방화벽 필터 개요(OCX 시리즈)
방화벽 필터는 인터페이스를 통과하는 패킷을 수락할지 또는 폐기할지를 정의하는 규칙을 제공합니다. 패킷이 수락되면 CoS(class-of-service) 마킹(유사한 유형의 트래픽을 함께 그룹화하고 각 유형의 트래픽을 고유한 서비스 수준의 우선 순위를 가진 클래스로 처리) 및 트래픽 폴리싱(전송 또는 수신된 트래픽의 최대 속도 제어)과 같은 패킷에 수행할 추가 작업을 구성할 수 있습니다. 방화벽 필터를 구성하여 패킷이 레이어 3(라우팅) 인터페이스에 들어가거나 나가기 전에 패킷을 수락할지 또는 폐기할지 결정합니다.
수신 방화벽 필터는 인터페이스에 들어오는 패킷에 적용되고, 송신 방화벽 필터는 인터페이스를 나가는 패킷에 적용됩니다.
방화벽 필터는 ACL(액세스 제어 목록 )이라고도 합니다.
필터를 적용할 수 있는 위치
IPv4 또는 IPv6 레이어 3(라우팅) 인터페이스 와 루프백 인터페이스에서 수신 및 송신 방향 모두에 라우터 방화벽 필터를 적용하여 스위치 자체로 전송되거나 스위치에서 생성된 트래픽을 필터링할 수 있습니다.
입력 방향의 루프백 인터페이스에 필터를 적용하여 원치 않는 트래픽으로부터 스위치를 보호할 수 있습니다. 또한 출력 방향으로 루프백 인터페이스에 필터를 적용하여 스위치 자체에서 시작되는 패킷에 대한 포워딩 클래스 및 DSCP 비트 값을 설정할 수 있습니다. 이 기능을 사용하면 CPU 생성 패킷의 분류를 매우 세밀하게 제어할 수 있습니다. 예를 들어, 서로 다른 라우팅 프로토콜에서 생성된 트래픽에 서로 다른 DSCP 값과 포워딩 클래스를 할당하여 해당 프로토콜의 트래픽이 다른 디바이스에서 차별화된 방식으로 처리될 수 있도록 할 수 있습니다.
QFX5220 스위치에서는 수신 방향의 루프백 인터페이스에만 필터를 적용할 수 있습니다.
동일한 인터페이스에 수신 및 송신 필터를 적용하면 수신 필터가 먼저 처리됩니다.
방화벽 필터 적용하기:
방화벽 필터를 구성합니다.
방화벽 필터를 레이어 3 인터페이스에 적용하고 방향을 지정합니다. 방향을 지정하면
input
수신 시 트래픽이 필터링됩니다. 방향을 지정하면output
송신 시 트래픽이 필터링됩니다.
지정된 방향에 대해 레이어 3 인터페이스에 하나의 방화벽 필터만 적용할 수 있습니다. 예를 들어, 주어진 family inet
인터페이스에 대해 입력에 대해 하나의 필터를 적용하고 출력에 대해 하나의 필터를 적용할 수 있습니다.
OCX 스위치는 에 표 1표시된 접속 지점 유형당 최대 방화벽 필터 용어 수를 지원합니다.
필터 유형 | 최대 필터 수 |
진입 |
1536 |
출구 |
1024 |
방화벽 필터 구성 요소
방화벽 필터에서 먼저 제품군 주소 유형(inet
IPv4의 경우 또는 inet6
IPv6의 경우)을 정의한 다음 필터링 기준과 일치가 발생할 경우 취할 조치를 지정하는 하나 이상의 용어를 정의합니다.
각 용어는 다음 구성 요소로 구성됩니다.
일치 조건 - 패킷이 일치로 간주되기 위해 포함해야 하는 값을 지정합니다.
Action(작업) - 패킷이 일치 조건과 일치하는 경우 수행할 작업을 지정합니다. 필터는 일치하는 패킷을 수락, 삭제 또는 거부한 다음 카운팅, 분류 및 폴리싱과 같은 추가 작업을 수행할 수 있습니다. 용어에 대해 조치가 지정되지 않은 경우, 기본값은 일치하는 패킷을 수락하는 것입니다.
방화벽 필터 처리
필터에 여러 용어가 있는 경우 용어의 순서가 중요합니다. 패킷이 첫 번째 용어와 일치하면 스위치는 해당 용어로 정의된 작업을 실행하며 다른 용어는 평가되지 않습니다. 스위치가 패킷과 첫 번째 용어 간의 일치 항목을 찾지 못하면 패킷을 다음 용어와 비교합니다. 패킷과 두 번째 용어 사이에 일치가 발생하지 않으면 시스템은 일치가 발견될 때까지 필터를 필터의 각 연속 용어와 패킷을 계속 비교합니다. 패킷이 필터의 용어와 일치하지 않으면 스위치는 기본적으로 패킷을 삭제합니다.