Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EX 시리즈 스위치를 위한 방화벽 필터 개요

방화벽 필터는 소스 주소에서 대상 주소로 인터페이스를 전송하는 주니퍼 네트웍스 이더넷 스위치 패킷을 허용, 거부 또는 포우링할 것인지 정의하는 규칙을 제공합니다. 방화벽 필터를 구성하여 트래픽이 포트, VLAN 또는 방화벽 필터가 적용되는 레이어 3(라우팅된) 인터페이스에 들어오기 전에 트래픽을 허용, 거부 또는 포우링할지 여부를 결정합니다. 방화벽 필터를 적용하려면 먼저 필터를 구성한 다음 포트, VLAN 또는 레이어 3 인터페이스에 적용해야 합니다.

방화벽 필터를 네트워크 인터페이스, 통합 이더넷 인터페이스(LAG(Link Aggregation Groups)), 루프백 인터페이스, 관리 인터페이스, 가상 관리 이더넷 인터페이스(VMES), 라우팅 VLAN 인터페이스(RIS)에 적용할 수 있습니다. 인터페이스에서 방화벽 필터를 지원하는 EX 시리즈 스위치에 대한 정보는 EX 시리즈 스위치 소프트웨어 기능 개요 를 참조하십시오.

수신 방화벽 필터는 네트워크에 들어오고 있는 패킷에 적용되는 필터입니다. egress 방화벽 필터는 네트워크에서 나가는 패킷에 적용되는 필터입니다. 필터링, CoS(Class-of-Service) 마킹(유사한 유형의 트래픽을 함께 그룹화하고, 각 트래픽 유형을 자체 서비스 우선 순위를 가지는 클래스로 취급), 트래픽 폴링(인터페이스에서 전송 또는 수신되는 트래픽의 최대 속도 제어)을 위한 방화벽 필터를 구성할 수 있습니다.

방화벽 필터 유형

EX 시리즈 스위치에서 지원되는 방화벽 필터 유형은 다음과 같습니다.

  • 포트(Layer 2) 방화벽 필터—포트 방화벽 필터가 Layer 2 스위치 포트에 적용됩니다. 물리적 포트에서 ingress 및 egress 방향 모두에서 포트 방화벽 필터를 적용할 수 있습니다.

  • VLAN 방화벽 필터—VLAN 방화벽 필터는 VLAN에 들어오거나, VLAN 내에서 브리전스되거나, VLAN을 남겨두는 패킷에 대한 액세스 제어를 제공합니다. VLAN에서 ingress 및 egress 방향 모두에 VLAN 방화벽 필터를 적용할 수 있습니다. VLAN 방화벽 필터는 VLAN으로 전달되거나 VLAN에서 전달되는 모든 패킷에 적용됩니다.

  • 라우터(Layer 3) 방화벽 필터—Layer 3(Routed) 인터페이스와 라우팅된 VLAN 인터페이스(RIS)에서 ingress 및 egress 방향 모두에 라우터 방화벽 필터를 적용할 수 있습니다. 루프백 인터페이스()의 ingress 방향에도 라우터 방화벽 필터를 적용할 수 lo0 있습니다. 루프백 인터페이스에서 구성된 방화벽 필터는 추가 처리를 위해 라우팅 엔진 패킷에만 적용됩니다.

이러한 스위치에서 IPv4 및 IPv6 트래픽 모두에 포트, VLAN 또는 라우터 방화벽 필터를 적용할 수 있습니다.

  • EX2200 스위치

  • EX3300 스위치

  • EX3200 스위치

  • EX4200 스위치

  • EX4300 스위치

  • EX4500 스위치

  • EX4550 스위치

  • EX6200 스위치

  • EX8200 스위치

서로 다른 스위치에서 지원되는 방화벽 필터에 대한 정보는 EX 시리즈 스위치의 방화벽 필터 일치 조건, 작업 및 조치 수정자에 대한 플랫폼 지원을 참조하십시오.

방화벽 필터 구성 요소

방화벽 필터에서 먼저 패밀리 주소 유형(또는, 또는)을 정의한 다음, 필터링 기준(일치 조건이 지정된 조건으로 지정)과 일치할 경우 수행할 조치(작업 또는 조치 수정자로 지정)를 지정하는 하나 이상의 용어를 ethernet-switchinginetinet6 정의합니다.

EX 시리즈 스위치의 방화벽 필터당 허용되는 최대 용어 개수는 다음과 같습니다.

  • 512 for EX2200 스위치

  • 1436 EX3300 스위치용

    주:

    스위치 EX3300 동일한 커밋 작업에서 많은 수의 용어(1000개 이상)를 사용하는 필터를 추가 및 삭제하는 경우 모든 필터가 설치되지는 않습니다. 한 커밋 작업에 필터를 추가하고 별도의 커밋 작업에서 필터를 삭제해야 합니다.

  • 방화벽 필터에 대한 TCAM(ternary content addressable memory)의 동적 할당에 따라 EX3200 및 EX4200 스위치용 7,042개

  • 스위치에서 EX4300, 포트, VLAN 및 Layer 3 인터페이스에 구성된 방화벽 파일러의 경우, ingress 및 egress 트래픽에 대해 지원되는 최대 조건 수가 지원됩니다.

    • ingress 트래픽의 경우:

      • 포트에서 구성된 방화벽 필터에 대한 3500개 용어

      • VLAN에서 구성된 방화벽 필터에 대한 3500 용어

      • IPv4 트래픽용 레이어 3 인터페이스에서 구성된 방화벽 필터에 대한 7000개 용어

      • IPv6 트래픽을 위한 레이어 3 인터페이스에서 구성된 방화벽 필터에 대한 3500개 용어

    • egress 트래픽의 경우:

      • 포트에서 구성된 방화벽 필터에 대한 512 약관

      • VLAN에서 구성된 방화벽 필터에 대한 256 약관

      • IPv4 트래픽용 레이어 3 인터페이스에서 구성된 방화벽 필터에 대한 512 약관

      • IPv6 트래픽을 위한 레이어 3 인터페이스에서 구성된 방화벽 필터에 대한 512 약관

    주:

    스위치에서 한 가지 유형의 방화벽 필터(포트, VLAN 또는 라우터(레이어 3) 방화벽 필터를 구성하고 스위치의 인터페이스에 스톰 컨트롤이 활성화되지 않은 경우만 최대 용어 수를 구성할 수 있습니다.

  • 1200대의 EX4500 및 EX4550 스위치용

  • 1400 EX6200 스위치용

  • 32,768대(EX8200 스위치용)

주:

스위치의 공유 공간 TCAM은 방화벽 필터에 EX8200 공간 블록을 할당하여 동적으로 할당됩니다. 방화벽 필터는 2개의 서로 다른 풀로 분류됩니다. 포트 및 VLAN 필터가 함께 풀로 풀(이 풀의 메모리 임계값은 22K)을, 라우터 방화벽 필터는 별도로 풀로 풀화됩니다(이 풀에 대한 임계값은 32K입니다). 할당은 필터 풀 유형에 따라 발생합니다. 무료 공간 블록은 동일한 필터 풀 유형에 속하는 방화벽 필터 사이에서만 공유할 수 있습니다. TCAM 임계값을 넘어 방화벽 필터를 구성하려고 할 때 오류 메시지가 생성됩니다.

각 용어는 다음과 같은 구성 요소로 구성됩니다.

  • 조건 일치—패킷이 포함해야 하는 값이나 필드를 지정합니다. IP 소스 주소 필드, IP 대상 주소 필드, TCP(Transmission Control Protocol) 또는 UDP(User Datagram Protocol) 소스 포트 필드, IP 프로토콜 필드, ICMP(Internet Control Message Protocol) 패킷 유형, TCP 플래그 및 인터페이스 등 다양한 일치 조건을 정의할 수 있습니다.

  • 작업—패킷이 일치 조건과 일치하는 경우 할 일을 지정합니다. 가능한 작업은 패킷을 수락 또는 폐기하거나 패킷을 특정 가상 라우팅 인터페이스로 전송하는 것입니다. 또한 패킷은 통계 정보를 수집하기 위해 카운트를 할 수 있습니다. 용어에 대해 아무 조치도 지정되지 않은 경우, 기본 조치는 패킷에 동의하는 것입니다.

  • 조치 수정자—패킷이 일치 조건에 일치하는 경우 스위치에 대한 하나 이상의 작업을 지정합니다. 카운트, 미러링, 속도 제한, 패킷 분류와 같은 조치 수정자를 지정할 수 있습니다.

방화벽 필터 처리

방화벽 필터 구성 내의 용어 순서는 중요합니다. 방화벽 필터 구성에 용어가 나열된 순서대로 각 용어에 대해 패킷을 테스트합니다. 방화벽 필터가 패킷을 처리하는 방법에 대한 자세한 내용은 방화벽 필터 평가 방법 이해 를 참조하십시오.