Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EX 시리즈 스위치를 위한 방화벽 필터 개요

방화벽 필터는 주니퍼 네트웍스 EX 시리즈 이더넷 스위치의 인터페이스를 전송하는 패킷을 소스 주소에서 대상 주소로 전송하는 패킷의 허용, 거부 또는 전달 여부를 정의하는 규칙을 제공합니다. 방화벽 필터를 구성하여 방화벽 필터가 적용되는 포트, VLAN 또는 레이어 3(라우팅된) 인터페이스에 들어오거나 나가기 전에 트래픽을 허용, 거부 또는 포워딩할 것인지 결정합니다. 방화벽 필터를 적용하려면 먼저 필터를 구성한 다음 포트, VLAN 또는 레이어 3 인터페이스에 적용해야 합니다.

방화벽 필터를 네트워크 인터페이스, 통합 이더넷 인터페이스(링크 어그리게이션 그룹(LAG)), 루프백 인터페이스, 관리 인터페이스, 가상 관리 이더넷 인터페이스(VEM), 라우팅 VLAN 인터페이스(RIS)에 적용할 수 있습니다. 이러한 인터페이스에서 방화벽 필터를 지원하는 EX 시리즈 스위치에 대한 자세한 내용은 EX 시리즈 스위치 소프트웨어 기능 개요를 참조하십시오.

Ingress 방화벽 필터는 네트워크에 진입하는 패킷에 적용되는 필터입니다. 송신 방화벽 필터는 네트워크를 빠져 나가는 패킷에 적용되는 필터입니다. 방화벽 필터를 패킷에 필터링, CoS(Class-of-Service) 마킹(유사한 유형의 트래픽을 함께 그룹화하고, 각 트래픽을 고유한 서비스 우선 순위 수준으로 클래스로 취급) 및 트래픽 폴리싱(인터페이스에서 송수신되는 최대 트래픽 속도 제어)에 따라 방화벽 필터를 구성할 수 있습니다.

방화벽 필터 유형

EX 시리즈 스위치에는 다음과 같은 방화벽 필터 유형이 지원됩니다.

  • 포트(Layer 2) 방화벽 필터—포트 방화벽 필터는 레이어 2 스위치 포트에 적용됩니다. 물리적 포트에서 수신 및 송신 방향 모두에서 포트 방화벽 필터를 적용할 수 있습니다.

  • VLAN 방화벽 필터—VLAN 방화벽 필터는 VLAN에 진입하거나, VLAN 내에서 브리징되거나, VLAN을 남기는 패킷에 대한 액세스 제어를 제공합니다. VLAN에서 수신 및 송신 방향 모두에서 VLAN 방화벽 필터를 적용할 수 있습니다. VLAN 방화벽 필터는 VLAN으로 전달되거나 VLAN에서 포워딩되는 모든 패킷에 적용됩니다.

  • 라우터(Layer 3) 방화벽 필터—라우터 방화벽 필터는 수신 및 송신 방향 모두에서 레이어 3(라우팅) 인터페이스와 라우팅 VLAN 인터페이스(RPI)에 적용할 수 있습니다. 또한 루프백 인터페이스(lo0)에서 수신 방향으로 라우터 방화벽 필터를 적용할 수 있습니다. 루프백 인터페이스에서 구성된 방화벽 필터는 추가 처리를 위해 Routing Engine CPU로 전송되는 패킷에만 적용됩니다.

이 스위치의 IPv4 및 IPv6 트래픽 에 포트 , VLAN 또는 라우터 방화벽 필터를 적용할 수 있습니다.

  • EX2200 스위치

  • EX3300 스위치

  • EX3200 스위치

  • EX4200 스위치

  • EX4300 스위치

  • EX4500 스위치

  • EX4550 스위치

  • EX6200 스위치

  • EX8200 스위치

다양한 스위치에서 지원되는 방화벽 필터에 대한 자세한 내용은 EX 시리즈 스위치의 방화벽 필터 일치 조건, 작업 및 액션 Modifiers에 대한 플랫폼 지원을 참조하십시오.

방화벽 필터 구성 요소

방화벽 필터에서 먼저 패밀리 주소 유형(, inet또는inet6)을 정의한 다음 필터링 기준(ethernet-switching일치 조건의 용어로 지정됨)과 일치되는 경우 수행할 작업(작업 또는 작업 수정자로 지정)을 지정하는 하나 이상의 용어를 정의합니다.

EX 시리즈 스위치의 방화벽 필터당 허용되는 최대 용어 수는 다음과 같습니다.

  • EX2200 스위치용 512

  • EX3300 스위치용 1436

    주:

    EX3300 스위치에서 동일한 커밋 작업에서 많은 수의 용어(1000개 이상의 순서로)로 필터를 추가 및 삭제하는 경우 모든 필터가 설치되지는 않습니다. 하나의 커밋 작업에서 필터를 추가하고 별도의 커밋 작업에서 필터를 삭제해야 합니다.

  • EX3200 및 EX4200 스위치의 경우 7,042개—방화벽 필터를 위한 TCAM(ternary Content Addressable Memory)의 동적 할당에 의해 할당됨

  • EX4300 스위치에서는 포트, VLAN 및 레이어 3 인터페이스에 구성된 방화벽 파일러에 대해 수신 및 송신 트래픽에 대해 다음과 같은 최대 조건 수가 지원됩니다.

    • 수신 트래픽의 경우:

      • 포트에 구성된 방화벽 필터의 3500개 용어

      • VLAN에 구성된 방화벽 필터의 3500개 용어

      • IPv4 트래픽을 위한 레이어 3 인터페이스에 구성된 방화벽 필터 7000 용어

      • IPv6 트래픽을 위한 레이어 3 인터페이스에 구성된 방화벽 필터 3500 용어

    • EX4300-MP 디바이스의 경우 수신 지원은 다음과 같은 예외를 제외하고 위와 동일합니다.

      • IPv4 트래픽을 위한 레이어 3 인터페이스에 구성된 방화벽 필터에 대한 3072 용어

    • 송신 트래픽의 경우:

      • 포트에 구성된 방화벽 필터에 대한 512개 용어

      • VLAN에 구성된 방화벽 필터에 대한 256개 용어

      • IPv4 트래픽을 위한 레이어 3 인터페이스에 구성된 방화벽 필터 512개 용어

      • IPv6 트래픽을 위한 레이어 3 인터페이스에 구성된 방화벽 필터 512개 용어

    주:

    스위치에서 한 가지 유형의 방화벽 필터(포트, VLAN 또는 라우터(레이어 3) 방화벽 필터)를 구성하고 스위치의 인터페이스에서 스톰 컨트롤이 활성화되지 않은 경우에만 최대 용어 수를 구성할 수 있습니다.

  • EX4500 및 EX4550 스위치용 1200

  • EX6200 스위치용 1400

  • EX8200 스위치용 32,768개

주:

EX8200 스위치에서 공유 공간 TCAM의 온 디맨드 동적 할당은 방화벽 필터에 자유 공간 블록을 할당함으로써 이루어집니다. 방화벽 필터는 두 개의 서로 다른 풀로 범주화됩니다. 포트 및 VLAN 필터가 함께 풀(이 풀의 메모리 임계값은 22K)이며 라우터 방화벽 필터는 별도로 풀됩니다(이 풀의 임계값은 32K). 할당은 필터 풀 유형에 따라 발생합니다. 여유 공간 블록은 동일한 필터 풀 유형에 속하는 방화벽 필터 사이에서만 공유할 수 있습니다. TCAM 임계값을 초과하여 방화벽 필터를 구성하려고 할 때 오류 메시지가 생성됩니다.

각 용어는 다음과 같은 구성 요소로 구성됩니다.

  • 일치 조건—패킷에 포함되어야 하는 값 또는 필드를 지정합니다. IP 소스 주소 필드, IP 대상 주소 필드, TCP(Transmission Control Protocol) 또는 UDP(User Datagram Protocol) 소스 포트 필드, IP 프로토콜 필드, ICMP(Internet Control Message Protocol) 패킷 유형, TCP 플래그 및 인터페이스 등 다양한 일치 조건을 정의할 수 있습니다.

  • 조치—패킷이 일치 조건과 일치할 경우 수행할 작업을 지정합니다. 가능한 조치는 패킷을 수락하거나 폐기하거나 패킷을 특정 가상 라우팅 인터페이스로 보내는 것입니다. 또한 패킷은 통계 정보를 수집하도록 계산할 수 있습니다. 용어에 대해 아무런 조치가 지정되지 않은 경우, 기본 조치는 패킷을 수락하는 것입니다.

  • 작업 수정자—패킷이 일치 조건에 일치하는 경우 스위치에 대해 하나 이상의 작업을 지정합니다. 카운트, 미러, 속도 제한, 패킷 분류와 같은 작업 수정자를 지정할 수 있습니다.

방화벽 필터 처리

방화벽 필터 구성 내의 용어 순서가 중요합니다. 패킷은 방화벽 필터 구성에 용어가 나열되는 순서대로 각 용어에 대해 테스트됩니다. 방화벽 필터가 패킷을 처리하는 방식에 대한 자세한 내용은 방화벽 필터 평가 방법 이해를 참조하십시오.