방화벽 필터에서 폴리서 사용 이해

폴리서 개요

폴리서를 사용하여 트래픽에 대한 속도 제한을 지정할 수 있습니다. 폴리서로 구성된 방화벽 필터는 지정된 속도 제한 집합 내의 트래픽만 허용하므로 DoS(Denial-of-Service) 공격으로부터 보호할 수 있습니다. 폴리서가 지정한 속도 제한을 초과하는 트래픽은 즉시 폐기되거나 속도 제한 내에 있는 트래픽보다 낮은 우선 순위로 표시됩니다. 스위치는 트래픽 혼잡이 있을 때 우선 순위가 낮은 트래픽을 폐기합니다.

폴리서는 트래픽에 두 가지 유형의 속도 제한을 적용합니다.

• 대역폭 - 평균적으로 허용되는 초당 비트 수입니다.

• 최대 버스트 크기 - 지정된 대역폭 제한을 초과하는 데이터 버스트에 허용되는 최대 크기입니다.

폴리싱은 알고리즘을 사용하여 평균 대역폭에 제한을 적용하는 동시에 지정된 최대값까지 버스트를 허용합니다. 인터페이스에서 특정 트래픽 클래스를 정의하고 각 클래스에 속도 제한 집합을 적용할 수 있습니다. 폴리서의 이름을 지정하고 구성하면 폴리서가 템플릿으로 저장됩니다. 그런 다음 방화벽 필터 구성에서 폴리서를 사용할 수 있습니다.

주니퍼 네트웍스 EX8200 이더넷 스위치를 제외한 모든 EX 시리즈 스위치에서 구성하는 각 폴리서에는 폴리서에 지정된 속도 제한을 초과하는 패킷 수를 계산하는 암시적 카운터가 포함됩니다. 각 EX8200 스위치에는 3개의 글로벌 관리 카운터가 포함되어 있습니다. 폴리서 통계를 얻기 위해 이러한 글로벌 관리 카운터에 수신 폴리서를 할당해야 합니다. 각 글로벌 관리 카운터에 원하는 수의 수신 폴리서를 할당할 수 있습니다. 각 글로벌 관리 카운터에 대한 폴리서 통계는 해당 글로벌 관리 카운터와 연관된 모든 폴리서에 대한 폴리서 통계의 집계입니다.

필터별 패킷 수를 얻으려면 각 방화벽 필터에 대해 서로 다른 폴리서를 구성해야 합니다. 폴리서는 기본적으로 용어별 개수를 제공합니다.

폴리서 유형

스위치는 세 가지 유형의 폴리서를 지원합니다.

• 단일 속도 2색 - 2색 폴리서(간단히 "폴리서"라고도 함)는 트래픽 스트림을 측정하고 구성된 대역폭 및 버스트 크기 제한에 따라 패킷을 두 가지 범주의 패킷 손실 우선순위(PLP)로 분류합니다. 대역폭 및 버스트 크기 제한을 초과하는 패킷을 표시하거나 단순히 삭제할 수 있습니다. 2색 폴리서는 포트(물리적 인터페이스) 수준에서 트래픽을 측정하는 데 가장 유용합니다.

• 단일 속도 3색 - 이 유형의 폴리서는 RFC 2697, 단일 속도 3색 마커에 DiffServ(Differentiated Services) 환경을 위한 AF(Assured Forwarding) PHB(per-hop-behavior) 분류 시스템의 일부로 정의됩니다. 이 유형의 폴리서는 구성된 CIR(Committed Information Rate), CBS(Committed Burst Size) 및 EBS(Excess Burst Size)를 기반으로 트래픽을 측정합니다. 트래픽은 패킷이 CBS(녹색) 미만의 속도로 도착하는지, CBS를 초과하지만 EBS를 초과하지 않는지(노란색) 또는 EBS(빨간색)를 초과하는지 여부에 따라 세 가지 범주(녹색, 노란색 또는 빨간색) 중 하나에 속하는 것으로 표시됩니다. 단일 속도 3색 폴리서는 서비스가 최대 도착 속도가 아닌 패킷 크기에 따라 구성될 때 가장 유용합니다.

• Two-rate three-color - 이 유형의 폴리서는 RFC 2698, A Two Rate Three Color Marker에 DiffServ(Differentiated Services) 환경을 위한 AF(Assured Forwarding) PHB(per-hop-behavior) 분류 시스템의 일부로 정의됩니다. 이 유형의 폴리서는 구성된 CIR 및 PIR(Peak Information Rate)과 관련 버스트 크기를 기반으로 트래픽을 측정합니다. CBS 및 피크 버스트 크기(PBS). 트래픽은 패킷이 CIR(녹색) 미만(녹색)이거나, CIR을 초과하지만 PIR을 초과하지 않는(노란색) 또는 PIR(빨간색)을 초과하는 속도에 따라 세 가지 범주(녹색, 노란색 또는 빨간색) 중 하나에 속하는 것으로 표시됩니다. 2레이트, 3색 폴리서는 서비스가 패킷 크기가 아닌 도착률에 따라 구성될 때 가장 유용합니다.

폴리서 작업

폴리서 작업은 암시적 또는 명시적일 수 있으며 폴리서 유형에 따라 다릅니다. 암시적이라는 용어는 Junos OS가 손실 우선 순위 값을 자동으로 할당한다는 것을 의미합니다. 명시적(explicit)은 작업을 구성한다는 의미입니다. 폴리서 작업을 나열합니다.표 1

폴리서 수준

대기열 수준, 논리적 인터페이스 수준 또는 레이어 2(MAC) 수준에서 폴리서를 구성할 수 있습니다. 송신 대기열의 패킷에는 단일 폴리서만 적용됩니다. 폴리서 검색은 다음 순서로 발생합니다.

• 대기열 수준

• 논리적 인터페이스 수준

• 레이어 2(MAC) 수준

색상 모드

삼색 표시(TCM) 폴리서는 녹색-노랑-빨강 색 지정 규칙의 구속을 받지 않습니다. 패킷은 색상에 따라 낮거나 높은 PLP 비트 구성으로 표시됩니다. 따라서 두 가지 3색 폴리서 유형(단일 속도 및 2가지 속도)은 폴리서에서 일반적으로 사용할 수 있는 두 가지 수준 대신 세 가지 수준의 드롭 우선 순위(손실 우선 순위)를 제공하여 CoS(Class of Service) 트래픽 폴리싱 기능을 확장합니다. 단일 속도 및 2 속도 3색 폴리서 유형 모두 두 가지 모드로 작동할 수 있습니다.

• 색맹 - 색맹 모드에서 3색 폴리서는 검사된 패킷이 이전에 표시 또는 측정되었는지 여부를 참조하지 않고 작동합니다. 다시 말해, 3색 폴리서는 패킷이 가졌을 수 있는 이전 색상에 대해 눈이 멀 었습니다.

• 색상 인식 - 색상 인식 모드에서 3색 폴리서는 검사된 패킷의 이전 마킹 또는 미터링을 참조하여 작동합니다. 다시 말해, 3색 폴리서는 패킷이 가졌을 수 있는 이전 색상을 인식 합니다. 색상 인식 모드에서 3색 폴리서는 패킷의 PLP를 증가시킬 수 있지만 감소시킬 수는 없습니다. 예를 들어, 색상 인식 3색 폴리서가 낮은 PLP 표시가 있는 패킷을 미터링하는 경우 PLP 수준을 높음으로 올릴 수 있습니다. 그러나 높은 PLP 수준을 낮은 수준으로 낮출 수는 없습니다.

폴리서에 대한 명명 규칙

3색 폴리서를 구성할 때 명명 규칙을 사용하는 것이 좋습니다.rate-TCMnumber-colortype TCM은 삼색 마킹을 의미합니다. 폴리서는 많을 수 있으며 작동하려면 올바르게 적용해야 하므로 간단한 명명 규칙을 준수하면 폴리서를 올바르게 적용하기가 더 쉽습니다.

예를 들어, 단일 속도, 3색, 색상 인식 폴리서를 구성하는 경우 이름을 srTCM1-ca로 지정합니다. 2가지 속도, 3가지 색상의 색맹 폴리서를 구성하는 경우 이름을 trTCM2-cb로 지정합니다.