EX 시리즈 스위치의 방화벽 필터 매치 조건, 동작 및 동작 수정
EX 시리즈 스위치에 대한 방화벽 필터를 정의할 때, 패킷에 대한 필터링 기준(terms, 와 함께 match conditions)을 정의하고 action 패킷이 필터링 기준과 일치할 경우 스위치가 취할 필터링 기준(및 선택적으로 ) action modifier을 정의합니다. 방화벽 필터를 정의하여 IPv4, IPv6 또는 비 IP 트래픽을 모니터링할 수 있습니다.
이 주제에서는 방화벽 필터에서 정의할 수 있는 다양한 일치 조건, 작업 및 작업 수정자에 대해 자세히 설명합니다. 다양한 EX 시리즈 스위치의 일치 조건 지원에 대한 자세한 내용은 EX 시리즈 스위치의 방화벽 필터 일치 조건, 작업 및 작업 수정자에 대한 플랫폼 지원을 참조하십시오.
방화벽 필터 엘리먼트
방화벽 필터 구성에는 용어, 일치 조건, 작업 및 작업 수정자(선택 사항)가 포함됩니다. 표 1 은(는) 방화벽 필터 구성의 각 요소를 설명합니다.
요소 이름 |
설명 |
---|---|
용어 |
패킷에 대한 필터링 기준을 정의합니다. 방화벽 필터의 각 용어는 일치 조건과 작업으로 구성됩니다. 방화벽 필터에서 단일 용어 또는 여러 용어를 정의할 수 있습니다. 여러 용어를 정의하는 경우 각 용어에는 고유한 이름이 있어야 합니다. |
일치 조건 |
일치 조건을 정의하는 문자열( 라고 함 match statement)로 구성됩니다. 일치 조건은 패킷에 포함되어야 하는 값 또는 필드입니다. 용어에 대해 단일 일치 조건 또는 여러 일치 조건을 정의할 수 있습니다. 일치 조건을 정의하지 않도록 선택할 수도 있습니다. 용어에 대해 일치 조건이 지정되지 않은 경우, 기본적으로 모든 패킷이 일치합니다. |
작업 |
패킷이 일치 조건에 지정된 모든 기준과 일치할 경우 스위치가 수행하는 작업을 지정합니다. |
작업 수정자 |
패킷이 특정 용어의 일치 조건과 일치하는 경우 스위치가 수행하는 하나 이상의 작업을 지정합니다. |
스위치에서 지원되는 일치 조건
모니터링하려는 트래픽 유형에 따라 IPv4, IPv6 또는 비 IP 트래픽을 모니터링하도록 방화벽 필터를 구성할 수 있습니다. 특정 유형의 트래픽을 모니터링하도록 방화벽 필터를 구성할 때는 해당 유형의 트래픽에 대해 지원되는 일치 조건을 지정해야 합니다. 특정 유형의 트래픽에 대해 지원되는 일치 조건 및 지원되는 스위치에 대한 자세한 내용은 EX 시리즈 스위치의 방화벽 필터 일치 조건, 작업 및 작업 수정자에 대한 플랫폼 지원을 참조하십시오.
표 2 은(는) EX 시리즈 스위치의 방화벽 필터에 대해 지원되는 모든 일치 조건을 설명합니다.
일치 조건 |
설명 |
---|---|
|
최종 대상 노드의 주소인 IP 대상 주소 필드입니다. |
|
최종 대상 노드의 주소인 IP 대상 주소 필드입니다. |
|
최종 대상 노드의 주소인 IP 대상 주소 필드입니다. |
destination-mac-address mac-address |
패킷의 대상 미디어 액세스 제어(MAC) 주소입니다. 와 같은 destination-mac-address 00:01:02:03:04:05/24접두사를 사용하여 대상 MAC 주소를 정의할 수 있습니다. 접두사를 지정하지 않으면 기본값 48이 사용됩니다. |
destination-port number |
TCP 또는 UDP 대상 필드. 일반적으로 이 일치 조건을 또는 ip-protocol 일치 조건과 함께 afs (1483), bgp (179), biff (512)bootpc (68)bootps (67)cmd (514)cvspserver (2401)dhcp (67)domain (53)eklogin (2105)ekshell (2106)exec (512)finger (79)ftp (21)ftp-data (20)http (80)https (443)ident (113)imap (143)kerberos-sec (88)klogin (543)kpasswd (761)krb-prop (754)krbupdate (760)kshell (544)ldap (389)login (513)mobileip-agent (434)mobilip-mn (435)msdp (639)netbios-dgm (138)netbios-ns (137)netbios-ssn (139)nfsd (2049)nntp (119)ntalk (518)ntp (123)pop3 (110)pptp (1723)printer (515)radacct (1813)radius (1812)rip (520)rkinit (2108)smtp (25)snmp (161)snmptrap (162)snpp (444)socks (1080)ssh (22)sunrpc (111)syslog (514)tacacs-ds (65)talk (517)telnet (23)tftp (69)timed (525)who (513)xdmcp (177)zephyr-clt (2103)zephyr-hm (2104) |
destination-prefix-list prefix-list |
IP 대상 접두사 목록 필드입니다. 자주 사용하기 위해 prefix-list 별칭 아래에 IP 주소 접두사 목록을 정의할 수 있습니다. 계층 수준에서 이 일치 조건을 |
|
이더넷 헤더의 태그 필드. 태그 값의 범위는 1에서 4095 사이입니다. |
|
이더넷 헤더의 태그 필드. 태그 값의 범위는 1에서 4095 사이입니다. |
dot1q-user-priority number |
태그가 지정된 이더넷 패킷의 사용자 우선 순위 필드입니다. 사용자 우선 순위 값의 범위는 0에서 7까지입니다. 의 경우 number다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).
|
user-vlan-1p-priority number |
태그가 지정된 이더넷 패킷의 사용자 우선 순위 필드입니다. 사용자 우선 순위 값의 범위는 0에서 7까지입니다. 의 경우 number다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).
|
dscp number |
DSCP(Differentiated Services Code Point)를 지정합니다. DiffServ 프로토콜은 IP 헤더의 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트가 DSCP를 구성합니다. DSCP는 16진수, 2진수 또는 10진수 형식으로 지정할 수 있습니다. 의 경우 number다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).
|
ether-type value |
패킷의 이더넷 유형 필드입니다. 이 값은 이더넷 프레임에서 전송되는 프로토콜을 지정합니다. 의 경우 value다음 텍스트 동의어 중 하나를 지정할 수 있습니다.
주:
다음 일치 조건은 이(가) 로 설정된 경우 ether-type 지원되지 않습니다.ipv6
|
fragment-flags fragment-flags |
IP 단편화 플래그로, 기호 형식 또는 16진수 형식으로 지정됩니다. 다음 옵션 중 하나를 지정할 수 있습니다.
|
GBP-DST 태그 | 여기에 설명된 대로 VXLAN에서 마이크로 세그먼테이션과 함께 사용하려면 대상 태그를 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션 |
gbp-src-태그 | 여기에 설명된 대로 VXLAN에서 마이크로 세그먼테이션과 함께 사용하려면 소스 태그를 일치시킵니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션 |
icmp-code number |
ICMP 코드 필드입니다. 이 값 또는 옵션은 보다 icmp-type더 구체적인 정보를 제공합니다. 값의 의미는 연결된 icmp-type에 따라 달라지므로 와 icmp-code함께 지정해야 icmp-type 합니다. 의 경우 number, 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). 옵션은 연결된 ICMP 유형별로 그룹화됩니다.
|
icmp-type number |
ICMP 패킷 유형 필드입니다. 일반적으로 이 일치 조건을 또는 echo-reply (0), echo-request (8), info-reply (16), , info-request (15)mask-request (17), mask-reply (18), parameter-problem (12), redirect (5), router-advertisement (9), router-solicit (10), , source-quench (4) time-exceeded (11), timestamp (13), timestamp-reply (14), unreachable (3) |
interface interface-name |
패킷이 수신되는 인터페이스입니다. 와일드카드 문자(*)를 인터페이스 이름의 일부로 지정할 수 있습니다. 주:
EX8200 Virtual Chassis의 interface 송신 트래픽에는 일치 조건이 지원되지 않습니다. |
ip-options |
IP 헤더에 옵션 필드가 있는지 확인합니다. |
ip-version version match_condition(s) |
포트 및 VLAN 방화벽 필터에 대한 IP 프로토콜의 버전입니다. 에 대한 version 값은 또는 ipv6일 수 있습니다ipv4. 의 경우 match_condition(s), 다음 일치 조건 중 하나 이상을 지정할 수 있습니다.
|
is-fragment |
패킷이 후행 조각인 경우 이 일치 조건은 조각화된 패킷의 첫 번째 조각과 일치하지 않습니다. 두 용어를 사용하여 첫 번째 부분과 마지막 부분을 일치시킵니다. 주:
EX2300, EX3400 및 EX4300 스위치의 제한으로 인해 이 일치 조건은 "제품군 이더넷 스위칭"에 적용될 때 단편화된 패킷의 마지막 부분과 일치하지 않습니다. |
l2-encap-type llc-non-snap |
비서브넷 액세스 프로토콜(SNAP) 이더넷 캡슐화 유형에 대한 LLC(논리적 링크 제어) 계층 패킷에서 일치합니다. |
next-header bytes |
IPv6 헤더 바로 뒤에 오는 헤더 유형을 식별하는 8비트 프로토콜 필드입니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). ah (51), dstops (60), egp (8)esp (50)fragment (44)gre (47)hop-by-hop (0)icmp (1)icmp6 (1)igmp (2)ipip (4)ipv6 (41)no-next-header (59)ospf (89)pim (103)routing (43)rsvp (46)sctp (132)tcp (6)udp (17)vrrp (112) |
packet-length bytes |
수신된 패킷의 길이(바이트)입니다. 길이는 패킷 헤더를 포함한 IP 패킷만 참조하며, 레이어 2 캡슐화 오버헤드는 포함하지 않습니다. |
|
IP 우선 순위. 의 경우 precedence다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨). critical-ecp (5), , flash (3), immediate (2)flash-override (4), internet-control (6), net-control (7), , priority (1)routine (0) |
|
IP 우선 순위. 의 경우 precedence다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨). critical-ecp (5), , flash (3), immediate (2)flash-override (4), internet-control (6), net-control (7), , priority (1)routine (0) |
|
IPv4 프로토콜 값. 의 경우 protocols다음 텍스트 동의어 중 하나를 지정할 수 있습니다. egp (8), esp (50), , icmp (1)gre (47), igmp (2), , ipip (4) ospf (89), pim (103), rsvp (46), , tcp (6)udp (17) |
|
IPv4 프로토콜 값. 의 경우 protocols다음 텍스트 동의어 중 하나를 지정할 수 있습니다. egp (8), esp (50), , icmp (1)gre (47), igmp (2), , ipip (4) ospf (89), pim (103), rsvp (46), , tcp (6)udp (17) |
source-address ip-address |
IP 소스 주소 필드로, 패킷을 전송하는 소스 노드의 주소입니다. IPv6의 경우, source-address 필드의 길이는 128비트입니다. 필터 설명 구문은 RFC 2373, IP 버전 6 주소 지정 아키텍처에 설명된 IPv6 주소에 대한 텍스트 표현을 지원합니다. |
|
IP 소스 주소 필드로, 패킷을 전송하는 소스 노드의 주소입니다. IPv4 주소( |
source-mac-address mac-address |
소스 MAC 주소입니다. 소스 MAC 주소를 다음과 같은 source-mac-address 00:01:02:03:04:05/24접두사로 정의할 수 있습니다. 접두사를 지정하지 않으면 기본값 48이 사용됩니다. |
source-port number |
TCP 또는 UDP source-port 필드. 일반적으로 또는 일치 조건과 함께 |
source-prefix-list prefix-list |
IP 소스 접두사 목록 필드입니다. 자주 사용하기 위해 prefix-list 별칭 아래에 IP 주소 접두사 목록을 정의할 수 있습니다. 계층 수준에서 이 일치 조건을 |
tcp-established |
설정된 TCP 연결의 TCP 패킷입니다. 이 조건은 연결의 첫 번째 패킷 이외의 패킷과 일치합니다. tcp-established 는 비트 이름의 "(ack | rst)"동의어입니다. tcp-established 프로토콜이 TCP인지 여부를 암시적으로 확인하지 않습니다. 이렇게 하려면 일치 조건을 지정합니다 next-header tcp . |
tcp-flags (flags tcp-initial) |
하나 이상의 TCP 플래그:
여러 플래그를 지정하려면 논리 연산자를 사용합니다. |
tcp-initial |
연결의 첫 번째 TCP 패킷과 일치합니다. tcp-initial 는 비트 이름의 "(syn&!ack)"동의어입니다. tcp-initial 프로토콜이 TCP인지 여부를 암시적으로 확인하지 않습니다. 이렇게 하려면 또는 ip-protocol tcp 일치 조건을 지정합니다 |
traffic-class number |
패킷에 대한 DSCP 코드 포인트를 지정합니다. |
ttl value |
일치시킬 TTL 유형입니다. 값의 범위는 1에서 255 사이입니다. |
|
패킷과 연결된 VLAN입니다. 의 경우 vlan-idVLAN ID 또는 VLAN 범위를 지정할 수 있습니다. vlan 일치 조건과 dot1q-tag 일치 조건은 상호 배타적입니다. |
|
패킷과 연결된 VLAN입니다. 의 경우 vlan-idVLAN ID 또는 VLAN 범위를 지정할 수 있습니다. vlan 일치 조건과 user-vlan-id 일치 조건은 상호 배타적입니다. |
방화벽 필터에 대한 작업
패킷이 일치 조건에 정의된 필터링 기준과 일치할 경우 스위치가 수행할 작업을 정의할 수 있습니다. 표 3 에서는 방화벽 필터 구성에서 지원되는 작업을 설명합니다.
작업 |
설명 |
---|---|
accept |
패킷을 수락합니다. |
discard |
ICMP(Internet Control Message Protocol) 메시지를 보내지 않고 조용히 패킷을 버립니다. |
reject message-type |
패킷을 버리고 ICMPv4 메시지(유형 3) destination unreachable를 보냅니다. 작업 수정자를 구성 syslog 하면 거부된 패킷을 기록할 수 있습니다. 다음 메시지 코드 중 하나를 지정할 수 있습니다. administratively-prohibited (default), bad-host-tos, bad-network-tos, host-prohibited, host-unknown, host-unreachable, network-prohibited, network-unknown, network-unreachable, port-unreachable, precedence-cutoff, precedence-violation, protocol-unreachable, source-host-isolated, source-route-failed, tcp-reset. 를 지정하면 tcp-reset패킷이 TCP 패킷인 경우 TCP 재설정이 반환됩니다. 그렇지 않으면 아무 것도 반환되지 않습니다. 메시지 유형을 지정하지 않으면 ICMP 알림 destination unreachable 이 기본 메시지 communication administratively filtered와 함께 전송됩니다. |
routing-instance routing-instance-name |
일치하는 패킷을 가상 라우팅 인스턴스로 전달합니다. 주:
EX4200 스위치는 기본 라우팅 인스턴스로의 방화벽 필터 기반 리디렉션을 지원하지 않습니다. |
vlan vlan-name |
일치하는 패킷을 특정 VLAN으로 전달합니다. 작업이 옵션을 지원하지 않으므로 vlan VLAN 이름 또는 VLAN ID를 vlan-range 지정하고 VLAN 범위를 지정하지 않아야 합니다. 주:
dot1q 터널링에 사용할 수 있는 VLAN을 정의한 경우 해당 특정 VLAN은 수신 VLAN 방화벽 필터에 대한 작업(작업 사용 vlan vlan-name )으로 지원되지 않습니다. |
방화벽 필터에 대한 작업 수정자
에 표 3설명된 작업 외에도, 패킷이 일치 조건에 정의된 필터링 기준과 일치하는 경우 스위치에 대한 방화벽 필터 구성에서 작업 수정자를 정의할 수 있습니다. 표 4 에서는 방화벽 필터 구성에서 지원되는 작업 수정자를 설명합니다.
작업 수정자 |
설명 |
---|---|
analyzer analyzer-name |
프로토콜 분석기 애플리케이션에 연결된 지정된 대상 포트 또는 VLAN에 대한 포트 트래픽 미러링 미러링은 한 스위치 포트에서 보이는 모든 패킷을 다른 스위치 포트의 네트워크 모니터링 연결로 복사합니다. 분석기 이름은 에서 주:
analyzer 은(는) 관리 인터페이스에 대해 지원되는 작업 수정자가 아닙니다. 주:
EX4500 스위치에서는 분석기를 하나만 구성하여 방화벽 필터에 포함할 수 있습니다. 분석기를 여러 개 구성하는 경우 이러한 분석기 중 어느 하나도 방화벽 필터에 포함할 수 없습니다. |
|
일치하는 패킷의 DSCP 값을 이 작업 수정자로 지정된 DSCP 값으로 변경합니다. number DSCP(Differentiated Services Code Point)를 지정합니다. DiffServ 프로토콜은 IP 헤더의 서비스 유형(ToS) 바이트를 사용합니다. 이 바이트의 가장 중요한 6비트가 DSCP를 구성합니다. DSCP는 16진수, 2진수 또는 10진수 형식으로 지정할 수 있습니다. 의 경우 number다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열됨).
|
count counter-name |
이 필터, 용어 또는 폴리서를 통과하는 패킷 수를 카운트합니다. 폴리서를 사용하면 스위치의 인터페이스로 들어오는 트래픽에 대한 속도 제한을 지정할 수 있습니다. 주:
EX4300 스위치에서는 TCAM(Ternary Content Addressable Memory)의 용어 수와 동일한 수의 카운터 및 폴리서를 구성할 수 있습니다. |
forwarding-class class |
다음 포워딩 클래스 중 하나에서 패킷을 분류합니다.
|
gbp-src-tag(EX4400 및 EX4650만 해당) | 여기에 설명된 대로 VXLAN에서 마이크로 세그먼테이션에 사용할 그룹 기반 정책 소스 태그(0..65535)를 설정합니다. 예: VXLAN에서 그룹 기반 정책을 사용한 마이크로 및 매크로 세그먼테이션 |
interface interface-name |
스위칭 조회를 우회하여 트래픽을 지정된 인터페이스로 전달합니다. |
log |
라우팅 엔진에 패킷의 헤더 정보를 기록합니다. 이 정보를 보려면 CLI에서 명령을 실행합니다 주:
log 또는 syslog 작업 수정자가 작업 또는 interface 작업 수정자와 함께 vlan 구성된 경우 이벤트가 기록되지 않을 수 있습니다. 그러나 리디렉션 인터페이스 기능은 예상대로 작동합니다. |
loss-priority (high | low) |
패킷 손실 우선순위(PLP)를 설정합니다. |
policer policer-name |
트래픽에 속도 제한을 적용합니다. 포트, VLAN, 라우터의 수신 트래픽에 대해서만 방화벽 필터에서 폴리서를 지정할 수 있습니다. 주:
폴리서에 대한 카운터는 EX8200 스위치에서 지원되지 않습니다. 주:
EX4300 스위치에서는 TCAM의 용어 수와 동일한 수의 카운터 및 폴리서를 구성할 수 있습니다. |
|
계층에 정의된 인터페이스에 패킷을 미러링합니다 |
|
계층에 정의된 인스턴스로 패킷을 미러링합니다 |
syslog |
이 패킷에 대한 경고를 기록합니다. 저장 및 분석을 위해 로그를 서버로 보내도록 지정할 수 있습니다. 주:
log 또는 syslog 작업 수정자가 작업 또는 interface 작업 수정자와 함께 vlan 구성된 경우 이벤트가 기록되지 않을 수 있습니다. 그러나 리디렉션 인터페이스 기능은 예상대로 작동합니다. |
three-color-policer |
3색 폴리서를 적용합니다. |