Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

예: 멀티필드 분류자용 방화벽 필터 구성 및 적용

이 예는 멀티필드 분류기를 사용하여 트래픽을 분류하기 위해 방화벽 필터를 구성하는 방법을 보여줍니다. 분류자는 인터페이스에 도착하면 CoS(Class of Service)에 대한 관심 패킷을 감지합니다. 간단한 행동 집계(BA) 분류자가 패킷을 분류하기에 부족하거나, 피어링 라우터에 CoS 비트가 표시되지 않거나 피어링 라우터의 마킹이 신뢰할 수 없는 경우 다중 필드 분류자가 사용됩니다.

요구 사항

이 절차를 확인하기 위해 이 예는 트래픽 생성기를 사용합니다. 트래픽 생성기는 하드웨어 기반이거나 서버 또는 호스트 머신에서 실행되는 소프트웨어일 수 있습니다.

이 절차의 기능은 Junos OS 실행되는 디바이스에서 널리 지원됩니다. 여기에 표시된 예는 릴리스 10.4를 Junos OS MX 시리즈 라우터에서 테스트 및 검증되었습니다.

개요

분류기는 라우터나 스위치에 들어갈 때 패킷을 검사하는 소프트웨어 작업입니다. 패킷 헤더 내용을 검사하고, 이 검사는 네트워크가 모든 패킷을 처리하기에 너무 바빠서 패킷을 무차별적으로 떨어뜨리는 대신 디바이스가 패킷을 지능적으로 삭제하기를 원할 때 패킷이 어떻게 처리되는지 결정합니다. 관심 패킷을 감지하는 한 가지 일반적인 방법은 소스 포트 번호입니다. TCP 포트 번호 80 및 12345는 이 예에서 사용되지만, 패킷 탐지를 위한 다른 많은 일치 기준은 방화벽 필터 일치 조건을 사용하여 멀티필드 분류자에서 사용할 수 있습니다. 이 예의 구성은 소스 포트 80이 있는 TCP 패킷이 BE-데이터 포워딩 클래스 및 대기열 번호 0으로 분류되도록 지정합니다. 소스 포트가 12345인 TCP 패킷은 Premium-Data Forwarding Class 및 대기열 번호 1로 분류됩니다.

패킷이 AS(Autonomous System)에 들어갈 때 멀티필드 분류자는 일반적으로 네트워크 에지에서 사용됩니다.

이 예에서 방화벽 필터 mf-classifier를 구성하고 디바이스 R1에서 일부 사용자 지정 포워딩 클래스를 지정합니다. 사용자 지정 포워딩 클래스를 지정할 때 각 클래스를 대기열과 연결합니다.

분류자 작업은 그림 1에 표시됩니다.

그림 1: TCP 소스 포트 Multifield Classifier Based on TCP Source Ports 기반의 멀티필드 분류자

멀티필드 분류자의 방화벽 필터를 필터가 필요한 각 고객 대면 또는 호스트 대면 인터페이스에 입력 필터로 적용합니다. 들어오는 인터페이스는 디바이스 R1에서 ge-1/0/1입니다. 나가는 인터페이스에서 분류 및 대기열 할당이 확인됩니다. 발신 인터페이스는 디바이스 R1의 ge-1/0/9 인터페이스입니다.

토폴로지

그림 2 는 샘플 네트워크를 보여줍니다.

그림 2: 멀티필드 분류자 시나리오 Multifield Classifier Scenario

CLI 빠른 구성그림 2의 모든 주니퍼 네트웍스 디바이스에 대한 구성을 보여줍니다.

단계별 절차 는 디바이스 R1의 단계를 설명합니다.

분류자는 다음 주니퍼 네트웍스 Learning Byte 비디오에 자세히 설명되어 있습니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력 commit 합니다.

디바이스 R1

디바이스 R2

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 Junos OS CLI 사용자 가이드구성 모드에서 CLI 편집기 사용을 참조하십시오.

디바이스 R1 구성:

  1. 디바이스 인터페이스를 구성합니다.

  2. 사용자 지정 포워딩 클래스 및 관련 대기열 번호를 구성합니다.

  3. 소스 포트가 80(HTTP 트래픽)인 TCP 트래픽을 대기열 0과 연결된 BE-data 포워딩 클래스로 배치하는 방화벽 필터 용어를 구성합니다.

  4. 소스 포트가 12345인 TCP 트래픽을 대기열 1과 연결된 Premium-Data Forwarding 클래스로 배치하는 방화벽 필터 용어를 구성합니다.

  5. 방화벽 필터의 끝에서 다른 모든 트래픽을 수용하는 기본 용어를 구성합니다.

    그렇지 않으면 인터페이스에 도착하여 방화벽 필터에 의해 명시적으로 수락되지 않은 모든 트래픽은 폐기됩니다.

  6. 입력 필터로 방화벽 필터를 ge-1/0/1 인터페이스에 적용합니다.

결과

구성 모드에서 , , show class-of-serviceshow firewall 명령을 입력하여 구성을 show interfaces확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 구성 모드에서 을(를) 입력합니다 commit .

확인

구성이 제대로 작동하는지 확인합니다.

CoS 설정 확인

목적

포워딩 클래스가 올바르게 구성되었는지 확인합니다.

작업

디바이스 R1에서 명령을 실행합니다 show class-of-service forwardng-classes .

의미

출력에는 구성된 사용자 정의 분류자 설정이 표시됩니다.

TCP 트래픽을 네트워크로 전송하고 대기열 배치 모니터링

목적

관심 트래픽이 예상 대기열로 전송되는지 확인합니다.

작업

  1. 디바이스 R1의 발신 인터페이스에서 인터페이스 통계를 삭제합니다.

  2. 트래픽 생성기를 사용하여 50개의 TCP 포트 80개 패킷을 디바이스 R2 또는 다른 다운스트림 디바이스로 보냅니다.

  3. 디바이스 R1에서 대기열 카운터를 확인합니다.

    수신 인터페이스가 아닌 다운스트림 출력 인터페이스의 대기열 카운터를 확인합니다.

  4. 트래픽 생성기를 사용하여 50개의 TCP 포트 12345 패킷을 디바이스 R2 또는 다른 다운스트림 디바이스로 보냅니다.

  5. 디바이스 R1에서 대기열 카운터를 확인합니다.

의미

출력은 패킷이 올바르게 분류되어 있음을 보여줍니다. TCP 패킷에서 포트 80을 사용하면 대기열 0이 증가합니다. 포트 12345를 사용하면 대기열 1이 증가합니다.

관련 문서