Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

예: 지정된 BGP 피어를 제외하고 포트에 대한 TCP 액세스를 차단하는 필터 구성

이 예는 지정된 BGP 피어를 제외한 모든 요청자의 포트 179에 대한 모든 TCP 연결 시도를 차단하는 표준 무상태 방화벽 필터를 구성하는 방법을 보여줍니다.

요구 사항

이 예제를 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

이 예제에서는 지정된 BGP 피어를 제외한 모든 요청자의 포트 179에 대한 모든 TCP 연결 시도를 차단하는 상태 비저장 방화벽 필터를 생성합니다.

스테이트리스 방화벽 필터는 디바이스 A와 디바이스 B에 직접 연결된 인터페이스의 모든 패킷을 대상 포트 번호 179와 일치시킵니다.filter_bgp179

토폴로지

그림 1은(는) 본 예제에서 사용되는 토폴로지를 나타냅니다. 디바이스 C가 디바이스 E에 TCP 연결을 시도하고, 디바이스 E가 연결 시도를 차단합니다. 이 예는 디바이스 E의 구성을 보여줍니다.

그림 1: BGP 피어 세션이 있는 전형적인 네트워크BGP 피어 세션이 있는 전형적인 네트워크

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣습니다.

디바이스 C

디바이스 E

디바이스 E 구성

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색 관련 정보는 Junos OS CLI 사용자 가이드구성 모드에서의 CLI 편집기 사용을 참조하십시오.

지정된 BGP 피어를 제외한 모든 요청자의 포트 179에 대한 모든 TCP 연결 시도를 차단하는 상태 비저장 방화벽 필터로 디바이스 E를 구성하려면 다음을 수행합니다.

  1. 인터페이스를 구성합니다.

  2. BGP를 구성합니다.

  3. AS(Autonomous System) 번호를 구성합니다.

  4. 지정된 BGP 피어에서 포트 179에 대한 TCP 연결 시도를 수락하는 필터 용어를 정의합니다.

  5. 다른 소스의 패킷을 거부하는 다른 필터 용어를 정의합니다.

  6. 루프백 인터페이스에 방화벽 필터를 적용합니다.

결과

구성 모드에서 show firewall, show interfaces, show protocolsshow routing-options 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

필터가 구성되었는지 확인

목적

필터가 명령의 출력에 나열되어 있는지 확인합니다.show firewall filter

작업

TCP 연결 확인

목적

TCP 연결을 확인합니다.

작업

운영 모드의 디바이스 C와 디바이스 E에서 명령을 실행합니다 .show system connections extensive

디바이스 C의 출력은 TCP 연결 설정 시도를 보여줍니다. 디바이스 E의 출력은 디바이스 A 및 디바이스 B와의 연결만 설정되었음을 보여줍니다.

인터페이스의 트래픽 모니터링

목적

명령을 사용하여 TCP 연결을 설정하는 인터페이스의 트래픽과 TCP 연결을 설정하지 않는 인터페이스의 트래픽을 비교합니다.monitor traffic

작업

운영 모드에서 디바이스 E 인터페이스에서 디바이스 B로, 디바이스 E 인터페이스에서 디바이스 C로 명령을 실행합니다 . 다음 샘플 출력은 첫 번째 예제에서 승인() 메시지가 수신되었는지 확인합니다.monitor trafficack 두 번째 예에서는 메시지가 수신되지 않습니다.ack

관련 항목