예: 2레이트 3색 폴리서 구성
이 예에서는 2레이트 3색 폴리서를 구성하는 방법을 보여줍니다.
요구 사항
2레이트 3색 폴리서에 대한 지원은 디바이스에 따라 다릅니다. 여기에는 호환되는 버전의 Junos OS를 실행하는 SRX1400, SRX3400, SRX3600, SRX5400, SRX5600 및 SRX5800 방화벽 디바이스가 포함됩니다.
이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
2레이트 3색 폴리서는 보장된 트래픽에 대한 대역폭 제한 및 버스트 크기 제한에 대해 트래픽 플로우를 측정하고, 피크 트래픽에 대한 대역폭 제한 및 버스트 크기 제한을 제공합니다. 보장된 트래픽에 대한 제한을 준수하는 트래픽은 녹색으로 분류되며, 부적합 트래픽은 다음 두 가지 범주 중 하나로 분류됩니다.
최대 트래픽 제한을 초과하지 않는 부적합 트래픽은 노란색으로 분류됩니다.
피크 트래픽 제한을 초과하는 부적합 트래픽은 빨간색으로 분류됩니다.
각 범주는 작업과 연결됩니다. 그린 트래픽의 경우, 패킷은 손실 우선순위 값으로 low
암묵적으로 설정된 후 전송됩니다. 노란색 트래픽의 경우, 패킷은 손실 우선 순위 값으로 medium-high
암묵적으로 설정된 다음 전송됩니다. 레드 트래픽의 경우, 패킷은 손실 우선순위 값으로 high
암시적으로 설정된 후 전송됩니다. 폴리서 구성에 선택적 action
명령문(action loss-priority high then discard
)이 포함된 경우 빨간색 흐름의 패킷은 대신 폐기됩니다.
레이어 3 트래픽에 3색 폴리서를 방화벽 필터 폴리서로만 적용할 수 있습니다. 무상태 방화벽 필터 용어에서 폴리서를 참조한 다음 프로토콜 수준에서 논리 인터페이스의 입력 또는 출력에 필터를 적용합니다.
토폴로지
이 예에서는 논리 인터페이스의 fe-0/1/1.0
입력 IPv4 트래픽에 색상 인식, 2레이트 3색 폴리서를 적용합니다. 폴리서를 참조하는 IPv4 방화벽 필터 용어는 패킷 필터링을 적용하지 않습니다. 필터는 인터페이스에 3색 폴리서를 적용하는 데만 사용됩니다.
폴리서를 구성하여 녹색 트래픽에 대해 40Mbps의 대역폭 제한과 100KB의 버스트 크기 제한으로 트래픽을 속도 제한하고, 노란색 트래픽에 대해 60Mbps의 최대 대역폭 제한과 200KB의 최대 버스트 크기 제한을 허용하도록 폴리서를 구성합니다. 최대 트래픽 제한을 초과하는 부적합 트래픽만 빨간색으로 분류됩니다. 이 예에서는 빨간색 트래픽의 암묵적인 표시를 손실 우선순위로 high
재정의하는 3색 폴리서 작업을 loss-priority high then discard
구성합니다.
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 구성 모드에서 CLI 편집기 사용을 참조하십시오.
이 예를 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 복사하여 CLI [edit]
에 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit
.
set firewall three-color-policer trTCM1-ca two-rate color-aware set firewall three-color-policer trTCM1-ca two-rate committed-information-rate 40m set firewall three-color-policer trTCM1-ca two-rate committed-burst-size 100k set firewall three-color-policer trTCM1-ca two-rate peak-information-rate 60m set firewall three-color-policer trTCM1-ca two-rate peak-burst-size 200k set firewall three-color-policer trTCM1-ca action loss-priority high then discard set firewall family inet filter filter-trtcm1ca-all term 1 then three-color-policer two-rate trTCM1-ca set interfaces ge-2/0/5 unit 0 family inet address 10.10.10.1/30 set interfaces ge-2/0/5 unit 0 family inet filter input filter-trtcm1ca-all set class-of-service interfaces ge-2/0/5 forwarding-class af
2레이트 3색 폴리서 구성
단계별 절차
2레이트 3색 폴리서를 구성하려면 다음을 수행합니다.
3색 폴리서의 구성을 활성화합니다.
[edit] user@host# set firewall three-color-policer trTCM1-ca
2레이트 3색 폴리서의 컬러 모드를 구성합니다.
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate color-aware
2가지 속도 보장 트래픽 제한을 구성합니다.
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate committed-information-rate 40m user@host# set two-rate committed-burst-size 100k
이 두 가지 제한을 모두 초과하지 않는 트래픽은 녹색으로 분류됩니다. 그린 플로우의 패킷은 암묵적으로 손실 우선순위로
low
설정된 후 전송됩니다.2가지 속도의 피크 트래픽 제한을 구성합니다.
[edit firewall three-color-policer trTCM1-ca] user@host# set two-rate peak-information-rate 60m user@host# set two-rate peak-burst-size 200k
이 두 가지 제한을 모두 초과하지 않는 부적합 트래픽은 노란색으로 분류됩니다. 노란색 흐름의 패킷은 암묵적으로 손실 우선순위로
medium-high
설정된 다음 전송됩니다. 이 두 가지 제한을 모두 초과하는 부적합 트래픽은 빨간색으로 분류됩니다. 빨간색 흐름의 패킷은 암시적으로 손실 우선순위로high
설정됩니다.(선택 사항) 빨간색 트래픽에 대한 폴리서 작업을 구성합니다.
[edit firewall three-color-policer trTCM1-ca] user@host# set action loss-priority high then discard
3색 폴리서의 경우 구성 가능한 유일한 작업은 빨간색 패킷을 폐기하는 것입니다. 빨간색 패킷은 피크 정보 속도(PIR) 및 피크 버스트 크기(PBS)를 초과했기 때문에 높은 손실 우선 순위가 할당된 패킷입니다.
결과
구성 모드 명령을 입력하여 폴리서의 show firewall
구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.
[edit] user@host# show firewall three-color-policer trTCM1-ca { action { loss-priority high then discard; } two-rate { color-aware; committed-information-rate 40m; committed-burst-size 100k; peak-information-rate 60m; peak-burst-size 200k; } }
폴리서를 참조하는 IPv4 무상태 방화벽 필터 구성
단계별 절차
폴리서를 참조하는 IPv4 무상태 방화벽 필터를 구성하려면 다음을 수행합니다.
IPv4 표준 무상태 방화벽 필터를 구성할 수 있습니다.
[edit] user@host# set firewall family inet filter filter-trtcm1ca-all
폴리서를 참조하는 필터 용어를 지정합니다.
[edit firewall family inet filter filter-trtcm1ca-all] user@host# set term 1 then three-color-policer two-rate trTCM1-ca
이 용어는 일치 조건을 지정하지 않습니다. 방화벽 필터는 모든 패킷을 폴리서로 전달합니다.
결과
구성 모드 명령을 입력하여 방화벽 필터의 show firewall
구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.
[edit] user@host# show firewall family inet { filter filter-trtcm1ca-all { term 1 { then { three-color-policer { two-rate trTCM1-ca; } } } } } three-color-policer trTCM1-ca { action { loss-priority high then discard; } two-rate { color-aware; committed-information-rate 40m; committed-burst-size 100k; peak-information-rate 60m; peak-burst-size 200k; } }
프로토콜 제품군 수준에서 논리 인터페이스에 필터 적용
단계별 절차
프로토콜 제품군 수준에서 논리 인터페이스에 필터를 적용하려면 다음을 수행합니다.
IPv4 방화벽 필터를 구성할 수 있습니다.
[edit] user@host# edit interfaces ge-2/0/5 unit 0 family inet
프로토콜 제품군 수준에서 논리 인터페이스에 폴리서를 적용합니다.
[edit interfaces ge-2/0/5 unit 0 family inet] user@host# set address 10.10.10.1/30 user@host# set filter input filter-trtcm1ca-all
(MX 시리즈 라우터 및 EX 시리즈 스위치만 해당) (선택 사항) 입력 폴리서의 경우 고정 분류자를 구성할 수 있습니다. 고정 분류자는 기존 분류에 관계없이 들어오는 모든 패킷을 재분류합니다.
주:플랫폼 지원은 구현 시 Junos OS 릴리스에 따라 다릅니다.
[edit] user@host# set class-of-service interfaces ge-2/0/5 forwarding-class af
분류자 이름은 구성된 분류자 또는 기본 분류자 중 하나일 수 있습니다.
결과
구성 모드 명령을 입력하여 show interfaces
인터페이스 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.
[edit] user@host# show interfaces ge-2/0/5 { unit 0 { family inet { address 10.10.10.1/30; filter { input filter-trtcm1ca-all; } } } }
디바이스 구성을 마쳤으면 구성 모드에서 commit
을(를) 입력합니다.
검증
구성이 올바르게 작동하고 있는지 확인합니다.
논리적 인터페이스에 적용된 방화벽 필터 표시
목적
방화벽 필터가 논리적 인터페이스의 IPv4 입력 트래픽에 적용되는지 확인합니다.
작업
show interfaces
논리적 인터페이스에 ge-2/0/5.0
대해 운영 모드 명령을 사용하고 모드를 지정합니다detail
. 명령 출력의 섹션에는 Protocol inet 논리적 인터페이스에 대한 IPv4 정보가 표시됩니다. 해당 섹션 Input Filters 내에서 필드는 논리적 인터페이스와 연결된 IPv4 방화벽 필터의 이름을 표시합니다.
user@host> show interfaces ge-2/0/5.0 detail Logical interface ge-2/0/5.0 (Index 105) (SNMP ifIndex 556) (Generation 170) Flags: Device-Down SNMP-Traps 0x4004000 Encapsulation: ENET2 Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 0 bps Output bytes : 0 0 bps Input packets: 0 0 pps Output packets: 0 0 pps Protocol inet, MTU: 1500, Generation: 242, Route table: 0 Flags: Sendbcast-pkt-to-re Input Filters: filter-trtcm1ca-all Addresses, Flags: Dest-route-down Is-Preferred Is-Primary Destination: 10.20.130/24, Local: 10.20.130.1, Broadcast: 10.20.130.255, Generation: 171 Protocol multiservice, MTU: Unlimited, Generation: 243, Route table: 0 Policer: Input: __default_arp_policer__