Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

패킷 기반 전달

SRX 시리즈 방화벽은 패킷 모드와 플로우 모드의 두 가지 모드로 작동합니다. 플로우 모드에서 SRX는 트래픽의 상태 또는 세션을 분석하여 모든 트래픽을 처리합니다. 이를 트래픽의 상태 저장 처리라고도 합니다. 패킷 모드에서 SRX는 패킷 단위로 트래픽을 처리합니다. 이를 트래픽의 상태 비저장 처리라고도 합니다.

패킷 기반 처리 이해

Junos OS를 실행하는 주니퍼 네트웍스 디바이스에 들어오고 나가는 패킷은 패킷 기반 처리를 거칠 수 있습니다. 패킷 기반 또는 상태 비저장 패킷 처리는 패킷을 개별적으로 처리합니다. 각 패킷은 치료를 위해 개별적으로 평가됩니다. 상태 비저장 패킷 기반 포워딩은 플로우 또는 상태 정보에 관계없이 패킷 단위로 수행됩니다. 각 패킷은 치료를 위해 개별적으로 평가됩니다.

그림 1 은 패킷 기반 포워딩의 트래픽 플로우를 보여줍니다.

그림 1: 패킷 기반 전달 Traffic Flow for Packet-Based Forwarding 을 위한 트래픽 플로우

패킷이 디바이스에 들어오면 분류자, 필터 및 폴리서가 적용됩니다. 다음으로, 패킷의 송신 인터페이스는 경로 조회를 통해 결정됩니다. 패킷에 대한 송신 인터페이스가 발견되면 필터가 적용되고 패킷이 대기열에 대기되고 전송이 예약된 송신 인터페이스로 전송됩니다.

패킷 기반 전달에는 지정된 연결에 속하는 이전 또는 후속 패킷에 대한 정보가 필요하지 않으며 트래픽 허용 또는 거부 결정은 패킷에 따라 다릅니다. 이 아키텍처는 개별 흐름이나 상태를 추적하지 않고 패킷을 전달하기 때문에 대규모 확장의 이점이 있습니다.

Junos OS 릴리스 15.1X49-D100부터 SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M 및 SRX650의 경우 패킷 캡처의 최대 캡처 크기가 1520바이트로 확장되어 1500바이트의 데이터와 12바이트 주니퍼 이더넷 헤더를 캡처할 수 있습니다."

선택적 상태 비저장 패킷 기반 서비스 이해

선택적 상태 비저장 패킷 기반 서비스를 사용하면 시스템에서 플로우 기반 전달과 패킷 기반 전달을 동시에 사용할 수 있습니다. 액세스 제어 목록(ACL)이라고도 하는 상태 비저장 방화벽 필터를 사용하여 상태 저장 플로우 기반 전달을 피하기 위해 패킷 기반 상태 비저장 전달이 필요한 트래픽을 선택적으로 지시할 수 있습니다. 그렇게 지시되지 않은 트래픽은 기본 플로우 기반 전달 경로를 따릅니다. 플로우 기반 포워딩을 우회하는 것은 플로우 세션 확장 제약을 명시적으로 피하고 싶은 트래픽에 유용할 수 있습니다.

기본적으로 Junos OS를 실행하는 주니퍼 네트웍스 보안 디바이스는 플로우 기반 포워딩을 사용합니다. 선택적 상태 비저장 패킷 기반 서비스를 사용하면 입력 필터 용어를 기반으로 선택한 트래픽에 대해 패킷 기반 처리만 제공하도록 디바이스를 구성할 수 있습니다. 다른 트래픽은 플로우 기반 포워딩을 위해 처리됩니다. 플로우 기반 전달 우회는 세션 확장 제약과 세션 생성 및 유지 관리 비용을 방지하려는 배포에 유용합니다.

선택적 상태 비저장 패킷 기반 처리를 위해 디바이스를 구성할 때 시스템에 들어오는 패킷은 특정 조건에 따라 다르게 처리됩니다.

  • 패킷이 입력 필터 용어에 지정된 일치 조건을 만족하는 경우 패킷 모드로 표시되고 구성된 모든 패킷 모드 기능이 적용됩니다. 플로우 기반 보안 기능은 적용되지 않습니다. 그것은 그들을 우회합니다.

  • 패킷이 packet-mode로 플래그 지정되지 않은 경우 정상적인 처리를 거칩니다. MPLS를 제외한 모든 서비스를 이 트래픽에 적용할 수 있습니다.

그림 2 는 플로우 기반 처리를 우회하는 선택적 상태 비저장 패킷 기반 서비스를 사용하는 트래픽 플로우를 보여줍니다.

그림 2: 선택적 상태 비저장 패킷 기반 서비스를 Traffic Flow with Selective Stateless Packet-Based Services 사용한 트래픽 흐름

패킷이 인터페이스에 들어오면 인터페이스에 구성된 입력 패킷 필터가 적용됩니다.

  • 패킷이 방화벽 필터에 지정된 조건과 일치하면 packet-mode 작업 수정자가 패킷으로 설정됩니다. packet-mode 작업 수정자는 패킷 키 버퍼의 비트 필드를 업데이트하며, 이 비트 필드는 플로우 기반 포워딩을 우회해야 하는지 여부를 결정하는 데 사용됩니다. 그 결과, packet-mode 작업 수정자가 있는 패킷은 플로우 기반 전달을 완전히 우회합니다. 패킷의 송신 인터페이스는 경로 조회를 통해 결정됩니다. 패킷에 대한 송신 인터페이스가 발견되면 필터가 적용되고 패킷이 대기열에 대기되고 전송이 예약된 송신 인터페이스로 전송됩니다.

  • 패킷이 이 필터 용어에 지정된 조건과 일치하지 않으면 필터에 구성된 다른 용어에 대해 평가됩니다. 모든 용어를 평가한 후 패킷이 필터의 용어와 일치하지 않으면 패킷은 조용히 삭제됩니다. 패킷이 폐기되는 것을 방지하기 위해 모든 패킷을 수락하는 작업을 지정하는 필터에 용어를 구성합니다.

정의된 상태 비저장 서비스 집합은 선택적 상태 비저장 패킷 기반 서비스와 함께 사용할 수 있습니다.

  • IPv4/IPv6 라우팅(유니캐스트 및 멀티캐스트 프로토콜)

  • CoS(Class of Service )

  • LFI(Link Fragmentation and Interleaving)

  • GRE(Generic routing encapsulation)

  • 레이어 2 스위칭

  • MPLS(Multiprotocol Label Switching)

  • 무상태 방화벽 필터

  • CRTP(Compressed Real-Time Transport Protocol)

MPLS 서비스가 필요한 트래픽은 패킷 모드에서 처리해야 하지만, 일부 상황에서는 스테이트풀 검사, NAT 및 IPsec과 같이 플로우 모드에서만 제공될 수 있는 특정 서비스를 이 트래픽에 동시에 적용해야 할 수도 있습니다. 시스템이 플로우 모드와 패킷 모드 모두에서 트래픽을 처리하도록 지시하려면 터널 인터페이스를 통해 연결된 여러 라우팅 인스턴스를 구성해야 합니다. 하나의 라우팅 인스턴스는 플로우 모드에서 패킷을 처리하도록 구성되어야 하고, 다른 라우팅 인스턴스는 패킷 모드에서 패킷을 처리하도록 구성되어야 합니다. 터널 인터페이스를 사용하여 라우팅 인스턴스를 연결하면 해당 라우팅 인스턴스 간의 트래픽이 포워딩 경로에 다시 삽입되고 다른 포워딩 방법을 사용하여 재처리될 수 있습니다.

선택적 상태 비저장 패킷 기반 서비스 구성 개요

이 기능은 SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M, SRX1500 및 vSRX 가상 방화벽 디바이스에서 지원됩니다. 선택적 상태 비저장 패킷 기반 서비스는 ACL(액세스 제어 목록)이라고도 하는 상태 비저장 방화벽 필터를 사용하여 구성합니다. 방화벽 필터에서 일치 조건을 지정하여 패킷 기반 포워딩에 대한 트래픽을 분류하고 작업 수정자를 구성 packet-mode 하여 작업을 지정합니다. 일치 조건 및 조치가 정의되면 방화벽 필터가 관련 인터페이스에 적용됩니다.

방화벽 필터 구성 방법:

  1. 주소 패밀리 정의 - 먼저 방화벽 필터가 일치하는 패킷의 주소 패밀리를 정의합니다. 제품군 이름을 정의하려면 IPv4/IPv6 패킷을 필터링하도록 지정합니다inet. MPLS 패킷을 필터링하려면 지정합니다mpls. 레이어 2 스위칭 교차 연결을 필터링하도록 지정합니다ccc.
  2. 용어 정의(Define terms) - 필터링 기준과 일치가 발생할 경우 수행할 작업을 지정하는 하나 이상의 용어를 정의합니다. 각 용어는 일치 조건과 작업이라는 두 가지 구성 요소로 구성됩니다.
    • 일치 조건 - 작업을 수행하기 위해 패킷이 일치해야 하는 특정 특성을 지정합니다. IP 소스 주소 필드, IP 대상 주소 필드 및 IP 프로토콜 필드와 같은 다양한 일치 조건을 정의할 수 있습니다.

    • Action(작업) - 일치 조건과 일치하는 경우 패킷으로 수행할 작업을 지정합니다. 가능한 작업은 패킷을 수락, 삭제 또는 거부하는 것입니다. 다음 학기로 이동하십시오. 또는 아무 조치도 취하지 마십시오.

      용어에 하나만 action 지정하거나 생략할 수 있지만 이 용어와 함께 작업 수정자를 임의로 조합하여 지정할 수 있습니다. 작업 수정자에는 기본 accept 작업이 포함됩니다. 예를 들어, 작업 수정자를 지정하고 작업을 지정하지 않으면 지정된 작업 수정자가 구현되고 패킷이 수락됩니다.

      packet-mode 작업 수정자는 플로우 기반 포워딩을 우회하는 트래픽을 지정합니다. 다른 작업 수정자와 마찬가지로 또는 count와 같은 accept 다른 작업과 함께 작업 수정자를 구성할 packet-mode 수 있습니다.

  3. 인터페이스에 방화벽 필터 적용 - 인터페이스에 방화벽 필터를 적용하여 방화벽 필터가 적용되도록 합니다.

패킷이 인터페이스에 들어오면 인터페이스에 구성된 입력 패킷 필터가 적용됩니다. 패킷이 지정된 조건과 일치하고 packet-mode 작업이 구성된 경우 패킷은 플로우 기반 전달을 완전히 우회합니다.

필터를 구성할 때는 방화벽 필터 내의 용어 순서에 유의해야 합니다. 패킷은 구성에 나열된 순서대로 각 용어에 대해 테스트됩니다. 첫 번째 일치 조건이 발견되면 해당 용어와 관련된 작업이 패킷에 적용되고 방화벽 필터의 평가가 종료됩니다 next term . next term 작업이 포함된 경우 일치하는 패킷은 방화벽 필터의 다음 용어에 대해 평가되고, 그렇지 않으면 방화벽 필터의 후속 용어에 대해 일치하는 패킷이 평가되지 않습니다.

선택적 상태 비저장 패킷 기반 서비스를 위한 방화벽 필터를 구성하는 경우:

  • 불필요한 패킷 드롭을 방지하기 위해 플로우를 우회해야 하는 트래픽을 정확하게 식별합니다.

  • 패킷 기반 플로우 경로와 관련된 모든 인터페이스에 packet-mode 작업을 통해 방화벽 필터를 적용해야 합니다.

  • 플로우 기반 포워딩을 사용하도록 호스트 바운드 TCP 트래픽을 구성해야 합니다. - 작업 수정자를 포함하는 방화벽 필터 용어에 대한 일치 조건을 지정할 때 이 트래픽을 제외합니다 packet-mode . 플로우를 우회하도록 구성된 모든 호스트 바운드 TCP 트래픽은 삭제됩니다. 비동기 플로우 모드 처리는 선택적 상태 비저장 패킷 기반 서비스에서는 지원되지 않습니다.

  • 작업 수정자를 사용하여 입력 패킷 필터(출력 아님)를 packet-mode 구성합니다.

메모:

중첩된 방화벽 필터(다른 필터의 용어 내에 필터 구성)는 선택적 상태 비저장 패킷 기반 서비스에서 지원되지 않습니다.

선택적 상태 비저장 패킷 기반 서비스를 구성할 수 있는 몇 가지 일반적인 배포 시나리오는 다음과 같습니다.

  • 프라이빗 LAN과 WAN 인터페이스 간의 트래픽 흐름(예: 인트라넷 트래픽의 경우, 엔드 투 엔드 전달이 패킷 기반인 경우)

  • 프라이빗 LAN과 비보안 WAN 인터페이스 간의 트래픽 흐름으로, 여기서 트래픽은 안전한 트래픽과 그렇지 않은 트래픽에 각각 패킷 기반 및 플로우 기반 전달을 사용합니다.

  • 프라이빗 WAN 링크가 다운된 경우 플로우 기반 IPsec WAN으로 페일오버되는 프라이빗 LAN과 WAN 인터페이스 간의 트래픽 플로우

  • 플로우 기반 LAN에서 패킷 기반 MPLS WAN으로의 트래픽 플로우

예: 엔드 투 엔드 패킷 기반 포워딩을 위한 선택적 상태 비저장 패킷 기반 서비스 구성

이 예는 엔드 투 엔드 패킷 기반 포워딩을 위해 선택적 상태 비저장 패킷 기반 서비스를 구성하는 방법을 보여줍니다. 이 기능은 SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M, SRX1500 및 vSRX 가상 방화벽 디바이스에서 지원됩니다

요구 사항

시작하기 전에:

  • 상태 비저장 방화벽 필터를 구성하는 방법을 이해합니다.

  • 기본 연결을 설정합니다. .

개요

이 예에서는 각 디바이스의 인터페이스에 대한 IP 주소를 구성합니다. R0의 경우 10.1.1.2/24입니다. R1의 경우 10.1.1.1/24, 10.2.1.1/24 및 203.0.113.1/30입니다. R2의 경우 203.0.113.2/30입니다. R3의 경우 10.2.1.2/24입니다. R0은 10.1.1.2, R1은 198.51.100.2, R2는 203.0.113.1, R3은 10.2.1.1과 같이 정적 경로를 생성하고 디바이스에 대한 다음 홉 주소를 연결합니다.

그런 다음 디바이스 R1에서 untrust라는 영역을 구성하고 인터페이스 ge-0/0/3에 할당합니다. 또한 trust라는 영역을 생성하고 인터페이스 ge-0/0/1 및 ge-0/0/2를 할당합니다. 지원되는 모든 애플리케이션 서비스를 인바운드 서비스로 허용하도록 트러스트 및 언트러스트 영역을 구성합니다. 모든 소스 주소, 목적지 주소 및 애플리케이션의 트래픽이 영역 사이를 통과하도록 허용합니다.

그런 다음 방화벽 필터 bypass-flow-filter를 생성하고 내부 인터페이스 ge-0/0/1 및 ge-0/0/2 간의 트래픽과 일치하고 packet-mode 작업 수정자를 포함하는 용어 bypass-flow-term-1 및 bypass-flow-term-2를 정의합니다. 나머지 모든 트래픽을 수락하도록 accept-rest라는 용어를 정의합니다. 마지막으로, 방화벽 필터 bypass-flow-filter를 내부 인터페이스 ge-0/0/1 및 ge-0/0/2(외부 인터페이스가 아님)에 적용합니다. 그 결과, 모든 내부 트래픽은 플로우 기반 포워딩을 우회하며, 인터넷에서 들어오고 나가는 트래픽은 플로우 기반 포워딩을 우회하지 않습니다.

그림 3 은 이 예에서 사용된 네트워크 토폴로지를 보여줍니다.

그림 3: 엔드 투 엔드 패킷 기반 서비스를 Intranet Traffic Using End-to-End Packet-Based Services 사용하는 인트라넷 트래픽

회사의 지사는 프라이빗 WAN을 통해 서로 연결됩니다. 이 내부 트래픽의 경우 보안이 문제가 되지 않으므로 패킷 전달이 필요합니다. 따라서 이 트래픽의 경우 선택적 상태 비저장 패킷 기반 서비스를 구성하여 플로우 기반 포워딩을 우회하도록 합니다. 인터넷에서 들어오고 나가는 나머지 트래픽은 플로우 기반 포워딩을 사용합니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 명령을 [edit] CLI로 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

엔드 투 엔드 패킷 기반 포워딩을 위한 선택적 상태 비저장 패킷 기반 서비스를 구성하려면:

  1. 디바이스 R0, R1, R2 및 R3의 인터페이스에 대한 IP 주소를 구성합니다.

  2. 정적 경로를 생성하고 디바이스 R0, R1, R2 및 R3에 적절한 다음 홉 주소를 연결합니다.

  3. 보안 영역을 구성하고 인터페이스를 할당합니다.

  4. 영역에 대한 애플리케이션 서비스를 구성합니다.

  5. 보안 정책 구성

  6. 방화벽 필터를 생성하고 모든 패킷 기반 포워딩 트래픽에 대한 용어를 정의합니다.

  7. 나머지 트래픽에 대해 다른 용어를 지정합니다.

  8. 관련 인터페이스에 방화벽 필터를 적용합니다.

결과

구성 모드에서 , show routing-optionsshow firewall 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

구성이 올바르게 작동하고 있는지 확인합니다.

엔드 투 엔드 패킷 기반 구성 확인

목적

선택적 상태 비저장 패킷 기반 서비스가 구성되었는지 확인합니다.

행동

구성 모드에서 , show routing-options, show security zones, show security policiesshow firewall 명령을 입력합니다show interfaces.

출력이 방화벽 필터, 인터페이스 및 정책의 의도된 구성을 보여주는지 확인합니다.

패킷을 테스트하려는 순서대로 용어가 나열되어 있는지 확인합니다. 명령을 사용하여 방화벽 필터 내에서 용어를 이동할 수 있습니다 insert .

인트라넷 트래픽에서 세션 설정 확인

목적

트래픽이 인트라넷 내의 인터페이스로 전송될 때 세션이 설정되는지 확인합니다.

행동

세션이 설정되었는지 확인하려면 다음 작업을 수행합니다.

  1. 디바이스에서 R1운영 모드 clear security flow session all 명령을 입력하여 기존의 모든 보안 플로우 세션을 지웁니다.

  2. 디바이스에서 R0작동 모드 ping 명령을 입력하여 디바이스 R3로 트래픽을 전송합니다.

  3. 디바이스 R1에서 에서 를 R0 R3 통해 R1전송되는 트래픽과 함께 작동 모드 show security flow session 명령을 입력합니다.

메모:

설정된 세션을 확인하려면 명령이 패킷을 보내고 받는 동안 ping 명령을 입력해야 show security flow session 합니다.

Junos OS 릴리스 15.1X49-D30 및 Junos OS 릴리스 17.3R1부터 세션 플로우 요약에는 CP 세션 ID가 포함됩니다.

출력은 에서 (으)로 R0 R3 전송되는 트래픽을 보여주며 세션이 설정되지 않습니다. 이 예에서는 인터페이스 Internal 1Internal 2 회사의 인트라넷 트래픽에 대해 with packet-mode 작업 수정자를 적용 bypass-flow-filter 했습니다. 이 출력은 두 인터페이스 간의 트래픽이 플로우 기반 포워딩을 올바르게 우회하여 세션이 설정되지 않음을 확인합니다.

인터넷 트래픽에서 세션 설정 확인

목적

트래픽이 인터넷으로 전송될 때 세션이 설정되는지 확인합니다.

행동

인터넷 트래픽이 플로우 기반 전달을 사용하고 세션이 설정되었는지 확인하려면 다음 작업을 수행합니다.

  1. 디바이스에서 R1운영 모드 clear security flow session all 명령을 입력하여 기존의 모든 보안 플로우 세션을 지웁니다.

  2. 디바이스에서 R0작동 모드 ping 명령을 입력하여 디바이스 R2로 트래픽을 전송합니다.

  3. 에서 을(를) 통해 R1전송되는 R0 R2 트래픽과 함께 디바이스에서 R1작동 모드 show security flow session 명령을 입력합니다.

메모:

설정된 세션을 확인하려면 명령이 패킷을 보내고 받는 동안 ping 명령을 입력해야 show security flow session 합니다.

출력은 디바이스에서 R0 설정된 세션으로 R1 전송되는 트래픽을 보여줍니다. 이 예에서는 회사의 인터넷 트래픽에 대해 packet-mode 인터페이스 Internet 에 with 작업 수정자를 적용 bypass-flow-filter 하지 않았습니다. 이 출력은 인터넷으로의 트래픽이 플로우 기반 포워딩을 올바르게 사용하고 있으므로 세션이 설정되는지 확인합니다.

디바이스에서 R3 R2 로 트래픽을 전송하고 이 섹션의 명령을 사용하여 설정된 세션을 확인합니다.

예: 패킷 기반에서 플로우 기반 포워딩을 위한 선택적 상태 비저장 패킷 기반 서비스 구성

이 예에서는 패킷 기반에서 플로우 기반 포워딩을 위해 선택적 상태 비저장 패킷 기반 서비스를 구성하는 방법을 보여줍니다. 이 기능은 SRX300, SRX320, SRX340, SRX345, SRX380, SRX550M, SRX1500 및 vSRX 가상 방화벽 디바이스에서 지원됩니다.

요구 사항

시작하기 전에:

  • 상태 비저장 방화벽 필터를 구성하는 방법을 이해합니다.

  • 기본 연결을 설정합니다. .

개요

이 예에서는 각 디바이스의 인터페이스에 대한 IP 주소를 구성합니다. 디바이스 R0의 경우 198.51.100.9/24로; R1의 경우 are198.51.100.10/24 및 203.0.113.5/24; R2의 경우 203.0.113.9/24입니다. 디바이스 R1에서 라우팅 인스턴스 간에 내부 서비스 인터페이스 lt-0/0/0을 설정하고 두 가상 디바이스 간에 피어 관계를 구성합니다. 그런 다음 Primary-VR-zone 및 Internet-VR-zone이라는 두 개의 보안 영역을 생성하고, 관련 인터페이스를 할당하고, 지원되는 모든 애플리케이션 및 프로토콜을 허용하도록 구성합니다.

그런 다음 정책을 구성하고 모든 패킷이 허용되도록 지정합니다. 가상 디바이스 라우팅 인스턴스 Internet-VR을 구성하고 플로우 기반 포워딩을 위한 인터페이스를 할당합니다. 디바이스 R0, R1 및 R2에서 OSPF를 사용하도록 설정합니다. 디바이스 R2에서 packet-mode 작업 수정자를 포함하는 bypass-flow-term이라는 용어를 사용하여 필터 bypass-flow-filter를 구성합니다. 일치 조건을 지정하지 않았으므로 이 필터는 필터가 적용된 인터페이스를 통과하는 모든 트래픽에 적용됩니다.

마지막으로, 디바이스 R1에서 방화벽 필터 bypass-flow-filter를 내부 인터페이스 ge-0/0/2.0 및 lt-0/0/0.0에 적용합니다. Internet-VR 라우팅 인스턴스와 연결된 인터페이스에는 필터를 적용하지 않습니다. 따라서 기본 라우팅 인스턴스와 연결된 LAN 인터페이스를 트래버스하는 모든 트래픽은 패킷 기반 포워딩을 사용하고 Internet-VR 라우팅 인스턴스를 트래버스하는 모든 트래픽은 플로우 기반 포워딩을 사용합니다.

그림 4 는 이 예에서 사용된 네트워크 토폴로지를 보여줍니다.

그림 4: 패킷 기반 전달을 위한 선택적 상태 비저장 패킷 기반 서비스 Selective Stateless Packet-Based Services for Packet-Based Forwarding

프라이빗 LAN을 향하는 인터페이스에는 보안 서비스가 필요하지 않지만 WAN을 향하는 인터페이스에는 보안이 필요합니다. 이 예에서는 하나는 패킷 기반 전달을 처리하고 다른 하나는 플로우 기반 전달을 처리하는 두 개의 라우팅 인스턴스를 구성하여 안전한 트래픽과 그렇지 않은 트래픽에 대해 패킷 기반 및 플로우 기반 전달을 모두 구성하기로 결정합니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성과 일치시키는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 명령을 [edit] CLI로 복사해 붙여 넣은 다음, 구성 모드에서 을 입력합니다 commit .

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

엔드 투 엔드 패킷 기반 포워딩을 위한 선택적 상태 비저장 패킷 기반 서비스를 구성하려면:

  1. 인터페이스의 IP 주소를 구성합니다.

  2. 라우팅 인스턴스 간에 내부 서비스 인터페이스를 설정합니다.

  3. 보안 영역을 구성합니다.

  4. 정책을 구성합니다.

  5. 가상 디바이스 라우팅 인스턴스를 구성합니다.

  6. 네트워크의 모든 인터페이스에서 OSPF를 사용하도록 설정합니다.

  7. 방화벽 필터를 생성하고 패킷 기반 포워딩 트래픽에 대한 용어를 정의합니다.

  8. 관련 인터페이스에 방화벽 필터를 적용합니다.

결과

구성 모드에서 , show protocols, show security, show routing-instancesshow firewall 명령을 입력하여 show interfaces구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

디바이스 구성을 마쳤으면 구성 모드에서 을 입력합니다 commit .

확인

구성이 올바르게 작동하고 있는지 확인합니다.

패킷 기반에서 플로우 기반으로 구성 확인

목적

선택적 상태 비저장 패킷 기반 서비스가 패킷 기반에서 플로우 기반으로 전달되도록 구성되어 있는지 확인합니다.

행동

구성 모드에서 , show protocols, show security, show routing-instancesshow firewall 명령을 입력합니다show interfaces.

출력이 방화벽 필터, 라우팅 인스턴스, 인터페이스 및 정책의 의도된 구성을 보여주는지 확인합니다.

패킷을 테스트하려는 순서대로 용어가 나열되어 있는지 확인합니다. 명령을 사용하여 방화벽 필터 내에서 용어를 이동할 수 있습니다 insert .

LAN 트래픽에서 세션 설정 확인

목적

트래픽이 LAN 내의 인터페이스에서 전송될 때 세션이 설정되는지 확인합니다.

행동

세션이 설정되었는지 확인하려면 다음 작업을 수행합니다.

  1. 디바이스의 R1운영 모드에서 명령을 입력하여 clear security flow session all 기존의 모든 보안 플로우 세션을 지웁니다.

  2. 디바이스에서 R0작동 모드에서 명령을 입력하여 ping 디바이스 Primary-VR로 트래픽을 전송합니다.

  3. 디바이스 R1에서, 에서 를 통해 R1디바이스에서 R0 전송되는 트래픽과 함께 운영 모드에서 명령을 입력합니다show security flow session.

메모:

설정된 세션을 확인하려면 명령이 패킷을 송수신하는 동안 ping 명령을 입력해야 show security flow session 합니다.

출력은 에서 (으)로 R0 Primary-VR 전송되는 트래픽을 보여주며 세션이 설정되지 않습니다. 이 예에서는 인터페이스 ge-0/0/0lt-0/0/0.0 회사의 LAN 트래픽에 대해 with 작업 수정자를 적용 bypass-flow-filter packet-mode 했습니다. 이 출력은 두 인터페이스 간의 트래픽이 플로우 기반 포워딩을 올바르게 우회하여 세션이 설정되지 않음을 확인합니다.

인터넷 트래픽에서 세션 설정 확인

목적

트래픽이 인터넷으로 전송될 때 세션이 설정되는지 확인합니다.

행동

인터넷 트래픽이 플로우 기반 전달을 사용하고 세션이 설정되었는지 확인하려면 다음 작업을 수행합니다.

  1. 디바이스의 R1운영 모드에서 명령을 입력하여 clear security flow session all 기존의 모든 보안 플로우 세션을 지웁니다.

  2. 디바이스에서 R0작동 모드에서 명령을 입력하여 ping 디바이스 R2로 트래픽을 전송합니다.

  3. 디바이스에서 R1에서 R0 R2R1전송되는 트래픽과 함께 운영 모드에서 명령을 입력합니다 show security flow session .

메모:

설정된 세션을 확인하려면 명령이 패킷을 송수신하는 동안 ping 명령을 입력해야 show security flow session 합니다.

출력은 디바이스에서 R0 설정된 세션으로 R2 전송되는 트래픽을 보여줍니다. 이 예에서는 회사의 인터넷 트래픽에 bypass-flow-filter packet-mode 대한 라우팅 인스턴스에 Internet-VR with 작업 수정자를 적용하지 않았습니다. 이 출력은 인터넷으로의 트래픽이 플로우 기반 포워딩을 올바르게 사용하고 있으므로 세션이 설정되는지 확인합니다.

세션은 과 간에 트래픽이 흐를 때만 설정되며 과 lt-0/0/0.0간에 lt-0/0/0.1 ge-0/0/3 ge-0/0/2 트래픽이 흐를 때는 설정되지 않습니다.

변경 내역 테이블

기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.

석방
묘사
15.1X49-D30
Junos OS 릴리스 15.1X49-D30 및 Junos OS 릴리스 17.3R1부터 세션 플로우 요약에는 CP 세션 ID가 포함됩니다.