Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EX 시리즈 스위치용 방화벽 필터 개요

방화벽 필터는 주니퍼 네트웍스 EX 시리즈 이더넷 스위치의 인터페이스를 소스 주소에서 대상 주소로 전송하는 패킷을 허용, 거부 또는 전달할지 여부를 정의하는 규칙을 제공합니다. 방화벽 필터를 구성하여 트래픽이 방화벽 필터가 적용된 포트, VLAN 또는 레이어 3(라우팅) 인터페이스에 들어오거나 나가기 전에 트래픽을 허용할지, 거부할지 또는 전달할지 결정합니다. 방화벽 필터를 적용하려면 먼저 필터를 구성한 다음 포트, VLAN 또는 레이어 3 인터페이스에 적용해야 합니다.

네트워크 인터페이스, 어그리게이션 이더넷 인터페이스(링크 어그리게이션 그룹(LAG)라고도 함), 루프백 인터페이스, 관리 인터페이스, 가상 관리 이더넷 인터페이스(VME), 라우팅된 VLAN 인터페이스(RIRI)에 방화벽 필터를 적용할 수 있습니다. 이러한 인터페이스에서 방화벽 필터를 지원하는 EX 시리즈 스위치에 대한 정보는 EX 시리즈 스위치 소프트웨어 기능 개요를 참조하십시오.https://www.juniper.net/documentation/en_US/release-independent/junos/topics/concept/ex-series-software-features-overview.html

수신 방화벽 필터는 네트워크에 들어오는 패킷에 적용되는 필터입니다. 송신 방화벽 필터는 네트워크를 나가는 패킷에 적용되는 필터입니다. 방화벽 필터를 구성하여 패킷을 필터링, CoS(class-of-service) 마킹(유사한 유형의 트래픽을 함께 그룹화하고 각 유형의 트래픽을 고유한 서비스 우선 순위 수준을 가진 클래스로 처리) 및 트래픽 폴리싱(인터페이스에서 전송 또는 수신되는 트래픽의 최대 속도 제어)의 대상이 되도록 구성할 수 있습니다.

주:

네트워크 포트, 레이어 2 및 레이어 3 또는 IRB 인터페이스의 폴리서는 호스트 바운드 트래픽을 폴리싱하지 않습니다. 그러나 디도스(DDoS) 공격을 방지하려면 라우팅 엔진을 보호하는 lo0에 방화벽 필터를 생성할 수 있습니다.

방화벽 필터 유형

EX 시리즈 스위치에 지원되는 방화벽 필터 유형은 다음과 같습니다.

  • 포트(레이어 2) 방화벽 필터 - 포트 방화벽 필터는 레이어 2 스위치 포트에 적용됩니다. 물리적 포트에서 수신 및 송신 방향 모두에 포트 방화벽 필터를 적용할 수 있습니다.

  • VLAN 방화벽 필터 - VLAN 방화벽 필터는 VLAN에 들어오거나, VLAN 내에서 브리징되거나, VLAN을 나가는 패킷에 대한 액세스 제어를 제공합니다. VLAN에서 수신 및 송신 방향 모두에 VLAN 방화벽 필터를 적용할 수 있습니다. VLAN 방화벽 필터는 VLAN으로 전달되거나 VLAN에서 전달되는 모든 패킷에 적용됩니다.

  • 라우터(레이어 3) 방화벽 필터 - 레이어 3(라우팅) 인터페이스 및 라우팅된 VLAN 인터페이스(RVI)의 수신 및 송신 방향 모두에 라우터 방화벽 필터를 적용할 수 있습니다. 루프백 인터페이스()의 수신 방향으로 라우터 방화벽 필터를 적용할 수도 있습니다.lo0 루프백 인터페이스에 구성된 방화벽 필터는 추가 처리를 위해 라우팅 엔진 CPU로 전송되는 패킷에만 적용됩니다.

포트, VLAN 또는 라우터 방화벽 필터를 다음 스위치의 IPv4 및 IPv6 트래픽 모두에 적용할 수 있습니다.

  • EX2200 스위치

  • EX3300 스위치

  • EX3200 스위치

  • EX4200 스위치

  • EX4300 스위치

  • EX4400 스위치

  • EX4500 스위치

  • EX4550 스위치

  • EX6200 스위치

  • EX8200 스위치

다양한 스위치에서 지원되는 방화벽 필터에 대한 정보는 EX 시리즈 스위치의 방화벽 필터 일치 조건, 작업 및 작업 수정자에 대한 플랫폼 지원을 참조하십시오.EX 시리즈 스위치의 방화벽 필터 일치 조건, 작업 및 작업 수정자를 위한 플랫폼 지원

방화벽 필터 구성 요소

방화벽 필터에서는 먼저 제품군 주소 유형(, 또는 )을 정의한 다음 필터링 기준(일치 조건이 있는 용어로 지정)과 일치가 발생할 경우 수행할 작업(작업 또는 작업 수정자로 지정)을 지정하는 하나 이상의 용어를 정의합니다.ethernet-switchinginetinet6

EX 시리즈 스위치의 방화벽 필터당 허용되는 최대 용어 수는 다음과 같습니다.

  • EX2200 스위치의 경우 512

  • EX3300 스위치의 경우 1436

    주:

    EX3300 스위치에서는, 동일한 커밋 작업에서 상당히 많은 수의 용어(1,000개 이상의 항)가 있는 필터를 추가 및 삭제할 경우 일부 필터가 설치되지 않습니다. 하나의 커밋 작업에 필터를 추가하고 별도의 커밋 작업에서 필터를 삭제해야 합니다.

  • EX3200 및 EX4200 스위치의 경우 7,042 - 방화벽 필터에 대한 TCAM(Ternary Content Addressable Memory)의 동적 할당에 의해 할당됨.

  • EX4300 스위치에서는 수신 및 송신 트래픽, 포트, VLAN 및 레이어 3 인터페이스에 구성된 방화벽 필터에 대해 다음과 같은 최대 용어 수가 지원됩니다.

    • 수신 트래픽:

      • 포트에 구성된 방화벽 필터의 경우 용어 3500개

      • VLAN에 구성된 방화벽 필터의 경우 용어 3500개

      • IPv4 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 7000개

      • IPv6 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 3,500개

    • EX4300-MP 디바이스의 경우 수신 지원은 다음과 같은 예외를 제외하고 위와 동일합니다.

      • IPv4 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 3072개

    • 송신 트래픽:

      • 포트에 구성된 방화벽 필터의 경우 용어 512개

      • VLAN에 구성된 방화벽 필터의 경우 용어 256개

      • IPv4 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 512개

      • IPv6 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 512개

    주:

    스위치에 한 가지 유형의 방화벽 필터(포트, VLAN 또는 라우터(레이어 3) 방화벽 필터)를 구성하고 스위치의 인터페이스에서 스톰 제어가 활성화되지 않은 경우에만 최대 용어 수를 구성할 수 있습니다.

  • EX4400 스위치의 경우, 수신 및 송신 트래픽, 포트, VLAN 및 레이어 3 인터페이스에 구성된 방화벽 필터에 대해 다음과 같은 최대 용어 수가 지원됩니다.

    • 수신 트래픽:

      • 포트에 구성된 방화벽 필터의 경우 2048개 용어.

      • VLAN에 구성된 방화벽 필터의 경우 2048개 용어입니다.

      • 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 2048개 용어.

    • 송신 트래픽:

      • 포트에 구성된 방화벽 필터의 경우 1024개 용어.

      • VLAN에 구성된 방화벽 필터의 경우 용어 512개.

      • 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 1024개 용어.

  • EX4500 및 EX4550 스위치의 경우 1200

  • EX6200 스위치의 경우 1400

  • EX8200 스위치 경우 32,768개

주:

EX8200 스위치에서 공유 공간 TCAM의 온디맨드 동적 할당은 방화벽 필터에 여유 공간 블록을 할당함으로써 이루어집니다. 방화벽 필터는 두 개의 서로 다른 풀로 분류됩니다. 포트 및 VLAN 필터는 함께 풀링되고(이 풀의 메모리 임계값은 22K) 라우터 방화벽 필터는 별도로 풀링됩니다(이 풀의 임계값은 32K). 할당은 필터 풀 유형에 따라 발생합니다. 여유 공간 블록은 동일한 필터 풀 유형에 속하는 방화벽 필터 간에만 공유할 수 있습니다. TCAM 임계값을 초과하여 방화벽 필터를 구성하려고 하면 오류 메시지가 생성됩니다.

각 용어는 다음 구성 요소로 구성됩니다.

  • 일치 조건 - 패킷에 포함되어야 하는 값 또는 필드를 지정합니다. IP 소스 주소 필드, IP 대상 주소 필드, TCP(Transmission Control Protocol) 또는 UDP(User Datagram Protocol) 소스 포트 필드, IP 프로토콜 필드, ICMP(Internet Control Message Protocol) 패킷 유형, TCP 플래그 및 인터페이스를 포함한 다양한 일치 조건을 정의할 수 있습니다.

  • Action(작업) - 패킷이 일치 조건과 일치하는 경우 수행할 작업을 지정합니다. 가능한 조치는 패킷을 수락 또는 폐기하거나 패킷을 특정 가상 라우팅 인터페이스로 보내는 것입니다. 또한 패킷을 카운팅하여 통계 정보를 수집할 수 있습니다. 용어에 대해 조치가 지정되지 않은 경우, 기본 조치는 패킷을 수락하는 것입니다.

  • Action modifier - 패킷이 일치 조건과 일치하는 경우 스위치에 대해 하나 이상의 작업을 지정합니다. 개수, 미러링, 속도 제한 및 패킷 분류와 같은 작업 수정자를 지정할 수 있습니다.

방화벽 필터 처리

방화벽 필터 구성 내에서 용어의 순서가 중요합니다. 패킷은 방화벽 필터 구성에 나열된 순서대로 각 용어에 대해 테스트됩니다. 방화벽 필터가 패킷을 처리하는 방법에 대한 자세한 내용은 방화벽 필터 평가 방법 이해를 참조하십시오.방화벽 필터 평가 방법 이해