서비스 세트
서비스 세트 이해
Junos OS를 사용하면 AS(Adaptive Services Interface) 또는 멀티서비스 라인 카드(MS-DPC, MS-MIC 및 MS-MPC)가 수행할 서비스 모음을 정의하는 서비스 세트를 생성할 수 있습니다. 서비스 세트를 인터페이스 스타일 서비스 세트 또는 넥스트 홉 스타일 서비스 세트로 구성할 수 있습니다.
인터페이스 서비스 세트는 전체 인터페이스에서 작업 수정자로 사용됩니다. 인터페이스를 통과하는 패킷에 서비스를 적용하고자 할 때 인터페이스 스타일의 서비스 세트를 사용할 수 있습니다.
넥스트 홉 서비스 세트는 특정 서비스를 적용하는 경로 기반 방법입니다. 특정 다음 홉으로 향하는 패킷만 명시적 정적 경로 생성에 의해 서비스됩니다. 이 구성은 전체 VPN(Virtual Private Network) 라우팅 및 포워딩(VRF) 테이블에 서비스를 적용해야 하는 경우 또는 라우팅 결정에 따라 서비스를 수행해야 하는 경우에 유용합니다. 다음 홉 서비스가 구성되면 서비스 인터페이스는 한쪽 다리가 내부 인터페이스(네트워크 내부)로 구성되고 다른 쪽 다리가 외부 인터페이스(네트워크 외부)로 구성된 두 개의 다리가 있는 모듈로 간주됩니다.
서비스 세트 비활성화 또는 서비스 세트 삭제 작업 중에 패킷 드롭을 방지하려면 먼저 서비스 세트에 해당하는 인터페이스를 종료하고 잠시 기다렸다가 나중에 서비스 세트를 비활성화하거나 삭제합니다. 그러나 트래픽 흐름이 매우 높은 경우에는 이 해결 방법이 도움이 되지 않습니다.
서비스 세트를 구성하려면 계층 레벨에서 [edit services] 다음 문을 포함합니다.
[edit services] service-set service-set-name { (ids-rules rule-names | ids-rule-sets rule-set-name); (ipsec-vpn-rules rule-names | ipsec-vpn-rule-sets rule-set-name); max-session-setup-rate max-setup-rate; (nat-rules rule-names | nat-rule-sets rule-set-name); (pgcp-rules rule-names | pgcp-rule-sets rule-set-name); (ptsp-rules rule-names | ptsp-rule-sets rule-set-name); (stateful-firewall-rules rule-names | stateful-firewall-rule-sets rule-set-name); allow-multicast; extension-service service-name { provider-specific rules; } interface-service { service-interface interface-name; } ipsec-vpn-options { anti-replay-window-size bits; clear-dont-fragment-bit; ike-access-profile profile-name; local-gateway address; no-anti-replay; passive-mode-tunneling; trusted-ca [ ca-profile-names ]; tunnel-mtu bytes; } max-flows number; next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; service-interface-pool name; } syslog { host hostname { services severity-level; facility-override facility-name; log-prefix prefix-value; } } } adaptive-services-pics { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } } logging { traceoptions { file filename <files number> <match regex> <size size> <(world-readable | no-world-readable)>; flag flag; } }
또한보십시오
서비스 인터페이스에 적용할 서비스 세트 구성
서비스 인터페이스를 구성하여 서비스가 수행될 적응형 서비스 인터페이스를 지정합니다. 서비스 인터페이스는 다음 섹션에서 설명하는 서비스 세트 유형 중 하나와 함께 사용됩니다.
인터페이스 서비스 세트 구성
인터페이스 서비스 세트는 전체 인터페이스에서 작업 수정자로 사용됩니다. 서비스 인터페이스를 구성하려면 계층 수준에서 명령문을 [edit services service-set service-set-name] 포함합니다interface-service.
[edit services service-set service-set-name] interface-service { service-interface interface-name; }
라우터 소프트웨어가 논리 장치 번호를 자동으로 관리하므로 장치 이름만 필요합니다. 서비스 인터페이스는 계층 수준에서 구성한 unit 0 family inet [edit interfaces interface-name 적응형 서비스 인터페이스여야 합니다.
서비스 세트 정의를 구성하여 서비스 규칙을 정의하고 그룹화한 경우 라우터에 설치된 하나 이상의 인터페이스에 서비스를 적용할 수 있습니다. 서비스 세트를 인터페이스에 적용하면 패킷이 PIC로 전달되도록 자동으로 보장됩니다.
정의된 서비스 세트를 인터페이스와 연결하려면 계층 수준에서 또는 output 명령문과 함께 명령 [edit interfaces interface-name unit logical-unit-number family inet service] 문을 input 포함합니다service-set.
[edit interfaces interface-name unit logical-unit-number family inet service]
input {
service-set service-set-name <service-filter filter-name>;
post-service-filter filter-name;
}
output {
service-set service-set-name <service-filter filter-name>;
}
패킷이 인터페이스에 들어오는 경우 일치 방향은 입니다 input. 패킷이 인터페이스를 떠나는 경우 일치 방향은 입니다 output. 서비스 세트는 서비스가 적용된 후에도 입력 인터페이스 정보를 유지하므로 입력 인터페이스 정보에 의존하는 필터 클래스 포워딩 및 DCU(대상 클래스 사용)와 같은 기능이 계속 작동합니다.
인터페이스의 입력 및 출력 측에 동일한 서비스 세트를 구성합니다. 선택적으로 각 서비스 세트와 연결된 필터를 포함하여 대상을 구체화하고 트래픽을 추가로 처리할 수 있습니다. 정의 없이 service-filter 명령문을 포함 service-set 하면 라우터 소프트웨어는 일치 조건이 true라고 가정하고 처리할 서비스 세트를 자동으로 선택합니다.
필터를 사용하여 서비스 세트를 구성하는 경우 인터페이스의 입력 및 출력 측에서 구성해야 합니다.
인터페이스의 각 측면에 둘 이상의 서비스 세트 정의를 포함할 수 있습니다. 여러 서비스 세트를 포함하는 경우, 라우터 소프트웨어는 구성에 나타나는 순서대로 평가합니다. 시스템은 서비스 필터에서 일치하는 항목을 찾은 첫 번째 서비스 집합을 실행하고 후속 정의를 무시합니다. 인터페이스에 최대 6개의 서비스 세트를 적용할 수 있습니다. 인터페이스에 여러 서비스 세트를 적용할 때 서비스 필터도 구성하고 인터페이스에 적용해야 합니다.
추가 문을 사용하면 입력 서비스 세트가 실행된 후 트래픽을 처리하기 위한 필터를 지정할 수 있습니다. 이러한 유형의 필터를 구성하려면 계층 수준에서 문을 포함합니다post-service-filter.[edit interfaces interface-name unit logical-unit-number family inet service input]
post-service-filter filter-name;
post-service-filter 서비스 인터페이스가 MS-MIC 또는 MS-MPC에 있을 때는 명령문이 지원되지 않습니다.
예를 들어 예: 서비스 세트 구성을 참조하십시오.
Junos OS 확장 제공 패키지로 구성된 인터페이스 스타일 서비스 세트를 사용하면 수신 인터페이스가 VRF 인스턴스의 일부이고 서비스 인터페이스가 동일한 VRF 인스턴스의 일부가 아닌 경우 트래픽이 서비스되지 않습니다.
서비스 세트를 위해 구성된 멀티서비스 PIC가 관리상 오프라인으로 전환되거나 장애가 발생하면 침입 탐지 및 방지(IDP) 서비스 세트로 구성된 인터페이스에 들어오는 모든 트래픽이 알림 없이 삭제됩니다. 이러한 트래픽 손실을 방지하려면 계층 수준에서 문을 [edit services service-set service-set-name service-set-options] 포함합니다bypass-traffic-on-pic-failure. 이 명령문이 구성되면 인터페이스 스타일 서비스가 구성되지 않은 것처럼 MultiServices PIC 장애 또는 오프라이닝이 발생할 경우 영향을 받는 패킷이 전달됩니다. 이 문제는 침입 탐지 및 방지(IDP) 서비스 세트를 사용하는 Junos Application Aware(이전의 Dynamic Application Awareness) 구성에만 적용됩니다. 이 전달 기능은 처음에는 패킷 전달 엔진(PFE)에서만 작동했습니다. Junos OS 릴리스 11.3부터 패킷 전달 기능은 우회 서비스 세트를 위해 라우팅 엔진에서 생성된 패킷으로 확장됩니다.
다음 홉 서비스 세트 구성
넥스트 홉 서비스 세트는 특정 서비스를 적용하는 경로 기반 방법입니다. 특정 다음 홉으로 향하는 패킷만 명시적 정적 경로 생성에 의해 서비스됩니다. 이 구성은 전체 VPN(Virtual Private Network) 라우팅 및 포워딩(VRF) 테이블에 서비스를 적용해야 하는 경우 또는 라우팅 결정에 따라 서비스를 수행해야 하는 경우에 유용합니다.
다음 홉 서비스가 구성되면 AS 또는 멀티서비스 PIC는 한쪽 다리가 내부 인터페이스(네트워크 내부)로 구성되고 다른 쪽 다리가 외부 인터페이스(네트워크 외부)로 구성된 두 개의 다리가 있는 모듈로 간주됩니다.
인터페이스 서비스 세트가 구성되지 않은 경우에만 8000보다 큰 IFL 인덱스를 생성할 수 있습니다.
도메인을 구성하려면 계층 수준에서 명령문을 [edit interfaces interface-name unit logical-unit-number] 포함합니다service-domain.
service-domain (inside | outside);
설정은 service-domain 인터페이스 내부 및 외부 next-hop 서비스의 구성과 일치해야 합니다. 내부 및 외부 인터페이스를 구성하려면 계층 수준에서 문을 [edit services service-set service-set-name] 포함합니다next-hop-service. 지정하는 인터페이스는 동일한 AS PIC의 논리적 인터페이스여야 합니다. 이 용도로 구성할 unit 0 수 없으며, 선택한 논리적 인터페이스를 다른 서비스 세트에서 사용해서는 안 됩니다.
next-hop-service { inside-service-interface interface-name.unit-number; outside-service-interface interface-name.unit-number; }
서비스가 적용되는 트래픽은 정적 경로를 사용하여 내부 인터페이스로 강제 적용됩니다. 예를 들어:
routing-options {
static {
route 10.1.2.3 next-hop sp-1/1/0.1;
}
}
서비스가 적용된 후 트래픽은 외부 인터페이스를 통해 종료됩니다. 그런 다음 패킷 전달 엔진(PFE)에서 조회가 수행되어 AS 또는 멀티서비스 PIC에서 패킷을 전송합니다.
역방향 트래픽은 외부 인터페이스로 들어가 서비스되고 내부 인터페이스로 전송됩니다. 내부 인터페이스는 AS 또는 멀티서비스 PIC에서 트래픽을 전달합니다.
트래픽 방향 결정
넥스트 홉 서비스 세트를 구성할 때 AS PIC는 한 부분은 내부 인터페이스이고 다른 부분은 외부 인터페이스인 두 부분으로 구성된 인터페이스로 작동합니다. 다음과 같은 일련의 작업이 수행됩니다.
두 부분을 논리적 인터페이스와 연결하려면 명령문으로 두 개의 논리적 인터페이스를 구성합니다. 하나는 값으로
service-domain, 다른 하나는insideoutside값으로 내부 또는 외부 서비스 인터페이스로 표시합니다.라우터는 다음 홉 조회 테이블을 사용하여 내부 인터페이스로 서비스될 트래픽을 전달합니다.
서비스가 적용된 후 트래픽은 외부 인터페이스에서 종료됩니다. 그런 다음 라우터에서 보낼 패킷에 대해 경로 조회가 수행됩니다.
역방향 트래픽이 외부 인터페이스에서 반환되면 적용된 서비스가 실행 취소됩니다. 예를 들어, IPsec 트래픽의 암호가 해독되거나 NAT 주소가 마스크되지 않습니다. 그런 다음 서비스된 패킷이 내부 인터페이스에 나타나고, 라우터가 경로 조회를 수행하며, 트래픽이 라우터를 빠져나갑니다.
입력, 출력 또는 입력/출력 여부에 관계없이 서비스 규칙의 일치 방향은 특정 내부 또는 외부 인터페이스가 아닌 AS PIC를 통한 트래픽 흐름과 관련하여 적용됩니다.
패킷이 AS PIC로 전송되면 패킷 방향 정보가 함께 전달됩니다. 이는 인터페이스 스타일과 다음 홉 스타일 서비스 세트 모두에 해당됩니다.
인터페이스 스타일 서비스 세트
패킷 방향은 패킷이 명령문이 적용되는 패킷 전달 엔진 인터페이스(포워딩 플레인과 관련하여) interface-service 에 들어가거나 나가는지 여부에 따라 결정됩니다. 이는 상태 비저장 방화벽 필터의 입력 및 출력 방향과 유사합니다.
일치 방향은 네트워크 토폴로지에 따라 달라질 수도 있습니다. 예를 들어, 라우터의 다른 인터페이스를 보호하는 데 사용되는 하나의 인터페이스를 통해 모든 외부 트래픽을 라우팅하고 이 인터페이스에서 다양한 서비스를 구체적으로 구성할 수 있습니다. 또는 우선 순위 트래픽에 하나의 인터페이스를 사용하고 이에 대한 특별 서비스를 구성할 수 있지만 다른 인터페이스의 트래픽 보호에는 신경 쓰지 않을 수 있습니다.
넥스트 홉 스타일 서비스 세트
패킷 방향은 패킷을 AS PIC로 라우팅하는 데 사용되는 AS PIC 인터페이스에 의해 결정됩니다. 문을 사용하여 inside-interface 트래픽을 라우팅하는 경우 패킷 방향은 입니다 input. 문을 사용하여 outside-interface 패킷을 AS PIC로 전달하는 경우 패킷 방향은 입니다 output.
서비스 세트를 적용하는 인터페이스는 일치 방향에 영향을 미칩니다. 예를 들어 다음 구성을 적용합니다.
sp-1/1/0 unit 1 service-domain inside; sp-1/1/0 unit 2 service-domain outside;
를 구성하는 match-direction input경우 다음 문을 포함합니다.
[edit] services service-set test1 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test1 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction input; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.1;
를 구성하는 match-direction output경우 다음 문을 포함합니다.
[edit] services service-set test2 next-hop-service inside-service-interface sp-1/0/0.1; services service-set test2 next-hop-service outside-service-interface sp-1/0/0.2; services ipsec-vpn rule test-ipsec-rule match-direction output; routing-options static route 10.0.0.0/24 next-hop sp-1/1/0.2;
두 구성의 본질적인 차이는 AS PIC의 내부 또는 외부 인터페이스를 가리키는 일치 방향과 정적 경로의 다음 홉의 변경입니다.
또한보십시오
서비스 세트 제한 사항 구성
서비스 세트 용량에 대해 다음과 같은 제한을 설정할 수 있습니다.
서비스 세트당 허용되는 최대 플로우 수를 제한할 수 있습니다. 최대값을 구성하려면 계층 수준에서 문을 포함합니다
max-flows.[edit services service-set service-set-name][edit services service-set service-set-name] max-flows number;
명령문에서는
max-flows단일 플로우 제한 값을 할당할 수 있습니다. IDS 서비스 세트의 경우에만, 보다 세밀한 제어로 다양한 유형의 플로우 제한을 지정할 수 있습니다. 자세한 내용은 MS-DPC에서 IDS 규칙 집합 구성의 문 설명을session-limit참조하십시오.참고:AMS(Aggregated Multiservices) 인터페이스가 서비스 세트에 대한 서비스 인터페이스로 구성되면 서비스 세트
max-flow에 대해 구성된 값이 AMS 인터페이스의 각 멤버 인터페이스에 적용됩니다. 즉, 4개의 활성 멤버 인터페이스가 있는 AMS 인터페이스를 사용하는 서비스 세트의 값으로 1000을 구성한 경우 각 멤버 인터페이스는 각각 1000개의 흐름을 처리할 수 있으므로 유효max-flow값은 4000max-flow이 됩니다.TCP(Transmission Control Protocol)에서 허용하는 최대 세그먼트 크기(MSS)를 제한할 수 있습니다. 최대값을 구성하려면 계층 수준에서 문을 포함합니다
tcp-mss.[edit services service-set service-set-name][edit services service-set service-set-name] tcp-mss number;
TCP 프로토콜은 두 피어 간의 세션 연결 설정 중에 MSS 값을 협상합니다. 협상된 MSS 값은 주로 통신 피어가 직접 연결된 인터페이스의 최대 전송 단위(MTU)를 기반으로 합니다. 그러나 네트워크에서는 TCP 패킷이 취한 경로에서 링크 MTU의 변동으로 인해 관련 패킷의 크기가 링크의 MTU를 초과할 때 여전히 MSS 값 내에 있는 일부 패킷이 단편화될 수 있습니다.
라우터가 SYN 비트 및 MSS 옵션이 설정된 TCP 패킷을 수신하고 패킷에 지정된 MSS 옵션이 문에 지정된 MSS 값보다 큰 경우, 라우터는 패킷의 MSS 값을 문에 지정된
tcp-msstcp-mss낮은 값으로 바꿉니다. 매개 변수의 범위는tcp-mss mss-value에서 536 까지입니다 65535.수신된 SYN 패킷 및 MSS 값이 수정된 SYN 패킷의 통계를 보려면 작동 모드 명령을
show services service-sets statistics tcp-mss실행합니다. 이 주제에 대한 자세한 내용은 Junos OS 관리 라이브러리를 참조하십시오.Junos OS 릴리스 17.1R1부터 MS-MPC에 대한 서비스 세트당 세션 설정 속도를 제한할 수 있습니다. 허용되는 최대 설정 속도를 구성하려면 계층 수준에서 문을 포함합니다
max-session-setup-rate.[edit services service-set service-set-name][edit services service-set service-set-name] max-session-setup-rate (number | numberk);
최대 세션 설정 속도는 초당 허용되는 최대 세션 설정 수입니다. 이 속도에 도달하면 추가 세션 설정 시도가 삭제됩니다.
의
max-session-setup-ratenumber 범위는 1에서 429,496,729까지입니다. k를 사용하여 number설정 속도를 수천 개의 세션으로 표현할 수도 있습니다. Junos OS 릴리스 18.4R1max-session-setup-rate부터 . Junos OS 릴리스 18.4R1 이전에는 1k=1024였습니다. 명령문을 포함하지max-session-setup-rate않으면 세션 설정 속도가 제한되지 않습니다.
또한보십시오
예: 서비스 세트 구성
인터페이스 전체에 따라 두 개의 서비스 세트 my-input-service-set 및 my-output-service-set를 적용합니다. 모든 트래픽이 적용되었습니다 my-input-service-set . 서비스 집합이 적용된 후 를 사용하여 my_post_service_input_filter추가 필터링이 수행됩니다.
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
서비스 인터페이스 풀 구성
멀티캐스트 트래픽을 수용하기 위한 서비스 PIC 활성화
멀티캐스트 트래픽이 적응형 서비스 또는 멀티서비스 PIC로 전송되도록 허용하려면 계층 수준에서 문을 [edit services service-set service-set-name] 포함합니다allow-multicast. 이 명령문을 포함하지 않으면 멀티캐스트 트래픽이 기본적으로 삭제됩니다. 이 명령문은 다음 홉 서비스 세트를 사용하는 멀티캐스트 트래픽에만 적용됩니다. 인터페이스 서비스 세트 구성은 지원되지 않습니다. 멀티캐스트 패킷에 대해 단방향 플로우만 생성됩니다.
또한보십시오
인터페이스에 필터 및 서비스 적용
서비스 세트 정의를 구성하여 서비스 규칙을 정의하고 그룹화한 경우 라우터에 있는 하나 이상의 인터페이스에 서비스를 적용할 수 있습니다. 정의된 서비스 세트를 인터페이스와 연결하려면 계층 수준에서 문을 또는 output 문과 [edit interfaces interface-name unit logical-unit-number family inet service] 함께 포함합니다service-set.input
[edit interfaces interface-name unit logical-unit-number family inet service] input { service-set service-set-name <service-filter filter-name>; post-service-filter filter-name; } output { service-set service-set-name <service-filter filter-name>; }
인터페이스에서 서비스를 활성화하면 역방향 경로 전달이 지원되지 않습니다. 관리 인터페이스() 또는 루프백 인터페이스(fxp0lo0)에서는 서비스를 구성할 수 없습니다.
인터페이스의 입력 및 출력 측에서 서로 다른 서비스 세트를 구성할 수 있습니다. 그러나 양방향 서비스 규칙이 있는 서비스 세트의 경우, 및 output 문 모두에 input 동일한 서비스 세트 정의를 포함해야 합니다. 문에 service 포함하는 모든 서비스 세트는 계층 수준에서 문 [edit services service-set service-set-name] 으로 interface-service 구성해야 합니다. 자세한 내용은 서비스 인터페이스에 적용할 서비스 세트 구성을 참조하십시오.
거부 작업을 포함하는 입력 방화벽 필터와 스테이트풀 방화벽 규칙을 포함하는 서비스 세트로 인터페이스를 구성하는 경우, 라우터는 스테이트풀 방화벽 규칙이 패킷에서 실행되기 전에 입력 방화벽 필터를 실행합니다. 그 결과, 패킷 전달 엔진이 인터페이스를 통해 ICMP(Internet Control Message Protocol) 오류 메시지를 보낼 때 패킷이 입력 방향으로 표시되지 않았기 때문에 상태 저장 방화벽 규칙이 패킷을 삭제할 수 있습니다.
가능한 해결 방법은 입력 방향의 스테이트풀 방화벽 이후에 실행되므로 거부 작업을 수행하기 위한 포워딩 테이블 필터를 포함하거나 로컬에서 생성된 ICMP 패킷이 스테이트풀 방화벽 서비스로 이동하지 못하도록 출력 서비스 필터를 포함하는 것입니다.
서비스 필터 구성
선택적으로 각 서비스 세트와 연결된 필터를 포함하여 대상을 구체화하고 트래픽을 추가로 처리할 수 있습니다. 정의 없이 service-filter 명령문을 포함하는 service-set 경우, 라우터 소프트웨어는 일치 조건이 참이라고 가정하고 처리할 서비스 세트를 자동으로 선택합니다.
서비스 필터를 구성하려면 계층 수준에서 명령문을 [edit] 포함합니다firewall.
firewall {
family inet {
service-filter filter-name {
term term-name {
from {
match-conditions;
}
then {
action;
action-modifiers;
}
}
}
}
}
서비스 필터를 구성하려면 주소 패밀리로 지정해야 inet 합니다.
방화벽 필터와 비슷한 방식으로 서비스 필터를 구성합니다. 서비스 필터는 방화벽 필터와 일치 조건이 동일하지만 다음과 같은 특정 작업을 갖습니다.
count- 카운터 합계에 패킷을 추가합니다.log- 패킷을 기록합니다.port-mirror—패킷을 포트 미러링합니다.sample- 패킷을 샘플링합니다.service- 서비스 처리를 위해 패킷을 전달합니다.skip- 서비스 처리에서 패킷을 생략합니다.
방화벽 필터 구성에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용 설명서를 참조하십시오.
인터페이스의 각 측면에 둘 이상의 서비스 세트 정의를 포함할 수도 있습니다. 여러 서비스 세트를 포함하는 경우, 라우터 소프트웨어는 구성에 지정된 순서대로 평가합니다. 서비스 필터에서 일치하는 항목을 찾은 첫 번째 서비스 집합을 실행하고 후속 정의를 무시합니다.
추가 문을 사용하면 입력 서비스 세트가 실행된 후 트래픽을 처리하기 위한 필터를 지정할 수 있습니다. 이러한 유형의 필터를 구성하려면 계층 수준에서 문을 포함합니다post-service-filter.[edit interfaces interface-name unit logical-unit-number family inet service input]
post-service-filter filter-name;
소프트웨어는 서비스 세트를 선택하고 실행한 경우에만 서비스 후 필터링을 수행합니다. 트래픽이 구성된 서비스 세트에 대한 일치 기준을 충족하지 않으면 postservice 필터가 무시됩니다. post-service-filter 서비스 인터페이스가 MS-MIC 또는 MS-MPC에 있을 때는 명령문이 지원되지 않습니다.
인터페이스에 서비스 세트를 적용하는 예는 예: 서비스 인터페이스 구성을 참조하십시오.
인터페이스에 필터를 적용하는 방법에 대한 자세한 내용은 라우팅 디바이스용 Junos OS 네트워크 인터페이스 라이브러리를 참조하십시오. 필터에 대한 일반적인 정보는 라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 가이드를 참조하십시오.
패킷에 NAT 처리가 적용된 후에는 출력 서비스 필터의 대상이 되지 않습니다. 서비스 필터는 변환되지 않은 트래픽에만 영향을 미칩니다.
예: 서비스 인터페이스 구성
my-service-set 인터페이스 전체를 기반으로 서비스 세트를 적용합니다. 에서 my_input_filter 수락한 모든 트래픽이 적용되었습니다my-input-service-set. 서비스 세트가 적용된 후 필터를 사용하여 추가 필터링이 my_post_service_input_filter 수행됩니다.
[edit interfaces fe-0/1/0]
unit 0 {
family inet {
filter {
input my_input_filter;
output my_output_filter;
}
service {
input {
service-set my-input-service-set;
post-service-filter my_post_service_input_filter;
}
output {
service-set my-output-service-set;
}
}
}
}
두 개의 중복 인터페이스, rsp0 및 rsp1관련 서비스를 구성합니다.
[edit interfaces]
rsp0 {
redundancy-options {
primary sp-0/0/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 30 {
family inet;
service-domain inside;
}
unit 31 {
family inet;
service-domain outside;
}
}
rsp1 {
redundancy-options {
primary sp-0/1/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 20 {
family inet;
service-domain inside;
}
unit 21 {
family inet;
service-domain outside;
}
}
[edit services]
service-set null-sfw-with-nat {
stateful-firewall-rules allow-all;
nat-rules rule1;
next-hop-service {
inside-service-interface rsp0.30;
outside-service-interface rsp0.31;
}
}
[edit routing-instances]
vpna {
interface rsp0.0;
}
또한보십시오
서비스 인터페이스의 주소 및 도메인 구성
AS 또는 멀티서비스 PIC에서는 계층 수준에서 문을 [edit interfaces interface-name unit logical-unit-number family inet] 포함하여 address 시스템 로그 메시지에 대한 소스 주소를 구성합니다.
address address { ... }
값을 구성 address 하여 인터페이스에 IP 주소를 할당합니다. AS 또는 멀티서비스 PIC는 일반적으로 명령문을 사용하여 구성된 IP 버전 4(IPv4) 주소만 지원하지만, IPsec 서비스는 명령문을 사용하여 family inet family inet6 구성된 IP 버전 6(IPv6) 주소도 지원합니다.
동일한 라우팅 인스턴스의 여러 인터페이스에 동일한 주소를 구성하는 경우, Junos OS는 첫 번째 구성만 사용하고 나머지 주소 구성은 무시되며 주소 없이 인터페이스를 벗어날 수 있습니다. 할당된 주소가 없는 인터페이스는 번호가 지정되지 않은 이더넷 인터페이스의 공여 인터페이스로 사용할 수 없습니다.
예를 들어, 다음 구성에서 인터페이스 xe-0/0/1.0의 주소 구성은 무시됩니다.
interfaces {
xe-0/0/0 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
xe-0/0/1 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
여러 인터페이스에서 동일한 주소를 구성하는 방법에 대한 자세한 내용은 인터페이스 주소 구성을 참조하십시오.
서비스 인터페이스에 특정하지 않고 구성할 수 있는 다른 주소 지정 속성에 대한 정보는 라우팅 디바이스용 Junos OS 네트워크 인터페이스 라이브러리를 참조하십시오.
명령문은 service-domain 인터페이스가 네트워크 내에서 사용되는지 또는 원격 디바이스와 통신하기 위해 사용되는지 여부를 지정합니다. 소프트웨어는 이 설정을 사용하여 적용할 기본 스테이트풀 방화벽 규칙을 결정하고 서비스 규칙의 기본 방향을 결정합니다. 도메인을 구성하려면 계층 수준에서 명령문을 [edit interfaces interface-name unit logical-unit-number] 포함합니다service-domain.
service-domain (inside | outside);
다음 홉 서비스 세트 정의 service-domain 에서 인터페이스를 구성하는 경우 설정은 및 outside-service-interface 문의 구성 inside-service-interface 과 일치해야 합니다. 자세한 내용은 서비스 인터페이스에 적용할 서비스 세트 구성을 참조하십시오.
또한보십시오
서비스 세트에 대한 시스템 로깅 구성
서비스 집합에 대해 시스템 로그 메시지가 생성되는 방법을 제어하는 속성을 지정합니다. 이러한 값은 계층 수준에서 구성된 값을 재정의합니다 [edit interfaces interface-name services-options] .
서비스 세트별 시스템 로깅 값을 구성하려면 계층 수준에서 명령문을 포함합니다syslog.[edit services service-set service-set-name]
syslog { host hostname { class class-name facility-override facility-name; log-prefix prefix-value; port port-number services severity-level; source-address source-address } }
host 시스템 로그 대상 서버를 지정하는 호스트 이름 또는 IP 주소를 사용하여 명령문을 구성합니다. 호스트 이름은 local 시스템 로그 메시지를 라우팅 엔진으로 전달합니다. 외부 시스템 로그 서버의 경우, 호스트 이름은 초기 데이터 패킷(트리거된 세션 설정)이 전달되는 동일한 라우팅 인스턴스에서 도달할 수 있어야 합니다. 시스템 로깅 호스트 이름을 하나만 지정할 수 있습니다. 매개 source-address 변수는 ms, rms 및 mams 인터페이스에서 지원됩니다.
Junos OS 릴리스 17.4R1부터 계층 수준에서 설정된 [edit services service-set service-set-name] 각 서비스에 대해 최대 4개의 시스템 로그 서버(로컬 시스템 로그 호스트 및 원격 시스템 로그 수집기의 조합)를 구성할 수 있습니다.
Junos OS는 fxp.0 인터페이스를 통해 외부 시스템 로그 서버로 시스템 로그 메시지를 내보내는 것을 지원하지 않습니다. 이는 시스템 로그 메시지의 높은 전송 속도와 FXP.0 인터페이스의 제한된 대역폭으로 인해 여러 가지 문제가 발생할 수 있기 때문입니다. 외부 시스템 로그 서버는 라우팅 가능한 인터페이스를 통해 연결할 수 있어야 합니다.
표 1 에는 계층 수준에서 구성 문에 지정할 수 있는 심각도 수준이 나와 있습니다 [edit services service-set service-set-name syslog host hostname] . 에서 까지의 수준은 emergency 심각도가 가장 높은 수준(기능에 가장 큰 영향을 미침)에서 info 가장 낮은 순서대로 나열됩니다.
심각도 수준 |
설명 |
|---|---|
|
모든 심각도 수준 포함 |
|
라우터 작동을 멈추게 하는 시스템 오류 또는 기타 조건 |
|
손상된 시스템 데이터베이스와 같이 즉각적인 수정이 필요한 조건 |
|
하드 드라이브 오류와 같은 중요한 조건 |
|
긴급 상황, 경보 및 위험 수준의 오류보다 일반적으로 덜 심각한 결과가 발생하는 오류 조건 |
|
모니터링이 필요한 조건 |
|
오류는 아니지만 특별한 처리가 필요할 수 있는 조건 |
|
관심 있는 이벤트 또는 비 오류 조건 |
정상 작동 중에는 시스템 로깅 심각도 수준을 로 error 설정하는 것이 좋습니다. PIC 리소스 사용을 모니터링하려면 수준을 로 warning설정합니다. 침입 탐지 시스템 오류가 감지될 때 침입 공격에 대한 정보를 수집하려면 특정 서비스 세트에 대해 수준을 로 notice 설정합니다. 구성을 디버깅하거나 NAT 기능을 기록하려면 수준을 로 info설정합니다.
시스템 로그 메시지에 대한 자세한 내용은 시스템 로그 탐색기를 참조하세요.
지정된 시스템 로그 호스트에 기록할 메시지 클래스를 선택하려면 계층 레벨에서 [edit services service-set service-set-name syslog host hostname] 문을 포함합니다class.
class class-name;
지정된 시스템 로그 호스트에 대한 모든 로깅에 대해 하나의 특정 기능 코드를 사용하려면 계층 레벨에서 명령문을 포함 facility-override 하십시오.[edit services service-set service-set-name syslog host hostname]
facility-override facility-name;
지원되는 기능은 authorization, , ftpdaemon, , kerneluser및 local0 입니다local7.
이 시스템 로그 호스트에 대한 모든 로깅에 대해 텍스트 접두어를 지정하려면 계층 수준에서 문을 포함합니다log-prefix.[edit services service-set service-set-name syslog host hostname]
log-prefix prefix-value;
또한보십시오
서비스 규칙 구성
서비스 세트를 구성하는 규칙 및 규칙 세트의 콜렉션을 지정합니다. 라우터는 구성에 나타나는 순서대로 규칙 집합을 수행합니다. 각 서비스 유형에 대해 하나의 규칙 집합만 포함할 수 있습니다. 각 서비스 유형에 대한 규칙 이름과 컨텐츠는 [edit services name] 각 유형에 대한 계층 수준에서 구성합니다.
침입 탐지 서비스(IDS) 규칙은 계층 수준에서 구성합니다. 자세한 내용은 MS-DPC 카드용 MS-DPC에서 IDS 규칙 구성 및 MS-MPC 카드용 MS-MPC에서 네트워크 공격에 대한 보호 구성을 참조하십시오.
[edit services ids]계층 수준에서
[edit services ipsec-vpn]IP 보안(IPsec) 규칙을 구성합니다. 자세한 내용은 Junos VPN Site Secure 이해를 참조하십시오.계층 수준에서
[edit services nat]네트워크 주소 변환(NAT) 규칙을 구성합니다. 자세한 내용은 Junos Address Aware 네트워크 주소 지정 개요를 참조하십시오.패킷 트리거 가입자 및 정책 제어(PTSP) 규칙은
[edit services ptsp]계층 수준에서 구성하며, 자세한 내용은 PTSP 서비스 규칙 구성을 참조하십시오.계층 수준에서 DS-Lite 또는 6번째 소프트와이어에
[edit services softwire]대한 소프트와이어 규칙을 구성합니다. 자세한 내용은 소프트와이어 규칙 구성을 참조하십시오.스테이트풀 방화벽 규칙은
[edit services stateful-firewall]계층 수준에서 구성합니다. 자세한 내용은 스테이트풀 방화벽 규칙 구성을 참조하십시오.
서비스 세트를 구성하는 규칙 및 규칙 세트를 구성하려면 계층 레벨에서 [edit services service-set service-set-name] 다음 명령문을 포함합니다.
([ ids-rules rule-names ] |ids-rule-sets rule-set-name); ([ ipsec-vpn-rules rule-names ] | ipsec-vpn-rule-sets rule-set-name); ([ nat-rules rule-names ] | nat-rule-sets rule-set-name); ([ pgcp-rules rule-names] | pgcp-rule-sets rule-set-name); ([softwire-rules rule-names] | softwire-rule-sets rule-set-name); ([ stateful-firewall-rules rule-names ] | stateful-firewall-rule-sets rule-set-name);
각 서비스 유형에 대해 하나 이상의 개별 규칙 또는 하나의 규칙 집합을 포함할 수 있습니다.
IPsec 규칙을 사용하여 서비스 집합을 구성하는 경우 다른 서비스에 대한 규칙을 포함해서는 안 됩니다. 그러나 다른 서비스에 대한 규칙을 포함하는 다른 서비스 세트를 구성하고 두 서비스 세트를 동일한 인터페이스에 적용할 수 있습니다.
또한 서비스 세트 내에 Junos Application Aware(이전의 Dynamic Application Awareness) 기능을 포함할 수 있습니다. 이렇게 하려면 idp-profile 계층 수준에서 APPID [edit services service-set] (Application Identification) 규칙, 적절한 경우 AACL(Application-Aware Access List) 규칙 및 . policy-decision-statistics-profile Junos Application Aware 기능을 사용할 때 하나의 서비스 세트만 단일 인터페이스에 적용할 수 있습니다. 자세한 내용은 MS-DPC에서 IDS 규칙 구성, APPID 개요 및 라우팅 디바이스용 애플리케이션 인식 서비스 인터페이스 사용자 가이드를 참조하십시오.
변경 내역 테이블
기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.
max-session-setup-rate부터 .