Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

예: 수신 단일 속도 2색 폴리서를 구성하여 네트워크 경계에서 인바운드 트래픽 제한

이 예에서는 수신 트래픽을 필터링하기 위해 수신 단일 속도 2색 폴리서를 구성하는 방법을 보여줍니다. 폴리서는 계약 내 트래픽과 계약 외 트래픽에 대해 CoS(Class of Service) 전략을 시행합니다. 수신 패킷, 발신 패킷 또는 둘 다에 단일 속도 2색 폴리서를 적용할 수 있습니다. 이 예는 폴리서를 입력(수신) 폴리서로 적용합니다. 이 주제의 목표는 트래픽 폴리싱의 실제 모습을 보여주는 예제를 사용하여 폴리싱에 대한 소개를 제공하는 것입니다.

폴리서는 토큰 버킷이라는 개념을 사용하여 폴리서에 대해 정의된 매개 변수를 기반으로 시스템 리소스를 할당합니다. 토큰 버킷 개념과 기본 알고리즘에 대한 자세한 설명은 이 문서의 범위를 벗어납니다. 트래픽 폴리싱 및 일반적인 CoS에 대한 자세한 내용은 Miguel Barreiros와 Peter Lundqvist의 QOS-Enabled Networks—Tools and Foundations 를 참조하십시오. 이 책은 많은 온라인 서점과 www.juniper.net/books 에서 구할 수 있습니다.

요구 사항

이 절차를 확인하기 위해 이 예에서는 트래픽 생성기를 사용합니다. 트래픽 생성기는 하드웨어 기반일 수도 있고 서버 또는 호스트 시스템에서 실행되는 소프트웨어일 수도 있습니다.

이 절차의 기능은 Junos OS를 실행하는 디바이스에서 널리 지원됩니다. 여기에 표시된 예는 Junos OS 릴리스 10.4를 실행하는 MX 시리즈 라우터에서 테스트 및 검증되었습니다.

개요

단일 속도 2색 폴리싱은 제한에 부합하지 않는 트래픽에 암시적 또는 구성된 작업을 적용하여 특정 서비스 수준에 대해 구성된 트래픽 흐름 속도를 적용합니다. 인터페이스의 입력 또는 출력 트래픽에 단일 속도 2색 폴리서를 적용하면 폴리서는 다음 구성 요소에 의해 정의된 속도 제한까지 트래픽 플로우를 측정합니다.

  • Bandwidth limit(대역폭 제한) - 인터페이스에서 수신 또는 전송된 패킷에 허용되는 초당 평균 비트 수입니다. 대역폭 제한을 초당 절대 비트 수 또는 1에서 100까지의 백분율 값으로 지정할 수 있습니다. 백분율 값이 지정되면 유효 대역폭 제한은 물리적 인터페이스 미디어 속도 또는 논리적 인터페이스 구성 셰이핑 속도의 백분율로 계산됩니다.

  • 버스트 크기 제한 - 데이터 버스트에 허용되는 최대 크기입니다. 버스트 크기는 바이트 단위로 측정됩니다. 버스트 크기를 계산하기 위해 두 가지 공식을 사용하는 것이 좋습니다.

    버스트 크기 = 대역폭 x 버스트 트래픽에 허용되는 시간 / 8

    또는

    버스트 크기 = 인터페이스 최대 전송 단위(MTU) x 10

    버스트 크기 구성에 대한 자세한 내용은 트래픽 폴리서에 대한 적절한 버스트 크기 결정을 참조하십시오.

    참고:

    인터페이스에는 한정된 버퍼 공간이 있습니다. 일반적으로 인터페이스의 예상 총 버퍼 깊이는 약 125ms 입니다.

구성된 제한(그린 트래픽으로 분류)을 준수하는 트래픽 플로우의 경우, 패킷은 묵시적으로 낮은 PLP(Packet Loss Priority) 수준으로 표시되며 제한 없이 인터페이스를 통과할 수 있습니다.

구성된 제한(레드 트래픽으로 분류)을 초과하는 트래픽 플로우의 경우, 패킷은 폴리서에 대해 구성된 트래픽 폴리싱 작업에 따라 처리됩니다. 이 예에서는 15KBps 제한을 초과하여 버스트하는 패킷을 삭제합니다.

레이어 3 트래픽 속도를 제한하려면 다음과 같은 방법으로 2색 폴리서를 적용할 수 있습니다.

  • 특정 프로토콜 수준에서 논리적 인터페이스에 직접 연결됩니다.

  • 특정 프로토콜 수준에서 논리적 인터페이스에 적용되는 표준 상태 비저장 방화벽 필터의 작업입니다. 이것이 이 예제에서 사용된 기술입니다.

레이어 2 트래픽 속도를 제한하려면 2색 폴리서를 논리적 인터페이스 폴리서로만 적용할 수 있습니다. 방화벽 필터를 통해 레이어 2 트래픽에 2색 폴리서를 적용할 수 없습니다.

주의:

대역폭 제한 또는 대역폭 비율은 상호 배타적이므로 폴리서 내에서 선택할 수 있습니다. 폴리서가 애그리게이션, 터널 및 소프트웨어 인터페이스에 대역폭 퍼센트를 사용하도록 구성할 수 없습니다.

이 예에서 호스트는 웹 서버를 에뮬레이트하는 트래픽 생성기입니다. 디바이스 R1 및 R2는 서비스 프로바이더가 소유합니다. 웹 서버는 장치 Host2의 사용자가 액세스합니다. 디바이스 Host1은 소스 TCP HTTP 포트가 80인 트래픽을 사용자에게 보냅니다. 단일 속도 2색 폴리서가 구성되어 디바이스 Host1에 연결되는 디바이스 R1의 인터페이스에 적용됩니다. 폴리서는 디바이스 호스트1을 디바이스 R1에 연결하는 링크를 통해 흐르는 웹 트래픽에 대해 웹 서버 소유자와 디바이스 R1을 소유한 서비스 프로바이더 간에 이루어진 계약상의 대역폭 가용성을 적용합니다.

웹 서버 소유자와 디바이스 R1 및 R2를 소유한 서비스 프로바이더 간의 계약상 대역폭 가용성에 따라, 폴리서는 디바이스 Host1에서 시작되는 HTTP 포트 80 트래픽을 호스트 디바이스 Host1과 디바이스 R1 간 기가비트 이더넷 인터페이스의 MTU 크기의 10배의 허용 가능한 버스트 속도로 사용 가능한 대역폭의 700Mbps (70%)를 사용하도록 제한합니다.

참고:

실제 시나리오에서는 FTP, SFTP, SSH, 텔넷, SMTP, IMAP 및 POP3와 같은 다양한 다른 포트에 대한 속도 제한 트래픽도 웹 호스팅 서비스와 함께 추가 서비스로 포함되기 때문입니다.

참고:

라우팅 프로토콜, DNS 및 네트워크 연결 작동을 유지하는 데 필요한 기타 프로토콜과 같은 네트워크 제어 프로토콜에 대해 속도가 제한되지 않는 몇 가지 추가 대역폭을 사용할 수 있도록 남겨 두어야 합니다. 이것이 방화벽 필터에 최종 수락 조건이 있는 이유입니다.

토폴로지

이 예에서는 그림 1의 토폴로지를 사용합니다.

그림 1: 단일 속도 2색 폴리서 시나리오 Single-Rate Two-Color Policer Scenario

그림 2 는 폴리싱 동작을 보여줍니다.

그림 2: 단일 속도 2색 폴리서 시나리오 Traffic Limiting in a Single-Rate Two-Color Policer Scenario 의 트래픽 제한

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣습니다.

디바이스 R1

디바이스 R2

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 자세한 내용은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

디바이스 R1 구성:

  1. 디바이스 인터페이스를 구성합니다.

  2. 방화벽 필터를 인터페이스 ge-2/0/5에 입력 필터로 적용합니다.

  3. HTTP 트래픽(TCP 포트 80)에 대해 700Mbps 의 대역폭 및 15000KBps 의 버스트 크기로 속도를 제한하도록 폴리서를 구성합니다.

  4. 빨간색 트래픽 흐름에서 패킷을 폐기하도록 폴리서를 구성합니다.

  5. 포트 HTTP(포트 80)에 대한 모든 TCP 트래픽을 허용하도록 방화벽의 두 가지 조건을 구성합니다.

  6. 폴리서를 사용하여 HTTP TCP 트래픽의 속도를 제한하도록 방화벽 작업을 구성합니다.

  7. 방화벽 필터의 끝에서 다른 모든 트래픽을 허용하는 기본 작업을 구성합니다.

    그렇지 않으면 인터페이스에 도착하고 방화벽에서 명시적으로 수락하지 않은 모든 트래픽이 삭제됩니다.

  8. OSPF를 구성합니다.

단계별 절차

디바이스 R2 구성:

  1. 디바이스 인터페이스를 구성합니다.

  2. OSPF를 구성합니다.

결과

구성 모드에서 , show firewallshow protocols ospf 명령을 입력하여 show interfaces 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 R1 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

디바이스 R2 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

구성이 올바르게 작동하고 있는지 확인합니다.

카운터 지우기

목적

방화벽 카운터가 지워졌는지 확인합니다.

작업

디바이스 R1에서 명령을 실행하여 clear firewall all 방화벽 카운터를 0으로 재설정합니다.

TCP 트래픽을 네트워크로 전송 및 폐기 모니터링

목적

전송되는 관심 트래픽이 입력 인터페이스(ge-2/0/5)에서 속도 제한인지 확인합니다.

작업

  1. 트래픽 생성기를 사용하여 소스 포트가 80인 10개의 TCP 패킷을 보냅니다.

    -s 플래그는 소스 포트를 설정합니다. -k 플래그는 소스 포트가 증가하는 대신 80에서 일정하게 유지되도록 합니다. -c 플래그는 패킷 수를 10으로 설정합니다. -d 플래그는 패킷 크기를 설정합니다.

    대상 IP 주소 172.16.80.1은 디바이스 R2에 연결된 디바이스 호스트 2에 속합니다. 디바이스 호스트 2의 사용자가 디바이스 호스트 1(디바이스 호스트 1의 트래픽 생성기에 의해 에뮬레이트된 웹 서버)에서 웹 페이지를 요청했습니다. 속도가 제한되는 패킷은 디바이스 호스트 2의 요청에 대한 응답으로 디바이스 호스트 1에서 전송됩니다.

    참고:

    이 예에서 폴리서 번호는 8Kbps 의 대역폭 제한과 1500KBps 의 버스트 크기 제한으로 축소되어 이 테스트 중에 일부 패킷이 삭제되도록 합니다.

  2. 디바이스 R1에서 명령을 사용하여 방화벽 카운터를 show firewall 확인합니다.

의미

1단계와 2단계에서 두 디바이스의 출력은 4개의 패킷이 폐기되었음을 보여줍니다. 즉, 최소 8Kbps 의 녹색(계약 내 HTTP 포트 80) 트래픽이 있었고 빨간색 계약 외 HTTP 포트 80 트래픽에 대한 1500KBps 버스트 옵션을 초과했습니다.