PowerMode IPsec
PowerMode IPsec을 통한 IPsec 성능 향상
PMI(PowerMode IPsec)는 벡터 패킷 처리 및 Intel AES-NI(Advanced Encryption Standard New Instructions)를 사용하여 IPsec 성능 향상을 제공하는 작동 모드입니다. PMI는 플로우 처리를 우회하는 패킷 전달 엔진 내부의 작은 소프트웨어 블록을 활용하고 PMI가 활성화될 때 활성화되는 IPsec 처리의 최적화된 성능을 위해 AES-NI 명령어 세트를 활용합니다.
- PMI 처리
- PMI 통계
- AES-NI(Advanced Encryption Standard New Instructions) 및 인라인 FPGA(Field-Programmable Gate Array)
- PMI에 대해 지원되는 기능 및 지원되지 않는 기능
- PMI의 이점
- 보안 플로우 PMI 구성
- 대칭 팻 터널(Symmetric Fat Tunnel) 이해하기
PMI 처리
PMI 처리를 사용하거나 사용하지 않도록 설정할 수 있습니다.
- 구성 모드 명령을 사용하여
set security flow power-mode-ipsecPMI 처리를 사용 가능하게 하십시오. - 구성 모드 명령을 사용하여 PMI 처리를 사용 안함으로
delete security flow power-mode-ipsec설정하십시오. 이 명령을 실행하면 구성에서 문이 삭제됩니다.
SRX4100의 SRX4200경우, Junos OS 릴리스 18.4R1을 실행하는 디바이스, Junos OS 릴리스 20.4R1을 실행하는 SRX4600 시리즈 방화벽, Junos OS 릴리스 18.3R1을 실행하는 vSRX 가상 방화벽의 경우, 구성을 적용하려면 디바이스를 재부팅해야 합니다. 그러나 Junos OS 릴리스 19.2R1 SRX5000 실행하는 회선 및 vSRX 가상 방화벽 인스턴스의 경우 재부팅이 필요하지 않습니다.
PMI 통계
작동 모드 명령을 사용하여 PMI 통계를 show security flow pmi statistics 확인할 수 있습니다.
운영 모드 명령을 사용하여 show security flow status PMI 및 fat 터널 상태를 확인할 수 있습니다.
AES-NI(Advanced Encryption Standard New Instructions) 및 인라인 FPGA(Field-Programmable Gate Array)
Junos OS 릴리스 20.4R1부터 AES-NI를 사용하여 PMI 성능을 향상시킬 수 있습니다. PMI 모드의 AES-NI 는 SPU의 로드 밸런싱을 돕고 SPC3 카드의 대칭 지방 터널을 지원합니다. 그 결과 트래픽 처리 성능이 가속화되고 IPsec VPN의 처리량이 높아집니다. PMI는 암호화에 AES-NI 를 사용하고 암호화 작업의 암호 해독에 FPGA를 사용합니다.
AES-NI를 사용한 PMI 처리를 활성화하려면 계층 레벨에서 명령문을 포함 power-mode-ipsec 하십시오[edit security flow].
인라인 FPGA를 [edit security forwarding-process application-services] 활성화 또는 비활성화하려면 계층 수준에서 문을 포함합니다inline-fpga-crypto (disabled | enabled).
PMI에 대해 지원되는 기능 및 지원되지 않는 기능
터널 세션은 PMI 또는 비 PMI일 수 있습니다.
및 에 표 1표 2나열된 지원되지 않는 기능으로 세션이 구성된 경우 세션은 비 PMI로 표시되고 터널은 비 PMI 모드로 전환됩니다. 터널이 비 PMI 모드로 들어가면 터널은 PMI 모드로 돌아가지 않습니다.
표 1 에는 SRX 시리즈 방화벽에서 지원되는 PMI 기능과 지원되지 않는 PMI 기능이 요약되어 있습니다.
PMI에서 지원되는 기능 |
PMI에서 지원되지 않는 기능 |
|---|---|
IKE(Internet Key Exchange) 기능 |
IPsec 내 IPsec 터널 |
트래픽 선택기가 있는 AutoVPN |
레이어 4 - 7 애플리케이션: 애플리케이션 방화벽 및 AppSecure |
고가용성(HA) |
GPRS 터널링 프로토콜(GTP) 및 스트림 제어 전송 프로토콜(SCTP) 방화벽 |
IPv6 |
호스트 트래픽 |
스테이트풀 방화벽 |
멀티캐스트 |
st0 인터페이스 |
중첩된 터널 |
트래픽 선택기 |
스크린 옵션 |
NAT-T |
DES-CBC 암호화 알고리즘 |
TEID 분포 및 비대칭 지방 터널 솔루션을 사용한 GTP-U 시나리오 |
3DES-CBC 암호화 알고리즘 |
Quality of Service (QoS) |
애플리케이션 레이어 게이트웨이(ALG) |
|
단편 처리 및 통합 암호화를 위한 첫 번째 경로 및 빠른 경로 처리. |
HMAC-SHA-384 인증 알고리즘 |
| 네트워크 주소 변환(NAT) |
HMAC-SHA-512 인증 알고리즘 |
AES-GCM-128 및 AES-GCM-256 암호화 알고리즘. 최적의 성능을 위해 AES-GCM 암호화 알고리즘을 사용하는 것이 좋습니다. |
|
| AES-CBC-128, AES-CBC-192 및 AES-CBC-256(SHA1 암호화 알고리즘 포함)HMAC-SHA1-96 인증 알고리즘을 사용한 암호화 알고리즘 |
|
| SHA2 암호화 알고리즘을 사용한 AES-CBC-128, AES-CBC-192 및 AES-CBC-256HMAC-SHA-256-128 인증 알고리즘을 사용한 암호화 알고리즘 |
|
NULL 암호화 알고리즘 |
|
표 2 에는 MX-SPC3 서비스 카드에서 지원되는 PMI 기능과 지원되지 않는 PMI 기능이 요약되어 있습니다.
MX-SPC3 서비스 카드는 np-cache 및 IPsec 세션 선호도를 지원하지 않습니다.
PMI에서 지원되는 기능 |
PMI에서 지원되지 않는 기능 |
|---|---|
IKE(Internet Key Exchange) 기능 |
레이어 4 - 7 애플리케이션: 애플리케이션 방화벽, AppSecure, ALG |
트래픽 선택기가 있는 AutoVPN, ADVPN |
멀티캐스트 |
고가용성(HA) |
중첩된 터널 |
IPv6 |
스크린 옵션 |
스테이트풀 방화벽 |
애플리케이션 레이어 게이트웨이(ALG) |
|
st0 인터페이스 |
HMAC-SHA-384 인증 알고리즘 |
|
트래픽 선택기 |
HMAC-SHA-512 인증 알고리즘 |
DPD(Dead Peer Detection) |
|
Anti-Replay 확인 |
|
네트워크 주소 변환(NAT) |
|
사후/사전 단편화 |
|
들어오는 일반 텍스트 조각 및 ESP 조각 |
|
AES-GCM-128 및 AES-GCM-256 암호화 알고리즘. 최적의 성능을 위해 AES-GCM 암호화 알고리즘을 사용하는 것이 좋습니다. |
|
| AES-CBC-128, AES-CBC-192 및 AES-CBC-256(SHA1 암호화 알고리즘 포함)HMAC-SHA1-96 인증 알고리즘을 사용한 암호화 알고리즘 |
|
| SHA2 암호화 알고리즘을 사용한 AES-CBC-128, AES-CBC-192 및 AES-CBC-256HMAC-SHA-256-128 인증 알고리즘을 사용한 암호화 알고리즘 |
|
NULL 암호화 알고리즘 |
PMI에 대한 다음 사용 고려사항에 유의하십시오.
- Antireplay window size
Antireplay 창 크기는 기본적으로 64패킷입니다. fat-tunnel을 구성하는 경우 Antireplay 창 크기를 512개 패킷 이상으로 늘리는 것이 좋습니다.
- Class of Service (CoS)
- Junos OS 릴리스 19.1R1부터 CoS(Class of Service)는 SRX5K-SPC3 SPC(Services Processing Card) 카드의 PMI에서 BA(Behavior Aggregate) 분류자, MF(Multifield) 분류자 및 규칙 재작성 함수의 구성을 지원합니다.
플로우 세션에 PMI를 활성화하면 플로우별로 CoS가 수행됩니다. 즉, 새 플로우의 첫 번째 패킷은 플로우 세션에서 CoS 정보를 캐시합니다. 그런 다음 플로우의 후속 패킷은 세션에 캐시된 CoS 정보를 재사용합니다.
- Encryption algorithm
Junos OS 릴리스 19.3R1은 PMI 모드의 SRX4100, SRX4200 및 vSRX 가상 방화벽에서 aes-128-cbc, aes-192-cbc 및 aes-256-cbc 옵션을 지원하여 일반 모드의 기존 지원과 함께 IPsec 성능을 개선합니다.
- GTP-U
- Junos OS 릴리스 19.2R1부터 PMI는 TEID 배포 및 비대칭 지방 터널 솔루션을 통해 GTP-U 시나리오를 지원합니다.
- Junos OS 릴리스 19.3R1부터 TEID 배포 및 비대칭 지방 터널 솔루션과 vSRX 가상 방화벽 및 vSRX 가상 방화벽의 소프트웨어 수신측 확장 기능을 갖춘 GTP-U 시나리오.
- LAG and redundant (reth) interfaces
- PMI는 링크 어그리게이션 그룹(LAG) 및 중복 이더넷(RETH) 인터페이스에서 지원됩니다.
- PMI fragmentation check
PMI는 사전 단편화 및 사후 단편화 검사를 수행합니다. PMI가 사전 단편화 및 사후 단편화 패킷을 감지하면 패킷은 PMI 모드를 통해 허용되지 않습니다. 패킷은 비 PMI 모드로 돌아갑니다.
인터페이스에서 수신된 모든 단편은 PMI를 거치지 않습니다.
- PMI for NAT-T
- NAT-T에 대한 PMI는 SRX5K-SPC3 SPC(Services Processing Card)가 장착된 SRX5400, SRX5600 SRX5800 라인 또는 vSRX 가상 방화벽에서만 지원됩니다.
- PMI support (vSRX)
Junos OS 릴리스 19.4R1부터 vSRX 가상 방화벽 인스턴스는 다음을 지원합니다.
PMI 모드에서 GTP-U 트래픽에 대한 Per-flow CoS 기능.
PMI 모드의 CoS 기능. PMI 모드에서 지원되는 CoS 기능은 다음과 같습니다.
분류자
규칙 재작성 함수
큐
셰이핑(Shaping)
스케줄링
PMI의 이점
IPsec의 성능을 향상시킵니다.
보안 플로우 PMI 구성
아래 섹션에서는 보안 플로우 PMI를 구성하는 방법에 대해 설명합니다.
보안 플로우 PMI를 구성하려면 IOC 및 세션 선호도에서 세션 캐시를 활성화해야 합니다.
IOC(IOC2 및 IOC3)에서 세션 캐시 활성화
user@host# set chassis fpc <fpc-slot> np-cache
VPN 세션 선호도 사용
user@host# set security flow load-distribution session-affinity ipsec
PMI에서 보안 플로우를 생성합니다.
user@host#set security flow power-mode-ipsec
show security명령을 입력하여 구성을 확인합니다.user@host# show security flow { power-mode-ipsec; }
대칭 팻 터널(Symmetric Fat Tunnel) 이해하기
IPsec 터널의 처리량을 향상시키기 위해 팻 터널 기술을 사용할 수 있습니다.
Junos OS 릴리스 19.4R1부터 SRX5K-SPC3 서비스 카드가 있는 SRX5400, SRX5600 및 SRX5800 라인 및 vSRX 가상 방화벽 인스턴스에서 팻 IPsec 터널을 구성할 수 있습니다.
Junos OS 릴리스 21.1R1부터 MX-SPC3 서비스 카드에 팻 IPsec 터널을 구성할 수 있습니다.
fat IPsec 터널을 활성화하기 위해 새로운 CLI 명령이 도입되었습니다. 팻 IPsec 터널 기능은 기본적으로 비활성화되어 있습니다. 도입된 새 CLI 명령은 계층에 set security distribution-profile 있습니다fat-core. fat-core를 활성화하면 아래 구성이 표시됩니다.
security {
distribution-profile {
fat-core;
}
}
Fat IPsec 터널을 구성하기 전에 다음 항목이 구성되어 있는지 확인합니다.
-
빠른 경로 전달을 위해 명령을 사용하여 세션 정보에 대한 IOC 캐시를
set chassis fpc FPC slot np-cache구성합니다. -
세션 선호도를
set security flow load-distribution session-affinity ipsec사용하도록 설정하려면 명령을 사용합니다. -
전원 모드를 활성화하려면 명령을 사용합니다
set security flow power-mode-ipsec.
참조
예: PMI에서 Behavior Aggregate 분류자 구성
이 예에서는 PMI에서 패킷의 포워딩 처리를 결정하기 위해 SRX 시리즈 방화벽에 대한 BA(Behavior Aggregate) 분류자를 구성하는 방법을 보여줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
SRX 시리즈 방화벽.
Junos OS 릴리스 19.1R1 이상 릴리스.
시작하기 전에:
동작 집계 분류자에 대해 구성하려는 잘 알려진 각 DSCP에 기본적으로 할당되는 포워딩 클래스 및 PLP를 결정합니다.
개요
유효한 DSCP가 포함된 패킷을 적절한 대기열로 분류하도록 행동 집계 분류자를 구성합니다. 구성이 완료되면 동작 집계 분류자를 올바른 인터페이스에 적용합니다. 분류자를 정의하고 논리 인터페이스에 적용하여 기본 IP 우선 순위 분류자를 재정의합니다. 모든 코드 포인트 형식에 대해 새 분류자를 정의하려면 계층 수준에서 문을 [edit class-of-service] 포함합니다classifiers.
이 예에서는 DSCP 동작 집계 분류자를 ba-classifier 기본 DSCP 맵으로 설정합니다. best-effort 포워딩 클래스를 로 be-class, 신속 포워딩 클래스를 로 ef-class, 보장된 포워딩 클래스를 로 af-class설정하고, 네트워크 제어 포워딩 클래스를 로 nc-class설정합니다. 마지막으로, 인터페이스 ge-0/0/0에 행동 집계 분류자를 적용합니다.
표 2 는 동작 집계 분류자가 4개의 포워딩 클래스에서 수신 패킷에 손실 우선순위를 할당하는 방법을 보여줍니다.
mf-classifier 포워딩 클래스 |
CoS 트래픽 유형의 경우 |
ba-classifier 할당 |
|---|---|---|
|
Best-effort 트래픽 |
우선 순위가 높은 코드 포인트: 000001 |
|
신속한 포워딩 트래픽 |
우선 순위가 높은 코드 포인트: 101111 |
|
확실한 포워딩 트래픽 |
우선 순위가 높은 코드 포인트: 001100 |
|
네트워크 제어 트래픽 |
우선 순위가 높은 코드 포인트: 110001 |
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 복사하여 CLI로 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.
set class-of-service classifiers dscp ba-classifier import default set class-of-service classifiers dscp ba-classifier forwarding-class be-class loss-priority high code-points 000001 set class-of-service classifiers dscp ba-classifier forwarding-class ef-class loss-priority high code-points 101111 set class-of-service classifiers dscp ba-classifier forwarding-class af-class loss-priority high code-points 001100 set class-of-service classifiers dscp ba-classifier forwarding-class nc-class loss-priority high code-points 110001 set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
절차
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드 의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
PMI에서 디바이스에 대한 Behavior Aggregate 분류자 구성하기:
서비스 등급을 구성합니다.
[edit] user@host# edit class-of-service
차별화된 서비스(DiffServ) CoS에 대한 동작 집계 분류자를 구성합니다.
[edit class-of-service] user@host# edit classifiers dscp ba-classifier user@host# set import default
best-effort 포워딩 클래스 분류자를 구성합니다.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class be-class loss-priority high code-points 000001
신속한 포워딩 클래스 분류자를 구성합니다.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class ef-class loss-priority high code-points 101111
보장된 포워딩 클래스 분류자를 구성합니다.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class af-class loss-priority high code-points 001100
네트워크 제어 포워딩 클래스 분류자를 구성합니다.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class nc-class loss-priority high code-points 110001
인터페이스에 동작 집계 분류자를 적용합니다.
[edit] user@host# set class-of-service interfaces ge-0/0/0 unit 0 classifiers dscp ba-classifier
결과
구성 모드에서 show class-of-service 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
import default;
forwarding-class be-class {
loss-priority high code-points 000001;
}
forwarding-class ef-class {
loss-priority high code-points 101111;
}
forwarding-class af-class {
loss-priority high code-points 001100;
}
forwarding-class nc-class {
loss-priority high code-points 110001;
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
분류자가 인터페이스에 적용되었는지 확인
목적
분류자가 올바른 인터페이스에 적용되었는지 확인합니다.
작업
운영 모드에서 show class-of-service interface ge-0/0/0 명령을 입력합니다.
user@host> show class-of-service interface ge-0/0/0 Physical interface: ge-0/0/0, Index: 144 Queues supported: 8, Queues in use: 4 Scheduled map: <default>, Index:2 Congestion-notification: Disabled LOgical interface: ge-1/0/3, Index: 333 Object Name Type Index Classifier v4-ba-classifier dscp 10755
의미
인터페이스는 예상대로 구성됩니다.
예: vSRX 가상 방화벽 인스턴스에 대한 PMI의 행동 집계(Behavior Aggregate) 분류자 구성
이 예에서는 vSRX 가상 방화벽 인스턴스에 대한 BA(Behavior Aggregate) 분류자를 구성하여 PMI에서 패킷의 포워딩 처리를 결정하는 방법을 보여줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
vSRX 가상 방화벽 인스턴스.
Junos OS 릴리스 19.4R1 이상 릴리스.
시작하기 전에:
행동 집계 분류자에 대해 구성하려는 잘 알려진 각 DSCP에 기본적으로 할당되는 포워딩 클래스 및 PLP(패킷 손실 우선 순위)를 결정합니다.
개요
유효한 DSCP가 포함된 패킷을 적절한 대기열로 분류하도록 행동 집계 분류자를 구성합니다. 구성이 완료되면 동작 집계 분류자를 올바른 인터페이스에 적용합니다. 분류자를 정의하고 논리 인터페이스에 적용하여 기본 IP 우선 순위 분류자를 재정의합니다. 모든 코드 포인트 형식에 대해 새 분류자를 정의하려면 계층 수준에서 문을 [edit class-of-service] 포함합니다classifiers.
이 예에서는 DSCP 동작 집계 분류자를 ba-classifier 기본 DSCP 맵으로 설정합니다. best-effort 포워딩 클래스를 로 be-class, 신속 포워딩 클래스를 로 ef-class, 보장된 포워딩 클래스를 로 af-class설정하고, 네트워크 제어 포워딩 클래스를 로 nc-class설정합니다. 마지막으로, 인터페이스 ge-0/0/0에 행동 집계 분류자를 적용합니다.
표 2 는 동작 집계 분류자가 4개의 포워딩 클래스에서 수신 패킷에 손실 우선순위를 할당하는 방법을 보여줍니다.
mf-classifier 포워딩 클래스 |
CoS 트래픽 유형의 경우 |
ba-classifier 할당 |
|---|---|---|
|
Best-effort 트래픽 |
우선 순위가 높은 코드 포인트: 000001 |
|
신속한 포워딩 트래픽 |
우선 순위가 높은 코드 포인트: 101111 |
|
확실한 포워딩 트래픽 |
우선 순위가 높은 코드 포인트: 001100 |
|
네트워크 제어 트래픽 |
우선 순위가 높은 코드 포인트: 110001 |
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 복사하여 CLI로 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.
set class-of-service classifiers dscp ba-classifier forwarding-class be loss-priority low code-points be set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority low code-points ef set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af41 set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af11 set class-of-service classifiers dscp ba-classifier forwarding-class ef loss-priority high code-points af31 set class-of-service classifiers dscp ba-classifier forwarding-class low_delay loss-priority low code-points af21 set class-of-service classifiers dscp ba-classifier forwarding-class low_loss loss-priority low code-points cs6 set class-of-service drop-profiles drop_profile fill-level 20 drop-probability 50 set class-of-service drop-profiles drop_profile fill-level 50 drop-probability 100 set class-of-service forwarding-classes queue 0 be set class-of-service forwarding-classes queue 1 ef set class-of-service forwarding-classes queue 2 low_delay set class-of-service forwarding-classes queue 3 low_loss set class-of-service interfaces ge-0/0/1 unit 0 classifiers dscp ba-classifier set class-of-service interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP set class-of-service interfaces ge-0/0/3 unit 0 shaping-rate 2k set class-of-service scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice set class-of-service schedulers voice buffer-size temporal 5k set class-of-service schedulers voice drop-profile-map loss-priority any protocol any drop-profile drop_profile
절차
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드 의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
PMI에서 디바이스에 대한 Behavior Aggregate 분류자 구성하기:
서비스 등급을 구성합니다.
[edit] user@host# edit class-of-service
차별화된 서비스(DiffServ) CoS에 대한 동작 집계 분류자를 구성합니다.
[edit class-of-service] user@host# edit classifiers dscp ba-classifier
best-effort 포워딩 클래스 분류자를 구성합니다.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class be loss-priority low code-points be
신속한 포워딩 클래스 분류자를 구성합니다.
[edit class-of-service classifiers dscp ba-classifier] user@host# set forwarding-class ef-class loss-priority low code-points ef user@host# set forwarding-class ef-class loss-priority high code-points af41 user@host# set forwarding-class ef-class loss-priority high code-points af11 user@host# set forwarding-class ef-class loss-priority high code-points af31 user@host# set forwarding-class low_delay loss-priority low code-points af21 user@host# set forwarding-class low_loss loss-priority low code-points cs6
드롭 프로파일을 구성합니다.
[edit class-of-service drop-profiles] user@host# set drop_profile fill-level 20 drop-probability 50 user@host# set drop_profile fill-level 50 drop-probability 100
포워딩 클래스 대기열을 구성합니다.
[edit class-of-service forwarding-classes ] user@host# set queue 0 be user@host# set queue 1 ef user@host# set queue 2 low_delay user@host# set 3 low_loss
인터페이스에 분류자를 적용합니다.
[edit class-of-service] user@host# set interfaces ge-0/0/1 unit 0 classifiers dscp ba-classifier user@host# set interfaces ge-0/0/3 unit 0 scheduler-map SCHEDULER-MAP user@host# set interfaces ge-0/0/3 unit 0 shaping-rate 2k
스케줄러를 구성합니다.
[edit class-of-service] user@host# set scheduler-maps SCHEDULER-MAP forwarding-class ef scheduler voice user@host# set schedulers voice buffer-size temporal 5k user@host# set schedulers voice drop-profile-map loss-priority any protocol any drop-profile drop_profile
결과
구성 모드에서 show class-of-service 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show class-of-service
classifiers {
dscp ba-classifier {
forwarding-class be {
loss-priority low code-points be;
}
forwarding-class ef {
loss-priority low code-points ef;
loss-priority high code-points [ af41 af11 af31 ];
}
forwarding-class low_delay {
loss-priority low code-points af21;
}
forwarding-class low_loss {
loss-priority low code-points cs6;
}
}
}
drop-profiles {
drop_profile {
fill-level 20 drop-probability 50;
fill-level 50 drop-probability 100;
}
}
forwarding-classes {
queue 0 be;
queue 1 ef;
queue 2 low_delay;
queue 3 low_loss;
}
interfaces {
ge-0/0/1 {
unit 0 {
classifiers {
dscp ba-classifier;
}
}
}
ge-0/0/3 {
unit 0 {
scheduler-map SCHEDULER-MAP;
shaping-rate 2k;
}
}
}
scheduler-maps {
SCHEDULER-MAP {
forwarding-class ef scheduler voice;
}
}
schedulers {
voice {
buffer-size temporal 5k;
drop-profile-map loss-priority any protocol any drop-profile drop_profile;
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
분류자가 인터페이스에 적용되었는지 확인
목적
분류자가 올바르게 구성되었는지 확인하고 포워딩 클래스가 올바르게 구성되었는지 확인합니다.
작업
운영 모드에서 show class-of-service forwarding-class 명령을 입력합니다.
user@host> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority be 0 0 0 low normal low ef 1 1 1 low normal low low_delay 2 2 2 low normal low low_loss 3 3 3 low normal low
의미
출력에는 구성된 사용자 지정 분류자 설정이 표시됩니다.
예: PMI에서 다중 필드 분류자에 대한 방화벽 필터 구성 및 적용
이 예는 PMI에서 DSCP 값과 멀티필드(MF) 분류기를 사용하여 트래픽을 다른 포워딩 클래스로 분류하도록 방화벽 필터를 구성하는 방법을 보여줍니다.
분류자는 관심 있는 패킷이 인터페이스에 도착할 때 CoS(Class of Service)를 탐지합니다. MF 분류자는 BA(Simple Behavior Aggregate) 분류자가 패킷을 분류하기에 충분하지 않거나, 피어링 라우터에 CoS 비트가 표시되어 있지 않거나, 피어링 라우터의 표시를 신뢰할 수 없는 경우에 사용됩니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
SRX 시리즈 방화벽.
Junos OS 릴리스 19.1R1 이상 릴리스.
시작하기 전에:
MF 분류자에 대해 구성하려는 잘 알려진 각 DSCP에 기본적으로 할당되는 포워딩 클래스를 결정합니다. PowerMode IPsec을 사용하여 IPsec 성능 개선을 참조하십시오.
개요
이 예에서는 방화벽 필터를 mf-classifier구성하는 방법에 대해 설명합니다. MF 분류자를 구성하기 위해 보장된 포워딩 트래픽 클래스를 생성하고 이름을 지정하고 일치 조건을 설정한 다음 대상 주소를 192.168.44.55로 지정합니다. 로 확실한 포워딩 DiffServ 트래픽을 위한 포워딩 클래스를 생성하고 af-class 손실 우선순위를 low로 설정합니다.
이 예에서는 신속 포워딩 트래픽 클래스를 생성하여 이름을 지정하고 신속 포워딩 트래픽 클래스에 대한 일치 조건을 설정합니다. 대상 주소를 192.168.66.77로 지정합니다. DiffServ 트래픽을 신속 전달하기 위한 포워딩 클래스를 로 ef-class 생성하고 폴리서를 로 ef-policer설정합니다. network-control 트래픽 클래스를 생성하여 이름을 지정하고 일치 조건을 설정합니다.
이 예에서는 네트워크 제어 트래픽 클래스에 대한 포워딩 클래스를 생성하여 이름을 로 nc-class 지정하고 best-effort 트래픽 클래스에 대한 포워딩 클래스의 이름을 로 be-class지정합니다. 마지막으로, 다중 필드 분류자 방화벽 필터를 필터가 필요한 각 고객 대면 또는 호스트 대면 필터에 입력 및 출력 필터로 적용합니다. 이 예에서 입력 필터에 대한 인터페이스는 ge-0/0/2이고 출력 필터에 대한 인터페이스는 ge-0/0/4입니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 복사하여 CLI로 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.
set firewall filter mf-classifier interface-specific set firewall filter mf-classifier term assured-forwarding from destination-address 192.168.44.55 set firewall filter mf-classifier term assured-forwarding then forwarding-class af-class set firewall filter mf-classifier term assured-forwarding then loss-priority low set firewall filter mf-classifier term expedited-forwarding from destination-address 192.168.66.77 set firewall filter mf-classifier term expedited-forwarding then forwarding-class ef-class set firewall filter mf-classifier term expedited-forwarding then policer ef-policer set firewall filter mf-classifier term network-control from precedence net-control set firewall filter mf-classifier term network-control then forwarding-class nc-class set firewall filter mf-classifier term best-effort then forwarding-class be-class set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
절차
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드 의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
PMI에서 장치의 멀티필드 분류자에 대한 방화벽 필터 구성하기:
다중 필드 분류자 필터를 만들고 이름을 지정합니다.
[edit] user@host# edit firewall filter mf-classifier user@host# set interface-specific
보장된 포워딩 트래픽 클래스에 대한 용어를 생성하고 이름을 지정합니다.
[edit firewall filter mf-classifier] user@host# edit term assured-forwarding
확실한 포워딩 트래픽의 목적지 주소를 지정합니다.
[edit firewall filter mf-classifier term assured-forwarding] user@host# set from destination-address 192.168.44.55
포워딩 클래스를 생성하고 보장된 포워딩 트래픽 클래스에 대한 손실 우선순위를 설정합니다.
[edit firewall filter mf-classifier term assured-forwarding] user@host# set then forwarding-class af-class user@host# set then loss-priority low
신속 전달 트래픽 클래스에 대한 용어를 생성하고 이름을 지정합니다.
[edit] user@host# edit firewall filter mf-classifier user@host# edit term expedited-forwarding
신속한 포워딩 트래픽의 목적지 주소를 지정합니다.
[edit firewall filter mf-classifier term expedited-forwarding] user@host# set from destination-address 192.168.66.77
포워딩 클래스를 생성하고 신속한 포워딩 트래픽 클래스에 폴리서를 적용합니다.
[edit firewall filter mf-classifier term expedited-forwarding] user@host# set then forwarding-class ef-class user@host# set then policer ef-policer
네트워크 제어 트래픽 클래스에 대한 용어를 생성하고 이름을 지정합니다.
[edit] user@host# edit firewall filter mf-classifier user@host# edit term network-control
네트워크 제어 트래픽 클래스에 대한 일치 조건을 생성합니다.
[edit firewall filter mf-classifier term network-control] user@host# set from precedence net-control
네트워크 제어 트래픽 클래스에 대한 포워딩 클래스를 생성하고 이름을 지정합니다.
[edit firewall filter mf-classifier term network-control] user@host# set then forwarding-class nc-class
best-effort 트래픽 클래스에 대한 용어를 생성하고 이름을 지정합니다.
[edit] user@host# edit firewall filter mf-classifier user@host# edit term best-effort
best-effort 트래픽 클래스에 대한 포워딩 클래스를 생성하고 이름을 지정합니다.
[edit firewall filter mf-classifier term best-effort] user@host# set then forwarding-class be-class
다중 필드 분류자 방화벽 필터를 입력 필터로 적용합니다.
[edit] user@host# set interfaces ge-0/0/2 unit 0 family inet filter input mf-classifier
멀티필드 분류자 방화벽 필터를 출력 필터로 적용합니다.
[edit] user@host# set interfaces ge-0/0/4 unit 0 family inet filter output mf-classifier
결과
구성 모드에서 show firewall filter mf-classifier 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show firewall filter mf-classifier
interface-specific;
term assured-forwarding {
from {
destination-address {
192.168.44.55/32;
}
}
then {
loss-priority low;
forwarding-class af-class;
}
}
term expedited-forwarding {
from {
destination-address {
192.168.66.77/32;
}
}
then {
policer ef-policer;
forwarding-class ef-class;
}
}
term network-control {
from {
precedence net-control;
}
then forwarding-class nc-class;
}
term best-effort {
then forwarding-class be-class;
}
구성 모드에서 show interfaces 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show show interfaces
ge-0/0/2 {
unit 0 {
family inet {
filter {
input mf-classifier;
}
}
}
}
ge-0/0/4 {
unit 0 {
family inet {
filter {
output mf-classifier;
}
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
다중 필드 분류자 구성을 위한 방화벽 필터 확인
목적
다중 필드 분류자에 대한 방화벽 필터가 디바이스에서 올바르게 구성되었는지 확인하고 포워딩 클래스가 올바르게 구성되었는지 확인합니다.
작업
구성 모드에서 show class-of-service forwarding-class 명령을 입력합니다.
user@host> show class-of-service forwarding-class Forwarding class ID Queue Restricted queue Fabric priority Policing priority SPU priority BE-data 0 0 0 low normal low Premium-data 1 1 1 low normal low Voice 2 2 2 low normal low NC 3 3 3 low normal low
의미
출력에는 구성된 사용자 지정 분류자 설정이 표시됩니다.
예: PMI의 보안 디바이스에 대한 재작성 규칙 구성 및 적용
이 예는 PMI에서 디바이스에 대한 재작성 규칙을 구성하고 적용하는 방법을 보여줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
SRX 시리즈 방화벽.
Junos OS 릴리스 19.1R1 이상 릴리스.
시작하기 전에:
포워딩 클래스를 생성하고 구성합니다. PowerMode IPsec을 사용하여 IPsec 성능 개선을 참조하십시오.
개요
이 예에서는 고객 또는 호스트로부터 수신한 패킷의 CoS 값을 다른 SRX 시리즈 방화벽에서 예상하는 값으로 대체하기 위한 재작성 규칙을 구성하는 방법을 설명합니다. 수신된 패킷에 이미 유효한 CoS 값이 포함되어 있는 경우 다시 쓰기 규칙을 구성할 필요가 없습니다. 재작성 규칙은 디바이스가 내부적으로 사용하는 포워딩 클래스 정보 및 패킷 손실 우선순위를 적용하여 아웃바운드 패킷에 CoS 값을 설정합니다. 다시 쓰기 규칙을 구성한 후 올바른 인터페이스에 적용합니다.
이 예에서는 DiffServ CoS에 대한 재작성 규칙을 로 rewrite-dscps구성합니다. best-effort 포워딩 클래스를 로 be-class, 신속 포워딩 클래스를 로 ef-class지정하고, 보장된 포워딩 클래스를 로 af-class지정하고, 네트워크 제어 클래스를 로 nc-class지정합니다. 마지막으로, ge-0/0/0 인터페이스에 다시 쓰기 규칙을 적용합니다.
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 복사하여 CLI로 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.
set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority low code-point 000000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class be-class loss-priority high code-point 000001 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority low code-point 101110 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class ef-class loss-priority high code-point 101111 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority low code-point 001010 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class af-class loss-priority high code-point 001100 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority low code-point 110000 set class-of-service rewrite-rules dscp rewrite-dscps forwarding-class nc-class loss-priority high code-point 110001 set class-of-service interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
절차
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드 의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
PMI에서 디바이스에 대한 다시 쓰기 규칙을 구성하고 적용하려면:
DiffServ CoS에 대한 재작성 규칙을 구성합니다.
[edit] user@host# edit class-of-service user@host# edit rewrite-rules dscp rewrite-dscps
best-effort 포워딩 클래스 재작성 규칙을 구성합니다.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class be-class loss-priority low code-point 000000 user@host# set forwarding-class be-class loss-priority high code-point 000001
신속한 포워딩 클래스 재작성 규칙을 구성합니다.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class ef-class loss-priority low code-point 101110 user@host# set forwarding-class ef-class loss-priority high code-point 101111
보장된 포워딩 클래스 재작성 규칙을 구성합니다.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class af-class loss-priority low code-point 001010 user@host# set forwarding-class af-class loss-priority high code-point 001100
네트워크 제어 클래스 다시 쓰기 규칙을 구성합니다.
[edit class-of-service rewrite-rules dscp rewrite-dscps] user@host# set forwarding-class nc-class loss-priority low code-point 110000 user@host# set forwarding-class nc-class loss-priority high code-point 110001
인터페이스에 다시 쓰기 규칙을 적용합니다.
[edit class-of-service] user@host# set interfaces ge-0/0/0 unit 0 rewrite-rules dscp rewrite-dscps
결과
구성 모드에서 show class-of-service 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show class-of-service
interfaces {
ge-0/0/0 {
unit 0 {
rewrite-rules {
dscp rewrite-dscps;
}
}
}
}
rewrite-rules {
dscp rewrite-dscps {
forwarding-class be-class {
loss-priority low code-point 000000;
loss-priority high code-point 000001;
}
forwarding-class ef-class {
loss-priority low code-point 101110;
loss-priority high code-point 101111;
}
forwarding-class af-class {
loss-priority low code-point 001010;
loss-priority high code-point 001100;
}
forwarding-class nc-class {
loss-priority low code-point 110000;
loss-priority high code-point 110001;
}
}
}
디바이스 구성을 마쳤으면 구성 모드에서 commit을(를) 입력합니다.
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
재작성 규칙 구성 확인
목적
다시 쓰기 규칙이 제대로 구성되었는지 확인합니다.
작업
운영 모드에서 show class-of-service 명령을 입력합니다.
user@host> show class-of-service Physical interface: ge-0/0/0, Index: 130 Maximum usable queues: 8, Queues in use: 4 Scheduled map: <default>, Index:2 Congestion-notification: Disabled LOgical interface: ge0/0/0, Index: 71 Object Name Type Index Classifier ipprec-compatibility ip 13
의미
재작성 규칙은 예상대로 ge-0/0/0 인터페이스에서 구성됩니다.
PMI에서 IPsec ESP 인증 전용 모드 구성
PMI는 높은 IPsec 처리량 성능을 달성하기 위한 새로운 데이터 경로를 도입했습니다. Junos OS 릴리스 19.4R1부터 SRX5K-SPC3 카드가 장착된 SRX5000 라인에서 PMI 모드에서 ESP(Encapsulating Security Payload) 인증 전용 모드를 사용할 수 있습니다. 이는 데이터 패킷을 암호화하지 않고 인증, 무결성 검사 및 재생 보호를 제공합니다.
Junos OS 릴리스 22.1R3부터 SRX 시리즈 방화벽에서 패스스루 ESP 트래픽에 대한 PMI Express Path Processing을 지원합니다.
시작하기 전에:
세션이 PMI를 지원하는지 확인합니다. VPN 세션 선호도를 참조하십시오.
ESP 인증 전용 모드를 구성하려면: