폴리서를 참조하는 무상태 방화벽 필터 개요

폴리싱 또는 속도 제한은 인터페이스로 들어오거나 나가는 트래픽의 양을 제한할 수 있는 방화벽 필터의 중요한 구성 요소입니다.

폴리서를 참조하는 방화벽 필터는 서비스 거부(DOS) 공격으로부터 보호할 수 있습니다. 폴리서에 대해 구성된 속도 제한을 초과하는 트래픽은 폐기되거나 구성된 속도 제한을 준수하는 트래픽보다 낮은 우선 순위로 표시됩니다. 패킷은 특정 출력 대기열로 설정하거나, 특정 패킷 손실 우선순위(PLP) 레벨로 설정하거나, 또는 둘 다로 설정하여 더 낮은 우선순위로 표시할 수 있습니다. 필요한 경우 혼잡을 방지하기 위해 우선 순위가 낮은 트래픽을 삭제할 수 있습니다.

폴리서는 트래픽에 대해 두 가지 유형의 속도 제한을 지정합니다.

• Bandwidth limit(대역폭 제한) - 허용되는 평균 트래픽 속도로, 초당 비트 수로 지정됩니다.

• 최대 버스트 크기 - 대역폭 제한을 초과하는 데이터 버스트에 허용되는 패킷 크기입니다.

폴리싱은 알고리즘을 사용하여 평균 대역폭에 제한을 적용하는 동시에 지정된 최대값까지 버스트를 허용합니다. 폴리싱을 사용하여 인터페이스에서 특정 트래픽 클래스를 정의하고 각 클래스에 속도 제한 집합을 적용할 수 있습니다. 폴리서의 이름을 지정하고 구성하면 폴리서가 템플릿으로 저장됩니다. 그런 다음 인터페이스 구성에서 폴리서를 적용하거나 방화벽 필터 구성에서 패킷 필터링된 트래픽만 속도를 제한할 수 있습니다.

IPv4 방화벽 필터 용어의 경우에만, 일치하는 패킷에 폴리서를 적용하는 비종료 작업으로 접두사별 작업을 지정할 수도 있습니다. 접두사별 작업은 지정된 주소 접두사 비트를 기반으로 필터 일치 패킷에 추가 일치 기준을 적용한 다음 해당 필터 용어 또는 방화벽 필터의 모든 용어에 대한 카운터 및 폴리서 인스턴스와 일치하는 패킷을 연결합니다.

패킷 필터링된 트래픽에 폴리서 또는 접두사 작업을 적용하려면 다음과 같은 방화벽 필터 비종료 동작을 사용할 수 있습니다.

• policer policer-name

• three-color-policer (single-rate | two-rate) policer-name

• prefix-action action-name