close

keyboard_arrow_left

Table of Contents Expand all

play_arrow Junos 라우팅 정책 이해 및 구성
- play_arrow 개요
- play_arrow 일치 조건, 작업, 용어 및 표현식을 사용한 라우팅 정책 평가
- play_arrow 정책 체인 및 서브루틴을 사용하여 복잡한 케이스 평가
- play_arrow 경로 필터 및 접두사 목록을 일치 조건으로 구성
- play_arrow AS 경로를 일치 조건으로 구성
- play_arrow 일치 조건으로 커뮤니티 구성
- play_arrow BGP 경로 플래핑 작업으로 네트워크 안정성 향상
- play_arrow 소스 클래스 사용량 및 대상 클래스 사용 작업으로 트래픽 사용량 추적
- play_arrow 조건부 라우팅 정책으로 트래픽 라우팅 위협 방지
- play_arrow 폐기 인터페이스로 트래픽을 전달하여 DoS 공격으로부터 보호
- play_arrow 동적 라우팅 정책으로 커밋 시간 개선
  - 동적 라우팅 정책 이해하기
  - 예: 동적 라우팅 정책 구성
- play_arrow 라우팅 정책을 적용하기 전에 테스트하기
  - 라우팅 정책 테스트 이해
  - 예: 복잡한 정규식을 사용한 라우팅 정책 테스트
play_arrow 방화벽 필터 구성
play_arrow 트래픽 폴리서 구성
play_arrow 구성 명령문 및 작동 명령
play_arrow 문제 해결
- play_arrow 기술 자료
  - https://kb.juniper.net/

list Table of Contents

이 페이지에서

Single-Rate Two-Color Policer 개요
예: 수신 단일 속도 2색 폴리서를 구성하여 네트워크 경계에서 인바운드 트래픽 제한
예: 동일한 인터페이스에서 인터페이스 및 방화벽 필터 폴리서 구성

keyboard_arrow_right

이 기계 번역이 도움이 되었습니까?

Go to English page

면책 조항:

이 페이지는 타사 기계 번역 소프트웨어를 사용해 번역됩니다. 주니퍼 네트웍스에서는 우수한 품질의 번역을 제공하기 위한 합리적인 수준의 노력을 기울이지만 해당 컨텐츠의 정확성을 보장할 수 없습니다. 본 번역에 포함된 정보의 정확성과 관련해 의문이 있는 경우 영문 버전을 참조하시기 바랍니다. 다운로드 가능한 PDF는 영어로만 제공됩니다.

기본 단일 속도 2색 폴리서

date_range 19-Jan-25

arrow_backward

arrow_forward

Single-Rate Two-Color Policer 개요

단일 속도 2색 폴리싱은 제한을 준수하지 않는 트래픽에 암시적 또는 구성된 작업을 적용하여 특정 서비스 수준에 대해 구성된 트래픽 흐름 속도를 적용합니다. 인터페이스의 입력 또는 출력 트래픽에 단일 속도 2색 폴리서를 적용하면 폴리서는 다음 구성 요소에 의해 정의된 속도 제한까지 트래픽 플로우를 측정합니다.

Bandwidth limit(대역폭 제한) - 인터페이스에서 수신 또는 전송된 패킷에 허용되는 초당 평균 비트 수입니다. 대역폭 제한을 초당 절대 비트 수 또는 1에서 100까지의 백분율 값으로 지정할 수 있습니다. 백분율 값이 지정되면 유효 대역폭 제한은 물리적 인터페이스 미디어 속도 또는 논리적 인터페이스 구성 셰이핑 속도의 백분율로 계산됩니다.
초당 패킷 수(pps) 제한(MPC가 있는 MX 시리즈만 해당)–인터페이스에서 수신 또는 전송된 패킷에 허용되는 초당 평균 패킷 수입니다. pps 제한을 초당 절대 패킷 수로 지정합니다.
버스트 크기 제한 - 데이터 버스트에 허용되는 최대 크기입니다.
패킷 버스트 제한–

구성된 제한(그린 트래픽으로 분류)을 준수하는 트래픽 플로우의 경우, 패킷은 암시적으로 패킷 손실 우선순위(PLP) 수준으로 low 표시되며 제한 없이 인터페이스를 통과할 수 있습니다.

구성된 제한(레드 트래픽으로 분류)을 초과하는 트래픽 플로우의 경우, 패킷은 폴리서에 대해 구성된 트래픽 폴리싱 작업에 따라 처리됩니다. 패킷을 폐기하는 작업일 수도 있고, 지정된 포워딩 클래스, 지정된 PLP 또는 둘 다로 패킷을 다시 표시한 다음 패킷을 전송하는 것일 수도 있습니다.

레이어 3 트래픽 속도를 제한하려면 다음과 같은 방법으로 2색 폴리서를 적용할 수 있습니다.

특정 프로토콜 수준에서 논리적 인터페이스에 직접 연결됩니다.
특정 프로토콜 수준에서 논리적 인터페이스에 적용되는 표준 상태 비저장 방화벽 필터 의 작업입니다.

레이어 2 트래픽 속도를 제한하려면 2색 폴리서를 논리적 인터페이스 폴리서 로만 적용할 수 있습니다. 방화벽 필터를 통해 레이어 2 트래픽에 2색 폴리서를 적용할 수 없습니다.

주:

MX 플랫폼에서 트래픽 흐름이 구성된 폴리서 제한으로 확인될 때 PLP(Packet Loss Priority)는 암묵적으로 낮음(녹색)이 아닙니다. 대신 높음, 중간-높음, 중간-낮음과 같은 사용자 구성 PLP 값을 사용합니다. MX 플랫폼에서 이 동작을 활성화하려면 아래를 edit firewall policer <policer-name> 사용합니다dp-rewrite. 노브가 활성화되지 않은 경우 패킷은 원래 색상과 손실 우선 순위를 가질 수 있습니다.

예: 수신 단일 속도 2색 폴리서를 구성하여 네트워크 경계에서 인바운드 트래픽 제한

이 예에서는 수신 트래픽을 필터링하기 위해 수신 단일 속도 2색 폴리서를 구성하는 방법을 보여줍니다. 폴리서는 계약 내 트래픽과 계약 외 트래픽에 대해 CoS(Class of Service) 전략을 시행합니다. 수신 패킷, 발신 패킷 또는 둘 다에 단일 속도 2색 폴리서를 적용할 수 있습니다. 이 예는 폴리서를 입력(수신) 폴리서로 적용합니다. 이 주제의 목표는 트래픽 폴리싱의 실제 모습을 보여주는 예제를 사용하여 폴리싱에 대한 소개를 제공하는 것입니다.

폴리서는 토큰 버킷이라는 개념을 사용하여 폴리서에 대해 정의된 매개 변수를 기반으로 시스템 리소스를 할당합니다. 토큰 버킷 개념과 기본 알고리즘에 대한 자세한 설명은 이 문서의 범위를 벗어납니다. 트래픽 폴리싱 및 일반적인 CoS에 대한 자세한 내용은 Miguel Barreiros와 Peter Lundqvist의 QOS-Enabled Networks—Tools and Foundations 를 참조하십시오. 이 책은 많은 온라인 서점과 www.juniper.net/books 에서 구할 수 있습니다.

요구 사항
개요
구성
검증

요구 사항

이 절차를 확인하기 위해 이 예에서는 트래픽 생성기를 사용합니다. 트래픽 생성기는 하드웨어 기반일 수도 있고 서버 또는 호스트 시스템에서 실행되는 소프트웨어일 수도 있습니다.

이 절차의 기능은 Junos OS를 실행하는 디바이스에서 널리 지원됩니다. 여기에 표시된 예는 Junos OS 릴리스 10.4를 실행하는 MX 시리즈 라우터에서 테스트 및 검증되었습니다.

개요

단일 속도 2색 폴리싱은 제한에 부합하지 않는 트래픽에 암시적 또는 구성된 작업을 적용하여 특정 서비스 수준에 대해 구성된 트래픽 흐름 속도를 적용합니다. 인터페이스의 입력 또는 출력 트래픽에 단일 속도 2색 폴리서를 적용하면 폴리서는 다음 구성 요소에 의해 정의된 속도 제한까지 트래픽 플로우를 측정합니다.

Bandwidth limit(대역폭 제한) - 인터페이스에서 수신 또는 전송된 패킷에 허용되는 초당 평균 비트 수입니다. 대역폭 제한을 초당 절대 비트 수 또는 1에서 100까지의 백분율 값으로 지정할 수 있습니다. 백분율 값이 지정되면 유효 대역폭 제한은 물리적 인터페이스 미디어 속도 또는 논리적 인터페이스 구성 셰이핑 속도의 백분율로 계산됩니다.
버스트 크기 제한 - 데이터 버스트에 허용되는 최대 크기입니다. 버스트 크기는 바이트 단위로 측정됩니다. 버스트 크기를 계산하기 위해 두 가지 공식을 사용하는 것이 좋습니다.

버스트 크기 = 대역폭 x 버스트 트래픽에 허용되는 시간 / 8

또는

버스트 크기 = 인터페이스 최대 전송 단위(MTU) x 10

버스트 크기 구성에 대한 자세한 내용은 트래픽 폴리서에 대한 적절한 버스트 크기 결정을 참조하십시오.

주:
인터페이스에는 한정된 버퍼 공간이 있습니다. 일반적으로 인터페이스의 예상 총 버퍼 깊이는 약 125ms입니다.

구성된 제한(그린 트래픽으로 분류)을 준수하는 트래픽 플로우의 경우, 패킷은 묵시적으로 낮은 PLP(Packet Loss Priority) 수준으로 표시되며 제한 없이 인터페이스를 통과할 수 있습니다.

구성된 제한(레드 트래픽으로 분류)을 초과하는 트래픽 플로우의 경우, 패킷은 폴리서에 대해 구성된 트래픽 폴리싱 작업에 따라 처리됩니다. 이 예에서는 15KBps 제한을 초과하여 버스트하는 패킷을 삭제합니다.

레이어 3 트래픽 속도를 제한하려면 다음과 같은 방법으로 2색 폴리서를 적용할 수 있습니다.

특정 프로토콜 수준에서 논리적 인터페이스에 직접 연결됩니다.
특정 프로토콜 수준에서 논리적 인터페이스에 적용되는 표준 상태 비저장 방화벽 필터의 작업입니다. 이것이 이 예제에서 사용된 기술입니다.

레이어 2 트래픽 속도를 제한하려면 2색 폴리서를 논리적 인터페이스 폴리서로만 적용할 수 있습니다. 방화벽 필터를 통해 레이어 2 트래픽에 2색 폴리서를 적용할 수 없습니다.

경고:

대역폭 제한 또는 대역폭 비율은 상호 배타적이므로 폴리서 내에서 선택할 수 있습니다. 폴리서가 애그리게이션, 터널 및 소프트웨어 인터페이스에 대역폭 퍼센트를 사용하도록 구성할 수 없습니다.

이 예에서 호스트는 웹 서버를 에뮬레이트하는 트래픽 생성기입니다. 디바이스 R1 및 R2는 서비스 프로바이더가 소유합니다. 웹 서버는 장치 Host2의 사용자가 액세스합니다. 디바이스 Host1은 소스 TCP HTTP 포트가 80인 트래픽을 사용자에게 보냅니다. 단일 속도 2색 폴리서가 구성되어 디바이스 Host1에 연결되는 디바이스 R1의 인터페이스에 적용됩니다. 폴리서는 디바이스 호스트1을 디바이스 R1에 연결하는 링크를 통해 흐르는 웹 트래픽에 대해 웹 서버 소유자와 디바이스 R1을 소유한 서비스 프로바이더 간에 이루어진 계약상의 대역폭 가용성을 적용합니다.

웹 서버 소유자와 디바이스 R1 및 R2를 소유한 서비스 프로바이더 간의 계약상 대역폭 가용성에 따라, 폴리서는 디바이스 Host1에서 시작되는 HTTP 포트 80 트래픽을 호스트 디바이스 Host1과 디바이스 R1 간 기가비트 이더넷 인터페이스의 MTU 크기의 10배의 허용 가능한 버스트 속도로 사용 가능한 대역폭의 700Mbps(70%)를 사용하도록 제한합니다.

주:

실제 시나리오에서는 FTP, SFTP, SSH, 텔넷, SMTP, IMAP 및 POP3와 같은 다양한 다른 포트에 대한 속도 제한 트래픽도 웹 호스팅 서비스와 함께 추가 서비스로 포함되기 때문입니다.

주:

라우팅 프로토콜, DNS 및 네트워크 연결 작동을 유지하는 데 필요한 기타 프로토콜과 같은 네트워크 제어 프로토콜에 대해 속도가 제한되지 않는 몇 가지 추가 대역폭을 사용할 수 있도록 남겨 두어야 합니다. 이것이 방화벽 필터에 최종 수락 조건이 있는 이유입니다.

토폴로지

이 예에서는 의 그림 1토폴로지를 사용합니다.

그림 1: 단일 속도 2색 폴리서 시나리오

그림 2 폴리싱 동작을 보여줍니다.

그림 2: 단일 속도 2색 폴리서 시나리오에서 트래픽 제한

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣습니다.

디바이스 R1

content_copy zoom_out_map
set interfaces ge-2/0/5 description to-Host
set interfaces ge-2/0/5 unit 0 family inet address 172.16.70.2/30
set interfaces ge-2/0/5 unit 0 family inet filter input mf-classifier
set interfaces ge-2/0/8 description to-R2
set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.1/30
set interfaces lo0 unit 0 description looback-interface
set interfaces lo0 unit 0 family inet address 192.168.13.1/32
set firewall policer discard if-exceeding bandwidth-limit 700m
set firewall policer discard if-exceeding burst-size-limit 15k
set firewall policer discard then discard
set firewall family inet filter mf-classifier term t1 from protocol tcp
set firewall family inet filter mf-classifier term t1 from port 80
set firewall family inet filter mf-classifier term t1 then policer discard
set firewall family inet filter mf-classifier term t2 then accept
set protocols ospf area 0.0.0.0 interface ge-2/0/5.0 passive
set protocols ospf area 0.0.0.0 interface lo0.0 passive
set protocols ospf area 0.0.0.0 interface ge-2/0/8.0

디바이스 R2

content_copy zoom_out_map
set interfaces ge-2/0/8 description to-R1
set interfaces ge-2/0/8 unit 0 family inet address 10.50.0.2/30
set interfaces ge-2/0/7 description to-Host
set interfaces ge-2/0/7 unit 0 family inet address 172.16.80.2/30
set interfaces lo0 unit 0 description looback-interface
set interfaces lo0 unit 0 family inet address 192.168.14.1/32
set protocols ospf area 0.0.0.0 interface ge-2/0/7.0 passive
set protocols ospf area 0.0.0.0 interface lo0.0 passive
set protocols ospf area 0.0.0.0 interface ge-2/0/8.0

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색 관련 정보는 Junos OS CLI 사용자 가이드의 구성 모드에서의 CLI 편집기 사용을 참조하십시오.

디바이스 R1 구성

디바이스 인터페이스를 구성합니다.

content_copy zoom_out_map
[edit interfaces]
user@R1# set ge-2/0/5 description to-Host
user@R1# set ge-2/0/5 unit 0 family inet address 172.16.70.2/30
user@R1# set ge-2/0/8 description to-R2
user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.1/30
user@R1# set lo0 unit 0 description looback-interface
user@R1# set lo0 unit 0 family inet address 192.168.13.1/32

방화벽 필터를 인터페이스 ge-2/0/5에 입력 필터로 적용합니다.
```
[edit interfaces ge-2/0/5 unit 0 family inet]
user@R1# set filter input mf-classifier
```
HTTP 트래픽(TCP 포트 80)에 대해 700Mbps의 대역폭 및 15000KBps의 버스트 크기로 속도를 제한하도록 폴리서를 구성합니다.
```
[edit firewall policer discard]
user@R1# set if-exceeding bandwidth-limit 700m
user@R1# set if-exceeding burst-size-limit 15k
```
빨간색 트래픽 흐름에서 패킷을 폐기하도록 폴리서를 구성합니다.
```
[edit firewall policer discard]
user@R1# set then discard
```
포트 HTTP(포트 80)에 대한 모든 TCP 트래픽을 허용하도록 방화벽의 두 가지 조건을 구성합니다.
```
[edit firewall  family inet filter mf-classifier]
user@R1# set term t1 from protocol tcp
user@R1# set term t1 from port 80
```
폴리서를 사용하여 HTTP TCP 트래픽의 속도를 제한하도록 방화벽 작업을 구성합니다.
```
[edit firewall  family inet filter mf-classifier]
user@R1# set term t1 then policer discard
```
방화벽 필터의 끝에서 다른 모든 트래픽을 허용하는 기본 작업을 구성합니다.

그렇지 않으면 인터페이스에 도착하고 방화벽에서 명시적으로 수락하지 않은 모든 트래픽이 삭제됩니다.
```
[edit firewall  family inet filter mf-classifier]
user@R1# set term t2 then accept
```

OSPF를 구성합니다.

content_copy zoom_out_map
[edit protocols ospf]
user@R1# set area 0.0.0.0 interface ge-2/0/5.0 passive
user@R1# set area 0.0.0.0 interface lo0.0 passive
user@R1# set area 0.0.0.0 interface ge-2/0/8.0

단계별 절차

디바이스 R2 구성:

디바이스 인터페이스를 구성합니다.

content_copy zoom_out_map
[edit interfaces]
user@R1# set ge-2/0/8 description to-R1
user@R1# set ge-2/0/7 description to-Host
user@R1# set lo0 unit 0 description looback-interface
user@R1# set ge-2/0/8 unit 0 family inet address 10.50.0.2/30
user@R1# set ge-2/0/7 unit 0 family inet address 172.16.80.2/30
user@R1# set lo0 unit 0 family inet address 192.168.14.1/32

OSPF를 구성합니다.

content_copy zoom_out_map
[edit protocols ospf]
user@R1# set area 0.0.0.0 interface ge-2/0/7.0 passive
user@R1# set area 0.0.0.0 interface lo0.0 passive
user@R1# set area 0.0.0.0 interface ge-2/0/8.0

결과

구성 모드에서 , show firewall및 show protocols ospf 명령을 입력하여 show interfaces 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

content_copy zoom_out_map
user@R1# show interfaces
ge-2/0/5 {
    description to-Host;
    unit 0 {
        family inet {
            filter {
                input mf-classifier;
            }
            address 172.16.70.2/30;
        }
    }
}
ge-2/0/8 {
    description to-R2;
    unit 0 {
        family inet {
            address 10.50.0.1/30;
        }
    }
}
lo0 {
    unit 0 {
        description looback-interface;
        family inet {
            address 192.168.13.1/32;
        }
    }
}

content_copy zoom_out_map
user@R1# show firewall
family inet {
    filter mf-classifier {
        term t1 {
            from {
                protocol tcp;
                port 80;
            }
            then policer discard;
        }
        term t2 {
            then accept;
        }
    }
}
policer discard {
    if-exceeding {
        bandwidth-limit 700m;
        burst-size-limit 15k;
    }
    then discard;
}

content_copy zoom_out_map
user@R1# show protocols ospf
area 0.0.0.0 {
    interface ge-2/0/5.0 {
        passive;
    }
    interface lo0.0 {
        passive;
    }
    interface ge-2/0/8.0;
}

디바이스 R1 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

content_copy zoom_out_map
user@R2# show interfaces
ge-2/0/7 {
    description to-Host;
    unit 0 {
        family inet {
            address 172.16.80.2/30;
        }
    }
}
ge-2/0/8 {
    description to-R1;
    unit 0 {
        family inet {
            address 10.50.0.2/30;
        }
    }
}
lo0 {
    unit 0 {
        description looback-interface;
        family inet {
            address 192.168.14.1/32;
        }
    }
}

content_copy zoom_out_map
user@R2# show protocols ospf
area 0.0.0.0 {
    interface ge-2/0/7.0 {
        passive;
    }
    interface lo0.0 {
        passive;
    }
    interface ge-2/0/8.0;
}

디바이스 R2 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

검증

구성이 올바르게 작동하고 있는지 확인합니다.

카운터 지우기
TCP 트래픽을 네트워크로 전송 및 폐기 모니터링

카운터 지우기

목적
작업

목적

방화벽 카운터가 지워졌는지 확인합니다.

작업

디바이스 R1에서 명령을 실행하여 clear firewall all 방화벽 카운터를 0으로 재설정합니다.

content_copy zoom_out_map
user@R1> clear firewall all

TCP 트래픽을 네트워크로 전송 및 폐기 모니터링

목적
작업
의미

목적

전송되는 관심 트래픽이 입력 인터페이스(ge-2/0/5)에서 속도 제한인지 확인합니다.

작업

트래픽 생성기를 사용하여 소스 포트가 80인 10개의 TCP 패킷을 보냅니다.

-s 플래그는 소스 포트를 설정합니다. -k 플래그는 소스 포트가 증가하는 대신 80에서 일정하게 유지되도록 합니다. -c 플래그는 패킷 수를 10으로 설정합니다. -d 플래그는 패킷 크기를 설정합니다.

대상 IP 주소 172.16.80.1은 디바이스 R2에 연결된 디바이스 호스트 2에 속합니다. 디바이스 호스트 2의 사용자가 디바이스 호스트 1(디바이스 호스트 1의 트래픽 생성기에 의해 에뮬레이트된 웹 서버)에서 웹 페이지를 요청했습니다. 속도가 제한되는 패킷은 디바이스 호스트 2의 요청에 대한 응답으로 디바이스 호스트 1에서 전송됩니다.

주:
이 예에서 폴리서 번호는 8Kbps의 대역폭 제한과 1500KBps의 버스트 크기 제한으로 축소되어 이 테스트 중에 일부 패킷이 삭제되도록 합니다.
```
[root@host]#  hping 172.16.80.1  -c 10 -s 80  -k -d 300


[User@Host]#  hping 172.16.80.1 -c 10 -s 80 -k -d 350
HPING 172.16.80.1 (eth1 172.16.80.1): NO FLAGS are set, 40 headers + 350 data bytes
len=46 ip=172.16.80.1 ttl=62 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=0.5 ms
.
.
.
--- 172.16.80.1 hping statistic ---
10 packets transmitted, 6 packets received, 40% packet loss
round-trip min/avg/max = 0.5/3000.8/7001.3 ms
```

디바이스 R1에서 명령을 사용하여 방화벽 카운터를 show firewall 확인합니다.

content_copy zoom_out_map
user@R1> show firewall


User@R1# run show firewall         

Filter: __default_bpdu_filter__                                

Filter: mf-classifier                                          
Policers:
Name                                                Bytes              Packets
discard-t1                                          1560               4

의미

1단계와 2단계에서 두 디바이스의 출력은 4개의 패킷이 폐기되었음을 보여줍니다. 즉, 최소 8Kbps의 녹색(계약 내 HTTP 포트 80) 트래픽이 있었고 빨간색 계약 외 HTTP 포트 80 트래픽에 대한 1500KBps 버스트 옵션을 초과했습니다.

예: 동일한 인터페이스에서 인터페이스 및 방화벽 필터 폴리서 구성

이 예는 3개의 단일 속도 2색 폴리서를 구성하고 동일한 단일 태그 가상 LAN(VLAN) 논리적 인터페이스에서 IPv4 입력 트래픽에 폴리서를 적용하는 방법을 보여줍니다.

요구 사항
개요
구성
검증

요구 사항

이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.

개요

이 예에서는 3개의 단일 속도 2색 폴리서를 구성하고 동일한 단일 태그 VLAN 논리적 인터페이스에서 IPv4 입력 트래픽에 폴리서를 적용합니다. 2개의 폴리서가 방화벽 필터를 통해 인터페이스에 적용되고, 1개의 폴리서가 인터페이스에 직접 적용됩니다.

버스트 크기가 5,000바이트인 1Mbps로 트래픽 속도를 제한하기 위해 라는 하나의 폴리서를 p-all-1m-5k-discard구성합니다. 이 폴리서를 논리적 인터페이스의 IPv4 입력 트래픽에 직접 적용합니다. 논리적 인터페이스에서 프로토콜별 트래픽에 직접 폴리서를 적용하면 폴리서가 인터페이스 폴리서로 적용된다고 합니다.

다른 두 폴리서는 500KB의 버스트 크기를 허용하도록 구성하고, IPv4 표준 스테이트리스 방화벽 필터를 사용하여 논리적 인터페이스에서 IPv4 입력 트래픽에 이러한 폴리서를 적용합니다. 방화벽 필터 동작을 통해 논리적 인터페이스에서 프로토콜별 트래픽에 폴리서를 적용하면 해당 폴리서가 방화벽 필터 폴리서로 적용된다고 합니다.

이러한 제한을 준수하지 않는 패킷을 삭제하여 버스트 크기가 500K바이트인 500Kbps로 트래픽 속도를 제한하도록 명명된 p-icmp-500k-500k-discard 폴리서를 구성합니다. 방화벽 필터 용어 중 하나를 구성하여 이 폴리서를 ICMP(Internet Control Message Protocol) 패킷에 적용합니다.
이러한 제한을 준수하지 않는 패킷을 삭제하여 버스트 크기가 500KB인 10% 대역폭으로 트래픽 속도를 제한하도록 명명된 p-ftp-10p-500k-discard 폴리서를 구성합니다. 이 폴리서를 FTP(File Transfer Protocol) 패킷에 적용하기 위해 다른 방화벽 필터 용어를 구성합니다.

절대 대역폭 값이 아닌 백분율 값으로 표시되는 대역폭 제한으로 구성하는 폴리서를 대역폭 폴리서라고 합니다. 단일 속도 2색 폴리서만 백분율 대역폭 사양으로 구성할 수 있습니다. 기본적으로 대역폭 폴리서는 대상 논리적 인터페이스의 기반이 되는 물리적 인터페이스의 회선 속도의 지정된 백분율로 트래픽을 제한합니다.

토폴로지

100Mbps로 작동하는 고속 이더넷 인터페이스에서 대상 논리적 인터페이스를 단일 태그 VLAN 논리적 인터페이스로 구성합니다. 즉, 10% 대역폭 제한으로 구성하는 폴리서(FTP 패킷에 적용하는 폴리서)는 이 인터페이스의 FTP 트래픽을 10Mbps로 속도 제한합니다.

주:

이 예에서는 대역폭 폴리서를 논리 대역폭 폴리서로 구성하지 않습니다. 따라서 백분율은 논리적 인터페이스의 구성된 셰이핑 속도보다는 물리적 미디어 속도를 기반으로 합니다.

두 개의 폴리서를 참조하도록 구성하는 방화벽 필터는 인터페이스별 필터로 구성해야 합니다. FTP 패킷 속도 제한에 사용되는 폴리서가 대역폭 제한을 백분율 값으로 지정하기 때문에 이 폴리서를 참조하는 방화벽 필터는 인터페이스별 필터로 구성되어야 합니다. 따라서, 이 예에서 이 방화벽 필터를 고속 이더넷 인터페이스만이 아닌 여러 인터페이스에 적용한다면, 필터가 적용되는 각 인터페이스에 대해 고유한 폴리서와 카운터가 생성될 것입니다.

구성

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 구성 모드에서 CLI 편집기 사용.

이 예를 구성하려면 다음 작업을 수행합니다.

CLI 빠른 구성
단일 태그 VLAN 논리적 인터페이스 구성
3개의 폴리서 구성
IPv4 방화벽 필터 구성
인터페이스 폴리서 및 방화벽 필터 폴리서를 논리적 인터페이스에 적용

CLI 빠른 구성

이 예를 빠르게 구성하려면, 다음 구성 명령을 텍스트 파일에 복사하고, 줄 바꿈을 제거한 다음, 계층 수준에서 명령을 CLI에 붙여넣습니다 [edit] .

content_copy zoom_out_map
set interfaces fe-0/1/1 vlan-tagging
set interfaces fe-0/1/1 unit 0 vlan-id 100
set interfaces fe-0/1/1 unit 0 family inet address 10.20.15.1/24
set interfaces fe-0/1/1 unit 1 vlan-id 101
set interfaces fe-0/1/1 unit 1 family inet address 10.20.240.1/24
set firewall policer p-all-1m-5k-discard if-exceeding bandwidth-limit 1m
set firewall policer p-all-1m-5k-discard if-exceeding burst-size-limit 5k
set firewall policer p-all-1m-5k-discard then discard
set firewall policer p-ftp-10p-500k-discard if-exceeding bandwidth-percent 10
set firewall policer p-ftp-10p-500k-discard if-exceeding burst-size-limit 500k
set firewall policer p-ftp-10p-500k-discard then discard
set firewall policer p-icmp-500k-500k-discard if-exceeding bandwidth-limit 500k
set firewall policer p-icmp-500k-500k-discard if-exceeding burst-size-limit 500k
set firewall policer p-icmp-500k-500k-discard then discard
set firewall family inet filter filter-ipv4-with-limits interface-specific
set firewall family inet filter filter-ipv4-with-limits term t-ftp from protocol tcp
set firewall family inet filter filter-ipv4-with-limits term t-ftp from port ftp
set firewall family inet filter filter-ipv4-with-limits term t-ftp from port ftp-data
set firewall family inet filter filter-ipv4-with-limits term t-ftp then policer p-ftp-10p-500k-discard
set firewall family inet filter filter-ipv4-with-limits term t-icmp from protocol icmp
set firewall family inet filter filter-ipv4-with-limits term t-icmp then policer p-icmp-500k-500k-discard
set firewall family inet filter filter-ipv4-with-limits term catch-all then accept
set interfaces fe-0/1/1 unit 1 family inet filter input filter-ipv4-with-limits
set interfaces fe-0/1/1 unit 1 family inet policer input p-all-1m-5k-discard

단일 태그 VLAN 논리적 인터페이스 구성

단계별 절차
결과

단계별 절차

단일 태그 VLAN 논리적 인터페이스를 구성하려면 다음을 수행합니다.

고속 이더넷 인터페이스의 구성을 활성화합니다.
```
[edit]
user@host# edit interfaces fe-0/1/1
```
단일 태그 VLAN 프레이밍을 활성화합니다.
```
[edit interfaces fe-0/1/1]
user@host# set vlan-tagging
```

VLAN ID를 논리적 인터페이스에 바인딩합니다.

content_copy zoom_out_map
[edit interfaces fe-0/1/1]
user@host# set unit 0 vlan-id 100
user@host# set unit 1 vlan-id 101

단일 태그 VLAN 논리적 인터페이스에서 IPv4를 구성합니다.

content_copy zoom_out_map
[edit interfaces fe-0/1/1]
user@host# set unit 0 family inet address 10.20.15.1/24
user@host# set unit 1 family inet address 10.20.240.1/24

결과

구성 모드 명령을 입력하여 VLAN의 show interfaces 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.

content_copy zoom_out_map
[edit]
user@host# show interfaces
fe-0/1/1 {
    vlan-tagging;
    unit 0 {
        vlan-id 100;
        family inet {
            address 10.20.15.1/24;
        }
    }
    unit 1 {
        vlan-id 101;
        family inet {
            address 10.20.240.1/24;
        }
    }
}

3개의 폴리서 구성

단계별 절차
결과

단계별 절차

3개의 폴리서를 구성하려면 다음을 수행합니다.

1Mbps의 대역폭과 5000바이트의 버스트 크기를 준수하지 않는 패킷을 폐기하는 2색 폴리서의 구성을 활성화합니다.

주:
이 폴리서를 단일 태그 VLAN 논리 인터페이스의 모든 IPv4 입력 트래픽에 직접 적용하므로 패킷이 속도 제한을 받기 전에 필터링되지 않습니다.
```
[edit]
user@host# edit firewall policer p-all-1m-5k-discard
```

첫 번째 폴리서를 구성합니다.

content_copy zoom_out_map
[edit firewall policer p-all-1m-5k-discard]
user@host# set if-exceeding bandwidth-limit 1m
user@host# set if-exceeding burst-size-limit 5k
user@host# set then discard

"10%"로 지정된 대역폭 및 500,000바이트의 버스트 크기를 준수하지 않는 패킷을 폐기하는 2색 폴리서의 구성을 활성화합니다.

이 폴리서는 단일 태그 VLAN 논리적 인터페이스의 FTP 트래픽에만 적용합니다.

이 폴리서를 TCP의 FTP 패킷과 일치하는 IPv4 방화벽 필터 용어의 작업으로 적용합니다.
```
[edit firewall policer p-all-1m-5k-discard]
user@host# up
 
[edit]
user@host# edit firewall policer p-ftp-10p-500k-discard
```
폴리싱 제한 및 작업을 구성합니다.
```
[edit firewall policer p-ftp-10p-500k-discard]
user@host# set if-exceeding bandwidth-percent 10
user@host# set if-exceeding burst-size-limit 500k
user@host# set then discard
```
대역폭 제한이 백분율로 지정되기 때문에 이 폴리서를 참조하는 방화벽 필터는 인터페이스별 필터로 구성되어야 합니다.

주:
이 폴리서가 (물리적 인터페이스 미디어 속도의 10%가 아닌) 논리적 인터페이스 구성 셰이핑 속도의 10%로 속도를 제한하도록 하려면 계층 수준에서 명령문을 [edit firewall policer p-all-1m-5k-discard] 포함해야 logical-bandwidth-policer 합니다. 이러한 유형의 폴리서를 논리 대역폭 폴리서라고 합니다.

ICMP 패킷에 대한 IPv4 방화벽 필터 폴리서의 구성을 활성화합니다.

content_copy zoom_out_map
[edit firewall policer p-ftp-10p-500k-discard]
user@host# up
 
[edit]
user@host# edit firewall policer p-icmp-500k-500k-discard

폴리싱 제한 및 작업을 구성합니다.

content_copy zoom_out_map
[edit firewall policer p-icmp-500k-500k-discard]
user@host# set if-exceeding bandwidth-limit 500k
user@host# set if-exceeding burst-size-limit 500k
user@host# set then discard

결과

구성 모드 명령을 입력하여 폴리서의 show firewall 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.

[edit]
user@host# show firewall
policer p-all-1m-5k-discard {
    if-exceeding {
        bandwidth-limit 1m;
        burst-size-limit 5k;
    }
    then discard;
}
policer p-ftp-10p-500k-discard {
    if-exceeding {
        bandwidth-percent 10;
        burst-size-limit 500k;
    }
    then discard;
}
policer p-icmp-500k-500k-discard {
    if-exceeding {
        bandwidth-limit 500k;
        burst-size-limit 500k;
    }
    then discard;
}

IPv4 방화벽 필터 구성

단계별 절차
결과

단계별 절차

IPv4 방화벽 필터 구성하기:

IPv4 방화벽 필터의 구성을 활성화합니다.
```
[edit]
user@host# edit firewall family inet filter filter-ipv4-with-limits
```
방화벽 필터를 인터페이스별로 구성합니다.
```
[edit firewall family inet filter filter-ipv4-with-limits]
user@host# set interface-specific
```
방화벽 필터는 인터페이스별로 달라져야 하는데, 참조된 폴리서 중 하나가 백분율 값으로 표시되는 대역폭 제한으로 구성되기 때문입니다.

FTP 패킷의 속도를 제한하는 필터 용어 구성을 활성화합니다.

content_copy zoom_out_map
[edit firewall family inet filter filter-ipv4-with-limits]
user@host# edit term t-ftp
 
[edit firewall family inet filter filter-ipv4-with-limits term t-ftp]
user@host# set from protocol tcp
user@host# set from port [ ftp ftp-data ]

FTP 메시지는 TCP 포트 20()을 통해 전송되고 TCP 포트 21(ftpftp-data)을 통해 수신됩니다.

FTP 패킷과 일치하도록 필터 용어를 구성합니다.

content_copy zoom_out_map
[edit firewall family inet filter filter-ipv4-with-limits term t-ftp]
user@host# set then policer p-ftp-10p-500k-discard

ICMP 패킷의 속도를 제한하는 필터 용어 구성을 활성화합니다.

content_copy zoom_out_map
[edit firewall family inet filter filter-ipv4-with-limits term t-ftp]
user@host# up
 
[edit firewall family inet filter filter-ipv4-with-limits]
user@host# edit term t-icmp

ICMP 패킷에 대한 필터 용어 구성

content_copy zoom_out_map
[edit firewall family inet filter filter-ipv4-with-limits term t-icmp]
user@host# set from protocol icmp
user@host# set then policer p-icmp-500k-500k-discard

폴리싱 없이 다른 모든 패킷을 수락하도록 필터 용어를 구성합니다.

content_copy zoom_out_map
[edit firewall family inet filter filter-ipv4-with-limits term t-icmp]
user@host# up
 
[edit firewall family inet filter filter-ipv4-with-limits]
user@host# set term catch-all then accept

결과

구성 모드 명령을 입력하여 방화벽 필터의 show firewall 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.

[edit]
user@host# show firewall
family inet {
    filter filter-ipv4-with-limits {
        interface-specific;
        term t-ftp {
            from {
                protocol tcp;
                port [ ftp ftp-data ];
            }
            then policer p-ftp-10p-500k-discard;
        }
        term t-icmp {
            from {
                protocol icmp;
            }
            then policer p-icmp-500k-500k-discard;
        }
        term catch-all {
            then accept;
        }
    }
}
policer p-all-1m-5k-discard {
    if-exceeding {
        bandwidth-limit 1m;
        burst-size-limit 5k;
    }
    then discard;
}
policer p-ftp-10p-500k-discard {
    if-exceeding {
        bandwidth-percent 10;
        burst-size-limit 500k;
    }
    then discard;
}
policer p-icmp-500k-500k-discard {
    if-exceeding {
        bandwidth-limit 500k;
        burst-size-limit 500k;
    }
    then discard;
}

인터페이스 폴리서 및 방화벽 필터 폴리서를 논리적 인터페이스에 적용

단계별 절차
결과

단계별 절차

3개의 폴리서를 VLAN에 적용하려면 다음을 수행합니다.

논리적 인터페이스에서 IPv4 구성을 활성화합니다.
```
[edit]
user@host# edit interfaces fe-0/1/1 unit 1 family inet
```

인터페이스에 방화벽 필터 폴리서를 적용합니다.

content_copy zoom_out_map
[edit interfaces fe-0/1/1 unit 1 family inet]
user@host# set filter input filter-ipv4-with-limits

인터페이스에 인터페이스 폴리서를 적용합니다.
```
[edit interfaces fe-0/1/1 unit 1 family inet]
user@host# set policer input p-all-1m-5k-discard
```
의 fe-0/1/1.0 입력 패킷은 방화벽 필터 폴리서에 대해 평가되기 전에 인터페이스 폴리서에 대해 평가됩니다. 자세한 정보는 폴리서 및 방화벽 필터 작업 순서을 참조하십시오.

결과

구성 모드 명령을 입력하여 show interfaces 인터페이스 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.

[edit]
user@host# show interfaces
fe-0/1/1 {
    vlan-tagging;
    unit 0 {
        vlan-id 100;
        family inet {
            address 10.20.15.1/24;
        }
    }
    unit 1 {
        vlan-id 101;
        family inet {
            filter {
                input filter-ipv4-with-limits;
            }
            policer {
                input p-all-1m-5k-discard;
            }
            address 10.20.240.1/24;
        }
    }
}

디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

논리적 인터페이스에 직접 적용된 폴리서 표시
논리적 인터페이스에 직접 적용된 폴리서에 대한 통계 표시
인터페이스에 적용된 폴리서 및 방화벽 필터 표시
방화벽 필터 폴리서에 대한 통계 표시

논리적 인터페이스에 직접 적용된 폴리서 표시

목적
작업

목적

논리적 인터페이스에서 패킷이 수신될 때 인터페이스 폴리서가 평가되는지 확인합니다.

작업

show interfaces policers 논리적 인터페이스에 fe-0/1/1.1대해 운영 모드 명령을 사용합니다. 열과 Input Policer 열에 대한 Proto 명령 출력 섹션은 패킷이 논리적 인터페이스에서 수신될 때 폴리서 p-all-1m-5k-discard 가 평가됨을 보여줍니다.

content_copy zoom_out_map
user@host> show interfaces policers fe-0/1/1.1
Interface       Admin Link Proto Input Policer         Output Policer
fe-0/1/1.1      up    up        
                           inet  p-all-1m-5k-discard-fe-0/1/1.1-inet-i

이 예에서 인터페이스 폴리서는 입력 방향의 논리적 인터페이스 트래픽에만 적용됩니다.

논리적 인터페이스에 직접 적용된 폴리서에 대한 통계 표시

목적
작업

목적

인터페이스 폴리서가 평가한 패킷 수를 확인합니다.

작업

운영 모드 명령을 show policer 사용하고 선택적으로 폴리서의 이름을 지정합니다. 명령 출력은 각 방향으로 구성된 각 폴리서(또는 지정된 폴리서)가 평가한 패킷 수를 표시합니다.

content_copy zoom_out_map
user@host> show policer p-all-1m-5k-discard-fe-0/1/1.1-inet-i
Policers:
Name                                                Bytes              Packets
p-all-1m-5k-discard-fe-0/1/1.1-inet-i                 200                    5

인터페이스에 적용된 폴리서 및 방화벽 필터 표시

목적
작업

목적

방화벽 필터가 filter-ipv4-with-limits 논리적 인터페이스의 fe-0/1/1.1IPv4 입력 트래픽에 적용되었는지 확인합니다.

작업

show interfaces statistics 논리적 인터페이스에 fe-0/1/1.1대해 운영 모드 명령을 사용하고 옵션을 포함합니다detail. Protocol inet 명령 출력 섹션의 섹션 아래에서 및 Policer 행은 Input Filters 입력 방향으로 논리 인터페이스에 적용된 필터 및 폴리서의 이름을 표시합니다.

content_copy zoom_out_map
user@host> show interfaces statistics fe-0/1/1.1 detail
  Logical interface fe-0/1/1.1 (Index 83) (SNMP ifIndex 545) (Generation 153)
    Flags: SNMP-Traps 0x4000 VLAN-Tag [ 0x8100.100 ]  Encapsulation: ENET2
    Traffic statistics:
     Input  bytes  :                    0
     Output bytes  :                   46
     Input  packets:                    0
     Output packets:                    1
    Local statistics:
     Input  bytes  :                    0
     Output bytes  :                   46
     Input  packets:                    0
     Output packets:                    1
    Transit statistics:
     Input  bytes  :                    0                    0 bps
     Output bytes  :                    0                    0 bps
     Input  packets:                    0                    0 pps
     Output packets:                    0                    0 pps
    Protocol inet, MTU: 1500, Generation: 176, Route table: 0
      Flags: Sendbcast-pkt-to-re
      Input Filters: filter-ipv4-with-limits-fe-0/1/1.1-i
      Policer: Input: p-all-1m-5k-discard-fe-0/1/1.1-inet-i
      Addresses, Flags: Is-Preferred Is-Primary
        Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255,
        Generation: 169

이 예에서는 두 개의 방화벽 필터 폴리서가 입력 방향으로만 논리적 인터페이스 트래픽에 적용됩니다.

방화벽 필터 폴리서에 대한 통계 표시

목적
작업

목적

방화벽 필터 폴리서가 평가한 패킷 수를 확인합니다.

작업

논리적 인터페이스에 적용한 show firewall 필터에 대해 운영 모드 명령을 사용합니다.

content_copy zoom_out_map
[edit]
user@host> show firewall filter filter-ipv4-with-limits-fe-0/1/1.1-i

Filter: filter-ipv4-with-limits-fe-0/1/1.1-i                              
Policers:
Name                                                Bytes              Packets
p-ftp-10p-500k-discard-t-ftp-fe-0/1/1.1-i               0                    0
p-icmp-500k-500k-discard-t-icmp-fe-0/1/1.1-i            0                    0

명령 출력에는 폴리서 작업(policer action)이 지정되는 필터 용어(및 )의 이름과 결합된 폴리서(p-ftp-10p-500k-discardp-icmp-500k-500k-discardt-ftpt-icmp및 )의 이름이 표시됩니다. 폴리서별 출력 라인은 필터 용어와 일치하는 패킷 수를 표시합니다. 이는 사양을 벗어난(out-of-spec) 패킷 수의 수일 뿐이며, 폴리서에 의해 폴리싱된 모든 패킷이 아닙니다.

arrow_backward PREVIOUS 2색 폴리서 구성 개요

NEXT arrow_forward 대역폭 폴리서

Helped me install or use the product
Accelerated my deployment

Discuss the product with a co-worker
Make a purchase inquiry

라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 가이드

이 페이지에서

이 기계 번역이 도움이 되었습니까?

면책 조항:

기본 단일 속도 2색 폴리서

Single-Rate Two-Color Policer 개요

참조

예: 수신 단일 속도 2색 폴리서를 구성하여 네트워크 경계에서 인바운드 트래픽 제한

요구 사항

개요

토폴로지

구성

절차

CLI 빠른 구성

단계별 절차

단계별 절차

결과

검증

카운터 지우기

목적

작업

TCP 트래픽을 네트워크로 전송 및 폐기 모니터링

목적

작업

의미

예: 동일한 인터페이스에서 인터페이스 및 방화벽 필터 폴리서 구성

요구 사항

개요

토폴로지

구성

CLI 빠른 구성

단일 태그 VLAN 논리적 인터페이스 구성

단계별 절차

결과

3개의 폴리서 구성

단계별 절차

결과

IPv4 방화벽 필터 구성

단계별 절차

결과

인터페이스 폴리서 및 방화벽 필터 폴리서를 논리적 인터페이스에 적용

단계별 절차

결과

검증

논리적 인터페이스에 직접 적용된 폴리서 표시

목적

작업

논리적 인터페이스에 직접 적용된 폴리서에 대한 통계 표시

목적

작업

인터페이스에 적용된 폴리서 및 방화벽 필터 표시

목적

작업

방화벽 필터 폴리서에 대한 통계 표시

목적

작업

참조

관련 항목

Stay in touch