Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

서비스 세트

서비스 세트 이해하기

Junos OS를 사용하면 AS(Adaptive Services Interface) 또는 멀티서비스 라인 카드(MS-DPC, MS-MIC 및 MS-MPC)에서 수행할 서비스 모음을 정의하는 서비스 세트를 만들 수 있습니다. 서비스 세트를 인터페이스 스타일의 서비스 집합 또는 넥스 홉 스타일의 서비스 세트로 구성할 수 있습니다.

인터페이스 서비스 세트는 전체 인터페이스에서 작업 수정자로 사용됩니다. 인터페이스를 통과하는 패킷에 서비스를 적용하려는 경우 인터페이스 스타일의 서비스 세트를 사용할 수 있습니다.

넥트 홉 서비스 세트는 특정 서비스를 적용하는 경로 기반 방법입니다. 특정 다음 홉으로 향하는 패킷만 명시적 정적 경로를 생성하여 서비스됩니다. 이 구성은 서비스가 전체 VPN(Virtual Private Network) 라우팅 및 포워딩(VRF) 테이블에 적용되어야 하거나 라우팅 의사 결정에서 서비스가 수행되어야 한다고 판단할 때 유용합니다. 넥스트 홉 서비스가 구성되면 서비스 인터페이스는 한 쪽 다리가 내부 인터페이스(네트워크 내부)로 구성되고 다른 하나는 외부 인터페이스(네트워크 외부)로 구성된 두 다리 모듈로 간주됩니다.

서비스 세트 비활성화 또는 서비스 세트 삭제 작업 중에 패킷 드롭을 방지하기 위해서는 먼저 서비스 세트에 해당하는 인터페이스를 다운시키고, 언젠가 기다렸다가 나중에 서비스 세트를 비활성화하거나 삭제합니다. 그러나 트래픽 흐름이 매우 높은 경우 이러한 해결 방법이 도움이 되지 않습니다.

서비스 세트를 구성하려면 계층 수준에서 다음 명령문을 [edit services] 포함하십시오.

서비스 인터페이스에 적용할 서비스 세트 구성

서비스 인터페이스를 구성하여 서비스가 수행될 적응형 서비스 인터페이스를 지정합니다. 서비스 인터페이스는 다음 섹션에서 설명한 서비스 세트 유형 중 하나와 함께 사용됩니다.

인터페이스 서비스 세트 구성

인터페이스 서비스 세트는 전체 인터페이스에서 작업 수정자로 사용됩니다. 서비스 인터페이스를 구성하려면 계층 수준의 명령문을 [edit services service-set service-set-name] 포함합니다interface-service.

라우터 소프트웨어가 논리적 단위 번호를 자동으로 관리하기 때문에 장비 이름만 필요합니다. 서비스 인터페이스는 계층 수준에서 구성 unit 0 family inet [edit interfaces interface-name 한 적응형 서비스 인터페이스여야 합니다.

서비스 세트 정의를 구성하여 서비스 규칙을 정의하고 그룹화한 경우 라우터에 설치된 하나 이상의 인터페이스에 서비스를 적용할 수 있습니다. 서비스 세트를 인터페이스에 적용하면 자동으로 패킷이 PIC로 연결되도록 보장합니다.

정의된 서비스 세트를 인터페이스와 연결하려면 계층 레벨의 input 명령문 또는 output 명령문을 [edit interfaces interface-name unit logical-unit-number family inet service] 포함합니다service-set.

패킷이 인터페이스에 입력되면 일치 방향이 됩니다 input. 패킷이 인터페이스를 벗어나면 일치하는 방향이 output됩니다. 서비스 세트는 서비스가 적용된 후에도 입력 인터페이스 정보를 유지하므로, 입력 인터페이스 정보에 의존하는 필터급 포워딩 및 대상 클래스 사용(DCU)과 같은 기능이 계속 작동합니다.

인터페이스의 입력 및 출력 측에 동일한 서비스 세트를 구성합니다. 각 서비스와 연관된 필터를 선택적으로 포함하여 대상을 개선하고 트래픽을 추가로 처리할 수 있습니다. 정의 없이 service-filter 명령문을 포함 service-set 하면 라우터 소프트웨어는 일치 조건이 true라고 가정하고 자동으로 처리할 서비스 세트를 선택합니다.

참고:

필터를 통해 서비스 세트를 구성하는 경우 인터페이스의 입력 및 출력 측면에서 서비스 세트를 구성해야 합니다.

인터페이스의 각 측면에 두 개 이상의 서비스 세트 정의를 포함할 수 있습니다. 여러 서비스 세트를 포함하는 경우 라우터 소프트웨어가 구성에 나타나는 순서대로 평가합니다. 시스템은 서비스 필터에서 일치되는 첫 번째 서비스 세트를 실행하고 후속 정의를 무시합니다. 인터페이스에 최대 6개의 서비스 세트를 적용할 수 있습니다. 인터페이스에 여러 서비스 세트를 적용하는 경우 인터페이스에 서비스 필터를 구성하고 적용해야 합니다.

추가 명령문을 사용하면 입력 서비스 세트가 실행된 후 트래픽을 처리하기 위한 필터를 지정할 수 있습니다. 이러한 유형의 필터를 구성하려면 계층 레벨의 [edit interfaces interface-name unit logical-unit-number family inet service input] 명령문을 포함합니다post-service-filter.

서비스 인터페이스가 MS-MIC 또는 MS-MPC에 있는 경우 이 post-service-filter 명령문은 지원되지 않습니다.

예를 들어, 서비스 세트 구성 예제를 참조하십시오.

참고:

Junos OS 확장 제공 패키지로 구성된 인터페이스 스타일의 서비스 세트로 수신 인터페이스가 VRF 인스턴스의 일부이고 서비스 인터페이스가 동일한 VRF 인스턴스에 포함되지 않으면 트래픽이 서비스되지 않습니다.

참고:

서비스 세트에 대해 구성된 MultiServices PIC가 관리적으로 오프라인 상태이거나 장애가 발생하면 통보 없이 IDP 서비스 세트를 통해 구성된 인터페이스로 들어오는 모든 트래픽이 차단됩니다. 이와 같은 트래픽 손실을 방지하기 위해 계층 레벨의 bypass-traffic-on-pic-failure [edit services service-set service-set-name service-set-options] 명령문을 포함하십시오. 이 명령문이 구성되면 인터페이스 스타일의 서비스가 구성되지 않은 것처럼 MultiServices PIC 장애 또는 오프라닝이 발생할 경우 영향을 받는 패킷이 포워딩됩니다. 이 문제는 IDP 서비스 세트를 사용하는 Junos Application Aware(이전의 Dynamic Application Awareness) 구성에만 적용됩니다. 이 포워딩 기능은 처음에 PFE(Packet Forwarding Engine)에서만 작동했습니다. Junos OS Release 11.3부터 바이패스 서비스 세트를 위해 라우팅 엔진이 생성한 패킷으로 패킷 포워딩 기능을 확장합니다.

넥트 홉 서비스 세트 구성

넥트 홉 서비스 세트는 특정 서비스를 적용하는 경로 기반 방법입니다. 특정 다음 홉으로 향하는 패킷만 명시적 정적 경로를 생성하여 서비스됩니다. 이 구성은 서비스가 전체 VPN(Virtual Private Network) 라우팅 및 포워딩(VRF) 테이블에 적용되어야 하거나 라우팅 의사 결정에서 서비스가 수행되어야 한다고 판단할 때 유용합니다.

넥스트 홉 서비스가 구성되면 AS 또는 Multiservices PIC는 한쪽 다리가 내부 인터페이스(네트워크 내부)로 구성되고 다른 하나는 외부 인터페이스(네트워크 외부)로 구성된 두 다리 모듈로 간주됩니다.

참고:

인터페이스 서비스 집합이 구성되지 않은 경우에만 IFL 인덱스를 8000보다 큰 인덱스를 생성할 수 있습니다.

도메인을 구성하려면 계층 레벨의 service-domain [edit interfaces interface-name unit logical-unit-number] 명령문을 포함합니다.

설정은 service-domain 내부 및 외부 인터페이스의 넥트 홉 서비스 구성과 일치해야 합니다. 내부 및 외부 인터페이스를 구성하려면 계층 레벨의 next-hop-service [edit services service-set service-set-name] 명령문을 포함하십시오. 사용자가 지정한 인터페이스는 동일한 AS PIC의 논리적 인터페이스여야 합니다. 이 목적으로 구성할 unit 0 수 없으며 선택한 논리적 인터페이스를 다른 서비스 집합에서 사용해서는 안 됩니다.

서비스가 적용되는 트래픽은 정적 경로를 사용하여 내부 인터페이스로 강제 적용됩니다. 예를 들어:

서비스가 적용되면 트래픽은 외부 인터페이스를 통해 나간다. 그런 다음 패킷 포워딩 엔진(PFE)에서 조회를 수행하여 패킷을 AS 또는 멀티서비스 PIC에서 전송합니다.

역방향 트래픽이 외부 인터페이스로 들어오고 서비스되고 내부 인터페이스로 전송됩니다. 내부 인터페이스는 AS 또는 Multiservices PIC에서 트래픽을 전달합니다.

트래픽 방향 파악

넥트 홉 서비스 세트를 구성할 때 AS PIC는 2개 파트 인터페이스로 기능하며, 한 부분은 내부 인터페이스이고 다른 부분은 외부 인터페이스입니다. 다음 작업 순서가 수행됩니다.

  1. 두 부품을 논리적 인터페이스와 연결하려면 2개의 논리적 인터페이스를 명령문과 service-domain inside 구성합니다. 하나는 값과 outside 값이 있는 인터페이스를 구성하여 이를 내부 또는 외부 서비스 인터페이스로 표시합니다.

  2. 라우터는 넥트 홉 룩업 테이블을 사용하여 트래픽을 내부 인터페이스로 전달합니다.

  3. 서비스가 적용되면 트래픽은 외부 인터페이스에서 나간다. 그런 다음 라우터에서 전송될 패킷에서 루트 룩업을 수행합니다.

  4. 역방향 트래픽이 외부 인터페이스에서 반환되면 적용된 서비스가 취소됩니다. 예를 들어 IPsec 트래픽은 복호화되거나 NAT 주소는 가면을 지정하지 않습니다. 서비스된 패킷이 내부 인터페이스에 나타나고 라우터가 경로 조회를 수행하고 트래픽이 라우터에서 종료됩니다.

입력, 출력 또는 입력/출력에 관계없이 서비스 규칙의 일치 방향은 특정 내부 또는 외부 인터페이스가 아닌 AS PIC를 통과하는 트래픽 흐름과 관련해 적용됩니다.

패킷이 AS PIC로 전송되면 패킷 방향 정보가 함께 전달됩니다. 인터페이스 스타일과 넥트 홉 스타일의 서비스 세트 모두에 적합합니다.

인터페이스 스타일 서비스 세트

패킷 방향은 패킷이 명령문이 적용되는 패킷 포워딩 엔진 인터페이스(포워딩 플레인에 대한)를 interface-service 입력하거나 나가는지 여부에 따라 결정됩니다. 이는 스테이트리스 방화벽 필터의 입력 및 출력 방향과 유사합니다.

일치 방향도 네트워크 토폴로지에 따라 달라질 수 있습니다. 예를 들어, 라우터의 다른 인터페이스를 보호하는 데 사용되는 하나의 인터페이스를 통해 모든 외부 트래픽을 라우팅하고 이 인터페이스에서 특히 다양한 서비스를 구성할 수 있습니다. 또는 한 인터페이스를 사용하여 트래픽의 우선 순위를 정하고 해당 인터페이스에 특수 서비스를 구성할 수도 있지만 다른 인터페이스의 트래픽을 보호하는 데는 신경 쓰지 않을 수 있습니다.

넥트 홉 스타일 서비스 세트

패킷 방향은 AS PIC로 패킷을 라우팅하는 데 사용되는 AS PIC 인터페이스에 의해 결정됩니다. 명령문을 inside-interface 사용하여 트래픽을 라우팅하면 패킷 방향이 입니다 input. 명령문을 outside-interface 사용하여 AS PIC로 패킷을 연결하면 패킷 방향이 입니다 output.

서비스 세트를 적용하는 인터페이스가 일치 방향에 영향을 줍니다. 예를 들어, 다음 구성을 적용합니다.

구성 match-direction input하면 다음 명령문이 포함됩니다.

구성 match-direction output하면 다음 명령문이 포함됩니다.

두 구성 간의 가장 중요한 차이점은 AS PIC의 내부 또는 외부 인터페이스를 가리키는 정적 경로의 다음 홉과 일치 방향의 변경입니다.

서비스 세트 제한 구성

서비스 설정 용량에 대해 다음과 같은 제한 사항을 설정할 수 있습니다.

  • 서비스 세트당 허용되는 최대 플로우 수를 제한할 수 있습니다. 최대 값을 구성하려면 계층 레벨의 max-flows [edit services service-set service-set-name] 명령문을 포함합니다.

    이 명령문은 max-flows 단일 플로우 제한 값을 할당할 수 있도록 합니다. IDS 서비스 세트의 경우, 더 세밀한 제어도로 다양한 유형의 플로우 제한을 지정할 수 있습니다. 자세한 내용은 MS-DPC에서 session-limit IDS 규칙 집합 구성의 명령문 설명을 참조하십시오.

    참고:

    통합된 멀티서비스(AMS) 인터페이스가 서비스 집합의 서비스 인터페이스로 구성되면 서비스 집합 max-flow 에 대해 구성된 값이 AMS 인터페이스의 각 구성원 인터페이스에 적용됩니다. 즉, 1000을 4개의 활성 멤버 인터페이스가 있는 AMS 인터페이스를 사용하는 서비스 세트의 값으로 max-flow 구성한 경우, 각 멤버 인터페이스는 각각 1000개의 플로우를 처리할 수 있으며, 그 결과 4000의 유효 max-flow 값이 발생합니다.

  • TCP(Transmission Control Protocol)에서 허용하는 최대 세그먼트 크기(MSS)를 제한할 수 있습니다. 최대 값을 구성하려면 계층 레벨의 tcp-mss [edit services service-set service-set-name] 명령문을 포함합니다.

    TCP 프로토콜은 두 피어 간의 세션 연결 설정 중에 MSS 값을 협상합니다. 협상된 MSS 값은 주로 통신 피어가 직접 연결되는 인터페이스의 MTU를 기반으로 합니다. 그러나 네트워크에서는 TCP 패킷이 가져온 경로의 링크 MTU의 변형으로 인해 관련 패킷 크기가 링크의 MTU를 초과할 때 MSS 값 내에서 여전히 잘 작동하는 일부 패킷이 단편화될 수 있습니다.

    라우터가 SYN 비트 및 MSS 옵션 세트를 가진 TCP 패킷을 수신하고 패킷에 지정된 MSS 옵션이 명령문에 의해 tcp-mss 지정된 MSS 값보다 큰 경우, 라우터는 패킷의 MSS 값을 명령문에 지정된 tcp-mss 보다 낮은 값으로 대체합니다. 매개 변수의 tcp-mss mss-value 범위는 536 65535

    수신된 SYN 패킷과 MSS 값이 수정된 SYN 패킷의 통계를 보려면 운영 모드 명령을 실행 show services service-sets statistics tcp-mss 하십시오. 이 주제에 대한 자세한 내용은 Junos OS 관리 라이브러리를 참조하십시오.

  • Junos OS 릴리스 17.1R1부터 MS-MPC에 대해 설정된 서비스당 세션 설정 속도를 제한할 수 있습니다. 허용되는 최대 설정 속도를 구성하려면 계층 레벨에 max-session-setup-rate [edit services service-set service-set-name] 명령문을 포함하십시오.

    최대 세션 설정 속도는 초당 허용되는 최대 세션 설정 개수입니다. 이 속도에 도달하면 추가 세션 설정 시도가 끊어지게 됩니다.

    범위 max-session-setup-rate number 는 1 ~ 429,496,729입니다. k. Junos OS 릴리스 18.4R1, 1k=1000max-session-setup-rate부터 시작하여 수천 개의 number세션으로 설정 속도를 표현할 수도 있습니다. Junos OS 릴리스 18.4R1, 1k=1024 이전 명령문을 포함하지 max-session-setup-rate 않으면 세션 설정 속도가 제한되지 않습니다.

예: 서비스 세트 구성

인터페이스 전반에 두 개의 서비스 세트를 my-input-service-set my-output-service-set적용합니다. 모든 트래픽이 해당 트래픽에 적용되었습니다 my-input-service-set . 서비스 세트가 적용되면 을 사용하여 my_post_service_input_filter추가 필터링이 수행됩니다.

서비스 인터페이스 풀 구성

서비스 인터페이스 풀을 구성하려면 계층 수준에서 다음 명령문을 [edit services service-interface-pools] 포함합니다.

서비스 PIC에서 멀티캐스트 트래픽 수용 가능

멀티캐스트 트래픽이 Adaptive Services 또는 Multiservices PIC로 전송되도록 허용하려면 계층 수준의 명령문을 [edit services service-set service-set-name] 포함합니다allow-multicast. 이 명령문이 포함되지 않으면 멀티캐스트 트래픽은 기본적으로 삭제됩니다. 이 명령문은 넥스트 홉 서비스 세트를 사용하는 멀티캐스트 트래픽에만 적용됩니다. 인터페이스 서비스 세트 구성은 지원되지 않습니다. 멀티캐스트 패킷에 대해 단방향 플로우만 생성됩니다.

인터페이스에 필터 및 서비스 적용

서비스 세트 정의를 구성하여 서비스 규칙을 정의하고 그룹화한 경우 라우터의 하나 이상의 인터페이스에 서비스를 적용할 수 있습니다. 정의된 서비스 세트를 인터페이스와 연결하려면 계층 레벨의 input 명령문 또는 output 명령문을 [edit interfaces interface-name unit logical-unit-number family inet service] 포함합니다service-set.

참고:

인터페이스에서 서비스를 활성화하면 역방향 경로 포워딩이 지원되지 않습니다. 관리 인터페이스() 또는 루프백 인터페이스lo0(fxp0)에서 서비스를 구성할 수 없습니다.

인터페이스의 입력 및 출력 측면에서 다양한 서비스 세트를 구성할 수 있습니다. 그러나 양방향 서비스 규칙을 포함한 서비스 세트의 경우, 명령문과 output 명령문 모두 input 에 동일한 서비스 세트 정의를 포함해야 합니다. 성명서에 service 포함된 모든 서비스 세트는 계층 수준의 명령문 [edit services service-set service-set-name] 으로 interface-service 구성되어야 합니다. 자세한 내용은 서비스 인터페이스에 적용할 서비스 세트 구성을 참조하십시오.

참고:

거부 조치와 stateful 방화벽 규칙을 포함하는 서비스 세트를 포함하는 입력 방화벽 필터로 인터페이스를 구성하면, 라우터는 패킷에서 stateful 방화벽 규칙이 실행되기 전에 입력 방화벽 필터를 실행합니다. 결과적으로 패킷 전달 엔진이 인터페이스를 통해 ICMP(Internet Control Message Protocol) 오류 메시지를 보낼 때 패킷이 입력 방향으로 보이지 않기 때문에 스테이트풀 방화벽 규칙이 패킷을 삭제할 수 있습니다.

이러한 유형의 필터는 입력 방향의 stateful 방화벽 이후 실행되거나, 로컬에서 생성된 ICMP 패킷이 스테이트풀 방화벽 서비스로 가는 것을 방지하기 위해 출력 서비스 필터를 포함시키기 때문에 가능한 해결 방법은 거부 작업을 수행하기 위한 포워딩 테이블 필터를 포함하는 것입니다.

서비스 필터 구성

각 서비스와 연관된 필터를 선택적으로 포함하여 대상을 개선하고 트래픽을 추가로 처리할 수 있습니다. 정의가 없는 service-filter 명령문을 포함 service-set 하면 라우터 소프트웨어는 일치 조건이 true라고 가정하고 자동으로 처리를 위한 서비스 세트를 선택합니다.

서비스 필터를 구성하려면 계층 레벨의 [edit] 명령문을 포함합니다firewall.

참고:

서비스 필터를 구성하려면 주소 제품군으로 지정 inet 해야 합니다.

방화벽 필터와 유사한 방식으로 서비스 필터를 구성할 수 있습니다. 서비스 필터는 방화벽 필터와 동일한 조건을 가지고 있지만 다음과 같은 특정 조치를 수행합니다.

  • count—카운터 합계에 패킷을 추가합니다.

  • log—패킷을 기록합니다.

  • port-mirror—패킷을 포트 미러로 미러합니다.

  • sample—패킷 샘플.

  • service—서비스 처리를 위해 패킷을 전달합니다.

  • skip—서비스 프로세싱에서 패킷을 생략합니다.

방화벽 필터 구성에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 Traffic Policers 사용자 가이드를 참조하십시오.

인터페이스의 각 측면에 두 개 이상의 서비스 세트 정의를 포함할 수도 있습니다. 여러 서비스 세트를 포함하는 경우 라우터 소프트웨어는 구성에 지정된 순서대로 평가합니다. 서비스 필터에서 일치되는 첫 번째 서비스 세트를 실행하고 후속 정의를 무시합니다.

추가 명령문을 사용하면 입력 서비스 세트가 실행된 후 트래픽을 처리하기 위한 필터를 지정할 수 있습니다. 이러한 유형의 필터를 구성하려면 계층 레벨의 [edit interfaces interface-name unit logical-unit-number family inet service input] 명령문을 포함합니다post-service-filter.

참고:

이 소프트웨어는 서비스 세트를 선택하고 실행한 경우에만 포스트서비스 필터링을 수행합니다. 트래픽이 구성된 서비스 세트에 대한 일치 기준을 충족하지 못하는 경우 포스트서비스 필터는 무시됩니다. 서비스 인터페이스가 MS-MIC 또는 MS-MPC에 있는 경우 이 post-service-filter 명령문은 지원되지 않습니다.

서비스 세트를 인터페이스에 적용하는 예는 예제: 서비스 인터페이스 구성을 참조하십시오.

인터페이스에 필터 적용에 대한 자세한 내용은 라우팅 디바이스용 Junos OS 네트워크 인터페이스 라이브러리를 참조하십시오. 필터에 대한 일반적인 정보는 라우팅 정책, 방화벽 필터 및 Traffic Policers User Guide를 참조하십시오.

참고:

NAT 처리가 패킷에 적용된 후에는 출력 서비스 필터의 적용을 받지 않습니다. 서비스 필터는 전송되지 않은 트래픽에만 영향을 줍니다.

예: 서비스 인터페이스 구성

my-service-set 인터페이스 전반에 서비스 세트를 적용합니다. 허용되는 모든 트래픽이 해당 트래픽에 my_input_filter 적용되었습니다my-input-service-set. 서비스 세트가 적용되면 필터를 사용하여 추가 필터링이 my_post_service_input_filter 수행됩니다.

2개의 rsp0 이중화 인터페이스와 rsp1, 관련 서비스를 구성합니다.

서비스 인터페이스를 위한 주소 및 도메인 구성

AS 또는 Multiservices PIC에서 계층 레벨에 명령문을 [edit interfaces interface-name unit logical-unit-number family inet] 포함 address 시킴으로써 시스템 로그 메시지에 소스 주소를 구성합니다.

값을 구성하여 인터페이스에 IP 주소를 할당합니다 address . AS 또는 Multiservices PIC는 일반적으로 명령문을 사용하여 family inet 구성된 IP 버전 4(IPv4) 주소만 지원하지만, IPsec 서비스는 명령문을 사용하여 family inet6 구성된 IP 버전 6(IPv6) 주소도 지원합니다.

참고:

동일한 라우팅 인스턴스의 여러 인터페이스에서 동일한 주소를 구성하는 경우, Junos OS는 첫 번째 구성만 사용하며 나머지 주소 구성은 무시되며 주소 없이 인터페이스를 떠날 수 있습니다. 할당된 주소가 없는 인터페이스는 번호가 지정되지 않은 Ethernet 인터페이스의 기부자 인터페이스로 사용할 수 없습니다.

예를 들어, 다음 구성에서 인터페이스 xe-0/0/1.0의 주소 구성은 무시됩니다.

여러 인터페이스에서 동일한 주소를 구성하는 방법에 대한 자세한 내용은 인터페이스 주소 구성을 참조하십시오.

서비스 인터페이스에 특정하지 않은 것을 구성할 수 있는 다른 주소 지정 속성에 대한 정보는 라우팅 디바이스용 Junos OS 네트워크 인터페이스 라이브러리를 참조하십시오.

이 문은 service-domain 인터페이스가 네트워크 내에서 사용되는지 또는 원격 장치와 통신할 때 사용되는지를 지정합니다. 소프트웨어는 이 설정을 사용하여 적용할 기본 스테이트풀 방화벽 규칙을 결정하고 서비스 규칙의 기본 방향을 결정합니다. 도메인을 구성하려면 계층 레벨의 service-domain [edit interfaces interface-name unit logical-unit-number] 명령문을 포함합니다.

넥티드 홉 서비스 세트 정의에서 인터페이스를 구성하는 경우 설정 service-domain 이 해당 구성과 명령문에 outside-service-interface 일치해야 합니다. 자세한 내용은 서비스 인터페이스에inside-service-interface 적용할 서비스 세트 구성을 참조하십시오.

서비스 세트에 대한 시스템 로깅 구성

서비스 세트에 대해 시스템 로그 메시지가 생성되는 방식을 제어하는 속성을 지정합니다. 이러한 값은 계층 수준에서 구성된 [edit interfaces interface-name services-options] 값을 무시합니다.

서비스 세트별 시스템 로깅 값을 구성하려면 계층 레벨의 [edit services service-set service-set-name] 명령문을 포함합니다syslog.

host 시스템 로그 대상 서버를 지정하는 호스트 이름 또는 IP 주소로 명령문을 구성합니다. 호스트네임 local 은 시스템 로그 메시지를 Routing Engine으로 전달합니다. 외부 시스템 로그 서버의 경우, 호스트네임은 초기 데이터 패킷(세션 설정에 트리거된)이 제공되는 것과 동일한 라우팅 인스턴스에서 도달할 수 있어야 합니다. 하나의 시스템 로깅 호스트 이름만 지정할 수 있습니다. 이 매개 변수는 source-address ms, rms 및 맘 인터페이스에서 지원됩니다.

Junos OS Release 17.4R1에서 시작하여 계층 수준 아래에 [edit services service-set service-set-name] 설정된 각 서비스에 대해 최대 4개의 시스템 로그 서버(로컬 시스템 로그 호스트 및 원격 시스템 로그 컬렉터 조합)를 구성할 수 있습니다.

참고:

Junos OS는 fxp.0 인터페이스를 통해 시스템 로그 메시지를 외부 시스템 로그 서버로 익스포트하는 것을 지원하지 않습니다. 시스템 로그 메시지의 높은 전송 속도와 fxp.0 인터페이스의 제한된 대역폭이 여러 가지 문제를 일으킬 수 있기 때문입니다. 외부 시스템 로그 서버는 라우팅 가능한 인터페이스를 통해 연결할 수 있어야 합니다.

표 1 에는 계층 수준에서 구성 명령문 [edit services service-set service-set-name syslog host hostname] 에서 지정할 수 있는 심각도 수준이 나열됩니다. 레벨은 가장 높은 심각도(작동에 가장 큰 영향)에서 emergency info 최저 수준으로 순서가 정해지게 됩니다.

표 1: 시스템 로그 메시지 심각도 수준

심각도 수준

설명

any

모든 심각도 수준 포함

emergency

시스템 패닉 또는 라우터의 작동을 멈추게 하는 기타 상태

alert

손상된 시스템 데이터베이스와 같은 즉각적인 수정이 필요한 조건

critical

하드 드라이브 오류와 같은 중요한 조건

error

일반적으로 긴급 상황, 경고 및 중요 수준에 발생한 오류보다 덜 심각한 결과를 초래하는 오류 조건

warning

모니터링을 보증하는 조건

notice

오류가 아니지만 특별 처리를 보증할 수 있는 조건

info

이벤트 또는 오류 없는 관심 조건

정상 작동 중 시스템 로깅 심각도 수준을 설정하는 것이 error 좋습니다. PIC 리소스 사용량을 모니터링하려면 레벨 warning을 으로 설정합니다. 침입 탐지 시스템 오류가 감지될 때 침입 공격에 대한 정보를 수집하려면 특정 서비스 세트에 대한 수준을 설정하십시오 notice . 구성 또는 로그 NAT 기능을 디버깅하려면 레벨 info을 으로 설정합니다.

시스템 로그 메시지에 대한 자세한 내용은 System Log Explorer를 참조하십시오.

지정된 시스템 로그 호스트에 기록할 메시지 클래스를 선택하려면 계층 수준에 있는 명령 [edit services service-set service-set-name syslog host hostname] 문을 포함합니다class.

지정된 시스템 로그 호스트에 대한 모든 로깅에 대해 하나의 특정 기능 코드를 사용하려면 계층 레벨의 [edit services service-set service-set-name syslog host hostname] 명령문을 포함합니다facility-override.

지원되는 설비는 다음과 같습니다 authorizationlocal7daemonlocal0 ftpkerneluser.

이 시스템 로그 호스트에 대한 모든 로깅에 대한 텍스트 접두사(text prefix)를 지정하려면 계층 레벨의 [edit services service-set service-set-name syslog host hostname] 명령문을 포함합니다log-prefix.

서비스 규칙 구성

서비스 집합을 구성하는 규칙 및 규칙 집합의 모음을 지정합니다. 라우터는 구성에 나타나는 순서대로 규칙 집합을 수행합니다. 각 서비스 유형에 대해 하나의 규칙 집합만 포함할 수 있습니다. 각 유형에 대한 계층 수준에서 각 서비스 유형에 [edit services name] 대한 규칙 이름과 컨텐트 구성:

서비스 집합을 구성하는 규칙 및 규칙 집합을 구성하려면 계층 수준에서 다음 진술을 [edit services service-set service-set-name] 포함합니다.

각 서비스 유형에 대해 하나 이상의 개별 규칙 또는 하나의 규칙 세트를 포함할 수 있습니다.

IPsec 규칙으로 서비스 세트를 구성하는 경우 다른 서비스에 대한 규칙이 포함되어서는 안 됩니다. 그러나 다른 서비스에 대한 규칙을 포함하는 다른 서비스 세트를 구성하고 두 서비스 세트를 동일한 인터페이스에 적용할 수 있습니다.

참고:

서비스 세트 내에 Junos Application Aware(이전 명칭 Dynamic Application Awareness) 기능을 포함할 수도 있습니다. 이를 위해서는 계층 수준의 명령문 [edit services service-set] 과 APPID(Application Identification) 규칙, 그리고 적절하게 AACL(Application-Aware Access List) 규칙 및 policy-decision-statistics-profile을 포함 idp-profile 해야 합니다. Junos Application Aware 기능을 사용할 경우 단일 서비스 세트만 단일 인터페이스에 적용할 수 있습니다. 자세한 내용은 MS-DPC, APPID 개요라우팅 디바이스용 애플리케이션 인식 서비스 인터페이스 사용자 가이드에서 IDS 규칙 구성을 참조하십시오.

릴리스 히스토리 테이블
릴리스
설명
18.4R1
Junos OS 릴리스 18.4R1부터 시작, 에 대한 max-session-setup-rate1k=1000
17.1R1
Junos OS 릴리스 17.1R1부터 MS-MPC에 대해 설정된 서비스당 세션 설정 속도를 제한할 수 있습니다.