Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

액세스 제어 목록(방화벽 필터)

요약 이 주제를 읽고 클라우드 네이티브 라우터의 레이어 2 액세스 제어 목록(방화벽 필터)에 대해 알아보십시오.

액세스 제어 목록(방화벽 필터)

주니퍼 클라우드 네이티브 라우터 릴리스 22.2부터 제한된 방화벽 필터 기능이 포함되었습니다. 클라우드 네이티브 라우터 컨트롤러 내에서 Junos OS CLI를 사용하거나, NETCONF를 사용하거나, 클라우드 네이티브 라우터 API를 사용하여 필터를 구성할 수 있습니다. 주니퍼 클라우드 네이티브 라우터 릴리스 23.2부터 cRPD 구축 시 노드 주석 및 사용자 지정 구성 템플릿을 사용하여 방화벽 필터를 구성할 수도 있습니다. 자세한 내용은 배포 가이드를 검토하세요.

구축 중에 시스템은 방화벽 필터를 정의하고 적용하여 트래픽이 라우터 인터페이스 간에 직접 전달되지 못하도록 차단합니다. 더 많은 필터를 동적으로 정의하고 적용할 수 있습니다. 방화벽 필터를 사용하여 다음을 수행할 수 있습니다.

  • 브리지 패밀리 트래픽에 대한 방화벽 필터를 정의합니다.

  • 소스 MAC 주소, 대상 MAC 주소 또는 EtherType 필드 중 하나 이상을 기반으로 필터를 정의합니다.

  • 각 필터 내에서 여러 용어를 정의합니다.

  • 필터와 일치하는 트래픽을 삭제합니다.

  • 브리지 도메인에 필터를 적용합니다.

구성 예시

아래에서 클라우드 네이티브 라우터 구축의 방화벽 필터 구성 예를 볼 수 있습니다.

참고: 단일 방화벽 필터에서 최대 16개의 용어를 구성할 수 있습니다.

방화벽 필터에서 구성할 수 있는 유일한 작업은 폐기 작업입니다.

구성 후에는 다음과 set routing-instances vswitch bridge-domains bd3001 forwarding-options filter input filter1유사한 cRPD 구성 명령을 사용하여 브리지 도메인에 방화벽 필터를 적용해야 합니다. 그런 다음 방화벽 필터가 적용되도록 구성을 커밋해야 합니다.

필터와 일치하는 패킷 수(VLAN당)를 확인하려면 cRPD CLI에서 명령을 실행할 show firewall filter filter1 수 있습니다. 예를 들어:

앞의 예에서는 브리지 도메인에 bd3001필터를 적용했습니다. 필터가 아직 패킷과 일치하지 않습니다.

문제 해결

다음 표에는 클라우드 네이티브 라우터에서 방화벽 규칙 또는 ACL을 구현할 때 발생할 수 있는 몇 가지 잠재적인 문제가 나와 있습니다. 호스트 서버에서 이러한 명령의 대부분을 실행합니다.

표 1: L2 방화벽 필터 또는 ACL 문제 해결
문제 : 가능한 원인 및 해결 방법 명령
방화벽 필터 또는 ACL이 작동하지 않음 vRouter에 대한 gRPC 연결(포트 50052)이 중단되었습니다. gRPC 연결을 확인합니다.
netstat -antp|grep 50052
ui-pubd 프로세스가 실행되고 있지 않습니다. 실행 중인지 ui-pubd 확인하십시오.
ps aux|grep ui-pubd
방화벽 필터 또는 ACL show 명령이 작동하지 않음 vRouter에 대한 gRPC 연결(포트 50052)이 중단되었습니다. gRPC 연결을 확인합니다.
netstat -antp|grep 50052
방화벽 서비스가 실행되고 있지 않습니다.
ps aux|grep firewall
show log filter.log
JCNR-controller(cRPD) CLI에서 이 명령을 실행해야 합니다.