Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

트래픽 폴리싱을 사용한 네트워크 액세스 제어 개요

IP 트래픽 플로우에 대한 혼잡 관리

속도 제한이라고도 하는 트래픽 폴리싱은 서비스 거부(DoS) 공격을 차단하도록 설계된 네트워크 액세스 보안의 필수 구성 요소입니다. 트래픽 폴리싱을 사용하면 인터페이스에서 송수신되는 최대 IP 트래픽 속도를 제어하고 네트워크 트래픽을 서비스 등급이라고도 하는 여러 우선 순위 수준으로 분할할 수 있습니다. 폴리서가 일련의 트래픽 속도 제한을 정의하고 구성된 제한에 부합하지 않는 트래픽에 대한 결과를 설정합니다. 트래픽 제한에 부합하지 않는 트래픽 플로우의 패킷은 폐기되거나 다른 포워딩 클래스 또는 PLP(Packet Loss Priority) 수준으로 표시됩니다.

총 트래픽 속도를 제한하도록 구성된 폴리서(물리적 인터페이스에 구성된 모든 프로토콜 체계 및 논리적 인터페이스)를 제외하고, 논리적 인터페이스의 레이어 2 또는 레이어 3 트래픽 플로우의 모든 IP 패킷에 폴리서를 적용할 수 있습니다.

물리적 인터페이스 미디어 속도에 따라 속도 제한을 설정하도록 구성된 폴리서를 제외하고, 무상태 방화벽 필터를 사용하여 논리적 인터페이스의 레이어 3 트래픽 플로우의 특정 IP 패킷에 폴리서를 적용할 수 있습니다.

폴리서가 인바운드 또는 아웃바운드 인터페이스 트래픽에 적용할 수 있습니다. 인바운드 트래픽에 적용된 폴리서는 네트워크를 통해 라우팅할 필요가 없는 트래픽을 삭제하여 리소스를 보존하는 데 도움이 됩니다. 인바운드 트래픽 드롭은 서비스 거부(DoS) 공격을 저지하는 데도 도움이 됩니다. 아웃바운드 트래픽에 적용된 폴리서는 사용된 대역폭을 제어합니다.

참고:

트래픽 폴리서는 PIC별로 인스턴스화됩니다. 하나의 로컬 정책 결정 기능(L-PDF) 가입자의 트래픽이 AMS 그룹의 여러 멀티서비스 PIC를 통해 배포되면 트래픽 폴리싱이 작동하지 않습니다.

트래픽 제한

Junos OS 폴리서는 토큰 버킷 알고리즘을 사용하여 인터페이스에서 평균 전송 또는 수신 트래픽 속도에 대한 제한을 적용하는 동시에 구성된 대역폭 제한 및 구성된 버스트 크기에 따라 최대 값까지 트래픽 버스트를 허용합니다. 토큰 버킷 알고리즘은 패킷을 폐기하기 전에 지정된 트래픽 버스트를 허용하거나 패킷 출력 대기열 우선 순위 또는 패킷 드롭 우선 순위와 같은 페널티를 적용할 수 있다는 측면에서 누출 버킷 알고리즘 보다 더 많은 유연성을 제공합니다.

토큰 버킷 모델에서 버킷은 폴리서의 속도 제한 기능을 나타냅니다. 토큰은 고정된 속도로 버킷에 추가되지만, 버킷의 지정된 깊이에 도달하면 후 할당된 토큰을 저장하고 사용할 수 없습니다. 각 토큰은 일부 비트에 대해 "크레딧"을 나타내며, 버킷의 토큰은 인터페이스에서 트래픽을 전송하거나 수신하는 기능에 대해 "현금화"됩니다. 버킷에 충분한 토큰이 존재하면 트래픽 플로우가 제한 없이 계속됩니다. 그렇지 않으면 패킷이 누락되거나 더 낮은 포워딩 클래스, 더 높은 PLP(Packet Loss Priority) 수준 또는 둘 다로 다시 표시될 수 있습니다.

  • 토큰이 버킷에 추가되는 속도는 주어진 서비스 수준에 대해 허용되는 초당 비트당 가장 높은 평균 전송 또는 수신 속도를 나타냅니다. 이 가장 높은 평균 트래픽 속도를 폴리서의 대역폭 제한 으로 지정합니다. 트래픽 도착 속도(또는 초당 고정 비트)가 너무 높아서 어떤 시점에서 버킷에 토큰이 부족하다면 트래픽 플로우는 더 이상 트래픽 제한에 부합하지 않습니다. 트래픽이 상대적으로 낮은 기간(토큰 도착 속도보다 낮은 평균 요금으로 인터페이스에 도착하거나 인터페이스에서 출발하는 트래픽)이 있는 동안 사용하지 않은 토큰은 버킷에 축적됩니다.

  • 버킷의 깊이(바이트)는 허용되는 백 투 백 버스팅 양을 제어합니다. 이 요소를 폴리서의 버스트 크기 제한 으로 지정합니다. 이 두 번째 제한은 주어진 시간 간격에 대해 전송 버스트에서 허용되는 바이트 수를 제한하여 평균 전송 또는 수신 속도에 영향을 미칩니다. 버스트가 진행할 수 있는 충분한 토큰이 있을 때까지 현재 버스트 크기 제한을 초과하는 버스트가 삭제됩니다.

    그림 1: 네트워크 트래픽 및 버스트 속도 Network Traffic and Burst Rates

    위의 그림과 같이 UPC 바코드는 트래픽의 모양과 유사합니다. 인터페이스는 전송(전체 속도에서 버스팅) 또는 전송되지 않습니다. 검은색 줄은 데이터 전송 기간을 나타내며 공백은 토큰 버킷이 보충할 수 있는 침묵 기간을 나타냅니다.

사용된 폴리서의 유형에 따라 정의된 제한을 능가하는 폴리싱된 트래픽 플로우의 패킷은 암시적으로 구성된 포워딩 클래스에 할당되거나 구성된 PLP 수준(또는 둘 다)으로 설정되거나 단순히 폐기된 더 높은 PLP 수준으로 설정될 수 있습니다. 패킷이 다운스트림 혼잡에 직면하면 PLP 수준이 있는 low 패킷은, medium-high또는 high PLP 수준의 패킷보다 폐기될 가능성이 줄어듭니다medium-low.

트래픽 색상 표시

구성된 특정 트래픽 제한 집합에 따라 폴리서가 트래픽 흐름을 자동차 트래픽을 제어하는 데 사용되는 신호등 색상과 유사한 두 개 또는 세 가지 범주 중 하나에 속하는 것으로 식별합니다.

  • 단일 속도 2색 - 2색 마킹 폴리서(또는 검증 없이 사용할 때 "폴리서")는 트래픽 스트림을 미터하고 구성된 대역폭 및 버스트 크기 제한에 따라 패킷을 두 범주의 PLP(Packet Loss Priority)로 분류합니다. 어떤 식으로든 대역폭 및 버스트 크기 제한을 초과하는 패킷을 표시하거나 폐기할 수 있습니다.

    폴리서가 포트(물리적 인터페이스) 수준에서 트래픽을 계량하는 데 가장 유용합니다.

  • 단일 속도 3색 - 이러한 유형의 폴리서는 RFC 2697, 단일 속도 3색 마커에 정의되어 있으며, 이는 차별화된 서비스(DiffServ) 환경을 위한 AF(Assured Forwarding) PHB(per-hop-behavior) 분류 시스템의 일부로 정의됩니다. 이 유형의 폴리서 미터 트래픽은 구성된 커밋된 정보 속도(CIR), 커밋된 버스트 크기(CBS), 초과 버스트 크기(EBS)를 기반으로 합니다. 트래픽은 도착하는 패킷이 CBS(녹색) 이하인지, CBS(노란색)를 초과할지, EBS를 초과하지 않는지에 따라 세 가지 범주(녹색, 노란색 또는 빨간색) 중 하나에 속하거나 EBS(빨간색)를 초과하는 것으로 표시됩니다.

    단일 속도 3색 폴리서가 피크 도착률이 아닌 패킷 길이에 따라 서비스를 구조화할 때 가장 유용합니다.

  • 2개 속도 3색 - 이러한 유형의 폴리서는 RFC 2698, 즉 2 개의 속도 3색 마커에 정의되어 있으며, 이는 차별화된 서비스(DiffServ) 환경을 위한 AF(Assured Forwarding) PHB(per-hop-behavior) 분류 시스템의 일부로 정의됩니다. 이 유형의 폴리서 미터 트래픽은 구성된 CIR 및 최고 정보 속도(PIR)와 관련 버스트 크기, CBS 및 PBS(최고 버스트 크기 )를 기반으로 합니다. 트래픽은 도착하는 패킷이 CIR(녹색) 이하인지, CIR(노란색)을 초과하는지(노란색) 또는 PIR(빨간색)을 초과하는지에 따라 세 가지 범주(녹색, 노란색 또는 빨간색) 중 하나에 속하는 것으로 표시됩니다.

    2개 속도 3색 폴리서가 도착률에 따라 서비스가 구조화되어 있고 반드시 패킷 길이가 아닐 때 가장 유용합니다.

폴리서 작업은 암묵적이거나 명시적이며 폴리서 유형에 따라 다릅니다. 암시 라는 용어는 Junos 손실 우선 순위를 자동으로 할당한다는 것을 의미합니다. 표 1 에서는 폴리서 작업을 설명합니다.

표 1: 폴리서 작업

폴리서

표시

암묵적 조치

구성 가능한 작업

단일 속도 2색

녹색(준수)

낮은 손실 우선순위 할당

없음

빨간색(비응형)

없음

낮거나 높은 손실 우선순위를 할당하거나, 포워딩 클래스를 할당하거나, 일부 플랫폼에서 폐기하면 중소 손실 우선 순위를 할당할 수 있습니다.

단일 속도 3색

녹색(준수)

낮은 손실 우선순위 할당

없음

노란색(CIR 및 CBS 위)

중형 손실 우선 순위 할당

없음

빨간색(EBS 이상)

높은 손실 우선순위 할당

삭제

2개 속도 3색

녹색(준수)

낮은 손실 우선순위 할당

없음

노란색(CIR 및 CBS 위)

중형 손실 우선 순위 할당

없음

빨간색(PIR 및 PBS 위)

높은 손실 우선순위 할당

삭제

포워딩 클래스 및 PLP 수준

패킷의 포워딩 클래스 할당 및 PLP 수준은 Junos OS CoS(Class of Service) 기능에 의해 사용됩니다. Junos OS CoS 기능에는 최선의 트래픽 제공이 부족할 때 차별화된 서비스를 제공하는 데 사용할 수 있는 메커니즘 집합이 포함됩니다. IPv4, IPv6 및 MPLS 트래픽을 전송하는 라우터(및 스위치) 인터페이스의 경우, 네트워크 에지에서 들어오는 단일 트래픽 플로우에서 수행하도록 CoS 기능을 구성하고 네트워크 전반에 걸쳐 다양한 수준의 서비스를 제공하도록 구성할 수 있습니다. 이는 개별 패킷의 포워딩 클래스 할당 및 PLP 수준에 따라 출력을 위한 내부 포워딩 및 스케줄링(큐잉)입니다.

참고:

폴리서 또는 무상태 방화벽 필터가 수행하는 포워딩 클래스 또는 손실 우선 순위 할당은 모든 논리적 인터페이스에서 CoS 기본 IP 우선 순위 분류 또는 논리적 인터페이스에 명시적으로 매핑되는 구성된 동작 어그리게이션(BA) 분류자의 수신에 수행된 이러한 할당을 재정의합니다.

CoS 구성을 기반으로 주어진 포워딩 클래스의 패킷은 특정 출력 대기열을 통해 전송되며, 각 출력 대기열은 스케줄러에 정의된 전송 서비스 수준과 연결됩니다.

다른 CoS 구성에 따라 출력 대기열의 패킷이 혼잡에 직면하면 손실 우선 순위 값이 높은 패킷은 RED(Random Early Detection) 알고리즘에 의해 손실될 가능성이 높습니다. 패킷 손실 우선 순위 값은 트래픽 플로우 내에서 패킷의 상대적 순서에 영향을 미치지 않으면서 패킷의 스케줄링에 영향을 미칩니다.

트래픽에 대한 폴리서 애플리케이션

폴리서의 정의 및 이름이 지정되면 템플릿으로 저장됩니다. 나중에 동일한 폴리서 이름을 사용하여 사용하려는 때마다 동일한 폴리서 구성을 제공할 수 있습니다. 이를 통해 동일한 폴리서 값을 두 번 이상 정의할 필요가 없습니다.

두 가지 방법 중 하나를 통해 트래픽 플로우에 폴리서 적용할 수 있습니다.

  • 표준 무상태 방화벽 필터를 구성할 수 있습니다. 이 필터는 비테러 작업 또는 three-color-policer (single-rate | two-rate) policer-name 비테러(nonterminating) 동작을 지정 policer policer-name 합니다. 논리적 인터페이스의 입력 또는 출력에 표준 필터를 적용할 때, 폴리서는 필터 구성에 지정된 조건과 일치하는 필터별 프로토콜 체계의 모든 패킷에 적용됩니다.

    폴리서 적용 방법을 사용하면 인터페이스에서 특정 트래픽 클래스를 정의하고 각 클래스에 트래픽 속도 제한을 적용할 수 있습니다.

  • 폴리서를 인터페이스에 직접 적용하여 프로토콜 체계 또는 일치 조건에 관계없이 트래픽 속도 제한이 해당 인터페이스의 모든 트래픽에 적용되도록 할 수 있습니다.

대기열, 논리적 인터페이스 또는 MAC(Layer 2) 수준에서 폴리서를 구성할 수 있습니다. 송신 대기열의 패킷에 단일 폴리서만 적용되며, 폴리서에 대한 검색은 이 순서대로 발생합니다.

  • 대기열 수준

  • 논리적 인터페이스 수준

  • 레이어 2(MAC) 수준

관련 문서