Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

정책 프레임워크 개요

Junos® 운영 체제(Junos OS)는 라우팅 정보 및 패킷 플로우를 제어할 수 있는 Junos OS 정책의 모음인 정책 프레임워크를 제공합니다.

주니퍼 Junos OS 간단하고 간단합니다. 그러나 각 정책의 실제 구현은 정책에 복잡성을 더하는 것은 물론, 라우터 기능에 성능과 유연성을 추가합니다. 정책 구성은 라우터 내부와 라우터를 통과하는 라우팅 정보 또는 패킷 흐름에 큰 영향을 미치고 있습니다. 예를 들어, 특정 고객과 연관된 라우트가 라우팅 테이블에 배치되는 것은 허용하지 않는 라우팅 정책을 구성할 수 있습니다. 이 라우팅 정책의 결과, 고객 경로는 데이터 패킷을 다양한 목적지로 전달하는 데 사용되지 않습니다. 라우팅 프로토콜에 의해 이웃에 알려지지 않습니다.

정책을 구성하기 전에 어떤 목표를 달성할지 결정하고 다양한 일치 조건 및 조치를 사용하여 목표를 달성하는 방법을 철저히 파악하십시오. 또한 구성하는 정책에 대한 기본 정책과 작업을 이해하는지 확인해야 합니다.

라우팅 정책 및 방화벽 필터

정책 프레임워크는 다음과 같은 정책으로 구성됩니다.

  • 라우팅 정책—라우팅 프로토콜과 라우팅 테이블 간 그리고 라우팅 테이블과 포우링 테이블 간의 라우팅 정보를 제어할 수 있습니다. 모든 라우팅 프로토콜은 Junos OS 테이블을 사용하여 학습한 경로를 저장하고 프로토콜 패킷에 광고해야 하는 경로를 결정할 수 있습니다. 라우팅 정책을 통해 라우팅 테이블에서 어떤 라우팅 프로토콜 저장소를 라우팅하고 검색할지 제어할 수 있습니다.

  • 방화벽 필터 정책—라우터를 네트워크 대상으로 전송하는 패킷과 라우터에서 전송하는 패킷을 제어할 수 있습니다.

    주:

    방화벽 필터 정책이라는 용어는 방화벽 필터가 정책이라는 것을 강조하기 위해 사용하며 라우팅 정책과 몇 가지 기본적인 유사성을 공유합니다. 그러나 이 매뉴얼의 나머지에서 방화벽 필터 정책을 참조할 때 방화벽 필터가 사용됩니다.

라우팅 정책을 생성해야 하는 이유

다음은 사용자 지정 라우팅 정책을 생성하여 라우팅 정책 프레임워크의 기본 라우팅 정책을 미리 적용하려는 일반적인 상황입니다.

  • 모든 경로를 라우팅 테이블로 가져오는 프로토콜은 원치 않습니다. 라우팅 테이블이 특정 경로에 대해 학습하지 못하면 패킷을 전달하는 데 사용할 수 없는 것은 물론, 다른 라우팅 프로토콜로 재분산할 수 없습니다.

  • 학습한 모든 활성 경로를 내보내기 위해 라우팅 프로토콜을 원치 않습니다.

  • 라우팅 프로토콜이 다른 라우팅 프로토콜에서 학습한 활성 경로를 발표하기를 원합니다.이는 라우트 재배포라고도 합니다.

  • 기본 설정 값, AS 경로 또는 커뮤니티와 같은 경로 특성을 조작하려는 경우. 대상에 도달하기 위해 활성 경로로 선택되는 루트를 제어하기 위해 경로 특성을 조작할 수 있습니다. 일반적으로 활성 경로는 라우터의 이웃에 알려지기도 합니다.

  • 기본 경로 플랩 댐핑 매개 변수를 BGP(Border Gateway Protocol) 변경하기를 원합니다.

  • 패킷당 로드 밸런싱을 수행하기를 원합니다.

  • CoS(서비스 등급 활성화하기를 원합니다.

정책의 영향을 받는 라우터 플로우

Junos OS 정책은 다음과 같은 라우터 플로우에 영향을 미치고 있습니다.

  • 라우팅 프로토콜과 라우팅 테이블 간 그리고 라우팅 테이블과 포우링 테이블 간의 라우팅 정보 흐름 라우팅 엔진 플로우를 처리합니다. 라우팅 정보는 라우터의 이웃에서 라우팅 프로토콜이 학습한 라우트에 대한 정보입니다. 이 정보는 라우팅 테이블에 저장되고 이후 라우터의 이웃에 라우팅 프로토콜에 의해 광고됩니다. 라우팅 정책을 통해 이 정보의 흐름을 제어할 수 있습니다.

  • 라우터의 물리적 인터페이스에서 유입 및 유출되는 데이터 패킷 플로우 패킷 전달 엔진 플로우를 처리합니다. 데이터 패킷은 소스에서 대상으로 전송할 때 라우터를 전송하는 데이터의 청크입니다. 라우터가 인터페이스에서 데이터 패킷을 수신하면 대상에 대한 최상의 루트를 위해 포우링 테이블을 확인하여 패킷을 전달할 위치를 확인합니다. 라우터는 적절한 인터페이스를 통해 데이터 패킷을 목적지로 전달합니다. 방화벽 필터를 사용하면 이러한 데이터 패킷 플로우를 제어할 수 있습니다.

  • 라우터의 물리적 인터페이스와 네트워크로 로컬 패킷의 라우팅 엔진. 라우팅 엔진 플로우를 처리합니다. 로컬 패킷은 라우터에서 생성하거나 전송하는 데이터의 청크입니다. 로컬 패킷에는 일반적으로 라우팅 프로토콜 데이터, Telnet 또는 SSH와 같은 IP 서비스를 위한 데이터, ICMP(Internet Control Message Protocol)과 같은 관리 프로토콜을 위한 데이터가 포함되어 있습니다. 패킷 라우팅 엔진 수신할 때 패킷을 적절한 프로세스 또는 네트워크의 일부인 커널로 라우팅 엔진 또는 패킷 전달 엔진. 방화벽 필터를 사용하면 이러한 로컬 패킷의 흐름을 제어할 수 있습니다.

    주:

    이 장의 나머지에서는 패킷이란 달리 명시적으로 지정되지 않는 한 데이터 및 로컬 패킷을 모두 참조합니다.

그림 1 라우터의 플로우를 보여 주는 것입니다. 플로우는 서로 매우 다르지만 상호 독립적입니다. 라우팅 정책은 포우링 테이블에 어떤 라우트가 배치되는지 결정합니다. 그에 따라 포우링 테이블은 패킷을 포우링할 적절한 물리적 인터페이스를 결정하는 데 중요한 역할을 합니다.

그림 1: 라우팅 정보 및 패킷 플로우라우팅 정보 및 패킷 플로우

라우팅 테이블에서 라우팅 프로토콜이 어떤 라우팅 프로토콜을 라우팅하는지 제어하고 라우팅 테이블에서 광고하는 라우팅 프로토콜을 제어하도록 라우팅 정책을 구성할 수 그림 2 있습니다(참조). 라우팅 프로토콜은 라우팅 테이블에서만 활성 경로를 광고합니다. (활성 경로는 라우팅 테이블의 모든 경로에서 대상에 도달하기 위해 선택한 경로입니다.)

라우팅 정책을 사용하여 다음과 같은 작업을 할 수 있습니다.

  • 대상에 도달하기 위한 활성 경로로 선택한 경로를 제어할 수 있는 특정 경로 특성 변경 일반적으로 활성 경로는 라우터의 이웃에 알려지기도 합니다.

  • 기본 경로 플랩 댐핑 BGP(Border Gateway Protocol) 변경합니다.

  • 패킷당 로드 밸런싱을 수행합니다.

  • CoS(enable 서비스 등급).

그림 2: 라우팅 정보 흐름을 제어하는 라우팅 정책라우팅 정보 흐름을 제어하는 라우팅 정책

패킷 플로우의 다음 측면을 제어하도록 방화벽 필터를 구성할 수 그림 3 있습니다(참조).

  • 어떤 데이터 패킷이 물리적 인터페이스를 통해 허용 및 전송될 수 있습니다. 데이터 패킷 플로우를 제어하기 위해 물리적 인터페이스에 방화벽 필터를 적용합니다.

  • 어떤 로컬 패킷이 물리적 인터페이스에서 라우팅 엔진. 로컬 패킷을 제어하기 위해 인터페이스인 루프백 인터페이스에 방화벽 필터를 라우팅 엔진.

방화벽 필터는 라우터를 네트워크 목적지로 전송하거나 네트워크로 연결되는 과도한 트래픽으로부터 라우터를 라우팅 엔진. 로컬 패킷을 제어하는 방화벽 필터는 또한 보안 공격과 같은 외부 인시던트로부터 라우터를 서비스 거부 있습니다.

그림 3: 패킷 흐름을 제어하는 방화벽 필터패킷 흐름을 제어하는 방화벽 필터

제어 지점

모든 정책은 라우터를 통해 라우팅 정보 또는 패킷을 제어할 수 있는 두 지점을 그림 4 제공합니다(참조). 이러한 제어 지점을 사용하면 다음을 제어할 수 있습니다.

  • 라우팅 테이블에 배치되기 전 및 후에 정보 라우팅

  • 포워드 테이블 룩업 전후 데이터 패킷.

  • 패킷의 수신 전후에 로컬 패킷을 라우팅 엔진. (단 하나의 제어 지점만 표시하지만 로컬 패킷의 양방향 플로우로 인하여 두 개의 제어 지점이 그림 4 실제로 존재합니다.)

그림 4: 정책 제어 포인트정책 제어 포인트

2개의 제어 지점이 있기 때문에 각 테이블과의 상호 작용 전후에 라우팅 정보 또는 데이터 패킷을 제어하는 정책과 네트워크와의 상호 작용 전후에 로컬 패킷을 제어하는 라우팅 엔진. 가져오기 라우팅 정책은 라우팅 테이블에 배치된 라우팅 정보를 제어하는 반면, 내보내기 정책은 라우팅 테이블에서 광고하는 라우팅 정보를 제어합니다. 입력 방화벽 필터는 라우터 인터페이스에서 수신되는 패킷을 제어하는 반면, 출력 방화벽 필터는 라우터 인터페이스에서 전송되는 패킷을 제어합니다.

정책 구성 요소

모든 정책은 다음과 같은 구성 요소로 구성됩니다.

  • 일치 조건—경로 또는 패킷을 비교하는 기준. 하나 이상의 기준을 구성할 수 있습니다. 모든 기준이 일치하면 하나 이상의 작업이 적용됩니다.

  • 조치—모든 기준이 일치하면 어떻게 됩니다. 하나 이상의 작업을 구성할 수 있습니다.

  • 용어—조건과 작업이 정의되는 이름 있는 구조. 하나 이상의 용어를 정의할 수 있습니다.

정책 프레임워크 소프트웨어는 각 수신 및 전송 경로 또는 패킷을 한 용어의 일치 조건과 평가합니다. 일치 조건의 기준이 충족되는 경우 정의된 조치가 취해집니다.

일반적으로, 정책 프레임워크 소프트웨어는 정책의 첫 번째 용어에서 라우트 또는 패킷과 일치 조건을 비교한 다음, 다음 용어로 진행됩니다. 따라서, 정책의 용어를 규정하는 순서는 관련이 있습니다.

조치가 취해지기 위해 루트 또는 패킷이 임기 내에 모든 일치 조건을 일치해야 하기 때문에 용어 내 일치 조건 순서는 관련이 없습니다.