침입 탐지 및 방지(IDP) 정책의 서비스 등급 작업
CoS(Class of Service) 또는 QoS(Quality of Service)는 특정 유형의 트래픽을 다른 트래픽보다 우선 순위를 부여하여 네트워크를 통해 여러 트래픽 프로필을 관리하는 방법입니다. 예를 들어 이메일 또는 http 트래픽보다 Voice 트래픽에 우선순위를 부여할 수 있습니다.
CoS용 IDP에 대한 자세한 내용은 다음 주제를 참조하십시오.
침입 탐지 및 방지(IDP) 서비스 등급 작업 개요
DS(Differentiated Services)는 우선 순위 계층 내의 위치에서 트래픽에 태그를 지정(또는 "표시")하는 시스템입니다. DSCP(Differentiated Services Codepoint) 마킹은 Junos OS CoS( Class of Service ) 수준을 IP 패킷 헤더의 DSCP 필드에 매핑합니다. SRX1500, SRX3400, SRX3600, SRX5600 및 SRX5800 디바이스에서 IP 패킷의 DSCP 값은 다음 두 소프트웨어 모듈로 다시 쓸 수 있습니다.
송신 인터페이스의 DSCP(Differentiated Services Code Point) 재작성기.
침입 탐지 및 방지(IDP) 정책에 따른 침입 탐지 및 방지(IDP) 모듈.
데이터 플레인에서 패킷이 송신 인터페이스에 도달하기 전에 IDP 모듈은 보안 플로우 모듈에 패킷의 DSCP 값을 다시 쓰도록 알릴 수 있습니다. 침입 탐지 및 방지(IDP) 모듈 및 인터페이스 기반 재작성기는 서로 다른 독립적인 규칙에 따라 DSCP 값을 재작성합니다. 침입 탐지 및 방지(IDP) 모듈은 침입 탐지 및 방지(IDP) 정책을 기반으로 패킷의 DSCP 값을 재작성합니다. 반면 인터페이스 기반 작성기는 패킷 분류 결과에 따라 패킷의 DSCP 값을 다시 씁니다. 따라서, IDP 모듈과 인터페이스 기반 재작성기의 재작성 결정은 다를 수 있다.
인터페이스 기반 재작성기는 패킷의 포워딩 클래스를 재작성 규칙으로 구성된 포워딩 클래스 세트와 비교하여 DSCP 값을 재작성합니다. 이 포워딩 클래스 세트에 속하지 않는 포워딩 클래스는 IDP 모듈에 의해 설정된 패킷의 DSCP 값을 재작성하지 않도록 인터페이스 기반 재작성기에 알리는 데 사용됩니다.
패킷의 DSCP 값 재작성에 영향을 미칠 뿐만 아니라 포워딩 클래스는 디바이스에서 트래픽의 우선 순위를 지정하는 데에도 사용됩니다. 대기열 번호에 포워딩 클래스를 할당하면 SRX 시리즈 방화벽을 통과하는 패킷의 스케줄링 및 표시에 영향을 줍니다. 포워딩 클래스에 대한 정보는 포워딩 클래스 개요를 참조하십시오.
침입 탐지 및 방지(IDP) 모듈이 패킷의 DSCP 값을 재작성할 때, 침입 탐지 및 방지(IDP)는 패킷과 관련된 포워딩 클래스를 설정하여 포워딩 클래스가 송신 인터페이스 기반 리라이터의 규칙으로 정의된 포워딩 클래스 세트에서 벗어나도록 할 수 있습니다. 규칙 다시 쓰기에 대한 자세한 내용은 규칙 다시 쓰기 개요 및 예: 보안 장치에서 다시 쓰기 규칙 구성 및 적용을 참조하십시오.
인터페이스 기반 재작성기가 패킷을 처리할 때 패킷의 전달 클래스가 다시 쓰기 규칙에 정의된 클래스와 일치하지 않으므로 패킷의 DSCP 값을 변경하지 않습니다. 결과적으로, 패킷의 DSCP 값은 IDP 모듈에 의해 표시되고 인터페이스 기반 재작성기는 우회됩니다. 침입 탐지 및 방지(IDP) 모듈과 인터페이스 기반 재작성기에 대한 별도의 포워딩 클래스는 계층 수준에서 문을 사용하여 set forwarding-class [edit class-of-service] 정의할 수 있습니다. 예를 들어, 침입 탐지 및 방지(IDP) 모듈에 대해 포워딩 클래스 fc0, fc1, fc2 및 fc3을 정의할 수 있으며, 인터페이스 기반 재작성기에 대해 포워딩 클래스 fc4, fc5, fc6 및 fc7을 정의할 수 있습니다. Junos OS에서는 여러 포워딩 클래스를 하나의 우선순위 대기열에 매핑할 수 있습니다. 따라서 포워딩 클래스의 수는 대기열의 수보다 많을 수 있습니다.
인터페이스 기반 재작성기와 IDP 모듈이 모두 DSCP 값을 재작성하려고 할 때, IDP는 DSCP 값을 패킷에 대한 추가 정보로 표시하고 인터페이스 기반 재작성기 모듈보다 더 엄격한 보안 기준을 갖기 때문에 IDP 모듈이 인터페이스 기반 재작성기보다 우선합니다.
침입 탐지 및 방지(IDP) 모듈로 DSCP 값을 재작성하고 인터페이스 기반 재작성기를 우회하는 방법을 보여주는 구성 예는 예: 침입 탐지 및 방지(IDP) 정책에서 CoS 작업 적용을 참조하십시오.
또한보십시오
포워딩 클래스 개요
포워딩 클래스(FC)를 사용하면 전송할 패킷을 그룹화하고 패킷을 출력 대기열에 할당할 수 있습니다. 포워딩 클래스와 손실 우선순위는 패킷의 홉별 동작(DiffServ의 PHB)을 정의합니다.
주니퍼 네트웍스 디바이스는 8개의 대기열(0에서 7까지)을 지원합니다. 분류자가 각 패킷에 출력 대기열(기본 대기열 0에서 3까지)을 할당하려면 패킷을 다음 포워딩 클래스 중 하나와 연결해야 합니다.
EF(Expedited Forwarding) - 저손실, 저지연, 낮은 지터, 보장된 대역폭, 엔드투엔드 서비스를 제공합니다.
AF(Assured forwarding) - 정의할 수 있는 값 그룹을 제공하며 각각 3개의 드롭 확률(낮음, 중간, 높음)을 가진 4개의 서브클래스(AF1, AF2, AF3 및 AF4)를 포함합니다.
BE(Best Effort) - 서비스 프로필을 제공하지 않습니다. BE 포워딩 클래스의 경우, 손실 우선순위는 일반적으로 CoS(Class of Service) 값으로 전달되지 않으며, RED(Random Early Detection) 드롭 프로파일이 더 공격적입니다.
NC(Network Control) - 이 클래스는 프로토콜 제어를 지원하므로 일반적으로 우선 순위가 높습니다.
BA(Behavior Aggregate) 및 MF(Multifield) 분류 외에도 패킷을 수신하는 논리적 인터페이스에 의해 패킷의 전달 클래스(FC)가 직접 결정될 수 있습니다. 패킷 FC는 CLI 명령을 사용하여 구성할 수 있으며, 구성된 경우 이 FC는 논리적 인터페이스에서 이전에 구성된 모든 BA 분류에서 FC를 재정의합니다.
다음 CLI 명령은 논리적 인터페이스에서 수신된 패킷에 FC를 직접 할당할 수 있습니다.
[edit class-of-service interfaces interface-name unit logical-unit-number] forwarding-class class-name;
이 섹션에서는 다음 항목을 다룹니다.
포워딩 클래스 대기열 할당
주니퍼 네트웍스 디바이스에는 하드웨어에 8개의 대기열이 내장되어 있습니다. 기본적으로 4개의 FC에 4개의 대기열이 할당됩니다. 표 1 에는 도착하는 패킷 헤더의 CoS(class-of-service) 값을 기반으로 주니퍼 네트웍스 분류자가 패킷에 할당하는 4개의 기본 FC와 대기열이 나와 있습니다.
대기열 4-7에는 FC에 대한 기본 할당이 없으며 매핑되지 않습니다. 대기열 4-7을 사용하려면 사용자 지정 FC 이름을 생성하고 대기열에 매핑해야 합니다.
기본적으로 IP 제어 패킷을 제외한 모든 수신 패킷은 대기열 0과 연결된 FC에 할당됩니다. 모든 IP 제어 패킷은 대기열 3과 연결된 FC에 할당됩니다.
포워딩 큐 |
포워딩 클래스 |
포워딩 클래스 설명 |
|---|---|---|
큐 0 |
best-effort (BE) |
주니퍼 네트웍스 디바이스는 이전 버전과의 호환성 기능인 DiffServ 필드에 000000이 있는 패킷에 특별한 CoS 처리를 적용하지 않습니다. 이러한 패킷은 일반적으로 혼잡한 네트워크 조건에서 삭제됩니다. |
대기열 1 |
EF(Expedited-Forwarding) |
주니퍼 네트웍스 디바이스는 이 서비스 클래스의 패킷에 대해 보장된 대역폭, 낮은 손실, 낮은 지연 및 낮은 지연 변동(지터)을 엔드 투 엔드로 제공합니다. 디바이스는 이 클래스에서 초과 트래픽을 허용하지만, 보장된 포워딩과 달리 프로파일 외부 신속 전달 패킷은 순서에 맞지 않게 포워딩되거나 삭제될 수 있습니다. |
대기열 2 |
AF(Assured-Forwarding) |
주니퍼 네트웍스 디바이스는 고객의 패킷 플로우가 정의한 특정 서비스 프로필 내에 유지되는 한 패킷이 전달된다는 높은 수준의 보증을 제공합니다. 디바이스는 초과 트래픽을 수용하지만 RED(Random Early Detection) 드롭 프로파일을 적용하여 초과 패킷이 삭제되고 전달되지 않는지 여부를 결정합니다. 이 서비스 클래스에 대해 세 가지 드롭 확률(낮음, 중간 및 높음)이 정의됩니다. |
대기열 3 |
네트워크 제어(NC) |
주니퍼 네트웍스 디바이스는 낮은 우선 순위로 이 서비스 클래스의 패킷을 전송합니다. (이러한 패킷은 지연에 민감하지 않습니다.) 일반적으로 이러한 패킷은 라우팅 프로토콜 hello 또는 keepalive 메시지를 나타냅니다. 이러한 패킷의 손실은 적절한 네트워크 작동을 위태롭게 하므로 지연은 폐기하는 것이 좋습니다. |
포워딩 정책 옵션
CoS 기반 포워딩(CBF)을 사용하면 패킷의 CoS, 특히 IP 패킷의 우선 순위 비트 값을 기반으로 다음 홉 선택을 제어할 수 있습니다. 예를 들어, 특정 인터페이스 또는 다음 홉을 지정하여 우선 순위가 높은 트래픽을 전달하고 모든 최선형 트래픽은 다른 경로를 사용할 수 있습니다. CBF를 사용하면 FC를 기반으로 경로를 선택할 수 있습니다. 라우팅 프로토콜이 동일 비용의 경로를 발견하면 해시 선택 또는 라운드 로빈 선택을 통해 경로를 임의로 선택하거나 경로 간에 패킷 부하를 분산할 수 있습니다.
또한 포워딩 정책을 통해 CoS 분류 재정의를 생성할 수 있습니다. 수신 CoS 분류를 재정의하고 패킷의 입력 인터페이스, 입력 우선 순위 비트 또는 대상 주소를 기반으로 패킷을 FC에 할당할 수 있습니다. 수신 패킷의 분류를 재정의할 때, 출력 전송 대기열에 대한 관련 우선순위 비트 또는 수신 인터페이스에 대해 구성한 모든 매핑은 무시됩니다.
또한보십시오
규칙 다시 쓰기 개요
다시 쓰기 규칙은 나가는 패킷에서 적절한 CoS(Class of Service) 비트를 수정합니다. CoS 비트를 수정하면 다음 다운스트림 디바이스가 패킷을 적절한 서비스 그룹으로 분류할 수 있습니다. 아웃바운드 패킷을 다시 작성하거나 표시하는 것은 디바이스가 네트워크 경계에 있고 대상 피어의 정책을 충족하기 위해 CoS 값을 변경해야 하는 경우에 유용합니다. 재작성 규칙은 패킷의 포워딩 클래스와 손실 우선순위를 검사하고 해당 비트를 규칙에 지정된 해당 값으로 설정합니다.
일반적으로 디바이스는 대상 피어의 정책을 충족하기 위해 에지 디바이스의 아웃바운드 인터페이스에서 나가는 패킷의 CoS 값을 다시 씁니다. 패킷과 관련된 현재 포워딩 클래스 및 손실 우선순위 정보를 읽은 후, 전송 디바이스는 테이블에서 선택한 CoS 값을 찾아 이 CoS 값을 패킷 헤더에 씁니다.
SRX5600 및 SRX5800 방화벽의 각 SRX5K-MPC에서 최대 32개의 IEEE 802.1p 재작성 규칙을 구성할 수 있습니다.
Junos OS 릴리스 18.2R1부터 논리적 VDSL 인터페이스, 즉
pt인터페이스)에서 802.1p 재작성을 구성할 수 있습니다.
예: 보안 디바이스에 대한 재작성 규칙 구성 및 적용
이 예제에서는 디바이스에 대한 다시 쓰기 규칙을 구성하고 적용하는 방법을 보여 줍니다.
요구 사항
시작하기 전에 포워딩 클래스를 생성하고 구성하십시오.
개요
고객 또는 호스트로부터 수신한 패킷의 CoS 값을 다른 디바이스에서 예상하는 값으로 대체하도록 규칙을 다시 작성하도록 구성할 수 있습니다. 수신된 패킷에 이미 유효한 CoS 값이 포함되어 있는 경우 다시 쓰기 규칙을 구성할 필요가 없습니다. 재작성 규칙은 디바이스가 내부적으로 사용하는 포워딩 클래스 정보 및 패킷 손실 우선순위를 적용하여 아웃바운드 패킷에 CoS 값을 설정합니다. 다시 쓰기 규칙을 구성한 후에는 올바른 인터페이스에 적용해야 합니다.
이 예에서는 DiffServ CoS에 대한 재작성 규칙을 rewrite-dscps로 구성합니다. best-effort 포워딩 클래스를 be-class로, 신속 포워딩 클래스를 ef-class로, 보장된 포워딩 클래스를 af-class로, 네트워크 제어 클래스를 nc-class로 지정합니다. 마지막으로, IRB 인터페이스에 다시 쓰기 규칙을 적용합니다.
각 논리적 인터페이스에 하나의 재작성 규칙을 적용할 수 있습니다.
표 2 에는 4개의 포워딩 클래스의 패킷에서 DSCP를 다시 쓰기 규칙이 어떻게 대체되는지 보여줍니다.
mf-classifier 포워딩 클래스 |
CoS 트래픽 유형의 경우 |
rewrite-dscps 규칙 다시 쓰기 |
|---|---|---|
BE-클래스 |
Best-effort 트래픽 - 패킷의 특별한 CoS 처리를 제공하지 않습니다. 일반적으로 RED 드롭 프로파일은 공격적이며 손실 우선순위가 정의되지 않습니다. |
낮은 우선 순위 코드 포인트: 000000 우선 순위가 높은 코드 포인트: 000001 |
EF 클래스 |
신속한 포워딩 트래픽 - 낮은 손실, 낮은 지연, 낮은 지터, 보장된 대역폭 및 엔드투엔드 서비스를 제공합니다. 패킷은 순서 없이 전달되거나 삭제될 수 있습니다. |
낮은 우선 순위 코드 포인트: 101110 우선 순위가 높은 코드 포인트: 101111 |
AF 클래스 |
보장된 포워딩 트래픽 - 지정된 서비스 프로필 내의 패킷에 대해 높은 보증을 제공합니다. 초과 패킷은 삭제됩니다. |
낮은 우선 순위 코드 포인트: 001010 우선 순위가 높은 코드 포인트: 001100 |
NC급 |
네트워크 제어 트래픽 - 패킷은 지연될 수 있지만 삭제되지는 않습니다. |
낮은 우선 순위 코드 포인트: 110000 우선 순위가 높은 코드 포인트: 110001 |
포워딩 클래스는 DSCP 재작성기에서 구성할 수 있으며 DSCP 코드 포인트를 재작성하는 IDP 정책의 조치로도 구성할 수 있습니다. 포워딩 클래스가 침입 탐지 및 방지(IDP) 정책에서 작업으로 사용되도록 하려면 동일한 포워딩 클래스로 침입 탐지 및 방지(IDP) 정책 및 인터페이스 기반 재작성 규칙을 구성하지 않는 것이 중요합니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 복사하여 CLI [edit] 로 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority low code-point 000000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority high code-point 000001 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority low code-point 101110 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority high code-point 101111 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority low code-point 001010 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority high code-point 001100 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority low code-point 110000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority high code-point 110001 set class-of-service interfaces irb unit 0 rewrite-rules dscp rewrite-dscps
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
디바이스에 대한 다시 쓰기 규칙을 구성하고 적용하려면:To configure and apply rewrite rules for a device:
DiffServ CoS에 대한 재작성 규칙을 구성합니다.
[edit] user@host# edit class-of-service user@host# edit rewrite-rules dscp rewrite-dscps
best-effort 포워딩 클래스 재작성 규칙을 구성합니다.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class be-class loss-priority low code-point 000000 user@host# set forwarding-class be-class loss-priority high code-point 000001
신속한 포워딩 클래스 재작성 규칙을 구성합니다.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class ef-class loss-priority low code-point 101110 user@host# set forwarding-class ef-class loss-priority high code-point 101111
보장된 포워딩 클래스 재작성 규칙을 구성합니다.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class af-class loss-priority low code-point 001010 user@host# set forwarding-class af-class loss-priority high code-point 001100
네트워크 제어 클래스 다시 쓰기 규칙을 구성합니다.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class nc-class loss-priority low code-point 110000 user@host# set forwarding-class nc-class loss-priority high code-point 110001
IRB 인터페이스에 재작성 규칙을 적용합니다.
[edit class-of-service] user@host# set interfaces irb unit 0 rewrite-rules dscp rewrite-dscps
결과
구성 모드에서 명령을 입력하여 show class-of-service 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show class-of-service
interfaces {
irb {
unit 0 {
rewrite-rules {
dscp rewrite-dscps;
}
}
}
}
rewrite-rules {
dscp rewrite-dscps {
forwarding-class be-class {
loss-priority low code-point 000000;
loss-priority high code-point 000001;
}
forwarding-class ef-class {
loss-priority low code-point 101110;
loss-priority high code-point 101111;
}
forwarding-class af-class {
loss-priority low code-point 001010;
loss-priority high code-point 001100;
}
forwarding-class nc-class {
loss-priority low code-point 110000;
loss-priority high code-point 110001;
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .
확인
재작성 규칙 구성 확인
목적
다시 쓰기 규칙이 제대로 구성되었는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show class-of-service interface irb .
user@host> show class-of-service interface irb Physical interface: irb, Index: 130 Maximum usable queues: 8, Queues in use: 4 Scheduler map: <default> , Index: 2 Congestion-notification: Disabled Logical interface: irb.10, Index: 71 Object Name Type Index Rewrite-Output rewrite-dscps dscp 17599 Classifier ipprec-compatibility ip 13
의미
재작성 규칙은 예상대로 IRB 인터페이스에서 구성됩니다.
예: 침입 탐지 및 방지(IDP) 정책에서 CoS 작업 적용
패킷이 네트워크에 들어오거나 나갈 때 디바이스는 패킷의 CoS 설정을 변경해야 할 수 있습니다. 재작성 규칙은 패킷 헤더 내에서 CoS 비트의 값을 설정합니다. 또한 코어 디바이스별 BA 분류를 수용하기 위해 디바이스의 인바운드 인터페이스에서 지정된 마커(예: DSCP)를 다시 작성해야 하는 경우가 많습니다.
SRX 시리즈 방화벽에서 IP 패킷의 DSCP 값은 다음 두 소프트웨어 모듈로 다시 쓸 수 있습니다.
송신 인터페이스의 DSCP 재작성기
침입 탐지 및 방지(IDP) 정책에 따른 침입 탐지 및 방지(IDP) 모듈
이 예에서는 패킷의 DSCP 값을 재작성하기 위한 작업 항목으로 포워딩 클래스를 정의하는 침입 탐지 및 방지(IDP) 정책을 생성하는 방법을 설명합니다.
요구 사항
시작하기 전에 CoS 구성 요소를 검토하십시오.
개요
이 예에서는 IDP 모듈로 DSCP 값을 재작성하고 인터페이스 기반 재작성기를 우회하는 방법을 보여줍니다. DSCP 값을 재작성하기 위해 침입 탐지 및 방지(IDP) 정책을 생성할 때 다음을 지정해야 합니다.
침입 탐지 및 방지(IDP) 모듈 및 인터페이스 기반 리라이터에 대해 별도의 포워딩 클래스를 구성합니다. 이 예에서는 fc1부터 fc8까지 8개의 포워딩 클래스가 구성됩니다. 이러한 8개의 포워딩 클래스 중 fc1부터 fc4까지의 4개 클래스가 인터페이스 기반 재작성기에 할당됩니다. fc5에서 fc8까지의 나머지 4개는 침입 탐지 및 방지(IDP) 모듈에 할당됩니다. 이 8개의 포워딩 클래스는 대기열 0에서 대기열 3까지의 4개의 우선순위 대기열에 매핑됩니다.
포워딩 클래스, fc1에서 fc4를 사용하여 DSCP 재작성기(rw_dscp)를 구성합니다.
DSCP 재작성기와 동일한 포워딩 클래스로 DSCP 분류자(c1)를 구성합니다. 기본적으로 분류기는 재작성기에 입력, 포워딩 클래스 및 손실 우선순위를 제공합니다.
DSCP 재작성기 rw_dscp를 논리적 인터페이스 ge-0/0/5에 적용합니다.
분류자 c1을 수신 논리적 인터페이스 ge-0/0/6에 적용합니다.
새 침입 탐지 및 방지(IDP) 정책(cos-policy)을 생성하고 작업으로 class-of-service forwarding-class fc5를 할당합니다.
메모:침입 탐지 및 방지(IDP)에 의한 DSCP 재작성을 보장하려면 동일한 포워딩 클래스로 침입 탐지 및 방지(IDP) 정책 및 인터페이스 기반 DSCP 재작성 규칙을 구성하지 않는 것이 중요합니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 명령을 [edit] CLI로 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .
set class-of-service forwarding-classes queue 0 fc1 set class-of-service forwarding-classes queue 1 fc2 set class-of-service forwarding-classes queue 2 fc3 set class-of-service forwarding-classes queue 3 fc4 set class-of-service forwarding-classes queue 0 fc5 set class-of-service forwarding-classes queue 1 fc6 set class-of-service forwarding-classes queue 2 fc7 set class-of-service forwarding-classes queue 3 fc8 set class-of-service rewrite-rules dscp rw_dscp set class-of-service rewrite-rules dscp rw_dscp forwarding-class fc1 loss-priority low code-point 000000 set class-of-service rewrite-rules dscp rw_dscp forwarding-class fc2 loss-priority low code-point 001000 set class-of-service rewrite-rules dscp rw_dscp forwarding-class fc3 loss-priority low code-point 010000 set class-of-service rewrite-rules dscp rw_dscp forwarding-class fc4 loss-priority low code-point 011000 set class-of-service classifiers dscp c1 forwarding-class fc1 loss-priority low code-points 111111 set class-of-service classifiers dscp c1 forwarding-class fc2 loss-priority low code-points 110000 set class-of-service classifiers dscp c1 forwarding-class fc3 loss-priority low code-points 100000 set class-of-service classifiers dscp c1 forwarding-class fc4 loss-priority low code-points 000000 set class-of-service interfaces ge-0/0/5 unit 0 rewrite-rules dscp rw_dscp set class-of-service interfaces ge-0/0/6 unit 0 classifiers dscp c1 set security idp idp-policy cos-policy set security idp idp-policy cos-policy rulebase-ips set-security idp idp-policy cos-policy rulebase-ips rule r1 set-security idp idp-policy cos-policy rulebase-ips rule r1 match from-zone any to-zone any application default set-security idp idp-policy cos-policy rulebase-ips rule r1 match attacks predefined-attack-groups 'P2P - All' set security idp idp-policy cos-policy rulebase-ips rule r1 then action class-of-service forwarding-class fc5 set security idp idp-policy cos-policy rulebase-ips rule r1 then action class-of-service dscp-code-point 62 set security idp idp-policy cos-policy rulebase-ips rule r1 then notification log-attacks set security idp idp-policy cos-policy rulebase-ips rule r1 then severity critical
단계별 절차
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을참조하십시오.
DSCP 재작성을 위한 알림 작업으로 포워딩 클래스를 사용하는 침입 탐지 및 방지(IDP) 정책을 구성하려면 다음 작업을 수행합니다.
포워딩 클래스를 구성합니다.
8개의 포워딩 클래스와 4개의 우선순위 대기열 간에 일대일 매핑을 구성하려면 계층 수준에서 다음 문을
[edit class-of-service]포함합니다.[edit class-of-service] user@host# set forwarding-classes fc1 queue-num 0 user@host# set forwarding-classes fc2 queue-num 1 user@host# set forwarding-classes fc3 queue-num 2 user@host# set forwarding-classes fc4 queue-num 3 user@host# set forwarding-classes fc5 queue-num 0 user@host# set forwarding-classes fc6 queue-num 1 user@host# set forwarding-classes fc7 queue-num 2 user@host# set forwarding-classes fc8 queue-num 3
포워딩 클래스로 DSCP 재작성기를 구성합니다.
[edit class-of-service] user@host# set rewrite-rules dscp rw_dscp forwarding-class fc1 loss-priority low code-point 000000 user@host# set rewrite-rules dscp rw_dscp forwarding-class fc2 loss-priority low code-point 001000 user@host# set rewrite-rules dscp rw_dscp forwarding-class fc3 loss-priority low code-point 010000 user@host# set rewrite-rules dscp rw_dscp forwarding-class fc4 loss-priority low code-point 011000
DSCP 재작성기와 동일한 포워딩 클래스로 BA 분류자를 구성합니다.
[edit class-of-service] user@host# set classifiers dscp c1 forwarding-class fc1 loss-priority low code-points 111111 user@host# set classifiers dscp c1 forwarding-class fc2 loss-priority low code-points 110000 user@host# set classifiers dscp c1 forwarding-class fc3 loss-priority low code-points 100000 user@host# set classifiers dscp c1 forwarding-class fc4 loss-priority low code-points 000000
논리 인터페이스에 재작성기를 적용합니다.
[edit class-of-service] user@host# set interfaces ge-0/0/5 unit 0 rewrite-rules dscp rw_dscp
논리적 인터페이스에 분류자를 적용합니다.
[edit class-of-service] user@host# set interfaces ge-0/0/6 unit 0 classifiers dscp c1
포워딩 클래스의 동작으로 침입 탐지 및 방지(IDP) 정책을 구성합니다.
다음 단계는 침입 탐지 및 방지(IDP) 정책이 작업 중 하나로 서비스 등급 포워딩 클래스를 포함하는 방법을 보여줍니다. 정책 cos-policy에서 포워딩 클래스 fc5는 dscp-code-point 62의 작업과 함께 작업으로 정의되며, 이를 위해서는 IDP 모듈이 DSCP 값을 62로 다시 작성해야 합니다. R1의 작업을 수행하면, IDP 모듈은 보안 플로우 모듈을 수행하여 패킷의 DSCP 값을 62로 재작성하고 포워딩 클래스를 fc5로 설정합니다.
포워딩 클래스를 침입 탐지 및 방지(IDP) 정책의 작업 중 하나로 설정하려면 다음 작업을 수행합니다.
단계별 절차
의미 있는 이름을 할당하여 정책을 만듭니다.
[edit ] user@host# edit security idp idp-policy cos-policy
규칙 베이스를 정책과 연결합니다.
[edit security idp idp-policy cos-policy ] user@host# edit rulebase-ips
규칙 베이스에 규칙을 추가합니다.
[edit security idp idp-policy cos-policy rulebase-ips] user@host# edit rule R1
규칙에 대한 일치 기준을 정의합니다.
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set match from-zone any to-zone any application default
공격을 일치 기준으로 정의합니다.
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set match attacks predefined-attack-groups 'P2P - All'
포워딩 클래스를 규칙에 대한 작업으로 지정합니다.
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set then action class-of-service forwarding-class fc5
dscp–code-point를 규칙에 대한 작업으로 지정합니다.
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set then action class-of-service dscp-code-point 62
규칙에 대한 알림 및 로깅 옵션을 지정합니다.
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set then notification log-attacks alert
규칙의 심각도 수준을 설정합니다.
[edit security idp idp-policy cos-policy rulebase-ips rule R1] user@host# set then severity critical
정책을 활성화합니다.
[edit] user@host# set security idp active-policy cos-policy
결과
구성 모드에서 및 show class-of-service 명령을 입력하여 show security idp 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show security idp
idp-policy cos-policy {
rulebase-ips {
rule R1 {
match {
from-zone any;
to-zone any;
application default;
attacks {
predefined-attack-groups P2P - All;
}
}
then {
action {
class-of-service {
forwarding-class fc5;
dscp-code-point 62;
}
}
notification {
log-attacks {
alert;
}
}
severity critical;
}
}
}
}
active-policy cos-policy;
[edit]
user@host# show class-of-service
classifiers {
dscp c1 {
forwarding-class fc1 {
loss-priority low code-points 111111;
}
forwarding-class fc2 {
loss-priority low code-points 110000;
}
forwarding-class fc3 {
loss-priority low code-points 100000;
}
forwarding-class fc4 {
loss-priority low code-points 000000;
}
}
}
forwarding-classes {
queue 0 fc5;
queue 1 fc6;
queue 2 fc7;
queue 3 fc8;
}
interfaces {
ge-0/0/5 {
unit 0 {
rewrite-rules {
dscp rw_dscp;
}
}
}
ge-0/0/6 {
unit 0 {
classifiers {
dscp c1;
}
}
}
}
rewrite-rules {
dscp rw_dscp {
forwarding-class fc1 {
loss-priority low code-point 000000;
}
forwarding-class fc2 {
loss-priority low code-point 001000;
}
forwarding-class fc3 {
loss-priority low code-point 010000;
}
forwarding-class fc4 {
loss-priority low code-point 011000;
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .
확인
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.
침입 탐지 및 방지(IDP) 정책 구성 확인
목적
포워딩 클래스 fc5가 침입 탐지 및 방지(IDP) 정책의 작업으로 구성되었는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show security idp idp-policy cos-policy .
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.
pt 인터페이스)에서 802.1p 재작성을 구성할 수 있습니다.