네트워크를 보호하는 방법 이해
- play_arrow 방화벽 필터 일치 조건 및 작업
- 방화벽 필터 개요(OCX 시리즈)
- ACX 시리즈 라우터의 방화벽 필터 프로필 개요(Junos OS Evolved)
- 방화벽 필터 일치 조건 이해
- 방화벽 필터 계획 이해
- 방화벽 필터 평가 방법 이해
- 방화벽 필터 일치 조건 이해
- 방화벽 필터 FMC(Flexible Match Condition)
- 방화벽 필터 비 종료 동작
- 방화벽 필터 종료 동작
- 방화벽 필터 일치 조건 및 작업(ACX 시리즈 라우터)
- ACX 시리즈 라우터의 방화벽 필터 일치 조건 및 동작(Junos OS Evolved)
- 프로토콜 독립적 트래픽에 대한 방화벽 필터 일치 조건
- IPv4 트래픽 방화벽 일치 조건
- IPv6 트래픽에 대한 방화벽 필터 일치 조건
- 숫자 또는 텍스트 별칭을 기반으로 한 방화벽 필터 일치 조건
- 비트 필드 값에 기반한 방화벽 필터 일치 조건
- 주소 필드를 기반으로 한 방화벽 필터 일치 조건
- 주소 클래스에 기반한 방화벽 필터 일치 조건
- MPLS 트래픽의 IP 기반 필터링 및 선택적 포트 미러링 이해
- MPLS 트래픽에 대한 방화벽 필터 일치 조건
- MPLS 태그 지정된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건
- VPLS 트래픽에 대한 방화벽 필터 일치 조건
- 레이어 2 CCC 트래픽에 대한 방화벽 필터 일치 조건
- 레이어 2 브리징 트래픽에 대한 방화벽 필터 일치 조건
- 루프백 인터페이스의 방화벽 필터 지원
- play_arrow 라우팅 엔진 트래픽에 방화벽 필터 적용
- 레이어 3 VPN의 라우팅 인스턴스에 대한 루프백 인터페이스에서 논리적 단위 구성
- 예: 접두사 목록을 기반으로 포트에 대한 TCP 액세스를 제한하는 필터 구성
- 예: 신뢰할 수 있는 소스의 트래픽을 허용하도록 상태 비저장 방화벽 필터 구성
- 예: Block Telnet 및 SSH 액세스에 대한 필터 구성
- 예: TFTP 액세스를 차단하는 필터 구성
- 예: IPv6 TCP 플래그를 기반으로 패킷을 수락하도록 필터 구성
- 예: 지정된 BGP 피어를 제외하고 포트에 대한 TCP 액세스를 차단하는 필터 구성
- 예: TCP 및 ICMP 플러드로부터 보호하기 위한 무상태 방화벽 필터 구성
- 예: 초당 패킷 속도 제한 필터로 라우팅 엔진 보호
- 예: LAC 가입자에 대한 DHCPv6 및 ICMPv6 제어 트래픽을 제외하도록 필터 구성
- DHCP 방화벽 필터에 대한 포트 번호 요구 사항
- 예: 라우팅 엔진 보호를 위한 DHCP 방화벽 필터 구성
- play_arrow 전송 트래픽에 방화벽 필터 적용
- 예: 수신 큐잉 필터로 사용하기 위한 필터 구성
- 예: IPv6 플래그와 일치하도록 필터 구성
- 예: 포트 및 프로토콜 필드에서 일치하도록 필터 구성
- 예: 수락 및 거부된 패킷을 계산하도록 필터 구성
- 예: IP 옵션 패킷을 카운트하고 삭제하도록 필터 구성
- 예: IP 옵션 패킷을 계산하도록 필터 구성
- 예: 수락된 패킷을 카운트 및 샘플링하도록 필터 구성
- 예: DSCP 비트를 0으로 설정하는 필터 구성
- 예: DSCP 비트를 0으로 설정하는 필터 구성
- 예: 관련 없는 두 기준에서 일치하도록 필터 구성
- 예: 주소를 기반으로 DHCP 패킷을 수락하도록 필터 구성
- 예: 접두사에서 OSPF 패킷을 수락하도록 필터 구성
- 예: 프래그먼트를 처리하기 위한 상태 비저장 방화벽 필터 구성
- IPv4 패킷 단편화를 방지하거나 허용하도록 방화벽 필터 구성
- Mobility Extension 헤더가 있는 수신 IPv6 패킷을 삭제하도록 방화벽 필터 구성
- 예: IPv6 소스 또는 대상 IP 주소를 기반으로 송신 필터 구성
- 예: 대상 클래스를 기반으로 속도 제한 필터 구성
- play_arrow 논리적 시스템에서 방화벽 필터 구성
- 논리적 시스템의 방화벽 필터 개요
- 논리적 시스템에서 방화벽 필터를 구성하고 적용하기 위한 지침
- 논리적 시스템의 방화벽 필터에서 하위 개체에 대한 참조
- 논리적 시스템의 방화벽 필터에서 비방화벽 개체에 대한 참조
- 논리적 시스템의 비방화벽 개체에서 방화벽 필터로의 참조
- 예: 필터 기반 전달 구성
- 예: 논리적 시스템에서 필터 기반 전달 구성
- 예: ICMP 플러드로부터 논리적 시스템을 보호하기 위한 무상태 방화벽 필터 구성
- 예: ICMP 플러드로부터 논리적 시스템을 보호하기 위한 무상태 방화벽 필터 구성
- 논리적 시스템에 대해 지원되지 않는 방화벽 필터 문
- 논리적 시스템의 방화벽 필터에 대해 지원되지 않는 작업
- 라우팅 인스턴스에 대한 필터 기반 전달
- ACX 시리즈 라우터의 라우팅 인스턴스에 대한 포워딩 테이블 필터
- 포워딩 테이블 필터 구성
- play_arrow 방화벽 필터 계정 및 로깅 구성
- play_arrow 단일 인터페이스에 여러 방화벽 필터 연결
- 인터페이스에 방화벽 필터 적용
- 방화벽 필터 구성
- Multifield Classifier Example: 멀티필드 분류 구성
- MPC를 사용하는 MX 시리즈 라우터의 수신 큐잉을 위한 멀티필드 분류자
- 패킷 전달 동작을 지정하기 위해 방화벽 필터에 다중 필드 분류자 할당(CLI 절차)
- 중첩된 구성의 여러 방화벽 필터 이해
- 여러 방화벽 필터에 대한 참조 중첩에 대한 지침
- 목록으로 적용된 여러 방화벽 필터 이해
- 여러 방화벽 필터를 목록으로 적용하기 위한 지침
- 예: 여러 방화벽 필터 목록 적용
- 예: 여러 방화벽 필터에 대한 참조 중첩
- 예: 인터페이스 세트에서 수신된 패킷 필터링
- play_arrow 단일 방화벽 필터를 여러 인터페이스에 연결
- play_arrow IP 네트워크에서 필터 기반 터널링 구성
- play_arrow 서비스 필터 구성
- play_arrow 단순 필터 구성
- play_arrow 레이어 2 방화벽 필터 구성
- play_arrow 포워딩, 프래그먼트 및 폴리싱을 위한 방화벽 필터 구성
- play_arrow 방화벽 필터 구성(EX 시리즈 스위치)
- EX 시리즈 스위치용 방화벽 필터 개요
- 방화벽 필터 계획 이해
- 방화벽 필터 일치 조건 이해
- 방화벽 필터가 패킷 흐름을 제어하는 방법 이해
- 방화벽 필터 평가 방법 이해
- EX 시리즈 스위치에서 브리징 및 라우팅된 패킷에 대한 방화벽 필터 처리 지점 이해
- EX 시리즈 스위치의 방화벽 필터 매치 조건, 동작 및 동작 수정
- EX 시리즈 스위치의 방화벽 필터 일치 조건, 작업 및 작업 수정자를 위한 플랫폼 지원
- 스위치의 루프백 방화벽 필터에 대한 일치 조건 및 작업 지원
- 방화벽 필터 구성(CLI 절차)
- 방화벽 필터가 패킷의 프로토콜을 테스트하는 방법 이해
- EX 시리즈 스위치에 대한 필터 기반 포워딩 이해
- 예: EX 시리즈 스위치에서 포트, VLAN, 라우터 트래픽의 방화벽 필터 구성하기
- 예: EX 시리즈 스위치의 관리 인터페이스에 방화벽 필터 구성
- 예: 라우트 애플리케이션 트래픽-보안 장치에 필터 기반 포워딩 사용
- 예: 802.1X 또는 MAC RADIUS 인증이 활성화된 인터페이스의 여러 요청자에 방화벽 필터 적용
- 폴리서의 작동 여부 확인
- 방화벽 필터 문제 해결
- play_arrow 방화벽 필터 구성(QFX 시리즈 스위치, EX4600 스위치, PTX 시리즈 라우터)
- 방화벽 필터 개요(QFX 시리즈)
- 방화벽 필터 계획 이해
- 생성할 방화벽 필터 수 계획
- 방화벽 필터 일치 조건 및 조치(QFX 및 EX 시리즈 스위치)
- 방화벽 필터 일치 조건 및 동작(QFX10000 스위치)
- 방화벽 필터 일치 조건 및 작업(PTX 시리즈 라우터)
- PTX 시리즈 패킷 전송 라우터와 T 시리즈 매트릭스 라우터의 방화벽 및 폴리싱 차이점
- 방화벽 필터 구성
- 인터페이스에 방화벽 필터 적용
- 루프백 인터페이스의 MPLS 방화벽 필터 개요
- 스위치에서 MPLS 방화벽 필터 및 폴리서 구성
- 라우터에서 MPLS 방화벽 필터 및 폴리서 구성
- MPLS 방화벽 필터 및 폴리서 구성
- 방화벽 필터가 프로토콜을 테스트하는 방법 이해
- 브리지 및 라우팅된 패킷에 대한 방화벽 필터 처리 지점 이해
- 필터 기반 전달 이해
- 예: 라우트 애플리케이션 트래픽-보안 장치에 필터 기반 포워딩 사용
- GRE 또는 IPIP 트래픽의 캡슐화 해제를 위한 방화벽 필터 구성
- 방화벽 필터가 작동하는지 확인
- 방화벽 필터 트래픽 모니터링
- 방화벽 필터 구성 문제 해결
- play_arrow 방화벽 필터 어카운팅 및 로깅 구성(EX9200 스위치)
-
- play_arrow 구성 명령문 및 작동 명령
- play_arrow 문제 해결
- play_arrow 기술 자료
-
계층적 폴리서
계층적 폴리서 개요
계층적 폴리서를 사용하여 물리적 또는 논리적 인터페이스에서 수신 레이어 2 트래픽의 속도를 제한하고 패킷이 EF(신속 전달) 또는 낮은 우선 순위로 분류되는지 여부에 따라 다른 폴리싱 작업을 적용할 수 있습니다.
계층적 폴리싱은 수신 FPC(Flexible PIC Concentrator)를 SFPC로, 발신 FPC를 FFPC로 사용하는 M40E, M120 및 M320 에지 라우터와 IQE(Enhanced Intelligent Queuing) PIC가 있는 MX 시리즈, ACX7100-L, T320, T640 및 T1600 코어 라우터에서 지원됩니다.
논리적 인터페이스에 계층적 폴리싱을 적용할 수 있습니다.
계층적 폴리서 구성은 계층적 방식으로 작동하는 두 개의 폴리서(하나는 EF 트래픽 전용, 다른 하나는 비 EF 트래픽용)를 정의합니다.
프리미엄 폴리서 - 우선 순위가 높은 EF 트래픽에 대해서만 트래픽 제한이 있는 프리미엄 폴리서를 구성합니다. 보장된 대역폭 및 해당 버스트 크기 제한. EF 트래픽은 평균 도착 속도가 보장된 대역폭을 초과하고 평균 패킷 크기가 프리미엄 버스트 크기 제한을 초과할 때 부적합으로 분류됩니다. 프리미엄 폴리서의 경우, 부적합 트래픽에 대해 구성 가능한 유일한 조치는 패킷을 폐기하는 것입니다.
집계 폴리서 - 집계 대역폭(보장된 대역폭까지 우선 순위가 높은 EF 트래픽과 일반 우선 순위가 아닌 EF 트래픽을 모두 수용하기 위해)과 비 EF 트래픽에 대한 버스트 크기 제한으로 집계 폴리서를 구성합니다. 비EF 트래픽은 평균 도착 속도가 EF 트래픽에서 현재 소비되지 않는 총 대역폭의 양을 초과하고 평균 패킷 크기가 집계 폴리서에 정의된 버스트 크기 제한을 초과할 때 부적합으로 분류됩니다. 집계 폴리서의 경우, 부적합 트래픽에 대해 구성 가능한 작업은 패킷을 폐기하거나, 포워딩 클래스를 할당하거나, PLP(Packet Loss Priority) 수준을 할당하는 것입니다.
프리미엄 폴리서의 대역폭 제한을 통합 폴리서의 대역폭 제한 이하로 구성해야 합니다. 두 대역폭 제한이 동일한 경우 EF 트래픽이 인터페이스에 도착하지 않는 동안에만 비 EF 트래픽이 제한 없이 인터페이스를 통과합니다.
EF 트래픽은 프리미엄 대역폭 제한으로 지정된 대역폭이 보장되는 반면, 비 EF 트래픽은 현재 EF 트래픽에서 사용되지 않는 총 대역폭의 양으로 속도가 제한됩니다. EF가 아닌 트래픽은 EF 트래픽이 없는 경우에만 전체 집계 대역폭으로 속도가 제한됩니다.
예를 들어, 다음 구성 요소로 계층적 폴리서를 구성한다고 가정해 보겠습니다.
대역폭 제한이 2Mbps로 설정되고, 버스트 크기 제한이 3000바이트로 설정되며, 부적합 작업이 패킷을 폐기하도록 설정된 프리미엄 폴리서입니다.
대역폭 제한이 10Mbps로 설정되고, 버스트 크기 제한이 3000바이트로 설정되며, 부적합 작업이 패킷을 폐기하도록 설정된 통합 폴리서.
EF 트래픽은 2Mbps의 대역폭이 보장됩니다. EF 트래픽 버스트(2Mbps 이상의 속도로 인터페이스에 도착하는 EF 트래픽)도 3000바이트 버킷에서 충분한 토큰을 사용할 수 있는 경우 인터페이스를 통과할 수 있습니다. EF가 아닌 트래픽의 버스트에 사용할 수 있는 토큰이 없는 경우 패킷은 프리미엄 폴리서에 대한 폴리싱 작업을 사용하여 속도가 제한됩니다.
비 EF 트래픽은 EF 트래픽의 평균 도착 속도에 따라 8Mbps에서 10Mbps 사이의 대역폭 제한으로 측정됩니다. 비 EF 트래픽의 버스트(비 EF 트래픽에 대한 현재 제한을 초과하는 속도로 인터페이스에 도착하는 비 EF 트래픽)도 3000바이트 버킷에서 충분한 토큰을 사용할 수 있는 경우 인터페이스를 통과합니다. 비 EF 트래픽이 현재 허용된 대역폭을 초과하거나 비 EF 트래픽의 버스트에 사용할 수 있는 토큰이 없는 경우, 패킷은 집계 폴리서에 대한 폴리싱 작업을 사용하여 속도가 제한됩니다.
가입자 서비스 방화벽 폴리서(ACX7100-48L 디바이스)
Junos Evolved 릴리스 23.4R1부터 가입자 로그인 또는 CoA 중에 활성화되는 가입자 인터페이스의 DHCP 및 PPPoE 액세스 모델에 계층적 폴리서를 구성할 수 있습니다. 이 기능은 패킷의 색상 분류에 따라 색상으로 구분된 트래픽 폴리싱을 지원합니다. 패킷 색상은 두 개의 사용자 정의 트래픽 클래스에 대해 지정된 패킷 일치 기준에 따라 분류됩니다. 예: 가입자 서비스 방화벽(ACX7100-48L 디바이스)에 대한 계층적 폴리서 구성 기능의 관련 구성 예 및 제한 사항에 대해서는 섹션을 참조하십시오.
참조
예: 계층적 폴리서 구성
이 예는 계층적 폴리서를 구성하고 지원되는 플랫폼의 논리적 인터페이스에서 수신 레이어 2 트래픽에 폴리서를 적용하는 방법을 보여줍니다.
요구 사항
시작하기 전에 환경이 다음 요구 사항을 충족하는지 확인합니다.
계층적 폴리서를 적용하는 인터페이스는 다음 라우팅 플랫폼 중 하나에서 호스팅되는 SONET 인터페이스입니다.
수신 FPC를 SFPC로, 발신 FPC를 FFPC로 사용하는 M40e, M120 또는 M320 에지 라우터.
IQE(Enhanced Intelligent Queuing) PIC가 있는 MX 시리즈, T320, T640 또는 T1600 코어 라우터.
계층적 폴리서를 적용하는 인터페이스의 입력에는 다른 폴리서가 적용되지 않습니다.
입력 필터가 적용되는 논리 인터페이스에 계층적 폴리서를 적용하면 폴리서가 먼저 실행됩니다.
개요
이 예에서는 계층적 폴리서를 구성하고 논리적 인터페이스에서 수신 레이어 2 트래픽에 폴리서를 적용합니다.
토폴로지
IPv4 및 VPLS 트래픽에 대해 구성하는 SONET 논리적 인터페이스에 so-1/0/0.0폴리서를 적용합니다. 계층적 폴리서를 해당 논리적 인터페이스에 적용하면 IPv4 및 VPLS 트래픽 모두 계층적으로 속도가 제한됩니다.
또한 MPLS 트래픽에 대한 논리적 인터페이스를 so-1/0/0.1 구성합니다. 계층적 폴리서를 물리적 인터페이스에 so-1/0/0적용하기로 선택한 경우, 계층적 폴리싱은 의 so-1/0/0.0 IPv4 및 VPLS 트래픽과 의 so-1/0/0.1MPLS 트래픽에 적용됩니다.
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 구성 모드에서 CLI 편집기 사용.
이 예를 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 다음 구성 명령을 텍스트 파일에 복사하고, 줄 바꿈을 제거한 다음, 계층 수준에서 명령을 CLI에 붙여넣습니다 [edit] .
set interfaces so-1/0/0 unit 0 family inet address 192.168.1.1/24 set interfaces so-1/0/0 unit 0 family vpls set interfaces so-1/0/0 unit 1 family mpls set class-of-service forwarding-classes class fc0 queue-num 0 priority high policing-priority premium set class-of-service forwarding-classes class fc1 queue-num 1 priority low policing-priority normal set class-of-service forwarding-classes class fc2 queue-num 2 priority low policing-priority normal set class-of-service forwarding-classes class fc3 queue-num 3 priority low policing-priority normal set firewall hierarchical-policer policer1 aggregate if-exceeding bandwidth-limit 300m burst-size-limit 30k set firewall hierarchical-policer policer1 aggregate then forwarding-class fc1 set firewall hierarchical-policer policer1 premium if-exceeding bandwidth-limit 100m burst-size-limit 50k set firewall hierarchical-policer policer1 premium then discard set interfaces so-1/0/0 unit 0 layer2-policer input-hierarchical-policer policer1
인터페이스 정의
단계별 절차
인터페이스를 정의하려면:
물리적 인터페이스의 구성을 활성화합니다.
content_copy zoom_out_map[edit] user@host# edit interfaces so-1/0/0
논리 장치 0을 구성합니다.
content_copy zoom_out_map[edit interfaces so-1/0/0] user@host# set unit 0 family inet address 192.168.1.1/24 user@host# set unit 0 family vpls
이 논리적 인터페이스에 레이어 2 폴리서를 적용하면 하나 이상의 프로토콜 제품군을 구성해야 합니다.
논리 장치 1을 구성합니다.
content_copy zoom_out_map[edit interfaces so-1/0/0] user@host# set unit 1 family mpls
결과
구성 명령을 입력하여 show interfaces 인터페이스의 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.
[edit]
user@host# show interfaces
so-1/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
family vpls;
}
unit 1 {
family mpls;
}
}
포워딩 클래스 정의
단계별 절차
통합 폴리서 작업으로 참조되는 포워딩 클래스를 정의하려면 다음을 수행합니다.
포워딩 클래스의 구성을 활성화합니다.
content_copy zoom_out_map[edit] user@host# edit class-of-service forwarding-classes
포워딩 클래스를 정의합니다.
content_copy zoom_out_map[edit class-of-service forwarding-classes] user@host# set class fc0 queue-num 0 priority high policing-priority premium user@host# set class fc1 queue-num 1 priority low policing-priority normal user@host# set class fc2 queue-num 2 priority low policing-priority normal user@host# set class fc3 queue-num 3 priority low policing-priority normal
결과
구성 명령을 입력하여 show class-of-service 통합 폴리서 작업으로 참조되는 포워딩 클래스의 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.
[edit]
user@host# show class-of-service
forwarding-classes {
class fc0 queue-num 0 priority high policing-priority premium;
class fc1 queue-num 1 priority low policing-priority normal;
class fc2 queue-num 2 priority low policing-priority normal;
class fc3 queue-num 3 priority low policing-priority normal;
}
계층적 폴리서 구성
단계별 절차
계층적 폴리서를 구성하려면:
계층적 폴리서의 구성을 활성화합니다.
content_copy zoom_out_map[edit] user@host# edit firewall hierarchical-policer policer1
집계 폴리서를 구성합니다.
content_copy zoom_out_map[edit firewall hierarchical-policer policer1] user@host# set aggregate if-exceeding bandwidth-limit 300m burst-size-limit 30k user@host# set aggregate then forwarding-class fc1
어그리게이션 폴리서의 경우, 부적합 플로우의 패킷에 대해 구성 가능한 행동은 패킷을 폐기하거나, 손실 우선순위를 변경하거나, 포워딩 클래스를 변경하는 것입니다.
프리미엄 폴리서를 구성합니다.
content_copy zoom_out_map[edit firewall hierarchical-policer policer1] user@host# set premium if-exceeding bandwidth-limit 100m burst-size-limit 50k user@host# set premium then discard
프리미엄 폴리서의 대역폭 제한은 집계 폴리서의 대역폭 제한보다 크지 않아야 합니다.
프리미엄 폴리서의 경우, 부적합 트래픽 플로우에서 패킷에 대해 구성 가능한 유일한 조치는 패킷을 폐기하는 것입니다.
결과
구성 명령을 입력하여 계층적 폴리서의 show firewall 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.
[edit]
user@host# show firewall
hierarchical-policer policer1 {
aggregate {
if-exceeding {
bandwidth-limit 300m;
burst-size-limit 30k;
}
then {
forwarding-class fc1;
}
}
premium {
if-exceeding {
bandwidth-limit 100m;
burst-size-limit 50k;
}
then {
discard;
}
}
}
물리적 또는 논리적 인터페이스에서 레이어 2 수신 트래픽에 계층적 폴리서 적용
단계별 절차
논리적 인터페이스 so-1/0/0.0에서만 IPv4 및 VPLS 트래픽에 대한 계층 적 속도 제한 레이어 2 수신 트래픽은 논리적 인터페이스 구성에서 폴리서를 참조하십시오.
논리적 인터페이스의 구성을 활성화합니다.
content_copy zoom_out_map[edit] user@host# edit interfaces so-1/0/0 unit 0
논리적 인터페이스에서 레이어 2 트래픽에 폴리서를 적용할 때, 논리적 인터페이스에 대해 하나 이상의 프로토콜 패밀리를 정의해야 합니다.
논리적 인터페이스에 폴리서를 적용합니다.
content_copy zoom_out_map[edit] user@host# set layer2-policer input-hierarchical-policer policer1
또는 모든 프로토콜 제품군 및 물리적 인터페이스에
so-1/0/0구성된 모든 논리적 인터페이스에 대해 계층 적 속도 제한 레이어 2 수신 트래픽을 물리적 인터페이스 구성에서 폴리서를 참조 할 수 있습니다.
결과
구성 명령을 입력하여 계층적 폴리서의 show interfaces 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.
[edit]
user@host# show interfaces
so-1/0/0 {
unit 0 {
layer2-policer {
input-hierarchical-policer policer1;
}
family inet {
address 192.168.1.1/24;
}
family vpls;
}
unit 1 {
family mpls;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.
검증
구성이 올바르게 작동하고 있는지 확인합니다.
논리적 인터페이스에 대한 트래픽 통계 및 폴리서 표시
목적
논리적 인터페이스를 통한 트래픽 흐름을 확인하고 패킷이 논리적 인터페이스에서 수신될 때 폴리서가 평가되는지 확인합니다.
작업
show interfaces 논리적 인터페이스에 so-1/0/0.0대해 운영 모드 명령을 사용하고, 또는 extensive 옵션을 detail 포함합니다. 에 대한 Traffic statistics 명령 출력 섹션은 논리적 인터페이스에서 수신 및 전송된 바이트 및 패킷 수를 나열하며, 섹션에는 Protocol inet 다음과 같이 폴리서를 policer1 입력 또는 출력 폴리서로 나열하는 필드가 포함되어 Policer 있습니다.
Input: policer1-so-1/0/0.0-inet-i
Output: policer1-so-1/0/0.0-inet-o
이 예에서 폴리서는 입력 방향으로만 논리 인터페이스 트래픽에 적용됩니다.
폴리서에 대한 통계 표시
목적
폴리서가 평가한 패킷 수를 확인합니다.
작업
운영 모드 명령을 show policer 사용하고 선택적으로 폴리서의 이름을 지정합니다. 명령 출력은 각 방향으로 구성된 각 폴리서(또는 지정된 폴리서)가 평가한 패킷 수를 표시합니다. 폴리서 policer1의 경우, 입력 및 출력 폴리서 이름이 다음과 같이 표시됩니다.
policer1-so-1/0/0.0-inet-i
policer1-so-1/0/0.0-inet-o
-inet-i 접미사는 IPv4 입력 트래픽에 적용되는 폴리서를 나타내고, -inet-o 접미사는 IPv4 출력 트래픽에 적용되는 폴리서를 나타냅니다. 이 예에서 폴리서는 입력 트래픽에만 적용됩니다.
예: 가입자 서비스 방화벽(ACX7100-48L 디바이스)에 대한 계층적 폴리서 구성
이 예는 계층적 폴리서를 구성하고 지원되는 플랫폼(ACX7100-48L)의 가입자 인터페이스에서 수신 트래픽에 폴리서를 적용하는 방법을 보여줍니다.
개요
Junos Evolved 릴리스 23.4R1부터 계층적 폴리서를 구성하고 이 폴리서를 가입자 인터페이스의 수신 트래픽에 적용할 수 있습니다. 이 기능은 ACX7100-48L 장치에서 지원됩니다.
가입자 서비스 계층적 폴리서에는 다음과 같은 제한이 있습니다.
4개 수준의 계층적 폴리서만 구성할 수 있으며, 각 수준에는 어그리게이션 및 프리미엄 구성이 있습니다.
논리적 인터페이스 폴리서 및 집계 폴리서는 가입자 서비스에 대해 지원되지 않습니다.
- 포워딩 클래스 내부에 설정된 폴리싱 우선 순위는 지원되지 않습니다. 예: content_copy zoom_out_map
class-of-service { forwarding-classes { class BestEffort queue-num 0 priority low policing-priority normal; } } next term는 계층적 폴리서에만 허용되며 필터에는 허용되지 않습니다.- 폴리서를 인터페이스 또는 패밀리에 직접 연결하는 것은 지원되지 않습니다. 폴리서는 방화벽 필터 동작을 통해서만 지원됩니다.
- 폴리서 작업은
forwarding-class수신 및 송신에서 지원되지 않습니다.loss-priority high작업은 수신 시 지원됩니다. 송신에서는 작업만discard지원됩니다. - 단일 정책에는 및
policer작업을 구성할 수 없습니다loss-priority. 한 번에 두 작업 중 하나만 지원됩니다. filter-specific옵션은 폴리서 구성에서 지원되지 않습니다.- 계층적 폴리서 및 삼색 폴리서는 송신 방향에서 지원되지 않습니다.
필터 용어 체이닝 기능을 사용할 수 없습니다.
Tri-color 폴리서 및 계층적 폴리서는 송신 방향에서 지원되지 않습니다.
구성 시나리오
다음 섹션에서는 다양한 계층적 폴리서 옵션에 대한 다양한 구성을 제공합니다.
단일 속도 2색 마킹 폴리서 구성
DHCP 및 PPPoE 액세스 모델에서 단일 속도 2색 마킹 폴리서를 구성할 수 있습니다. 구성은 가입자 로그인 또는 CoA 중에 활성화됩니다. 명령을 입력하여 show dynamic-profiles pppoe-client-policer-1-profile 구성을 봅니다. 샘플 구성은 다음과 같습니다.
[edit]
root@bng-controller# show dynamic-profiles pppoe-client-policer-1-profile
variables {
downstream-inet uid;
upstream-inet uid;
HPolicer-in uid;
HPolicer-out uid;
}
interfaces {
pp0 {
unit "$junos-interface-unit" {
actual-transit-statistics;
no-traps;
ppp-options {
chap;
pap;
}
pppoe-options {
underlying-interface "$junos-underlying-interface";
server;
}
keepalives interval 30;
family inet {
filter {
input "$upstream-inet";
output "$downstream-inet";
}
unnumbered-address lo0.0;
}
family inet6 {
unnumbered-address lo0.0;
}
}
}
}
firewall
{
family inet
{
filter "$downstream-inet"
{
interface-specific;
term t1 {
from {
source-port 80;
}
then {
policer "$HPolicer-in";
accept;
}
}
}
filter "$upstream-inet" {
interface-specific;
term t1 {
from {
source-port 80;
}
then {
policer "$HPolicer-out";
accept;
}
}
}
}
policer "$HPolicer-in" {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 5k;
}
then discard;
}
policer "$HPolicer-out" {
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 10k;
}
then discard;
}
}
DHCP 및 PPPoE 액세스 모델에서 단일 속도 삼색 마킹 폴리서를 구성할 수 있습니다. 가입자 로그인 또는 CoA 중에 활성화됩니다. 명령을 입력하여 show dynamic-profiles pppoe-client-policer-1-profile 구성을 봅니다. 샘플 구성은 다음과 같습니다.
[edit]
user@bng-controller# show dynamic-profiles pppoe-client-policer-2-profile | no-more
variables
{
downstream-inet uid;
upstream-inet uid;
HPolicer-in uid;
HPolicer-out uid;
}
interfaces
{
pp0
{
unit "$junos-interface-unit" {
actual-transit-statistics;
no-traps;
ppp-options
{
chap;
pap;
}
pppoe-options
{
underlying-interface "$junos-underlying-interface";
server;
}
keepalives interval 30;
family inet {
filter {
input "$upstream-inet";
output "$downstream-inet";
}
unnumbered-address lo0.0;
}
family inet6 {
unnumbered-address lo0.0;
}
}
}
}
firewall {
family inet {
filter "$downstream-inet" {
interface-specific;
term t1 {
from {
source-port 80;
}
then {
policer "$HPolicer-out";
accept;
}
}
}
filter "$upstream-inet" {
interface-specific;
term t1 {
from {
source-port 80;
}
then {
three-color-policer {
single-rate "$HPolicer-in";
}
count three-color-policer-count;
accept;
}
}
}
}
policer "$HPolicer-out" {
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 10k;
}
then discard;
}
three-color-policer "$HPolicer-in" {
action {
loss-priority high then discard;
}
single-rate {
color-blind;
committed-information-rate 5m;
committed-burst-size 5k;
excess-burst-size 15k;
}
}
}
2 레이트 트라이 컬러 마킹 폴리서
DHCP 및 PPPoE 액세스 모델에서 두 개의 속도 트라이 컬러 마킹 폴리서를 구성할 수 있습니다. 가입자 로그인 또는 CoA 중에 활성화됩니다.
이 섹션에서는 컨트롤러 포인트의 샘플 동적 프로파일 구성을 볼 수 있습니다. 동적 프로필의 내용은 클라이언트 프로필에 대한 가입자 로그인 또는 서비스 프로필에 대한 서비스 활성화 중에 전달됩니다. 명령을 입력하여 show dynamic-profiles pppoe-client-policer-1-profile 구성을 봅니다. 샘플 구성은 다음과 같습니다.
[edit]
root@bng-controller# show dynamic-profiles pppoe-client-policer-3-profile | no-more
variables {
downstream-inet uid;
upstream-inet uid;
HPolicer-in uid;
HPolicer-out uid;
}
interfaces {
pp0 {
unit "$junos-interface-unit" {
actual-transit-statistics;
no-traps;
ppp-options {
chap;
pap;
}
pppoe-options {
underlying-interface "$junos-underlying-interface";
server;
}
keepalives interval 30;
family inet {
filter {
input "$upstream-inet";
output "$downstream-inet";
}
unnumbered-address lo0.0;
}
family inet6 {
unnumbered-address lo0.0;
}
}
}
}
firewall {
family inet {
filter "$downstream-inet" {
interface-specific;
term t1 {
from {
source-port 80;
}
then {
policer "$HPolicer-out";
accept;
}
}
}
filter "$upstream-inet" {
interface-specific;
term t1 {
from {
source-port 80;
}
then {
three-color-policer {
two-rate "$HPolicer-in";
}
count three-color-policer-count;
accept;
}
}
}
}
policer "$HPolicer-out" {
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 10k;
}
then discard;
}
three-color-policer "$HPolicer-in" {
action {
loss-priority high then discard;
}
two-rate {
color-blind;
committed-information-rate 5m;
committed-burst-size 5k;
peak-information-rate 10m;
peak-burst-size 10k;
}
}
}
DHCP 및 PPPoE를 위한 계층적 폴리서
이 섹션에서는 DHCP 및 PPPoE 액세스 모델의 컨트롤러 포인트에서 샘플 동적 프로필 구성을 볼 수 있습니다. 동적 프로필의 내용은 클라이언트 프로필에 대한 가입자 로그인 또는 서비스 프로필에 대한 서비스 활성화 중에 전달됩니다. 명령을 입력하여 show dynamic-profiles pppoe-client-policer-1-profile 구성을 봅니다. 샘플 구성은 다음과 같습니다.
[edit]
user@host# show dynamic-profiles pppoe-client-policer-4-profile
variables {
downstream-inet uid;
upstream-inet uid;
HPolicer-in uid;
HPolicer-out uid;
P0-IN uid;
P1-IN uid;
P2-IN uid;
Session-IN uid;
}
interfaces {
pp0 {
unit "$junos-interface-unit" {
actual-transit-statistics;
no-traps;
ppp-options {
chap;
pap;
}
pppoe-options {
underlying-interface "$junos-underlying-interface";
server;
}
keepalives interval 30;
family inet {
filter {
input "$upstream-inet";
output "$downstream-inet";
}
unnumbered-address lo0.0;
}
family inet6 {
unnumbered-address lo0.0;
}
}
}
}
firewall {
family inet {
filter "$downstream-inet" {
interface-specific;
term t1 {
from {
source-port 80;
}
then {
policer "$HPolicer-out";
accept;
}
}
}
filter "$upstream-inet" {
interface-specific;
term P0-Aggregate {
from {
dscp 46;
}
then {
hierarchical-policer "$P0-IN";
next term;
}
}
term P1-Premium {
from {
dscp [ 46 22 ];
}
then {
force-premium;
next term;
}
}
term P1-Aggregate {
from {
dscp [ 46 22 ];
}
then {
hierarchical-policer "$P1-IN";
next term;
}
}
term P2-Premium {
from {
dscp [ 46 22 56 ];
}
then {
force-premium;
next term;
}
}
term P2-Aggregate {
from {
dscp [ 46 22 56 ];
}
then {
hierarchical-policer "$P2-IN";
next term;
}
}
term final-Premium {
from {
dscp [ 46 22 56 00 ];
}
then {
force-premium;
next term;
}
}
term final {
then {
hierarchical-policer "$Session-IN";
accept;
}
}
}
}
policer "$HPolicer-out" {
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 10k;
}
then discard;
}
hierarchical-policer "$HPolicer-in" {
aggregate {
if-exceeding {
bandwidth-limit 30m;
burst-size-limit 30k;
}
then {
loss-priority high;
}
}
premium {
if-exceeding {
bandwidth-limit 10m;
burst-size-limit 10k;
}
then {
discard;
}
}
}
hierarchical-policer "$P0-IN" {
logical-interface-policer;
aggregate {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 5k;
}
then {
discard;
}
}
premium {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 5k;
}
then {
discard;
}
}
}
hierarchical-policer "$P1-IN" {
logical-interface-policer;
aggregate {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 5k;
}
then {
discard;
}
}
premium {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 5k;
}
then {
discard;
}
}
}
hierarchical-policer "$P2-IN" {
logical-interface-policer;
aggregate {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 5k;
}
then {
discard;
}
}
premium {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 5k;
}
then {
discard;
}
}
}
hierarchical-policer "$Session-IN" {
logical-interface-policer;
aggregate {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 5k;
}
then {
discard;
}
}
premium {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 5k;
}
then {
discard;
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.
