이 페이지의 내용
액세스 제어 목록(방화벽 필터)
요약 이 주제를 읽고 클라우드 네이티브 라우터의 레이어 2 액세스 제어 목록(방화벽 필터)에 대해 알아보십시오.
액세스 제어 목록(방화벽 필터)
주니퍼 클라우드 네이티브 라우터 릴리스 22.2부터 제한된 방화벽 필터 기능이 포함되었습니다. 클라우드 네이티브 라우터 컨트롤러 내에서 Junos OS CLI를 사용하거나, NETCONF를 사용하거나, 클라우드 네이티브 라우터 API를 사용하여 필터를 구성할 수 있습니다. 주니퍼 클라우드 네이티브 라우터 릴리스 23.2부터 cRPD 구축 시 노드 주석 및 사용자 지정 구성 템플릿을 사용하여 방화벽 필터를 구성할 수도 있습니다. 자세한 내용은 배포 가이드를 검토하세요.
구축 중에 시스템은 방화벽 필터를 정의하고 적용하여 트래픽이 라우터 인터페이스 간에 직접 전달되지 못하도록 차단합니다. 더 많은 필터를 동적으로 정의하고 적용할 수 있습니다. 방화벽 필터를 사용하여 다음을 수행할 수 있습니다.
-
브리지 패밀리 트래픽에 대한 방화벽 필터를 정의합니다.
-
소스 MAC 주소, 대상 MAC 주소 또는 EtherType 필드 중 하나 이상을 기반으로 필터를 정의합니다.
-
각 필터 내에서 여러 용어를 정의합니다.
-
필터와 일치하는 트래픽을 삭제합니다.
-
브리지 도메인에 필터를 적용합니다.
구성 예시
아래에서 클라우드 네이티브 라우터 구축의 방화벽 필터 구성 예를 볼 수 있습니다.
root@jcnr01> show configuration firewall firewall { family { bridge { filter example { term t1 { from { destination-mac-address 10:10:10:10:10:11; source-mac-address 10:10:10:10:10:10; ether-type arp; } then { discard; } } } } } }
방화벽 필터에서 구성할 수 있는 유일한 작업은 폐기 작업입니다.
set routing-instances vswitch bridge-domains bd3001 forwarding-options filter input filter1
유사한 cRPD 구성 명령을 사용하여 브리지 도메인에 방화벽 필터를 적용해야 합니다. 그런 다음 방화벽 필터가 적용되도록 구성을 커밋해야 합니다.
필터와 일치하는 패킷 수(VLAN당)를 확인하려면 cRPD CLI에서 명령을 실행할 show firewall filter filter1
수 있습니다. 예를 들어:
show firewall filter filter1 Filter : filter1 vlan-id : 3001 Term Packet t1 0
앞의 예에서는 브리지 도메인에 bd3001
필터를 적용했습니다. 필터가 아직 패킷과 일치하지 않습니다.
문제 해결
다음 표에는 클라우드 네이티브 라우터에서 방화벽 규칙 또는 ACL을 구현할 때 발생할 수 있는 몇 가지 잠재적인 문제가 나와 있습니다. 호스트 서버에서 이러한 명령의 대부분을 실행합니다.
문제 | : 가능한 원인 및 해결 | 방법 명령 |
---|---|---|
방화벽 필터 또는 ACL이 작동하지 않음 | vRouter에 대한 gRPC 연결(포트 50052)이 중단되었습니다. gRPC 연결을 확인합니다. | netstat -antp|grep 50052 |
ui-pubd 프로세스가 실행되고 있지 않습니다. 실행 중인지 ui-pubd 확인하십시오. |
ps aux|grep ui-pubd |
|
방화벽 필터 또는 ACL show 명령이 작동하지 않음 | vRouter에 대한 gRPC 연결(포트 50052)이 중단되었습니다. gRPC 연결을 확인합니다. | netstat -antp|grep 50052 |
방화벽 서비스가 실행되고 있지 않습니다. | ps aux|grep firewall |
|
show log filter.logJCNR-controller(cRPD) CLI에서 이 명령을 실행해야 합니다. |