서비스 세트
서비스 세트 이해
Junos OS를 사용하면 AS(Adaptive Services Interface) 또는 멀티서비스 라인 카드(MS-DPC, MS-MIC 및 MS-MPC)에서 수행할 서비스 모음을 정의하는 서비스 세트를 만들 수 있습니다. 서비스 세트를 인터페이스 스타일의 서비스 세트 또는 넥스트 홉 스타일의 서비스 세트로 구성할 수 있습니다.
인터페이스 서비스 세트는 전체 인터페이스에서 작업 수정자로 사용됩니다. 인터페이스를 통과하는 패킷에 서비스를 적용하려는 경우 인터페이스 스타일의 서비스 세트를 사용할 수 있습니다.
다음 홉 서비스 집합은 특정 서비스를 적용하는 경로 기반 방법입니다. 특정 다음 홉으로 향하는 패킷만 명시적 정적 경로 생성에 의해 서비스됩니다. 이 구성은 전체 VPN(Virtual Private Network) 라우팅 및 포워딩(VRF) 테이블에 서비스를 적용해야 하거나 라우팅 결정에 따라 서비스가 수행되어야 한다고 결정할 때 유용합니다. next-hop 서비스가 구성되면 서비스 인터페이스는 하나의 레그가 내부 인터페이스(네트워크 내부)로 구성되고 다른 레그는 외부 인터페이스(네트워크 외부)로 구성된 두 개의 레그 모듈로 간주됩니다.
서비스 집합 비활성화 또는 서비스 집합 삭제 작업 중에 패킷이 삭제되지 않도록 하려면 먼저 서비스 집합에 해당하는 인터페이스를 중단하고 잠시 기다렸다가 나중에 서비스 집합을 비활성화하거나 삭제합니다. 그러나 트래픽 흐름이 매우 높은 경우에는 이 해결 방법이 도움이 되지 않습니다.
서비스 세트를 구성하려면 계층 수준에서 다음 문을 포함시킵니다.[edit services]
[edit services] service-set service-set-name { (ids-rules rule-names | ids-rule-sets rule-set-name); (ipsec-vpn-rules rule-names | ipsec-vpn-rule-sets rule-set-name); max-session-setup-rate max-setup-rate; (nat-rules rule-names | nat-rule-sets rule-set-name); (pgcp-rules rule-names | pgcp-rule-sets rule-set-name); (ptsp-rules rule-names | ptsp-rule-sets rule-set-name); (stateful-firewall-rules rule-names | stateful-firewall-rule-sets rule-set-name); allow-multicast; extension-service service-name { provider-specific rules; } interface-service { service-interface interface-name; } ipsec-vpn-options { anti-replay-window-size bits; clear-dont-fragment-bit; ike-access-profile profile-name; local-gateway address; no-anti-replay; passive-mode-tunneling; trusted-ca [ ca-profile-names ]; tunnel-mtu bytes; } max-flows number; next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; service-interface-pool name; } syslog { host hostname { services severity-level; facility-override facility-name; log-prefix prefix-value; } } } adaptive-services-pics { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } } logging { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } }
참조
서비스 인터페이스에 적용할 서비스 세트 구성
서비스 인터페이스를 구성하여 서비스가 수행될 적응 서비스 인터페이스를 지정합니다. 서비스 인터페이스는 다음 섹션에서 설명하는 서비스 세트 유형 중 하나와 함께 사용됩니다.
인터페이스 서비스 세트 구성
인터페이스 서비스 세트는 전체 인터페이스에서 작업 수정자로 사용됩니다. 서비스 인터페이스를 구성하려면 계층 수준에서 문을 포함합니다interface-service.[edit services service-set service-set-name]
[edit services service-set service-set-name] interface-service { service-interface interface-name; }
라우터 소프트웨어가 논리 장치 번호를 자동으로 관리하므로 디바이스 이름만 필요합니다. 서비스 인터페이스는 계층 수준에서 구성 unit 0 family inet [edit interfaces interface-name 한 적응 서비스 인터페이스여야 합니다.
서비스 세트 정의를 구성하여 서비스 규칙을 정의하고 그룹화하면 라우터에 설치된 하나 이상의 인터페이스에 서비스를 적용할 수 있습니다. 서비스 세트를 인터페이스에 적용하면 패킷이 PIC로 전달되도록 자동으로 보장합니다.
인터페이스와 정의된 서비스 세트를 연결하려면 계층 수준에서 [edit interfaces interface-name unit logical-unit-number family inet service] 또는 output 과 함께 input 문을 포함 service-set 시킵니다.
[edit interfaces interface-name unit logical-unit-number family inet service]
input {
service-set service-set-name <service-filter filter-name>;
post-service-filter filter-name;
}
output {
service-set service-set-name <service-filter filter-name>;
}
패킷이 인터페이스에 진입하는 경우 일치 방향은 입니다 input. 패킷이 인터페이스를 떠나는 경우 일치 방향은 입니다 output. 서비스 세트는 서비스가 적용된 후에도 입력 인터페이스 정보를 유지하므로 입력 인터페이스 정보에 의존하는 필터 클래스 포워딩 및 DCU(대상 클래스 사용)와 같은 기능이 계속 작동합니다.
인터페이스의 입력 및 출력 측에서 동일한 서비스 세트를 구성합니다. 각 서비스 세트와 연관된 필터를 선택적으로 포함하여 대상을 구체화하고 트래픽을 추가로 처리할 수 있습니다. 정의 없이 service-filter 명령문을 포함 service-set 하면 라우터 소프트웨어는 일치 조건이 true라고 가정하고 자동으로 처리할 서비스 세트를 선택합니다.
필터를 사용하여 서비스 세트를 구성하는 경우 인터페이스의 입력 및 출력 측에서 구성해야 합니다.
인터페이스의 각 측면에 두 개 이상의 서비스 세트 정의를 포함할 수 있습니다. 여러 서비스 세트를 포함하는 경우, 라우터 소프트웨어는 구성에 나타나는 순서대로 평가합니다. 시스템은 서비스 필터에서 일치하는 항목을 찾은 첫 번째 서비스 세트를 실행하고 후속 정의를 무시합니다. 인터페이스에 최대 6개의 서비스 세트를 적용할 수 있습니다. 인터페이스에 여러 서비스 세트를 적용할 때 서비스 필터도 구성하고 인터페이스에 적용해야 합니다.
추가 문을 사용하면 입력 서비스 세트가 실행된 후 트래픽을 처리하기 위한 필터를 지정할 수 있습니다. 이러한 유형의 필터를 구성하려면 계층 수준에서 명령문을 포함 post-service-filter 하십시오.[edit interfaces interface-name unit logical-unit-number family inet service input]
post-service-filter filter-name;
post-service-filter 서비스 인터페이스가 MS-MIC 또는 MS-MPC에 있을 때는 문이 지원되지 않습니다.
예를 들어 예: 서비스 세트 구성을 참조하십시오.
Junos OS 확장 제공 패키지로 구성된 인터페이스 스타일의 서비스 집합을 사용하면 수신 인터페이스가 VRF 인스턴스의 일부이고 서비스 인터페이스가 동일한 VRF 인스턴스의 일부가 아닌 경우 트래픽이 서비스되지 않습니다.
서비스 세트를 위해 구성된 MultiServices PIC가 관리상 오프라인 상태가 되거나 장애를 겪을 경우, IDP 서비스 세트로 구성된 인터페이스에 들어오는 모든 트래픽은 통보 없이 삭제됩니다. 이러한 트래픽 손실을 방지하려면 계층 수준에서 명령문을 포함 bypass-traffic-on-pic-failure 하십시오 [edit services service-set service-set-name service-set-options] . 이 문이 구성되면 MultiServices PIC 실패 또는 오프라인 발생 시 인터페이스 스타일 서비스가 구성되지 않은 것처럼 영향을 받는 패킷이 전달됩니다. 이 문제는 침입 탐지 및 방지(IDP) 서비스 세트를 사용하는 Junos Application Aware(이전의 동적 Application Awareness) 구성에만 적용됩니다. 이 전달 기능은 처음에 패킷 포워딩 엔진(PFE)에서만 작동했습니다. Junos OS 릴리스 11.3부터는 패킷 포워딩 기능이 우회 서비스 세트를 위해 라우팅 엔진에서 생성된 패킷으로 확장됩니다.
Next-Hop 서비스 세트 구성
다음 홉 서비스 집합은 특정 서비스를 적용하는 경로 기반 방법입니다. 특정 다음 홉으로 향하는 패킷만 명시적 정적 경로 생성에 의해 서비스됩니다. 이 구성은 전체 VPN(Virtual Private Network) 라우팅 및 포워딩(VRF) 테이블에 서비스를 적용해야 하거나 라우팅 결정에 따라 서비스가 수행되어야 한다고 결정할 때 유용합니다.
넥스트 홉 서비스가 구성되면 AS 또는 멀티서비스 PIC는 하나의 레그가 내부 인터페이스(네트워크 내부)로 구성되고 다른 하나는 외부 인터페이스(네트워크 외부)로 구성된 2개의 레그 모듈로 간주됩니다.
인터페이스 서비스 세트가 구성되지 않은 경우에만 8000보다 큰 IFL 인덱스를 생성할 수 있습니다.
도메인을 구성하려면 계층 수준에서 문을 [edit interfaces interface-name unit logical-unit-number] 포함합니다service-domain.
service-domain (inside | outside);
설정은 service-domain 인터페이스 내부 및 외부 next-hop 서비스의 구성과 일치해야 합니다. 내부 및 외부 인터페이스를 구성하려면 계층 수준에서 문을 [edit services service-set service-set-name] 포함합니다next-hop-service. 지정하는 인터페이스는 동일한 AS PIC의 논리적 인터페이스여야 합니다. 이 목적을 위해 구성할 unit 0 수 없으며, 선택한 논리적 인터페이스를 다른 서비스 집합에서 사용해서는 안 됩니다.
next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; }
서비스가 적용되는 트래픽은 정적 경로를 사용하여 내부 인터페이스로 강제 전송됩니다. 예를 들어:
routing-options {
static {
route 10.1.2.3 next-hop sp-1/1/0.1;
}
}
서비스가 적용된 후 트래픽은 외부 인터페이스를 통해 종료됩니다. 그런 다음 패킷 포워딩 엔진(PFE)에서 조회를 수행하여 AS 또는 멀티서비스 PIC에서 패킷을 보냅니다.
역방향 트래픽은 외부 인터페이스로 들어가 서비스를 받고 내부 인터페이스로 전송됩니다. 내부 인터페이스는 AS 또는 멀티서비스 PIC에서 트래픽을 전달합니다.
트래픽 방향 결정
넥스트 홉 서비스 세트를 구성할 때, AS PIC는 두 부분으로 구성된 인터페이스로 기능하며, 한 부분은 내부 인터페이스이고 다른 부분은 외부 인터페이스입니다. 다음과 같은 일련의 작업이 수행됩니다.
두 부분을 논리적 인터페이스와 연결하려면, 문과
service-domain함께 두 개의 논리적 인터페이스(하나는 값, 다른outside하나는inside값)를 구성하여 내부 또는 외부 서비스 인터페이스로 표시합니다.라우터는 다음 홉 조회 테이블을 사용하여 서비스될 트래픽을 내부 인터페이스로 전달합니다.
서비스가 적용된 후 트래픽은 외부 인터페이스에서 나갑니다. 그런 다음 라우터에서 전송될 패킷에 대해 경로 조회가 수행됩니다.
역방향 트래픽이 외부 인터페이스에서 반환되면 적용된 서비스가 실행 취소됩니다. 예를 들어, IPsec 트래픽이 복호화되거나 NAT 주소가 마스크 해제됩니다. 그러면 서비스된 패킷이 내부 인터페이스에 나타나고, 라우터는 경로 조회를 수행하며, 트래픽은 라우터를 나갑니다.
입력, 출력 또는 입/출력 여부에 관계없이 서비스 규칙의 일치 방향은 특정 내부 또는 외부 인터페이스를 통하지 않고 AS PIC를 통해 트래픽 흐름과 관련하여 적용됩니다.
패킷이 AS PIC로 전송되면 패킷 방향 정보도 함께 전달됩니다. 이는 인터페이스 스타일과 넥스트 홉 스타일 서비스 세트 모두에 해당됩니다.
인터페이스 스타일 서비스 세트
패킷 방향은 패킷이 명령문이 적용되는 패킷 포워딩 엔진 인터페이스(포워딩 플레인과 관련하여) interface-service 에 들어오는지 또는 나가는지에 따라 결정됩니다. 이는 무상태 방화벽 필터의 입력 및 출력 방향과 유사합니다.
일치 방향은 네트워크 토폴로지에 따라 달라질 수도 있습니다. 예를 들어, 라우터의 다른 인터페이스를 보호하는 데 사용되는 하나의 인터페이스를 통해 모든 외부 트래픽을 라우팅하고 이 인터페이스에서 다양한 서비스를 구체적으로 구성할 수 있습니다. 또는 우선 순위 트래픽에 하나의 인터페이스를 사용하고 해당 인터페이스에 특수 서비스를 구성할 수 있지만 다른 인터페이스의 트래픽 보호에는 신경 쓰지 않을 수 있습니다.
다음 홉 스타일 서비스 세트
패킷 방향은 AS PIC로 패킷을 라우팅하는 데 사용되는 AS PIC 인터페이스에 의해 결정됩니다. 문을 사용하여 inside-interface 트래픽을 라우팅하는 경우 패킷 방향은 입니다 input. 명령문을 사용하여 outside-interface 패킷을 AS PIC로 전달하는 경우 패킷 방향은 입니다 output.
서비스 세트를 적용하는 인터페이스는 일치 방향에 영향을 줍니다. 예를 들어 다음 구성을 적용합니다.
sp-1/1/0 unit 1 service-domain inside; sp-1/1/0 unit 2 service-domain outside;
을(를) 구성 match-direction input하면 다음 문을 포함합니다.
[edit] services service-set test1 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test1 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction input; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.1;
을(를) 구성 match-direction output하면 다음 문을 포함합니다.
[edit] services service-set test2 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test2 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction output; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.2;
두 구성 간의 근본적인 차이는 AS PIC의 내부 또는 외부 인터페이스를 가리키는 일치 방향과 정적 경로의 다음 홉의 변경입니다.
참조
서비스 집합 제한 구성
서비스 집합 용량에 대해 다음과 같은 제한을 설정할 수 있습니다.
서비스 집합당 허용되는 최대 플로우 수를 제한할 수 있습니다. 최대값을 구성하려면 계층 수준에서 명령문을
[edit services service-set service-set-name]포함합니다max-flows.[edit services service-set service-set-name] max-flows number;
문은
max-flows단일 플로우 제한 값을 할당하도록 허용합니다. IDS 서비스 세트의 경우에만 더 세밀한 제어 수준으로 다양한 유형의 유량 제한을 지정할 수 있습니다. 자세한 내용은 MS-DPC에서 IDS 규칙 집합 구성의 문에 대한session-limit설명을 참조하십시오.메모:어그리게이션 멀티서비스(AMS) 인터페이스가 서비스 집합에 대한 서비스 인터페이스로 구성되면,
max-flow서비스 세트에 구성된 값이 AMS 인터페이스의 각 멤버 인터페이스에 적용됩니다. 즉, 4개의 활성 멤버 인터페이스가 있는 AMS 인터페이스를 사용하는 서비스 집합의 값으로 1000max-flow을 구성한 경우, 각 멤버 인터페이스는 각각 1000개의 플로우를 처리할 수 있으므로 유효max-flow값은 4000이 됩니다.TCP(Transmission Control Protocol)에서 허용하는 최대 세그먼트 크기(MSS)를 제한할 수 있습니다. 최대값을 구성하려면 계층 수준에서 명령문을
[edit services service-set service-set-name]포함합니다tcp-mss.[edit services service-set service-set-name] tcp-mss number;
TCP 프로토콜은 두 피어 간의 세션 연결 설정 중에 MSS 값을 협상합니다. 협상된 MSS 값은 주로 통신 피어가 직접 연결된 인터페이스의 최대 전송 단위(MTU)를 기반으로 합니다. 그러나 네트워크에서 TCP 패킷이 취한 경로에서 링크 MTU의 변동으로 인해 관련 패킷의 크기가 링크의 MTU를 초과하면 여전히 MSS 값 내에 있는 일부 패킷이 단편화될 수 있습니다.
라우터가 SYN 비트 및 MSS 옵션이 설정된 TCP 패킷을 수신하고 패킷에 지정된 MSS 옵션이 문으로 지정된
tcp-mssMSS 값보다 큰 경우, 라우터는 패킷의 MSS 값을 문으로 지정된 낮은 값으로 대체합니다tcp-mss. 매개 변수의tcp-mss mss-value범위는 에서 536 까지 65535입니다.수신된 SYN 패킷 및 MSS 값이 수정된 SYN 패킷의 통계를 보려면 운영 모드 명령을 실행합니다
show services service-sets statistics tcp-mss. 이 주제에 대한 자세한 내용은 Junos OS 관리 라이브러리를 참조하십시오.Junos OS 릴리스 17.1R1부터는 MS-MPC에 대해 서비스 세트당 세션 설정 속도를 제한할 수 있습니다. 허용되는 최대 설정 속도를 구성하려면 계층 수준에서 명령문을
[edit services service-set service-set-name]포함합니다max-session-setup-rate.[edit services service-set service-set-name] max-session-setup-rate (number | numberk);
최대 세션 설정 속도는 초당 허용되는 최대 세션 설정 수입니다. 이 속도에 도달한 후에는 추가 세션 설정 시도가 삭제됩니다.
의
max-session-setup-ratenumber 범위는 1에서 429,496,729입니다. k를 사용하여 number설정 속도를 수천 개의 세션으로 표현할 수도 있습니다. Junos OS 릴리스 18.4R1부터 .max-session-setup-rateJunos OS 릴리스 18.4R1 이전에는 1k=1024였습니다. 명령문을 포함max-session-setup-rate하지 않는 경우 세션 설정 속도가 제한되지 않습니다.
참조
예: 서비스 세트 구성
인터페이스 전체적으로 두 개의 서비스 세트, my-input-service-set 및 my-output-service-set을 적용합니다. 모든 트래픽이 my-input-service-set 적용되었습니다. 서비스 세트를 적용한 후 을 사용하여 my_post_service_input_filter추가 필터링이 수행됩니다.
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
서비스 인터페이스 풀 구성
멀티캐스트 트래픽을 수락하도록 서비스 PIC 활성화
멀티캐스트 트래픽이 적응형 서비스 또는 멀티서비스 PIC로 전송되도록 허용하려면 계층 수준에서 [edit services service-set service-set-name] 문을 포함합니다allow-multicast. 이 명령문을 포함하지 않으면 멀티캐스트 트래픽이 기본적으로 삭제됩니다. 이 명령문은 다음 홉 서비스 세트를 사용하는 멀티캐스트 트래픽에만 적용됩니다. 인터페이스 서비스 세트 구성은 지원되지 않습니다. 멀티캐스트 패킷에 대해 단방향 플로우만 생성됩니다.
참조
인터페이스에 필터 및 서비스 적용
서비스 집합 정의를 구성하여 서비스 규칙을 정의하고 그룹화하면 라우터에 있는 하나 이상의 인터페이스에 서비스를 적용할 수 있습니다. 정의된 서비스 세트를 인터페이스와 연결하려면 계층 수준에서 [edit interfaces interface-name unit logical-unit-number family inet service] 또는 output 명령문을 와 함께 input 포함 service-set 시킵니다.
[edit interfaces interface-name unit logical-unit-number family inet service] input { service-set service-set-name <service-filter filter-name>; post-service-filter filter-name; } output { service-set service-set-name <service-filter filter-name>; }
인터페이스에서 서비스를 활성화할 때 역방향 경로 전달은 지원되지 않습니다. 관리 인터페이스() 또는 루프백 인터페이스)fxp0lo0에서 서비스를 구성할 수 없습니다.
인터페이스의 입력 및 출력 측에서 서로 다른 서비스 세트를 구성할 수 있습니다. 그러나 양방향 서비스 규칙이 있는 서비스 세트의 경우, 및 output 명령문 모두에 input 동일한 서비스 세트 정의를 포함해야 합니다. 문에 service 포함하는 모든 서비스 집합은 계층 수준에서 [edit services service-set service-set-name] 문으로 interface-service 구성해야 합니다. 자세한 내용은 서비스 인터페이스에 적용할 서비스 집합 구성을 참조하십시오.
거부 작업을 포함하는 입력 방화벽 필터와 스테이트풀 방화벽 규칙을 포함하는 서비스 세트로 인터페이스를 구성하는 경우, 라우터는 스테이트풀 방화벽 규칙이 패킷에서 실행되기 전에 입력 방화벽 필터를 실행합니다. 따라서 패킷 포워딩 엔진이 인터페이스를 통해 ICMP(Internet Control Message Protocol) 오류 메시지를 보낼 때 상태 저장 방화벽 규칙은 패킷이 입력 방향으로 표시되지 않기 때문에 패킷을 삭제할 수 있습니다.
가능한 해결 방법은 포워딩 테이블 필터를 포함하여 거부 작업을 수행하거나(이 유형의 필터가 입력 방향의 스테이트풀 방화벽 이후에 실행되기 때문에) 출력 서비스 필터를 포함하여 로컬에서 생성된 ICMP 패킷이 스테이트풀 방화벽 서비스로 이동하지 않도록 하는 것입니다.
서비스 필터 구성
각 서비스 세트와 연관된 필터를 선택적으로 포함하여 대상을 구체화하고 트래픽을 추가로 처리할 수 있습니다. 정의 없이 service-filter 명령문을 포함 service-set 하면 라우터 소프트웨어는 일치 조건이 true라고 가정하고 자동으로 처리할 서비스 세트를 선택합니다.
서비스 필터를 구성하려면 계층 수준에서 명령문을 포함 firewall 하십시오.[edit]
firewall {
family inet {
service-filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
서비스 필터를 구성하려면 을(를) 주소 패밀리로 지정 inet 해야 합니다.
방화벽 필터와 비슷한 방식으로 서비스 필터를 구성합니다. 서비스 필터의 일치 조건은 방화벽 필터와 동일하지만 다음과 같은 특정 작업이 있습니다.
count- 패킷을 카운터 합계에 추가합니다.log- 패킷을 기록합니다.port-mirror- 패킷을 포트 미러링합니다.sample- 패킷을 샘플링합니다.service- 서비스 처리를 위해 패킷을 포워딩합니다.skip- 서비스 처리에서 패킷을 생략합니다.
방화벽 필터 구성에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 설명서를 참조하십시오.
또한 인터페이스의 각 측면에 두 개 이상의 서비스 세트 정의를 포함할 수 있습니다. 여러 서비스 세트를 포함하는 경우, 라우터 소프트웨어는 구성에 지정된 순서대로 평가합니다. 서비스 필터에서 일치하는 항목을 찾은 첫 번째 서비스 세트를 실행하고 후속 정의를 무시합니다.
추가 문을 사용하면 입력 서비스 세트가 실행된 후 트래픽을 처리하기 위한 필터를 지정할 수 있습니다. 이러한 유형의 필터를 구성하려면 계층 수준에서 명령문을 포함 post-service-filter 하십시오.[edit interfaces interface-name unit logical-unit-number family inet service input]
post-service-filter filter-name;
소프트웨어는 서비스 세트를 선택하고 실행한 경우에만 서비스 후 필터링을 수행합니다. 트래픽이 구성된 서비스 세트에 대한 일치 기준을 충족하지 않는 경우 사후 서비스 필터는 무시됩니다. post-service-filter 서비스 인터페이스가 MS-MIC 또는 MS-MPC에 있을 때는 문이 지원되지 않습니다.
인터페이스에 서비스 세트를 적용하는 예제는 예: 서비스 인터페이스 구성을 참조하십시오.
인터페이스에 필터를 적용하는 방법에 대한 자세한 내용은 라우팅 디바이스용 Junos OS 네트워크 인터페이스 라이브러리를 참조하십시오. 필터에 대한 일반적인 정보는 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 설명서를 참조하십시오.
NAT 처리가 패킷에 적용된 후에는 출력 서비스 필터가 적용되지 않습니다. 서비스 필터는 변환되지 않은 트래픽에만 영향을 미칩니다.
예: 서비스 인터페이스 구성
인터페이스 전반에 걸쳐 서비스 세트를 적용합니다 my-service-set . 에서 my_input_filter 허용된 모든 트래픽이 my-input-service-set 적용되었는지 확인합니다. 서비스 집합이 적용된 후 필터를 사용하여 추가 필터링이 my_post_service_input_filter 수행됩니다.
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
filter {
input my_input_filter;
output my_output_filter;
}
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
두 개의 이중화 인터페이스, rsp0 및 rsp1및 관련 서비스를 구성합니다.
[edit interfaces]
rsp0 {
redundancy-options {
primary sp-0/0/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 30 {
family inet;
service-domain inside;
}
unit 31 {
family inet;
service-domain outside;
}
}
rsp1 {
redundancy-options {
primary sp-0/1/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 20 {
family inet;
service-domain inside;
}
unit 21 {
family inet;
service-domain outside;
}
}
[edit services]
service-set null-sfw-with-nat {
stateful-firewall-rules allow-all;
nat-rules rule1;
next-hop-service {
inside-service-interface rsp0.30;
outside-service-interface rsp0.31;
}
}
[edit routing-instances]
vpna {
interface rsp0.0;
}
참조
서비스 인터페이스의 주소 및 도메인 구성
AS 또는 멀티서비스 PIC에서 계층 레벨에서 [edit interfaces interface-name unit logical-unit-number family inet] 문을 포함하여 address 시스템 로그 메시지의 소스 주소를 구성합니다.
address address { ... }
값을 구성하여 인터페이스에 address IP 주소를 할당합니다. AS 또는 멀티서비스 PIC는 일반적으로 문을 사용하여 family inet 구성된 IP 버전 4(IPv4) 주소만 지원하지만, IPsec 서비스는 문을 사용하여 family inet6 구성된 IP 버전 6(IPv6) 주소도 지원합니다.
동일한 라우팅 인스턴스에서 여러 인터페이스에 동일한 주소를 구성하면 Junos OS는 첫 번째 구성만 사용하고 나머지 주소 구성은 무시되며 주소 없이 인터페이스를 벗어날 수 있습니다. 할당 주소가 없는 인터페이스는 번호가 지정되지 않은 이더넷 인터페이스의 공여 인터페이스로서 사용될 수 없습니다.
예를 들어, 다음 구성에서 인터페이스 xe-0/0/1.0의 주소 구성은 무시됩니다.
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
xe-0/0/1 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
여러 인터페이스에서 동일한 주소를 구성하는 것에 대한 자세한 내용은 인터페이스 주소 구성을 참조하십시오.
서비스 인터페이스에 특화되지 않고 구성할 수 있는 다른 주소 지정 속성에 대한 자세한 내용은 라우팅 장치용 Junos OS 네트워크 인터페이스 라이브러리를 참조하십시오.
문은 service-domain 인터페이스가 네트워크 내에서 사용되는지 또는 원격 디바이스와 통신하는지 여부를 지정합니다. 소프트웨어는 이 설정을 사용하여 적용할 기본 상태 저장 방화벽 규칙과 서비스 규칙의 기본 방향을 결정합니다. 도메인을 구성하려면 계층 수준에서 문을 [edit interfaces interface-name unit logical-unit-number] 포함합니다service-domain.
service-domain (inside | outside);
다음 홉 서비스 집합 정의에서 인터페이스를 구성하는 경우, service-domain 설정은 및 outside-service-interface 문의 구성 inside-service-interface 과 일치해야 합니다. 자세한 내용은 서비스 인터페이스에 적용될 서비스 집합 구성을 참조하십시오.
참조
서비스 집합에 대한 시스템 로깅 구성
서비스 집합에 대한 시스템 로그 메시지가 생성되는 방법을 제어하는 속성을 지정합니다. 이러한 값은 계층 수준에서 구성된 값을 재정의합니다 [edit interfaces interface-name services-options] .
서비스 세트별 시스템 로깅 값을 구성하려면 계층 수준에서 명령문을 포함 syslog 하십시오 [edit services service-set service-set-name] .
syslog { host hostname { class class-name facility-override facility-name; log-prefix prefix-value; port port-number services severity-level; source-address source-address } }
host 시스템 로그 대상 서버를 지정하는 호스트 이름 또는 IP 주소로 문을 구성합니다. 호스트 이름은 local 시스템 로그 메시지를 라우팅 엔진으로 전달합니다. 외부 시스템 로그 서버의 경우, 초기 데이터 패킷(세션 설정을 트리거한)이 전달되는 동일한 라우팅 인스턴스에서 호스트 이름에 도달할 수 있어야 합니다. 시스템 로깅 호스트 이름은 하나만 지정할 수 있습니다. 매개 source-address 변수는 ms, rms 및 mams 인터페이스에서 지원됩니다.
Junos OS 릴리스 17.4R1부터는 계층 레벨에서 [edit services service-set service-set-name] 각 서비스 세트에 대해 최대 4개의 시스템 로그 서버(로컬 시스템 로그 호스트와 원격 시스템 로그 수집기의 조합)를 구성할 수 있습니다.
Junos OS는 fxp.0 인터페이스를 통해 외부 시스템 로그 서버로 시스템 로그 메시지를 내보내는 것을 지원하지 않습니다. 이는 시스템 로그 메시지의 높은 전송 속도와 fxp.0 인터페이스의 제한된 대역폭으로 인해 여러 문제가 발생할 수 있기 때문입니다. 외부 시스템 로그 서버는 라우팅 가능한 인터페이스를 통해 연결할 수 있어야 합니다.
표 1 에는 계층 수준에서 구성 문에 지정할 수 있는 심각도 수준이 [edit services service-set service-set-name syslog host hostname] 나와 있습니다. 에서 emergency 까지의 info 수준은 심각도가 가장 높은 수준(기능에 가장 큰 영향을 미침)에서 가장 낮은 순서대로 나열됩니다.
심각도 수준 |
묘사 |
|---|---|
|
모든 심각도 수준 포함 |
|
라우터 기능을 중단시키는 시스템 오류 또는 기타 조건 |
|
손상된 시스템 데이터베이스와 같이 즉각적인 수정이 필요한 조건 |
|
하드 드라이브 오류와 같은 중요한 조건 |
|
긴급 상황, 경고, 위험 수준의 오류보다 일반적으로 덜 심각한 결과가 발생하는 오류 조건 |
|
모니터링이 필요한 조건 |
|
오류는 아니지만 특별한 처리가 필요할 수 있는 조건 |
|
관심 영역의 이벤트 또는 비 오류 조건 |
시스템 로깅 심각도 수준을 정상 작동 중으로 error 설정하는 것이 좋습니다. PIC 리소스 사용을 모니터링하려면 수준을 로 warning설정합니다. 침입 탐지 시스템 오류가 탐지될 때 침입 공격에 대한 정보를 수집하려면 특정 서비스 세트에 대해 수준을 로 notice 설정합니다. 구성을 디버깅하거나 NAT 기능을 기록하려면 수준을 으로 info설정합니다.
시스템 로그 메시지에 대한 자세한 내용은 시스템 로그 탐색기를 참조하세요.
지정된 시스템 로그 호스트에 기록할 메시지 클래스를 선택하려면 계층 수준에서 문을 포함합니다class.[edit services service-set service-set-name syslog host hostname]
class class-name;
지정된 시스템 로그 호스트에 대한 모든 로깅에 대해 하나의 특정 기능 코드를 사용하려면 계층 레벨에서 [edit services service-set service-set-name syslog host hostname] 문을 포함합니다facility-override.
facility-override facility-name;
지원되는 기능은 , , , , user, 및 local0 을(를) 통해 local7입니다authorization. kernelftpdaemon
이 시스템 로그 호스트에 대한 모든 로깅에 대한 텍스트 접두사를 지정하려면 계층 수준에서 문을 [edit services service-set service-set-name syslog host hostname] 포함합니다log-prefix.
log-prefix prefix-value;
참조
서비스 규칙 구성
서비스 세트를 구성하는 규칙 및 규칙 세트의 컬렉션을 지정합니다. 라우터는 구성에 나타나는 순서대로 규칙 세트를 수행합니다. 각 서비스 유형에 대해 하나의 규칙 집합만 포함할 수 있습니다. 각 서비스 유형의 계층 수준에서 [edit services name] 각 서비스 유형에 대한 규칙 이름과 내용을 구성합니다.
침입 탐지 서비스(IDS) 규칙은
[edit services ids]계층 수준에서 구성할 수 있습니다. 자세한 내용은 MS-DPC 카드용 MS-DPC에 대한 IDS 규칙 구성 및 MS-MPC 카드용 MS-MPC에 대한 네트워크 공격에 대한 보호 구성을 참조하십시오.계층 수준에서
[edit services ipsec-vpn]IP 보안(IPsec) 규칙을 구성합니다. 자세한 내용은 Junos VPN Site Secure 이해를 참조하십시오.네트워크 주소 변환(NAT) 규칙은
[edit services nat]계층 수준에서 구성할 수 있습니다. 자세한 내용은 Junos Address Aware 네트워크 주소 지정 개요를 참조하십시오.계층 수준에서 패킷 트리거 가입자 및 정책 제어(PTSP) 규칙을
[edit services ptsp]구성할 때, 자세한 내용은 PTSP 서비스 규칙 구성을 참조하십시오.계층 수준에서 DS-Lite 또는 6번째 소프트와이어
[edit services softwire]에 대한 소프트와이어 규칙을 구성할 수 있습니다. 자세한 내용은 소프트와이어 규칙 구성을 참조하십시오.스테이트풀 방화벽 규칙은
[edit services stateful-firewall]계층 수준에서 구성할 수 있으며, 자세한 내용은 스테이트풀 방화벽 규칙 구성을 참조하십시오.
서비스 집합을 구성하는 규칙 및 규칙 집합을 구성하려면 계층 수준에서 다음 문을 포함합니다.[edit services service-set service-set-name]
([ ids-rules rule-names ] |ids-rule-sets rule-set-name); ([ ipsec-vpn-rules rule-names ] | ipsec-vpn-rule-sets rule-set-name); ([ nat-rules rule-names ] | nat-rule-sets rule-set-name); ([ pgcp-rules rule-names] | pgcp-rule-sets rule-set-name); ([softwire-rules rule-names] | softwire-rule-sets rule-set-name); ([ stateful-firewall-rules rule-names ] | stateful-firewall-rule-sets rule-set-name);
각 서비스 유형에 대해 하나 이상의 개별 규칙 또는 하나의 규칙 집합을 포함할 수 있습니다.
IPsec 규칙을 사용하여 서비스 집합을 구성하는 경우 다른 서비스에 대한 규칙을 포함해서는 안 됩니다. 그러나 다른 서비스에 대한 규칙을 포함하는 다른 서비스 세트를 구성하고 두 서비스 세트를 동일한 인터페이스에 적용할 수 있습니다.
또한 서비스 세트 내에 Junos Application Aware(이전 명칭: Dynamic Application Awareness) 기능을 포함할 수 있습니다. 이렇게 하려면 APPID(Application Identification) 규칙과 함께 계층 수준에서 문을 [edit services service-set] 포함 idp-profile 해야 하며, 적절한 경우 AACL(Application-Aware Access List) 규칙 및 .policy-decision-statistics-profile Junos Application Aware 기능을 사용할 때는 하나의 서비스 세트만 단일 인터페이스에 적용할 수 있습니다. 자세한 내용은 MS-DPC에서 IDS 규칙 구성, APPID 개요 및 라우팅 디바이스용 애플리케이션 인식 서비스 인터페이스 사용자 가이드를 참조하십시오.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.
max-session-setup-rate