EX 시리즈 스위치를 위한 방화벽 필터 개요

방화벽 필터 유형

EX 시리즈 스위치에는 다음과 같은 방화벽 필터 유형이 지원됩니다.

• 포트(레이어 2) 방화벽 필터 - 포트 방화벽 필터는 레이어 2 스위치 포트에 적용됩니다. 물리적 포트에서 수신 및 송신 방향 모두에서 포트 방화벽 필터를 적용할 수 있습니다.

• VLAN 방화벽 필터 - VLAN 방화벽 필터는 VLAN에 들어가거나, VLAN 내에서 브리징되거나, VLAN을 떠나는 패킷에 대한 액세스 제어를 제공합니다. VLAN에서 수신 및 송신 방향 모두에서 VLAN 방화벽 필터를 적용할 수 있습니다. VLAN 방화벽 필터는 VLAN에서 전달되거나 전달되는 모든 패킷에 적용됩니다.

• 라우터(레이어 3) 방화벽 필터 - 레이어 3(라우팅) 인터페이스와 라우팅된 VLAN 인터페이스(RIS)에서 수신 및 송신 방향 모두에서 라우터 방화벽 필터를 적용할 수 있습니다. 또한 루프백 인터페이스(lo0)의 수신 방향으로 라우터 방화벽 필터를 적용할 수 있습니다. 루프백 인터페이스에 구성된 방화벽 필터는 추가 처리를 위해 라우팅 엔진 CPU로 전송되는 패킷에만 적용됩니다.

이러한 스위치에서 IPv4 및 IPv6 트래픽 모두 에 포트, VLAN 또는 라우터 방화벽 필터를 적용할 수 있습니다.

• EX2200 스위치

• EX3300 스위치

• EX3200 스위치

• EX4200 스위치

• EX4300 스위치

• EX4500 스위치

• EX4550 스위치

• EX6200 스위치

• EX8200 스위치

다양한 스위치에서 지원되는 방화벽 필터에 대한 정보는 EX 시리즈 스위치의 방화벽 필터 일치 조건, 작업 및 작업 변경 도구에 대한 플랫폼 지원을 참조하십시오.

방화벽 필터 구성 요소

방화벽 필터에서 먼저 제품군 주소 유형(, inet, 또는inet6)을 정의한 다음 필터링 기준(ethernet-switching일치 조건의 용어로 지정)과 일치가 발생할 경우 수행할 작업(작업 또는 작업 수정자로 지정)을 지정하는 하나 이상의 용어를 정의합니다.

EX 시리즈 스위치의 방화벽 필터당 허용되는 최대 용어 수는 다음과 입니다.

• EX2200 스위치의 경우 512개

• EX3300 스위치의 경우 1436

  주:

  EX3300 스위치에서는 동일한 커밋 작업에서 많은 수의 용어(1,000개 이상의 용어)가 있는 필터를 추가 및 삭제할 경우 모든 필터가 설치되지 않습니다. 하나의 커밋 작업에서 필터를 추가하고 별도의 커밋 작업에서 필터를 삭제해야 합니다.

• 방화벽 필터용 TCAM(Ternary Content Addressable Memory)의 동적 할당에 의해 할당된 EX3200 및 EX4200 스위치의 경우 7,042개.

• EX4300 스위치에서 포트, VLAN 및 레이어 3 인터페이스에 구성된 방화벽 파일러에 대해 수신 및 송신 트래픽에 대해 다음과 같은 최대 용어 수가 지원됩니다.

  • 수신 트래픽의 경우:

    • 포트에 구성된 방화벽 필터의 경우 용어 3500개

    • VLAN에 구성된 방화벽 필터의 경우 용어 3500개

    • IPv4 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 7000개

    • IPv6 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 3500개

  • EX4300-MP 디바이스의 경우 수신 지원은 다음 예외를 제외하고 위의 것과 동일합니다.

    • IPv4 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 3072개

  • 송신 트래픽의 경우:

    • 포트에 구성된 방화벽 필터의 경우 용어 512개

    • VLAN에 구성된 방화벽 필터의 경우 용어 256개

    • IPv4 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 512개

    • IPv6 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 512개

  주:

  스위치에서 한 가지 유형의 방화벽 필터(포트, VLAN 또는 라우터(레이어 3) 방화벽 필터)를 구성하고 스위치의 인터페이스에서 스톰 컨트롤이 활성화되지 않은 경우에만 최대 용어 수를 구성할 수 있습니다.

• EX4500 및 EX4550 스위치의 경우 1200

• EX6200 스위치의 경우 1400

• EX8200 스위치의 경우 32,768개

주:

EX8200 스위치의 공유 공간 TCAM에 대한 온 디맨드 동적 할당은 방화벽 필터에 자유 공간 블록을 할당함으로써 달성됩니다. 방화벽 필터는 두 개의 서로 다른 풀로 분류됩니다. 포트 및 VLAN 필터는 함께 풀링되고(이 풀의 메모리 임계값은 22K임) 라우터 방화벽 필터는 별도로 풀링됩니다(이 풀에 대한 임계값은 32K임). 할당은 필터 풀 유형을 기반으로 수행됩니다. 자유 공간 블록은 동일한 필터 풀 유형에 속한 방화벽 필터 사이에서만 공유할 수 있습니다. TCAM 임계값을 초과하여 방화벽 필터를 구성하려고 시도하면 오류 메시지가 생성됩니다.

각 용어는 다음과 같은 구성 요소로 구성됩니다.

• 일치 조건 - 패킷이 포함해야 하는 값 또는 필드를 지정합니다. IP 소스 주소 필드, IP 대상 주소 필드, TCP(Transmission Control Protocol) 또는 UDP(User Datagram Protocol) 소스 포트 필드, IP 프로토콜 필드, ICMP(Internet Control Message Protocol) 패킷 유형, TCP 플래그 및 인터페이스를 포함한 다양한 일치 조건을 정의할 수 있습니다.

• 작업 - 패킷이 일치 조건과 일치할 경우 수행할 작업을 지정합니다. 가능한 조치는 패킷을 수락 또는 폐기하거나 패킷을 특정 가상 라우팅 인터페이스로 전송하는 것입니다. 또한 패킷은 통계 정보를 수집하도록 계산될 수 있습니다. 용어에 대해 작업이 지정되지 않은 경우, 기본 조치는 패킷을 수락하는 것입니다.

• 작업 수정자 - 패킷이 일치 조건과 일치하는 경우 스위치에 대해 하나 이상의 작업을 지정합니다. 카운트, 미러, 속도 제한, 패킷 분류와 같은 작업 수정자를 지정할 수 있습니다.

방화벽 필터 처리

방화벽 필터 구성 내의 용어 순서가 중요합니다. 패킷은 방화벽 필터 구성에 용어가 나열된 순서대로 각 용어에 대해 테스트됩니다. 방화벽 필터가 패킷을 처리하는 방식에 대한 자세한 내용은 방화벽 필터 평가 방법 이해하기를 참조하십시오.