Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

필터 기반 포워딩 개요

방화벽 필터를 사용하여 특정 패킷을 차단할 수 있습니다. 또한 특정 패킷이 전달되는 방식에 영향을 주는 데 사용할 수도 있습니다.

패킷을 분류하거나 라우팅 인스턴스로 보내는 필터

IPv4 또는 IPv6 트래픽의 경우에만, 포워딩 클래스 및 라우팅 인스턴스와 함께 스테이트리스 방화벽 필터를 사용하여 네트워크에서 패킷이 이동하는 방식을 제어할 수 있습니다. 이를 필터 기반 포워딩 (FBF)이라고 합니다.

소스 주소를 기반으로 수신 패킷을 일치시킨 다음 일치하는 패킷을 지정된 포워딩 클래스로 분류하는 필터링 용어를 정의할 수 있습니다. 이러한 유형의 필터링은 특정 유형의 트래픽에 우선 처리를 부여하거나 로드 밸런싱을 개선하도록 구성할 수 있습니다. 패킷을 포워딩 클래스로 분류하기 위해 스테이트리스 방화벽 필터를 구성하려면 nonterminating 작업으로 forwarding-class class-name 용어를 구성합니다.

일치하는 패킷을 지정된 라우팅 인스턴스로 보내는 필터링 용어를 정의할 수도 있습니다. 이러한 유형의 필터링은 트래픽이 해당 경로에서 계속되기 전에 방화벽 또는 기타 보안 디바이스를 통해 특정 유형의 트래픽을 라우팅하도록 구성할 수 있습니다. 트래픽을 라우팅 인스턴스로 전달하도록 상태 비저장 방화벽 필터를 구성하려면, 일치하는 패킷이 전달될 라우팅 인스턴스를 지정하는 종료 동작 routing-instance routing-instance-name <topology topology-name> 으로 용어를 구성합니다.

주:

uRPF(Unicast Reverse Path Forwarding) 확인은 FBF 작업과 호환됩니다. 정적 및 동적 인터페이스에 대해 FBF 작업이 활성화되기 전에 소스 주소 확인을 위해 uRPF 검사가 처리됩니다. 이는 IPv4 및 IPv6 제품군 모두에 적용됩니다.

주:

SOF(Services Offload) 및 PMI(Power Mode Ipsec) 경로 뒤에는 FBF로 전달되는 패킷이 뒤따르지 않습니다.

  • SOF - SOF가 활성화된 경우에도 패킷이 FBF로 전달되면 SOF를 통과하지 않습니다.

  • PMI - 필터가 구성된 방향인 PMI가 구성된 경우 해당 방향의 패킷은 PMI를 통과하지 않습니다. 반환 패킷이 FBF로 전달되지 않는 경우 반환 패킷은 PMI를 통과합니다.

트래픽을 마스터 라우팅 인스턴스로 전달하려면 다음과 같이 방화벽 구성에서 을(를) 참조하십시오 routing-instance default .

주:

를 참조 routing-instance master하지 마십시오. 이것은 작동하지 않습니다.

라우터 또는 스위치 내에서 패킷을 분류 및 전달하기 위한 입력 필터링

소스 주소를 기준으로 패킷을 분류하도록 필터를 구성하고 수신 인터페이스에서 필터를 구성하여 라우터 또는 스위치 내에서 패킷이 취하는 전달 경로를 지정할 수 있습니다.

예를 들어 애플리케이션에 대해 이 필터를 사용하여 공통 액세스 레이어(예: 레이어 2 스위치)가 있지만 서로 다른 ISP(인터넷 서비스 공급자)에 연결된 두 클라이언트와 트래픽을 구별할 수 있습니다. 필터가 적용되면 라우터 또는 스위치는 두 트래픽 스트림을 구별하고 각각을 적절한 네트워크로 보낼 수 있습니다. 클라이언트가 사용 중인 미디어 유형에 따라 필터는 원본 IP 주소를 사용하여 터널을 통해 해당 네트워크로 트래픽을 전달할 수 있습니다. IP 프로토콜 유형 또는 IP 우선순위 비트를 기준으로 패킷을 분류하도록 필터를 구성할 수도 있습니다.

패킷을 다른 라우팅 테이블로 전달하기 위한 출력 필터링

송신 인터페이스에서 필터를 구성하여 출력 필터를 기반으로 패킷을 전달할 수도 있습니다. 포트 미러링의 경우, 포트 미러링된 패킷이 패킷 헤더의 패턴을 기반으로 여러 모니터링 PIC 및 수집 PIC에 배포되는 것이 유용합니다. 포트 미러링 송신 인터페이스의 FBF를 구성해야 합니다.

출력 필터로 전달된 패킷은 송신 인터페이스에 FBF 필터가 구성될 때 하나 이상의 경로 조회를 거쳤습니다. 패킷이 FBF 필터에 의해 송신 인터페이스에서 분류된 후 추가 경로 조회를 위해 다른 라우팅 테이블로 리디렉션됩니다.

필터 기반 전달 적용에 대한 제한 사항

필터 기반 포워딩으로 구성된 인터페이스는 SCU(Source-Class Usage) 필터 매칭 또는 SCU/DCU(Source-Class and Destination-Class Usage) 어카운팅을 지원하지 않습니다.

필터 기반 포워딩이 인터페이스에 직접 연결되거나 포워딩 테이블 필터를 통해 연결된 경우 해당 인터페이스의 DCU가 작동하지 않습니다.