Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MPLS를 위한 방화벽 필터

라우터에서 MPLS 방화벽 필터 및 폴리서 구성

패킷의 최상위 MPLS 레이블에 대한 EXP 비트를 기반으로 패킷을 계산하도록 MPLS 방화벽 필터를 구성할 수 있습니다. MPLS LSP에 대한 폴리서를 구성할 수도 있습니다.

다음 섹션에서는 MPLS 방화벽 필터 및 폴리서에 대해 설명합니다.

MPLS 방화벽 필터 구성

패킷의 최상위 MPLS 레이블에 대한 EXP 비트를 기반으로 패킷을 계산하도록 MPLS 방화벽 필터를 구성할 수 있습니다. 그런 다음 이 필터를 특정 인터페이스에 적용할 수 있습니다. MPLS 필터에 대한 폴리서도 필터가 연결된 인터페이스의 트래픽을 폴리싱(즉, 속도 제한)으로 구성할 수 있습니다. MPLS 방화벽 필터를 이더넷(fxp0) 또는 루프백(lo0) 인터페이스에 적용할 수 없습니다.

계층 수준에서 MPLS 필터 [edit firewall family mpls filter filter-name term term-name from] 에 대해 다음과 같은 일치 기준 속성을 구성할 수 있습니다.

  • exp

  • exp-except

이러한 속성은 0~7 범위에서 EXP 비트를 사용할 수 있습니다. 다음과 같은 선택을 구성할 수 있습니다.

  • 예를 들어 단일 EXP 비트 exp 3;

  • 예를 들어, 여러 EXP 비트 exp 0, 4;

  • 다양한 EXP 비트(예: exp [0-5];

일치 기준을 지정하지 않는 경우(즉, 명령문을 구성 from 하지 않고 작업 키워드와 함께 count 명령문만 then 사용함), 필터가 적용되는 인터페이스를 통과하는 모든 MPLS 패킷이 계산됩니다.

계층 수준에서 다음 작업 키워드를 [edit firewall family mpls filter filter-name term term-name then] 구성할 수도 있습니다.

  • count

  • accept

  • discard

  • next

  • policer

방화벽 필터 구성 방법에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 Traffic Policers 사용자 가이드를 참조하십시오. 인터페이스 구성 방법에 대한 자세한 내용은 라우팅 디바이스용 Junos OS 네트워크 인터페이스 라이브러리와 라우팅 디바이스Junos OS 서비스 인터페이스 라이브러리를 참조하십시오.

예제: MPLS 방화벽 필터 구성

다음 예제에서는 MPLS 방화벽 필터를 구성한 다음 인터페이스에 필터를 적용하는 방법을 설명합니다. 이 필터는 EXP 비트가 0 또는 4로 설정된 MPLS 패킷을 계산하도록 구성됩니다.

다음은 MPLS 방화벽 필터의 구성을 보여줍니다.

다음은 MPLS 방화벽 필터를 인터페이스에 적용하는 방법을 보여줍니다.

MPLS 방화벽 필터는 인터페이스의 입력 및 출력에 적용됩니다(앞 예제에서 input 설명 및 output 참조).

LSP용 폴리서 구성

MPLS LSP 폴리싱을 사용하면 특정 LSP를 통해 전달되는 트래픽의 양을 제어할 수 있습니다. 폴리싱(Policing)은 LSP를 통해 전달되는 트래픽 양이 요청된 대역폭 할당을 초과하지 않도록 하는 데 도움이 됩니다. LSP 폴리싱은 일반 LSP, DiffServ 인식 트래픽 엔지니어링으로 구성된 LSP 및 멀티클래스 LSP에서 지원됩니다. 각 멀티클래스 LSP에 대해 여러 폴리서를 구성할 수 있습니다. 일반 LSP의 경우, 각 LSP 폴리서가 LSP를 통과하는 모든 트래픽에 적용됩니다. LSP를 통과하는 트래픽의 총 합계가 구성된 한도를 초과하는 즉시 폴리서의 대역폭 제한은 효력을 발휘합니다.

주:

PTX10003 라우터는 일반 LSP만 지원합니다.

필터에서 멀티클래스 LSP 및 DiffServ 인식 트래픽 엔지니어링 LSP 폴리서를 구성합니다. 필터는 서로 다른 클래스 유형을 구별하고 각 클래스 유형에 관련 폴리서를 적용하도록 구성할 수 있습니다. 폴리서는 EXP 비트를 기반으로 클래스 유형을 구분합니다.

필터에서 LSP 폴리서를 구성합니다 family any . 필터는 family any 폴리서가 LSP로 들어오는 트래픽에 적용되므로 사용됩니다. 이 트래픽은 여러 패밀리에서 전송될 수 있습니다. IPv6, MPLS 등. 일치 조건이 모든 유형의 트래픽에 적용되는 한 LSP에 어떤 종류의 트래픽이 입력되고 있는지 알 필요가 없습니다.

모든 유형의 트래픽에 적용되는 일치 조건만 구성할 수 있습니다. LSP 폴리서의 지원되는 일치 조건은 다음과 같습니다.

  • forwarding-class

  • packet-length

  • interface

  • interface-set

LSP에서 폴리서(policer)를 활성화하려면 먼저 폴리싱 필터를 구성한 다음 LSP 구성에 포함시켜야 합니다. 폴리서 구성 방법에 대한 자세한 내용은 라우팅 정책, 방화벽 필터 및 Traffic Policers 사용자 가이드를 참조하십시오.

LSP에 대해 폴리서를 구성하려면 다음과 같은 옵션을 포함하여 filter 필터를 policing 지정합니다.

다음과 같은 계층 수준에 명령문을 포함할 policing 수 있습니다.

LSP 폴리서 제한

MPLS LSP 폴리서를 구성할 때는 다음과 같은 제한 사항에 유의해야 합니다.

  • LSP 폴리서는 패킷 LSP에만 지원됩니다.

  • LSP 폴리서는 유니캐스트 다음 홉에서만 지원됩니다. 멀티캐스트 다음 홉은 지원되지 않습니다.

  • LSP 폴리서는 통합된 인터페이스에서 지원되지 않습니다.

  • LSP 폴리서가 출력 필터 앞에서 실행됩니다.

  • 라우팅 엔진에서 조달된 트래픽(예: 핑 트래픽)은 전송 트래픽과 동일한 포워딩 경로를 이용하지 않습니다. 이러한 유형의 트래픽은 정책 적용이 불가능합니다.

  • LSP 폴리서는 모든 T 시리즈 라우터와 인터넷 프로세서 II ASIC(Application-Specific Integrated Circuit)이 있는 M 시리즈 라우터에서 작동합니다.

주:

Junos OS 릴리스 12.2R2부터 T 시리즈 라우터에서만 특정 LSP에 대한 LSP 폴리서를 구성하여 여러 프로토콜 제품군 유형에서 공유할 수 있습니다. 이를 위해서는 계층 수준에서 논리적 인터페이스-폴리서 명령문을 [edit firewall policer policer-name] 구성해야 합니다.

예를 들면 다음과 같습니다. LSP 폴리서 구성

다음 예에서는 LSP에 대한 폴리싱 필터를 구성하는 방법을 보여줍니다.

자동 폴리서 구성

LSP의 자동 폴리싱(policing of LSP)을 통해 네트워크 트래픽에 대한 엄격한 서비스 보증을 제공할 수 있습니다. 이러한 보장은 트래픽 엔지니어링 LSP를 위한 차별화된 서비스의 맥락에서 특히 유용합니다. 이를 통해 MPLS 네트워크를 통해 ATM 와이어에 더 나은 에뮬레이션을 제공할 수 있습니다. LSP를 위한 차별화된 서비스에 대한 자세한 내용은 DiffServ-Aware 트래픽 엔지니어링 소개를 참조하십시오.

트래픽 엔지니어링 LSP를 위한 차별화된 서비스를 통해 EXP 비트를 기반으로 MPLS 트래픽에 대한 차등 처리를 제공할 수 있습니다. 이러한 트래픽이 보장되도록 하기 위해서는 단순히 트래픽을 적절하게 마크하는 것만으로는 부족합니다. 트래픽이 혼잡한 경로를 따르는 경우 요구 사항이 충족되지 않을 수 있습니다.

LSP는 요구 사항을 충족할 수 있는 충분한 리소스가 있는 경로를 따라 구축되도록 보장됩니다. 그러나 LSP가 이러한 경로를 따라 설정되고 올바르게 표시되더라도 사용 가능한 대역폭보다 더 많은 트래픽이 LSP로 전송되지 않도록 보장하지 않는 한 이러한 요구 사항을 보장할 수 없습니다.

적절한 필터를 수동으로 구성하고 구성에서 LSP에 적용하여 LSP 트래픽을 정책 적용할 수 있습니다. 그러나 대규모 구축의 경우 수천 개의 다른 필터를 구성하는 것이 번거롭습니다. 서로 다른 LSP가 서로 다른 대역폭 요구 사항을 가지고 있을 수 있기 때문에 구성 그룹도 이 문제를 해결할 수 없습니다. 많은 LSP에 대해 트래픽을 정책 적용하기 위해서는 자동 폴리서를 구성하는 것이 가장 좋습니다.

LSP에 대해 자동 폴리서를 구성하면 라우터에 구성된 모든 LSP에 폴리서가 적용됩니다. 그러나 특정 LSP에서 자동 폴리싱을 비활성화할 수 있습니다.

주:

DiffServ 인식 트래픽 엔지니어링 LSP에 대한 자동 폴리서를 구성할 때 GRES는 지원되지 않습니다.

주:

CCC 트래픽을 전송하는 LSP에 대해 자동 폴리싱을 구성할 수 없습니다.

다음 섹션에서는 LSP에 대해 자동 폴리서를 구성하는 방법을 설명합니다.

LSP용 자동 폴리서 구성

표준 LSP를 위해 자동 폴리서를 구성하려면(DiffServ 인식 트래픽 엔지니어링 LSP나 멀티클래스 LSP 모두)에는 다음과 같은 옵션이나 옵션이 포함된 class all policer-action 명령문이 class ct0 policer-action 포함되어 auto-policing 있습니다.

다음 계층 수준에서 이 명령문을 포함할 수 있습니다.

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

자동 폴리서에 대해 다음과 같은 폴리서 작업을 구성할 수 있습니다.

  • drop—모든 패킷을 드롭합니다.

  • loss-priority-high—높은 수준의 패킷 손실 우선 순위(PLP)를 설정합니다.

  • loss-priority-low—PLP를 낮게 설정합니다.

이러한 폴리서 작업은 모든 유형의 LSP에 적용됩니다. 기본 폴리서 작업은 아무 것도 하지 않는 것입니다.

LSP에 대해 구성된 대역폭 양을 기반으로 LSP 트래픽을 자동으로 폴리서(policer)합니다. 계층 수준에서 명령문을 [edit protocols mpls label-switched-path lsp-path-name] 사용하여 LSP의 bandwidth 대역폭을 구성합니다. 라우터에서 자동 폴리서를 활성화하고, LSP에 대해 구성된 대역폭을 변경하고, 개정된 구성을 커밋한 경우, 해당 변경 사항이 활성 LSP에 영향을 미치지 않습니다. LSP가 새로운 대역폭 할당을 사용하도록 하려면 명령을 실행 clear mpls lsp 합니다.

주:

통합된 인터페이스 또는 MLPPP(Multilink Point-to-Point Protocol) 인터페이스를 통과하는 LSP에 대해 자동 폴리서를 구성할 수 없습니다.

DiffServ-Aware 트래픽 엔지니어링 LSP를 위한 자동 폴리서 구성

DiffServ 인식 트래픽 엔지니어링 LSP 및 멀티클래스 LSP를 위한 자동 폴리서를 구성하려면 다음과 같은 명령문을 auto-policing 포함합니다.

다음 계층 수준에서 이 명령문을 포함할 수 있습니다.

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

각 클래스에 class all policer-action 대한 명령문 또는 class ctnumber policer-action 명령문을 포함합니다(각 클래스에 대해 다른 폴리서 작업을 구성할 수 있습니다). 변수를 대체할 policer-action 수 있는 작업 목록은 를 참조하십시오 LSP용 자동 폴리서 구성. 기본 폴리서 작업은 아무 것도 하지 않는 것입니다.

주:

통합된 인터페이스 또는 MLPPP 인터페이스를 통과하는 LSP에 대해 자동 폴리서를 구성할 수 없습니다.

점대다점 LSP를 위한 자동 폴리서 구성

옵션 또는 class ct0 policer-action 옵션과 함께 class all policer-action 명령문을 포함 auto-policing 함으로써 점대다점 LSP에 대한 자동 폴리서를 구성할 수 있습니다. 기본 P2P(Point-to-Multipoint) LSP에서 명령문을 구성 auto-policing 하기만 하면 됩니다(기본 P2P-멀티포인트 LSP에 대한 자세한 내용은 기본 P2P LSP 구성 참조). 점대다점 LSP를 위해 서브LSP에 추가 컨피규레이션이 필요하지 않습니다. P2P(Point-to-Multipoint) 자동 폴리싱이 P2P LSP의 모든 브랜치에 적용됩니다. 또한 자동 폴리싱은 점대다점 브랜치와 동일한 포워딩 엔트리를 갖는 모든 로컬 VRF 인터페이스에 적용됩니다. Junos Trio 칩셋상의 MPLS P2P(Point-to-Multipoint) LSP를 위한 자동 폴리서의 기능 패리티(parity)는 Junos OS 릴리스 11.1R2, 11.2R2 및 11.4에서 지원됩니다.

점대다점 LSP에 대한 자동 폴리서 구성은 표준 LSP의 자동 폴리서 구성과 동일합니다. 자세한 내용은 를 참조하십시오 LSP용 자동 폴리서 구성.

LSP에서 자동 폴리싱 비활성화

자동 폴리싱을 활성화하면 라우터 또는 논리적 시스템의 모든 LSP가 영향을 받습니다. 자동 폴리싱을 활성화한 라우터의 특정 LSP에서 자동 폴리싱을 비활성화하려면 다음과 같은 옵션을 포함한 no-auto-policing 명령문을 포함합니다policing.

다음 계층 수준에서 이 명령문을 포함할 수 있습니다.

예를 들면 다음과 같습니다. LSP를 위한 자동 폴리싱 구성

다중 클래스 LSP에 대한 자동 폴리싱을 구성하고 클래스 유형ct0, , ct1ct2ct3대해 서로 다른 작업을 지정합니다.

MPLS 태깅 IP 패킷에 다양한 DSCP 및 EXP 값 작성

출력 큐 할당에 영향을 미치지 않으면서 MPLS 태깅된 IPv4 및 IPv6 패킷의 DiffServ 코드 포인트(DSCP) 필드를 선택적으로 0으로 설정하고 포워딩 클래스를 기반으로 구성된 재작성 테이블에 따라 MPLS EXP 필드를 계속 설정할 수 있습니다. MPLS 태깅된 패킷에 대한 방화벽 필터를 구성하여 이러한 작업을 수행할 수 있습니다.

루프백 인터페이스의 MPLS 방화벽 필터 개요

모든 인터페이스가 중요하지만 루프백 인터페이스는 모든 라우팅 프로토콜을 실행하고 관리하는 Routing Engine에 대한 링크이기 때문에 가장 중요할 수 있습니다. 루프백 인터페이스는 스위치의 Routing Engine에 들어오는 모든 제어 트래픽을 위한 게이트웨이입니다. 에 있는 루프백 인터페이스(lo0)에서 방화벽 필터를 구성하여 이 트래픽을 제어할 수 있습니다 family mpls. 루프백 방화벽 필터는 라우팅 엔진 CPU로 향하는 트래픽에만 영향을 줍니다. 수신 방향(인터페이스에 들어오는 패킷) 에서 만 루프백 방화벽 필터를 적용할 수 있습니다. Junos OS 릴리스 19.2R1부터 시작하여 QFX5100, QFX5110, QFX5200 및 QFX5210 스위치의 LSR(Label Switch Router)의 루프백 인터페이스에 MPLS 방화벽 필터를 적용할 수 있습니다.

MPLS 방화벽 필터를 구성할 때 패킷에 대한 필터링 기준(조건 일치 조건)과 패킷이 필터링 기준에 부합하는 경우 스위치가 취할 조치를 정의합니다. 필터를 루프백 인터페이스에 적용하기 때문에 아래에 있는 라이브 시간(TTL) 일치 조건을 family mpls 명시적으로 지정하고 TTL 값을 1로ttl=1 설정해야 합니다. TTL은 8비트(IPv4) 헤더 필드로, 이는 IP 패킷이 수명이 종료되고 삭제되기 전에 남은 시간을 의미합니다. 패킷을 , exp레이어 4, 레이어 destination port4source port와 같은 label다른 MPLS 한정자와 일치시킬 수도 있습니다. 자세한 내용은 를 참조하십시오 MPLS 트래픽에 대한 방화벽 필터 일치 조건.

루프백 인터페이스에 MPLS 방화벽 필터 추가의 이점

  • 신뢰할 수 있는 네트워크에서만 트래픽을 허용하도록 함으로써 라우팅 엔진을 보호합니다.

  • DoS 공격으로부터 라우팅 엔진을 보호합니다.

  • 소스 포트 및 대상 포트에서 패킷을 일치시킬 수 있는 유연성을 제공합니다. 예를 들어 traceroute를 실행하는 경우 TCP 또는 UDP 중 하나를 선택하여 트래픽을 선택적으로 필터링할 수 있습니다.

지침 및 제한 사항

  • 수신 방향에만 루프백 방화벽 필터를 적용할 수 있습니다.

  • MPLS 필드label, expttl=1 레이어 4 필드 tcpudp 포트 번호만 지원됩니다.

  • , discardcount 작업만 accept지원됩니다.

  • TLL 패킷에 일치하도록 명시적으로 family mpls 지정 ttl=1 해야 합니다.

  • 루프백 인터페이스에 적용된 필터는 IPv6 패킷의 대상 포트(내부 페이로드)에서 일치시킬 수 없습니다.

  • MPLS 레이블이 두 개 이상 있는 패킷에는 필터를 적용할 수 없습니다.

  • TCP 또는 UDP 일치 조건에 대한 포트 범위를 지정할 수 없습니다.

  • 단 255개의 방화벽 용어만 지원됩니다.

스위치에서 MPLS 방화벽 필터 및 폴리서 구성

방화벽 필터를 구성하여 MPLS 트래픽을 필터링할 수 있습니다. MPLS 방화벽 필터를 사용하려면 먼저 필터를 구성한 다음 MPLS 트래픽 포워딩을 위해 구성한 인터페이스에 적용해야 합니다. MPLS 필터에 대한 폴리서도 필터가 연결된 인터페이스의 트래픽을 폴리싱(즉, 속도 제한)으로 구성할 수 있습니다.

MPLS 방화벽 필터를 구성할 때 필터링 기준(조건 일치 조건의 용어)과 패킷이 필터링 기준에 부합하는 경우 스위치가 취할 조치를 정의합니다.

주:

수신 방향으로 MPLS 필터만 구성할 수 있습니다. 송신 MPLS 방화벽 필터는 지원되지 않습니다.

MPLS 방화벽 필터 구성

MPLS 방화벽 필터를 구성하려면 다음을 수행합니다.

  1. 필터 이름, 용어 이름 및 최소 1개의 일치 조건을 구성합니다. 예를 들어 MPLS 패킷에 EXP 비트가 0 또는 4로 설정되어 있는 경우:
  2. 각 방화벽 필터 용어에서 패킷이 해당 용어의 모든 조건과 일치할 경우 취할 조치를 지정합니다. 예를 들어 MPLS 패킷을 EXP 비트가 0 또는 4로 설정하여 계산합니다.
  3. 완료되면 아래 단계를 따라 인터페이스에 필터를 적용하십시오.

MPLS 인터페이스에 MPLS 방화벽 필터 적용

MPLS 트래픽 포워딩을 위해 구성한 인터페이스에 MPLS 방화벽 필터를 적용하려면(계층 수준에서 명령문을 [edit interfaces interface-name unit unit-number] 사용family mpls):

주:

방화벽 필터를 적용하여 인터페이스를 입력하는 MPLS 패킷을 필터링할 수 있습니다.

  1. 방화벽 필터를 MPLS 인터페이스에 적용합니다. 예를 들어 방화벽 필터를 xe-0/0/5 인터페이스에 적용합니다.
  2. 구성을 검토하고 명령을 실행합니다.commit

루프백 인터페이스에 MPLS 방화벽 필터 적용

루프백 인터페이스(lo0)에 MPLS 방화벽 필터를 적용하려면:

  1. 먼저 패킷 형식 일치 명령을 사용하여 패킷 형식을 지정합니다. 이 명령을 구성할 때마다 PFE를 다시 시작해야 합니다.
  2. 에서 설명 스위치에서 MPLS 방화벽 필터 및 폴리서 구성한 대로 방화벽 필터 일치 조건 및 작업을 구성합니다. TTL 일치 조건을 (ttl=1)로 명시적으로 설정해야 합니다. 패킷을 , exp및 Layer 4 source port등과 같은 label다른 MPLS 한정자와 일치시킬 수도 있습니다destination port.
  3. 필터를 루프백 인터페이스에 입력 필터로 적용합니다.
  4. 구성을 검토하고 명령을 실행합니다.commit

다음은 구성 예제입니다.

LSP용 폴리서 구성

Junos OS 13.2X51-D15부터 MPLS 필터와 일치하는 트래픽을 2색 폴리서 또는 3색 폴리서로 보낼 수 있습니다. MPLS LSP 폴리싱을 사용하면 특정 LSP를 통해 전달되는 트래픽의 양을 제어할 수 있습니다. 폴리싱(Policing)은 LSP를 통해 전달되는 트래픽 양이 요청된 대역폭 할당을 초과하지 않도록 하는 데 도움이 됩니다. LSP 폴리싱은 일반 LSP, DiffServ 인식 트래픽 엔지니어링으로 구성된 LSP 및 멀티클래스 LSP에서 지원됩니다. 각 멀티클래스 LSP에 대해 여러 폴리서를 구성할 수 있습니다. 일반 LSP의 경우, 각 LSP 폴리서가 LSP를 통과하는 모든 트래픽에 적용됩니다. LSP를 통과하는 트래픽의 총 합계가 구성된 한도를 초과하는 즉시 폴리서의 대역폭 제한은 효력을 발휘합니다.

필터에서 멀티클래스 LSP 및 DiffServ 인식 트래픽 엔지니어링 LSP 폴리서를 구성합니다. 필터는 서로 다른 클래스 유형을 구별하고 각 클래스 유형에 관련 폴리서를 적용하도록 구성할 수 있습니다. 폴리서는 EXP 비트를 기반으로 클래스 유형을 구분합니다.

필터에서 LSP 폴리서를 구성합니다 family any . 필터는 family any 폴리서가 LSP로 들어오는 트래픽에 적용되므로 사용됩니다. 이 트래픽은 여러 패밀리에서 전송될 수 있습니다. IPv6, MPLS 등. 일치 조건이 모든 유형의 트래픽에 적용되는 한 LSP에 어떤 종류의 트래픽이 입력되고 있는지 알 필요가 없습니다.

MPLS LSP 폴리서를 구성할 때는 다음과 같은 제한 사항에 유의해야 합니다.

  • LSP 폴리서는 패킷 LSP에만 지원됩니다.

  • LSP 폴리서는 유니캐스트 다음 홉에서만 지원됩니다. 멀티캐스트 다음 홉은 지원되지 않습니다.

  • LSP 폴리서가 출력 필터 앞에서 실행됩니다.

  • 라우팅 엔진에서 조달된 트래픽(예: 핑 트래픽)은 전송 트래픽과 동일한 포워딩 경로를 이용하지 않습니다. 이러한 유형의 트래픽은 정책 적용이 불가능합니다.

출시 내역 표
릴리스
설명
19.2R1
Junos OS 릴리스 19.2R1부터 시작하여 QFX5100, QFX5110, QFX5200 및 QFX5210 스위치의 LSR(Label Switch Router)의 루프백 인터페이스에 MPLS 방화벽 필터를 적용할 수 있습니다.