Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

방화벽 필터 개요(QFX 시리즈)

액세스 제어 목록(ACL)이라고도 하는 방화벽 필터는 인터페이스를 통과하는 패킷을 수락할지 또는 삭제할지를 정의하는 규칙을 제공합니다. 패킷이 수락되면 CoS(Class-of-Service) 마킹(유사한 유형의 트래픽을 함께 그룹화하고 각 유형의 트래픽을 고유한 서비스 수준의 우선 순위를 가진 클래스로 취급) 및 트래픽 폴리싱(전송 또는 수신된 트래픽의 최대 속도 제어)과 같은 패킷에 대한 추가 작업을 구성할 수 있습니다.

방화벽 필터를 구성하여 패킷이 포트, VLAN, 레이어 2 CCC, 레이어 3(라우팅) 인터페이스, 라우팅된 VLAN 인터페이스(RVI) 또는 MPLS 인터페이스에 들어가거나 나가기 전에 패킷을 수락하거나 폐기할 위치를 결정할 수 있습니다.

인터페이스 또는 VLAN에 들어오는 패킷에는 수신(입력)방화벽 필터가 적용되고, 인터페이스 또는 VLAN을 나가는 패킷에는 송신(출력) 방화벽 필터가 적용됩니다.

주:

네트워크 포트, 레이어 2 및 레이어 3 또는 IRB 인터페이스의 폴리서는 호스트 바운드 트래픽을 폴리싱하지 않습니다. 그러나 디도스(DDoS) 공격을 방지하려면 라우팅 엔진을 보호하는 lo0에 방화벽 필터를 생성할 수 있습니다.

필터를 적용할 수 있는 위치

방화벽 필터를 구성한 후 다음에 적용할 수 있습니다.

  • Port(포트) - 시스템 포트를 통과하는 레이어 2 트래픽을 필터링합니다.

  • VLAN - VLAN에 들어오거나, VLAN 내에서 브리징되거나, VLAN을 떠나는 레이어 2 패킷을 필터링하고 액세스 제어를 제공합니다.

  • 레이어 3(라우팅) 인터페이스 - IPv4 및 IPv6 인터페이스, 라우팅된 VLAN 인터페이스(RVI) 및 루프백 인터페이스의 트래픽을 필터링합니다. 루프백 인터페이스는 스위치 자체로 전송되거나 스위치에 의해 생성된 트래픽을 필터링합니다.

  • 레이어 2 CCC 인터페이스 - 레이어 2 CCC(Circuit Cross-Connect) 인터페이스를 필터링합니다.

  • MPLS—MPLS 인터페이스를 필터링합니다.

QFX 및 EX4600 독립형 스위치의 관리 인터페이스(예: me0)에 방화벽 필터를 적용할 수도 있습니다. QFX3000-G 또는 QFX3000-M 시스템의 관리 인터페이스에는 필터를 적용할 수 없습니다.

주:

지정된 방향에 대해 포트, VLAN 또는 레이어 2 CCC 인터페이스에 하나의 방화벽 필터만 적용할 수 있습니다. 예를 들어, 인터페이스 ge-0/0/6.0의 경우 수신 방향과 송신 방향에 대해 하나의 필터를 적용할 수 있습니다.

  • (QFX 시리즈) Junos OS 릴리스 13.2X51-D15부터 송신 방향의 루프백 인터페이스에 필터를 적용할 수 있습니다.

  • (QFX10000) Junos OS 릴리스 18.2R1부터 레이어 2 서킷 인터페이스에서 폴리서 작업으로 수신 및 송신 방화벽 필터를 적용할 수 있습니다.countdiscard

  • (QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) Junos OS 릴리스 19.2R1부터 IPv4 및 IPv6 인터페이스의 송신 방향으로, , 일치 조건을 적용할 수 있습니다.interfaceforwarding-classloss-priority

주:

EX4600, QFX5000 시리즈 및 QFX5000 EVO 시리즈 스위치는 서로 다른 라우팅 인스턴스에서 구성된 루프백 필터에 대해 VRF 일치에 의존하지 않습니다. 라우팅 인스턴스당 루프백 필터(예: lo0.100, lo0.103, lo0.105)는 지원되지 않으며 예측할 수 없는 동작을 유발할 수 있습니다. 루프백 필터(lo0.0)만 마스터 라우팅 인스턴스에 적용하는 것이 좋습니다.

방화벽 필터의 구성 요소

방화벽 필터를 구성할 때 제품군 주소 유형(이더넷 스위칭, inet(IPv4용), inet6(IPv6용), CCC(Circuit Cross-Connect) 또는 MPLS), 필터링 기준(용어, 일치 조건 포함) 및 일치가 발생할 경우 취할 조치를 정의합니다.

각 용어는 다음과 같이 구성됩니다.

  • 일치 조건 - 패킷이 일치로 간주되기 위해 포함해야 하는 값입니다. IP, TCP, UDP 또는 ICMP 헤더에서 대부분의 필드에 대한 값을 지정할 수 있습니다. 인터페이스 이름도 일치시킬 수 있습니다.

  • Action(작업) - 패킷이 일치 조건과 일치할 경우 수행되는 작업입니다. 방화벽 필터를 구성하여 일치하는 패킷을 수락, 폐기 또는 거부한 다음 계수, 분류, 폴리싱과 같은 추가 작업을 수행할 수 있습니다. 기본 작업은 accept입니다.

방화벽 필터가 처리되는 방식

필터에 여러 용어가 있는 경우 용어의 순서가 중요합니다. 패킷이 첫 번째 용어와 일치하면 스위치는 해당 용어로 정의된 작업을 수행하며 다른 용어는 평가되지 않습니다. 스위치가 패킷과 첫 번째 용어 간의 일치 항목을 찾지 못하면 패킷을 다음 용어와 비교합니다. 패킷과 두 번째 용어 사이에 일치가 발생하지 않으면 시스템은 일치가 발견될 때까지 필터를 필터의 각 연속 용어와 패킷을 계속 비교합니다. 일치하는 용어가 없으면 스위치는 기본적으로 패킷을 삭제합니다.

관련 항목

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

릴리스
설명
19.2R1
(QFX10002-36Q, QFX10002-72Q, QFX10002-60C, QFX10008, QFX10016, PTX10008, PTX10016) Junos OS 릴리스 19.2R1부터 IPv4 및 IPv6 인터페이스의 송신 방향으로, , 일치 조건을 적용할 수 있습니다.interfaceforwarding-classloss-priority
18.2R1
(QFX10000) Junos OS 릴리스 18.2R1부터 레이어 2 서킷 인터페이스에서 폴리서 작업으로 수신 및 송신 방화벽 필터를 적용할 수 있습니다.countdiscard
13.2X51-D15
(QFX 시리즈) Junos OS 릴리스 13.2X51-D15부터 송신 방향의 루프백 인터페이스에 필터를 적용할 수 있습니다.