예: EX 시리즈 스위치에서 포트, VLAN, 라우터 트래픽의 방화벽 필터 구성하기
다음 예시는 스위치에서 포트, 네트워크에서 VLAN, 스위치에서 레이어 3 인터페이스에 들어가거나 나가는 트래픽을 제어하기 위한 방화벽 필터를 구성하고 적용하는 방법을 보여줍니다. 방화벽 필터는 패킷 플로우의 특정 처리 지점에서 패킷을 포워드 하거나 거부할지 여부를 결정하는 규칙을 정의합니다.
요구 사항
이 예에서 사용되는 소프트웨어 및 하드웨어 구성 요소는 다음과 같습니다:
EX 시리즈 스위치를 위한 Junos OS 릴리스 9.0 이상.
주니퍼 네트웍스 EX3200-48T 스위치 두 개: 액세스 스위치 역할을 하는 한 개와 다른 한 개는 배포 스위치 역할
주니퍼 네트웍스 EX-UM-4SFP 업링크 모듈 한 개
주니퍼 네트웍스 J-시리즈 라우터 한 개
다음 예에서 방화벽 필터를 구성하고 적용하기 전에 다음을 확인하세요.
방화벽 필터 개념, 폴리서, CoS(class of service)에 대한 이해
배포 스위치에서 업링크 모듈 설치됨. EX3200 스위치에 업링크 모듈 설치하기를 참조하십시오.
개요
다음 구성 예시는 패킷 내용을 평가하고 모든 voice-vlan
, employee-vlan
, 및 guest-vlan
트래픽을 처리하는 EX 시리즈 스위치에서 출발하거나 도착하는 패킷들을 폐기, 포워딩, 분류, 카운트, 분석할지 결정하는데 사용하는 규칙을 제공하기 위한 방화벽 필터를 구성하고 적용하는 방법을 보여줍니다. 표 1은(는) 이 예에서 EX 시리즈 스위치 용으로 구성된 방화벽 필터를 보여줍니다.
구성 요소 | 목적/설명 |
---|---|
포트 방화벽 필터, |
이 방화벽 필터는 다음의 두 가지 기능을 수행합니다.
이 방화벽 필터는 액세스 스위치의 포트 인터페이스에 적용됩니다. |
VLAN 방화벽 필터, |
불량 기기가 HTTP 세션을 사용하여 VoIP 전화에 대한 전화 등록, 승인, 호출 상태를 관리하는 게이트키퍼 디바이스를 모방하는 것을 방지합니다. TCP 또는 UDP 포트만 사용해야 합니다. 게이트키퍼만 HTTP를 사용합니다. 즉 TCP 포트에 있는 모든 이 방화벽 필터는 액세스 스위치의 VLAN 인터페이스에 적용됩니다. |
VLAN 방화벽 필터, |
기업 서브넷이 목적지인 이 방화벽 필터는 액세스 스위치의 VLAN 인터페이스에 적용됩니다. |
VLAN 방화벽 필터, |
직원이 아닌 손님이 직원 또는 이 방화벽 필터는 액세스 스위치의 VLAN 인터페이스에 적용됩니다. |
라우터 방화벽 필터, |
이 방화벽 필터는 배포 스위치 내의 라우팅 포트(레이어 3 업링크 모듈)에 적용됩니다. |
그림 1은(는) 스위치 내의 포트, VLAN, 레이어 3 라우팅 된 방화벽 필터의 애플리케이션을 보여줍니다.
네트워크 토폴로지
이 구성 예의 토폴로지는 액세스 레이어의 EX-3200-48T 스위치 한 개와 배포 레이어의 EX-3200-48T 스위치 한 개로 이루어져 있습니다. 배포 스위치의 업링크 모듈은 J 시리즈 라우터에 레이어 3 연결을 지원하기 위해 구성되어 있습니다.
EX 시리즈 스위치는 VLAN 멤버십을 지원하기 위해 구성되어 있습니다. 표 2은(는) VLAN에 대한 VLAN 구성 요소를 보여줍니다.
VLAN 명칭 |
VLAN ID |
VLAN 서브넷 및 사용 가능한 IP 주소 |
VLAN 세부 설명 |
---|---|---|---|
|
|
|
직원 VoIP 트래픽에 사용되는 음성 VLAN |
|
|
|
VLAN 독립형 PC, VoIP 전화에 있는 허브를 통해 네트워크에 연결된 PC, 무선 액세스 포인트 및 프린터. 이 VLAN은 음성 VLAN을 완전히 포함합니다. VLAN 두 개( |
|
|
|
게스트의 데이터 디바이스(PC)용 VLAN. 이 시나리오는 회사가 로비나 컨퍼런스 룸과 같은 방문객에게 열려 있는 공간이 있으며, 방문객이 웹과 회사의 VPN에 자신의 PC를 연결할 수 있는 허브가 있는 것으로 가정합니다. |
|
|
|
기업 보안 카메라에 대한 VLAN. |
EX 시리즈 스위치의 포트는 PoE(Power over Ethernet)를 지원해 포트에 연결하는 VoIP에 대한 네트워크 연결 및 전력을 제공합니다. 표 3은(는) VLAN에 할당된 스위치 포트와 스위치 포트에 연결된 디바이스의 용 IP 및 MAC 주소를 보여줍니다.
스위치 및 포트 번호 |
VLAN 회원 |
IP 및 MAC 주소 |
포트 장치 |
---|---|---|---|
ge-0/0/0, ge-0/0/1 |
|
IP 주소: MAC 주소: |
VoIP 전화 두 개, 각각 하나의 PC에 연결됨. |
ge-0/0/2, ge-0/0/3 |
|
|
프린터, |
ge-0/0/4, ge-0/0/5 |
|
|
방문자가 PC에 연결할 수 있는 두 개의 허브. 허브는 로비 또는 컨퍼런스 룸과 같이 방문객에게 열려 있는 공간에 위치하고 있습니다. |
ge-0/0/6, ge-0/0/7 |
|
|
보안 카메라 두 개 |
ge-0/0/9 |
|
IP 주소: MAC 주소: |
게이트키퍼 디바이스. 게이트키퍼는 VoIP 전화에 대한 통화 등록, 승인, 통화 상태를 관리합니다. |
ge-0/1/0 |
IP 주소: |
라우터에 대한 레이어 3 연결. 이것은 스위치의 업링크 모듈의 포트임을 유의하세요. |
음성 트래픽의 우선 순위를 지정하고 TCP와 ICMP 트래픽 속도 한도를 위한 수신 포트 방화벽 필터 구성하기
포트, VLAN, 라우터 인터페이스에 대한 방화벽 필터를 구성하고 적용하기 위해 다음의 작업을 수행합니다.
절차
CLI 빠른 구성
employee-vlan
서브넷을 목적지로 하는 음성 트래픽 우선 순위 및 속도 제한 패킷에 대한 포트 방화벽 필터를 빠르게 구성하고 적용하기 위해 다음의 명령문을 복사하고 스위치 단말 창에 붙여 넣으세요.
[edit] set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m set firewall policer tcp-connection-policer then discard set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m set firewall policer icmp-connection-policer then discard set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.01 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from source-mac-address 00.00.5E.00.53.02 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high from protocol udp set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then forwarding-class expedited-forwarding set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term voip-high then loss-priority low set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control from precedence net-control set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then forwarding-class network-control set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term network-control then loss-priority low set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection from protocol tcp set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then policer tcp-connection-policer set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then count tcp-counter set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then forwarding-class best-effort set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term tcp-connection then loss-priority high set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection from protocol icmp set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then policer icmp-connection-policer set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then count icmp-counter set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then forwarding-class best-effort set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term icmp-connection then loss-priority high set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then forwarding-class best-effort set firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp term best-effort then loss-priority high set interfaces ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" set interfaces ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp set interfaces ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" set interfaces ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp set class-of-service schedulers voice-high buffer-size percent 15 set class-of-service schedulers voice-high priority high set class-of-service schedulers net-control buffer-size percent 10 set class-of-service schedulers net-control priority high set class-of-service schedulers best-effort buffer-size percent 75 set class-of-service schedulers best-effort priority low set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control set class-of-service scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort
단계별 절차
employee-vlan
서브넷을 목적지로 하는 음성 트래픽 우선 순위 및 속도 제한 패킷에 대한 포트 방화벽 필터를 구성하고 적용합니다.
폴리서
tcp-connection-policer
및icmp-connection-policer
정의:[edit] user@switch# set firewall policer tcp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer tcp-connection-policer then discard user@switch# set firewall policer icmp-connection-policer if-exceeding burst-size-limit 30k bandwidth-limit 1m user@switch# set firewall policer icmp-connection-policer then discard
방화벽 필터
ingress-port-voip-class-limit-tcp-icmp
정의:[edit firewall] user@switch# set family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp
voip-high
용어 정의:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.01 user@switch# set term voip-high from source-mac-address 00.00.5E.00.53.02 user@switch# set term voip-high from protocol udp user@switch# set term voip-high then forwarding-class expedited-forwarding user@switch# set term voip-high then loss-priority low
network-control
용어 정의:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp ] user@switch# set term network-control from precedence net-control user@switch# set term network-control then forwarding-class network-control user@switch# set term network-control then loss-priority low
TCP 트래픽 속도 제한을 구성하기 위한
tcp-connection
용어 정의:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term tcp-connection from destination-address 192.0.2.16/28 user@switch# set term tcp-connection from protocol tcp user@switch# set term tcp-connection then policer tcp-connection-policer user@switch# set term tcp-connection then count tcp-counter user@switch# set term tcp-connection then forwarding-class best-effort user@switch# set term tcp-connection then loss-priority high
ICMP 트래픽 속도 제한을 구성하기 위한
icmp-connection
용어 정의:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term icmp-connection from destination-address 192.0.2.16/28 user@switch# set term icmp-connection from protocol icmp user@switch# set term icmp-connection then policer icmp-policer user@switch# set term icmp-connection then count icmp-counter user@switch# set term icmp-connection then forwarding-class best-effort user@switch# set term icmp-connection then loss-priority high
방화벽 필터의 다른 용어와 일치하지 않는 모든 패킷의 암시적 일치에 대한 일치 조건이 없는
best-effort
용어 정의:[edit firewall family ethernet-switching filter ingress-port-voip-class-limit-tcp-icmp] user@switch# set term best-effort then forwarding-class best-effort user@switch# set term best-effort then loss-priority high
방화벽 필터
ingress-port-voip-class-limit-tcp-icmp
을(를)employee-vlan
의 포트 인터페이스에 대한 입력 필터로 적용:[edit interfaces] user@switch# set ge-0/0/0 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/0 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp user@switch# set ge-0/0/1 description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port" user@switch# set ge-0/0/1 unit 0 family ethernet-switching filter input ingress-port-voip-class-limit-tcp-icmp
다른 스케줄러에 대해 원하는 매개 변수를 구성합니다.
주:스케줄러에 대한 매개 변수를 구성 할 경우 네트워크 트래픽 패턴과 일치하도록 수를 정의합니다.
[edit class-of-service] user@switch# set schedulers voice-high buffer-size percent 15 user@switch# set schedulers voice-high priority high user@switch# set schedulers network—control buffer-size percent 10 user@switch# set schedulers network—control priority high user@switch# set schedulers best-effort buffer-size percent 75 user@switch# set schedulers best-effort priority low
스케줄러 맵을 사용하여 스케줄러에 포워딩 클래스를 할당:
[edit class-of-service] user@switch# set scheduler-maps ethernet-diffsrv-cos-map user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class expedited-forwarding scheduler voice-high user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class network-control scheduler net-control user@switch# set scheduler-maps ethernet-diffsrv-cos-map forwarding-class best-effort scheduler best-effort
나가는 인터페이스에 대한 스케줄러 맵을 연결:
[edit class-of-service] user@switch# set interfaces ge–0/1/0 scheduler-map ethernet-diffsrv-cos-map
결과
구성의 결과를 표시합니다.
user@switch# show firewall { policer tcp-connection-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 30k; } then { discard; } } policer icmp-connection-policer { if-exceeding { bandwidth-limit 1m; burst-size-limit 30k; } then { discard; } } family ethernet-switching { filter ingress-port-voip-class-limit-tcp-icmp { term voip-high { from { destination-mac-address 00.00.5E.00.53.01; destination-mac-address 00.00.5E.00.53.02; protocol udp; } then { forwarding-class expedited-forwarding; loss-priority low; } } term network-control { from { precedence net-control ; } then { forwarding-class network-control; loss-priority low; } } term tcp-connection { from { destination-address 192.0.2.16/28; protocol tcp; } then { policer tcp-connection-policer; count tcp-counter; forwarding-class best-effort; loss-priority high; } } term icmp-connection from { protocol icmp; } then { policer icmp-connection-policer; count icmp-counter; forwarding-class best-effort; loss-priority high; } } term best-effort { then { forwarding-class best-effort; loss-priority high; } } } } } interfaces { ge-0/0/0 { description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"; unit 0 { family ethernet-switching { filter { input ingress-port-voip-class-limit-tcp-icmp; } } } } ge-0/0/1 { description "voice priority and tcp and icmp traffic rate-limiting filter at ingress port"; unit 0 { family ethernet-switching { filter { input ingress-port-voip-class-limit-tcp-icmp; } } } } } scheduler-maps { ethernet-diffsrv-cos-map { forwarding-class expedited-forwarding scheduler voice-high; forwarding-class network-control scheduler net-control; forwarding-class best-effort scheduler best-effort; } } interfaces { ge/0/1/0 { scheduler-map ethernet-diffsrv-cos-map; } }
불량 디바이스가 VoIP 트래픽 방해하지 않도록 하는 VLAN 수신 방화벽 필터 구성하기
포트, VLAN, 라우터 인터페이스에 대한 방화벽 필터를 구성하고 적용하기 위해 다음의 작업을 수행합니다.
절차
CLI 빠른 구성
불량 디바이스가 HTTP 세션을 사용하여 VoIP 트래픽을 관리하는 게이트키퍼 디바이스를 모방하는 것을 막기위해 voice-vlan
에서 VLAN 방화벽 필터를 빠르게 구성하기 위해 다음 명령문을 복사하여 스위치 단말창에 붙여 넣기:
[edit] set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-address 192.0.2.14 set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper from destination-port 80 set firewall family ethernet-switching filter ingress-vlan-rogue-block term to-gatekeeper then accept set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-address 192.0.2.14 set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper from source-port 80 set firewall family ethernet-switching filter ingress-vlan-rogue-block term from-gatekeeper then accept set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper from destination-port 80 set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then count rogue-counter set firewall family ethernet-switching filter ingress-vlan-rogue-block term not-gatekeeper then discard set vlans voice-vlan description "block rogue devices on voice-vlan" set vlans voice-vlan filter input ingress-vlan-rogue-block
단계별 절차
불량 디바이스가 HTTP를 사용해 VoIP 트래픽을 관리하는 게이트키퍼 디바이스를 모방하는 것을 막기위해 voice-vlan
에서 VLAN 방화벽 필터를 구성하고 적용:
허용 및 제한을 원하는 트래픽에 대한 필터 매칭을 지정하기 위한 방화벽 필터
ingress-vlan-rogue-block
정의:[edit firewall] user@switch# set family ethernet-switching filter ingress-vlan-rogue-block
게이트키퍼의 대상 IP 주소와 일치하는 패킷을 받아들이기 위한 용어
to-gatekeeper
정의:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term to-gatekeeper from destination-address 192.0.2.14 user@switch# set term to-gatekeeper from destination-port 80 user@switch# set term to-gatekeeper then accept
게이트키퍼의 소스 IP 주소와 일치하는 패킷을 받아들이기 위한 용어
from-gatekeeper
정의:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term from-gatekeeper from source-address 192.0.2.14 user@switch# set term from-gatekeeper from source-port 80 user@switch# set term from-gatekeeper then accept
TCP 포트에 대한 모든
voice-vlan
트래픽이 게이트키퍼 디바이스를 목적지가 되도록 하는 용어not-gatekeeper
정의:[edit firewall family ethernet-switching filter ingress-vlan-rogue-block] user@switch# set term not-gatekeeper from destination-port 80 user@switch# set term not-gatekeeper then count rogue-counter user@switch# set term not-gatekeeper then discard
VoIP 전화용 VLAN 인터페이스에 대한 입력 필터로 방화벽 필터
ingress-vlan-rogue-block
적용:[edit] user@switch# set vlans voice-vlan description "block rogue devices on voice-vlan" user@switch# set vlans voice-vlan filter input ingress-vlan-rogue-block
결과
구성의 결과를 표시합니다.
user@switch# show firewall { family ethernet-switching { filter ingress-vlan-rogue-block { term to-gatekeeper { from { destination-address 192.0.2.14/32 destination-port 80; } then { accept; } } term from-gatekeeper { from { source-address 192.0.2.14/32 source-port 80; } then { accept; } } term not-gatekeeper { from { destination-port 80; } then { count rogue-counter; discard; } } } vlans { voice-vlan { description "block rogue devices on voice-vlan"; filter { input ingress-vlan-rogue-block; } } }
직원 VLAN에 대한 송신 트래픽 카운트, 모니터링, 분석을 위한 VLAN 방화벽 필터를 구성하기
포트, VLAN, 라우터 인터페이스에 대한 방화벽 필터를 구성하고 적용하기 위해 다음의 작업을 수행합니다.
절차
CLI 빠른 구성
방화벽 필터는 employee-vlan
송신 트래픽을 필터링하기 위해 VLAN 인터페이스에 구성되어 적용됩니다. 기업 서브넷을 목적지로 하는 직원 트래픽은 허용되지만 모니터링되지 않습니다. 웹으로 향하는 고용된 트래픽은 카운트되고 분석됩니다.
VLAN 방화벽 필터를 빠르게 구성하고 적용하기 위해 다음 명령을 복사하여 스위치 단말창에 붙여 넣기:
[edit] set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp from destination-address 192.0.2.16/28 set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-corp then accept set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web from destination-port 80 set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then count employee-web-counter set firewall family ethernet-switching filter egress-vlan-watch-employee term employee-to-web then analyzer employee-monitor set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic" set vlans employee-vlan filter output egress-vlan-watch-employee
단계별 절차
웹을 목적지로 하는 employee-vlan
트래픽을 카운트하고 분석하기 위해 송신 포트 방화벽 필터를 구성하고 적용하기:
방화벽 필터
egress-vlan-watch-employee
정의:[edit firewall] user@switch# set family ethernet-switching filter egress-vlan-watch-employee
기업 서브넷을 목적지로하는 모든
employee-vlan
트래픽을 수용하지만 모니터링하지 않는 용어employee-to-corp
정의:[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-corp from destination-address 192.0.2.16/28 user@switch# set term employee-to-corp then accept
웹으로 향하는 모든
employee-vlan
트래픽을 카운트하고 모니터링하는 용어employee-to-web
정의:[edit firewall family ethernet-switching filter egress-vlan-watch-employee] user@switch# set term employee-to-web from destination-port 80 user@switch# set term employee-to-web then count employee-web-counter user@switch# set term employee-to-web then analyzer employee-monitor
주:예:
employee-monitor
분석기를 구성하는 정보를 위한 EX 시리즈 스위치 에서 직원 자원 사용 로컬 모니터링을 위한 포트 미러링 구성하기.VoIP 전화용 포트 인터페이스의 출력 필터로 방화벽 필터
egress-vlan-watch-employee
을(를) 적용:[edit] user@switch# set vlans employee-vlan description "filter at egress VLAN to count and analyze employee to Web traffic" user@switch# set vlans employee-vlan filter output egress-vlan-watch-employee
결과
구성의 결과를 표시합니다.
user@switch# show firewall { family ethernet-switching { filter egress-vlan-watch-employee { term employee-to-corp { from { destination-address 192.0.2.16/28 } then { accept; } } term employee-to-web { from { destination-port 80; } then { count employee-web-counter: analyzer employee-monitor; } } } } } vlans { employee-vlan { description "filter at egress VLAN to count and analyze employee to Web traffic"; filter { output egress-vlan-watch-employee; } } }
손님에서 직원으로 트래픽과 손님 VLAN의 피어 투 피어 애플리케이션을 제한하기 위해 VLAN 방화벽 필터 구성하기
포트, VLAN, 라우터 인터페이스에 대한 방화벽 필터를 구성하고 적용하기 위해 다음의 작업을 수행합니다.
절차
CLI 빠른 구성
다음 예에서 첫 번째 필터 용어는 손님이 다른 손님과 대화하도록 허용하지만 employee-vlan
에서 직원은 아닙니다. 두 번째 필터 용어는 손님에게 웹 액세스를 허용하지만 피어 투 피어 애플리게이션은 guest-vlan
에서 사용하지 못하게 합니다.
손님에서 직원으로 트래픽을 제한하기 위한 VLAN 방화벽 필터를 빠르게 구성하기 위해 손님이 직원 또는 employee-vlan
에서 호스팅하는 직원과 대화하거나 guest-vlan
에서 피어 투 피어 애플리케이션을 사용하는 것을 시도하는 것을 차단하기 위해 다음 명령을 복사하여 스위치 단말 창에 붙여넣기:
[edit] set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest from destination-address 192.0.2.33/28 set firewall family ethernet-switching filter ingress-vlan-limit-guest term guest-to-guest then accept set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF set firewall family ethernet-switching filter ingress-vlan-limit-guest term no-guest-employee-no-peer-to-peer then accept set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN" set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest
단계별 절차
손님에서 직원으로 트래픽과 guest-vlan
에서 피어 투 피어 애플리케이션을 제한하기 위한 VLAN 방화벽 필터를 구성하고 적용:
방화벽 필터
ingress-vlan-limit-guest
정의:[edit firewall] set firewall family ethernet-switching filter ingress-vlan-limit-guest
guest-vlan
에서 손님이 다른 손님과 대화할 수 있도록 허용하지만employee-vlan
에서 직원과 대화하는 것은 허용하지 않는 용어guest-to-guest
정의:[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term guest-to-guest from destination-address 192.0.2.33/28 user@switch# set term guest-to-guest then accept
손님이
guest-vlan
의 웹 액세스를 허용하지만guest-vlan
에서 피어 투 피어 애플리케이션을 사용하지 않도록 하는 용어no-guest-employee-no-peer-to-peer
정의.주:destination-mac-address
은(는) 기본 게이트웨이로 VLAN의 모든 호스트에 대한 다음 홉 라우터입니다.[edit firewall family ethernet-switching filter ingress-vlan-limit-guest] user@switch# set term no-guest-employee-no-peer-to-peer from destination-mac-address 00.05.5E.00.00.DF user@switch# set term no-guest-employee-no-peer-to-peer then accept
방화벽 필터
ingress-vlan-limit-guest
을(를)guest-vlan
의 인터페이스에 대한 입력 필터로 적용:[edit] user@switch# set vlans guest-vlan description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN" user@switch# set vlans guest-vlan forwarding-options filter input ingress-vlan-limit-guest
결과
구성의 결과를 표시합니다.
user@switch# show firewall { family ethernet-switching { filter ingress-vlan-limit-guest { term guest-to-guest { from { destination-address 192.0.2.33/28; } then { accept; } } term no-guest-employee-no-peer-to-peer { from { destination-mac-address 00.05.5E.00.00.DF; } then { accept; } } } } } vlans { guest-vlan { description "restrict guest-to-employee traffic and peer-to-peer applications on guest VLAN"; filter { input ingress-vlan-limit-guest; } } }
기업 서브넷으로 향하는 송신 트래픽에 우선 순위를 제공하기 위한 라우터 방화벽 필터 구성하기
포트, VLAN, 라우터 인터페이스에 대한 방화벽 필터를 구성하고 적용하기 위해 다음의 작업을 수행합니다.
절차
CLI 빠른 구성
employee-vlan
트래픽을 필터하기 위한 라우팅된 포트(레이어 3 업링크 모듈)의 방화벽 필터를 빠르게 구성하기 위해 기업 서브넷으로 향하는 트래픽에 가장 높은 포워딩 등급을 부여하고 다음 명령을 복사하여 스위치 단말 창에 붙여 넣기:
[edit] set firewall family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28 set firewall family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding set firewall family inet filter egress-router-corp-class term corp-expedite then loss-priority low set firewall family inet filter egress-router-corp-class term not-to-corp then accept set interfaces ge-0/1/0 description "filter at egress router to expedite destined for corporate network" set ge-0/1/0 unit 0 family inet address 203.0.113.0 set interfaces ge-0/1/0 unit 0 family inet filter output egress-router-corp-class
단계별 절차
기업 서브넷으로 향하는 employee-vlan
트래픽에 가장 높은 우선 순위를 부여하기 위해 라우팅된 포트(레이어 3 업링크 모듈)에 방화벽 필터를 구성하고 적용하기:
방화벽 필터
egress-router-corp-class
정의:[edit] user@switch# set firewall family inet filter egress-router-corp-class
용어
corp-expedite
정의:[edit firewall] user@switch# set family inet filter egress-router-corp-class term corp-expedite from destination-address 192.0.2.16/28 user@switch# set family inet filter egress-router-corp-class term corp-expedite then forwarding-class expedited-forwarding user@switch# set family inet filter egress-router-corp-class term corp-expedite then loss-priority low
용어
not-to-corp
정의:[edit firewall] user@switch# set family inet filter egress-router-corp-class term not-to-corp then accept
라우터에 레이어 3 연결을 제공하는 스위치 업링크 모듈의 포트에 대한 출력 필터로 방화벽 필터
egress-router-corp-class
을(를) 적용:[edit interfaces] user@switch# set ge-0/1/0 description "filter at egress router to expedite employee traffic destined for corporate network" user@switch# set ge-0/1/0 unit 0 family inet address 203.0.113.0 user@switch# set ge-0/1/0 unit 0 family inet filter output egress-router-corp-class
결과
구성의 결과를 표시합니다.
user@switch# show firewall { family inet { filter egress-router-corp-class { term corp-expedite { from { destination-address 192.0.2.16/28; } then { forwarding-class expedited-forwarding; loss-priority low; } } term not-to-corp { then { accept; } } } } } interfaces { ge-0/1/0 { unit 0 { description "filter at egress router interface to expedite employee traffic destined for corporate network"; family inet { source-address 203.0.113.0 filter { output egress-router-corp-class; } } } } }
검증
방화벽 필터가 제대로 작동하고 있는지 확인하기 위해 다음 작업을 수행합니다.
방화벽 필터 및 폴리서의 작동 확인하기
목적
스위치 내에서 구성된 방화벽 필터 및 폴리서의 작동 상태를 확인합니다.
작업
작동 모드 명령을 사용합니다.
user@switch> show firewall Filter: ingress-port-voip-class-limit-tcp-icmp Counters: Name Packets icmp-counter 0 tcp-counter 0 Policers: Name Packets icmp-connection-policer 0 tcp-connection-policer 0 Filter: ingress-vlan-rogue-block Filter: egress-vlan-watch-employee Counters: Name Packets employee-web—counter 0
의미
show firewall
명령은 스위치 내에서 구성된 방화벽 필터, 폴리서 및 카운터의 이름을 표시합니다. 출력 필드는 모든 구성된 카운터의 바이트와 패킷 수를 보여주며 모든 폴리서의 패킷 수를 보여줍니다.
스케줄러와 스케줄러 매핑의 작동 확인하기
목적
스케줄러 및 스케줄러 매핑이 스위치에서 작동하는지 확인하기.
작업
작동 모드 명령을 사용합니다.
user@switch> show class-of-service scheduler-map Scheduler map: default, Index: 2 Scheduler: default-be, Forwarding class: best-effort, Index: 20 Transmit rate: 95 percent, Rate Limit: none, Buffer size: 95 percent, Priority: low Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 default-drop-profile Low TCP 1 default-drop-profile High non-TCP 1 default-drop-profile High TCP 1 default-drop-profile Scheduler: default-nc, Forwarding class: network-control, Index: 22 Transmit rate: 5 percent, Rate Limit: none, Buffer size: 5 percent, Priority: low Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 default-drop-profile Low TCP 1 default-drop-profile High non-TCP 1 default-drop-profile High TCP 1 default-drop-profileScheduler map: ethernet-diffsrv-cos-map, Index: 21657 Scheduler: best-effort, Forwarding class: best-effort, Index: 61257 Transmit rate: remainder, Rate Limit: none, Buffer size: 75 percent, Priority: low Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 <default-drop-profile> Low TCP 1 <default-drop-profile> High non-TCP 1 <default-drop-profile> High TCP 1 <default-drop-profile> Scheduler: voice-high, Forwarding class: expedited-forwarding, Index: 3123 Transmit rate: remainder, Rate Limit: none, Buffer size: 15 percent, Priority: high Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 <default-drop-profile> Low TCP 1 <default-drop-profile> High non-TCP 1 <default-drop-profile> High TCP 1 <default-drop-profile> Scheduler: net-control, Forwarding class: network-control, Index: 2451 Transmit rate: remainder, Rate Limit: none, Buffer size: 10 percent, Priority: high Drop profiles: Loss priority Protocol Index Name Low non-TCP 1 <default-drop-profile> Low TCP 1 <default-drop-profile> High non-TCP 1 <default-drop-profile> High TCP 1 <default-drop-profile>
의미
구성된 스케줄러 및 스케줄러 매핑에 대한 통계 표시하기.