Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예를 들면 다음과 같습니다. 특정 피어를 제외한 포트에 대한 TCP 액세스를 차단하기 위한 필터 BGP(Border Gateway Protocol) 구성

이 예에서는 지정된 피어를 제외한 모든 요청자로부터 179 포트에 대한 모든 TCP 연결 시도를 차단하는 표준 스테이트리스 방화벽 필터를 BGP(Border Gateway Protocol) 방법을 보여줍니다.

요구 사항

이 예제를 구성하기 전에 장치 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

이 예에서는 지정된 피어를 제외한 모든 요청자로부터 179 포트를 포트하려는 모든 TCP 연결 시도를 차단하는 스테이트리스 BGP(Border Gateway Protocol) 필터를 생성합니다.

스테이트리스 방화벽 필터는 Device A 및 Device B의 직접 연결된 인터페이스의 모든 패킷을 대상 포트 filter_bgp179 번호 179와 일치합니다.

토폴로지

그림 1 이 예에서 사용된 토폴로지가 표시됩니다. Device C가 Device E에 대한 TCP 연결을 시도합니다. 디바이스 E는 연결 시도를 차단합니다. 이 예에서는 Device E의 구성을 보여줍니다.

그림 1: 일반 네트워크(BGP(Border Gateway Protocol) 피어 세션 사용)일반 네트워크(BGP(Border Gateway Protocol) 피어 세션 사용)

구성

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경한 다음, 명령어를 계층 수준에서 CLI [edit] 붙여넣습니다.

디바이스 C

디바이스 E

디바이스 E 구성

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 네트워크의 네트워크 CLI 대한 자세한 내용은 CLI 사용자 가이드의 CLI Editor in Configuration Mode Junos OS CLI 참조하십시오.

특정 피어를 제외한 모든 요청자로부터 179 포트를 포트로 시도하는 모든 TCP 연결을 차단하는 stateless BGP(Border Gateway Protocol) 필터를 사용하여 Device E를 구성하려면

  1. 인터페이스를 구성합니다.

  2. 구성 BGP(Border Gateway Protocol).

  3. 자율 시스템 번호를 구성합니다.

  4. 지정된 피어로부터 179 포트 179 포트에 대한 TCP 연결 시도를 허용하는 BGP(Border Gateway Protocol) 용어를 정의합니다.

  5. 다른 소스의 패킷을 거부하기 위한 다른 필터 용어를 정의합니다.

  6. 방화벽 필터를 루프백 인터페이스에 적용합니다.

결과

구성 모드에서 , 및 명령어를 입력하여 show firewallshow interfacesshow protocolsshow routing-options 구성을 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

확인

구성이 제대로 작동하고 있는지 확인합니다.

필터가 구성되어 있는지 확인

목적

필터가 명령 출력에 나열되어 있는지 show firewall filter 확인

실행

TCP 연결 검증

목적

TCP 연결을 확인합니다.

실행

작동 모드에서 디바이스 show system connections extensive C 및 디바이스 E에서 명령을 실행합니다.

Device C의 출력은 TCP 연결을 설정하려는 시도를 보여줍니다. Device E의 출력은 Device A 및 Device B에만 연결이 설정되었다는 표시를 보여줍니다.

인터페이스의 트래픽 모니터링

목적

이 명령을 사용하여 TCP 연결을 설정하지 않는 인터페이스의 트래픽과 TCP 연결을 설정하는 인터페이스의 트래픽을 monitor traffic 비교합니다.

실행

운영 모드에서 Device monitor traffic E 인터페이스에서 Device B로, 그리고 Device E 인터페이스에서 Device C로 명령을 실행합니다. 다음 샘플 출력은 첫 번째 예에서 Acknowledgment () 메시지가 수신된지 ack 검증합니다. 두 번째 예에서는 메시지가 ack 수신되지 않습니다.