Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예를 들면 다음과 같습니다. EX 시리즈 스위치의 포트, VLAN 및 라우터 트래픽을 위한 방화벽 필터 구성

이 예에서는 방화벽 필터를 구성하고 적용하여 스위치의 포트, 네트워크의 VLAN, 스위치의 레이어 3 인터페이스로 들어오고 나가는 트래픽을 제어하는 방법을 보여줍니다. 방화벽 필터는 패킷 플로우의 특정 프로세싱 지점에서 패킷을 포워딩 또는 거부할지 여부를 결정하는 규칙을 정의합니다.

요구 사항

이 예에서는 다음과 같은 소프트웨어 및 하드웨어 구성 요소를 사용합니다.

  • EX 시리즈 스위치용 Junos OS 릴리스 9.0 이상

  • 주니퍼 네트웍스 EX3200-48T 스위치 2개: 다른 하나는 액세스 스위치로, 다른 하나는 디스트리스트리웍스 스위치로 사용

  • 1개의 Juniper Networks EX-UM-4SFP 업링크 모듈

  • Juniper Networks J-series 라우터 1개

이 예제에서 방화벽 필터를 구성하고 적용하기 전에 다음 사항을 확인해야 합니다.

개요

이 구성 예에서는 방화벽 필터를 구성 및 적용하여 패킷 컨텐트 평가 규칙을 제공하고 모든 voice-vlanemployee-vlan, 및 트래픽을 처리하는 EX 시리즈 스위치의 대상인 패킷을 폐기, 전달, 분류, 계산, guest-vlan 분석할 시기를 결정합니다. 표 1 이 예에서는 EX 시리즈 스위치에 대해 구성된 방화벽 필터를 보여줍니다.

표 1: 구성 구성 요소: 방화벽 필터
컴포넌트 목적/설명

포트 방화벽 필터, ingress-port-voip-class-limit-tcp-icmp

이 방화벽 필터는 다음과 같은 두 가지 기능을 수행합니다.

  • 전화 MAC 주소와 일치하는 소스 MAC 주소를 사용하여 패킷에 우선 순위 큐잉을 할당합니다. 포워딩 클래스 expedited-forwarding 는 손실, 지연이 낮고 지터가 낮으며 보장된 대역폭과 모든 voice-vlan 트래픽에 대한 엔드투엔드 서비스를 제공합니다.

  • 에 대한 포트를 입력하는 패킷에 대한 employee-vlan속도 제한을 수행합니다. TCP 및 ICMP 패킷의 트래픽 속도는 최대 30,000바이트의 버스트 크기로 1Mbps로 제한됩니다.

이 방화벽 필터는 액세스 스위치의 포트 인터페이스에 적용됩니다.

VLAN 방화벽 필터, ingress-vlan-rogue-block

VoIP 통화에 대한 호출 등록, 승인 및 호출 상태를 관리하는 게이트키퍼 디바이스를 모방하기 위해 불량 디바이스가 HTTP 세션을 사용하는 것을 방지합니다. TCP 또는 UDP 포트만 사용해야 합니다. 게이트키퍼만이 HTTP를 사용합니다. 즉, TCP 포트의 모든 voice-vlan 트래픽은 게이트키퍼 디바이스로 이동해야 합니다. 이 방화벽 필터는 VLAN상의 voice-vlan두 전화기와 게이트키퍼 디바이스와 VLAN 전화기 간의 모든 통신을 포함하여 온 모든 전화기를 적용합니다.

이 방화벽 필터는 액세스 스위치의 VLAN 인터페이스에 적용됩니다.

VLAN 방화벽 필터, egress-vlan-watch-employee

employee-vlan 기업 서브넷으로 향하는 트래픽을 허용하지만 이 트래픽을 모니터링하지는 않습니다. 웹으로 향하는 직원 트래픽을 계산하고 분석합니다.

이 방화벽 필터는 액세스 스위치의 vlan 인터페이스에 적용됩니다.

VLAN 방화벽 필터, ingress-vlan-limit-guest

게스트(직원이 아닌 경우)가 에서 직원 또는 직원 호스트와 대화하는 것을 방지합니다 employee-vlan. 또한 게스트가 P2 P2 P2(Peer-to-Peer) 애플리케이션을 guest-vlan사용하는 것을 방지하지만, 게스트가 웹에 액세스할 수 있도록 합니다.

이 방화벽 필터는 액세스 스위치의 VLAN 인터페이스에 적용됩니다.

라우터 방화벽 필터, egress-router-corp-class

트래픽에 employee-vlan 우선 순위를 부여하여 기업 서브넷으로 향하는 직원 트래픽에 가장 높은 포워딩 클래스 우선 순위를 부여합니다.

이 방화벽 필터는 배포 스위치의 라우팅 포트(Layer 3 업링크 모듈)에 적용됩니다.

그림 1 스위치의 포트, VLAN 및 레이어 3 라우팅 방화벽 필터의 애플리케이션을 보여줍니다.

그림 1: 포트, VLAN 및 레이어 3 라우팅 방화벽 필터의 애플리케이션포트, VLAN 및 레이어 3 라우팅 방화벽 필터의 애플리케이션

네트워크 토폴로지

이 구성 예제의 토폴로지로는 액세스 레이어에서 하나의 EX-3200-48T 스위치와 디스트리컬 레이어에 있는 EX-3200-48T 스위치 1개로 구성됩니다. 분산 스위치의 업링크 모듈은 J-series 라우터에 대한 Layer 3 연결을 지원하도록 구성됩니다.

EX 시리즈 스위치는 VLAN 멤버십을 지원하도록 구성됩니다. 표 2 VLAN을 위한 VLAN 구성 요소를 보여줍니다.

표 2: 구성 구성 요소: VLAN

VLAN 이름

VLAN ID

VLAN 서브넷 및 가용 IP 주소

VLAN 설명

voice-vlan

10

192.0.2.0/28 192.0.2.1통해 192.0.2.14

192.0.2.15 서브넷의 브로드캐스트 주소입니다.

직원 VoIP 트래픽에 사용되는 음성 VLAN

employee-vlan

20

192.0.2.16/28 192.0.2.17 을 통해 192.0.2.30 192.0.2.31 서브넷의 브로드캐스트 주소가

VLAN 독립형 PC, VoIP 전화기, 무선 액세스 포인트 및 프린터의 허브를 통해 네트워크에 연결된 PC. 이 VLAN에는 음성 VLAN이 완벽하게 포함됩니다. 2개의 VLAN 및 employee-vlan)을 (voice-vlan 전화기와 연결하는 포트에 구성해야 합니다.

guest-vlan

30

192.0.2.32/28 192.0.2.33 을 통해 192.0.2.46 192.0.2.47 서브넷의 브로드캐스트 주소가

게스트의 데이터 디바이스(PC)를 위한 VLAN. 이 시나리오에서는 기업이 로비나 회의실 등 방문자가 자신의 PC를 연결하여 웹 및 회사의 VPN에 연결할 수 있는 허브가 있는 방문자에게 개방된 공간을 보유하고 있다고 가정합니다.

camera-vlan

40

192.0.2.48/28 192.0.2.49 을 통해 192.0.2.62 192.0.2.63 서브넷의 브로드캐스트 주소가

기업 보안 카메라를 위한 VLAN.

EX 시리즈 스위치의 포트는 PoE(Power over Ethernet)를 지원하여 포트에 연결하는 VoIP 전화기를 위한 네트워크 연결과 전원을 제공합니다. 표 3 VLAN에 할당된 스위치 포트와 스위치 포트에 연결된 디바이스의 IP 및 MAC 주소를 보여줍니다.

표 3: 구성 구성 요소: 48포트 All-PoE 스위치의 스위치 포트

스위치 및 포트 번호

VLAN 멤버십

IP 및 MAC 주소

포트 디바이스

ge-0/0/0, ge-0/0/1

voice-vlan, employee-vlan

IP 주소: 192.0.2.1 통해 192.0.2.2

MAC 주소: 00.00.5E.00.53.01, 00.00.5E.00.53.02

각각 1개의 PC에 연결된 2개의 VoIP 전화기.

ge-0/0/2, ge-0/0/3

employee-vlan

192.0.2.17 통해 192.0.2.18

프린터, 무선 액세스 포인트

ge-0/0/4, ge-0/0/5

guest-vlan

192.0.2.34 통해 192.0.2.35

방문자가 PC를 연결할 수 있는 허브 2개. 허브(hub)는 로비나 회의실 등 방문객들이 개방하는 구역에 위치하고 있습니다.

ge-0/0/6, ge-0/0/7

camera-vlan

192.0.2.49 통해 192.0.2.50

2대의 보안 카메라

ge-0/0/9

voice-vlan

IP address: 192.0.2.14

MAC 주소:00.05.5E.00.53.0E

게이트키퍼 디바이스. 게이트키퍼는 VoIP 전화의 통화 등록, 승인 및 통화 상태를 관리합니다.

ge-0/1/0

IP address: 192.0.2.65

라우터에 대한 레이어 3 연결, 스위치의 업링크 모듈상의 포트임을 유의하십시오.

음성 트래픽의 우선 순위를 지정하고 TCP 및 ICMP 트래픽의 속도를 제한하는 수신 포트 방화벽 필터 구성

포트, VLAN 및 라우터 인터페이스에 방화벽 필터를 구성하고 적용하려면 다음 작업을 수행합니다.

절차

CLI 빠른 구성

포트 방화벽 필터를 신속하게 구성 및 적용하여 서브넷으로 향하는 음성 트래픽 및 속도 제한 패킷 employee-vlan 의 우선 순위를 지정하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.

단계별 절차

서브넷으로 향하는 음성 트래픽 및 속도 제한 패킷의 우선 순위를 지정하기 위해 employee-vlan 포트 방화벽 필터를 구성하고 적용하려면 다음을 수행합니다.

  1. 폴리서 tcp-connection-policer 정의 및 icmp-connection-policer:

  2. 방화벽 필터 ingress-port-voip-class-limit-tcp-icmp정의:

  3. 용어 voip-high정의:

  4. 용어 network-control정의:

  5. TCP 트래픽에 대한 속도 제한을 구성하는 용어를 tcp-connection 정의합니다.

  6. ICMP 트래픽에 대한 속도 제한을 구성하는 용어 icmp-connection 정의:

  7. 방화벽 필터의 다른 용어와 일치하지 않는 모든 패킷에 대한 암시적 일치 조건 없이 용어를 best-effort 정의합니다.

  8. 방화벽 필터 ingress-port-voip-class-limit-tcp-icmp 를 다음과 같은 포트 인터페이스에 입력 필터로 적용합니다.employee-vlan

  9. 다양한 스케줄러에 대해 원하는 매개 변수를 구성합니다.

    주:

    스케줄러에 대한 매개 변수를 구성하면 네트워크 트래픽 패턴에 맞는 숫자를 정의합니다.

  10. 스케줄러 맵을 통해 스케줄러에 포워딩 클래스를 할당합니다.

  11. 스케줄러 맵을 나가는 인터페이스와 연결:

결과

구성 결과를 표시합니다.

VLAN Ingress 방화벽 필터를 구성하여 불량 디바이스가 VoIP 트래픽을 방해하지 않도록 방지

포트, VLAN 및 라우터 인터페이스에 방화벽 필터를 구성하고 적용하려면 다음 작업을 수행합니다.

절차

CLI 빠른 구성

VLAN 방화벽 필터를 voice-vlan 신속하게 구성하여 불량 디바이스가 HTTP 세션을 사용하여 VoIP 트래픽을 관리하는 게이트키퍼 디바이스를 모방하는 것을 방지하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.

단계별 절차

VLAN 방화벽 필터를 voice-vlan 구성 및 적용하여 VoIP 트래픽을 관리하는 게이트키퍼 디바이스를 모방하기 위해 불량 디바이스가 HTTP를 사용하는 것을 방지하려면 다음을 수행합니다.

  1. 허용 및 제한하려는 트래픽에 대한 필터 매칭을 지정하도록 방화벽 필터 ingress-vlan-rogue-block 를 정의합니다.

  2. 게이트키퍼의 대상 IP 주소와 일치하는 패킷 수용이라는 용어를 to-gatekeeper 정의합니다.

  3. 게이트키퍼의 소스 IP 주소와 일치하는 패킷 수용이라는 용어를 from-gatekeeper 정의합니다.

  4. TCP 포트의 모든 voice-vlan 트래픽이 게이트키퍼 디바이스로 이동하도록 보장하는 용어를 not-gatekeeper 정의합니다.

  5. VoIP 전화의 VLAN 인터페이스에 방화벽 필터 ingress-vlan-rogue-block 를 입력 필터로 적용합니다.

결과

구성 결과를 표시합니다.

VLAN 방화벽 필터를 구성하여 직원 VLAN의 송신 트래픽 계산, 모니터링 및 분석

포트, VLAN 및 라우터 인터페이스에 방화벽 필터를 구성하고 적용하려면 다음 작업을 수행합니다.

절차

CLI 빠른 구성

방화벽 필터가 구성되고 송신 트래픽을 필터링 employee-vlan 하기 위해 VLAN 인터페이스에 적용됩니다. 기업 서브넷으로 향하는 직원 트래픽은 허용되지만 모니터링되지는 않습니다. 웹으로 향하는 직원 트래픽을 계산하고 분석합니다.

VLAN 방화벽 필터를 신속하게 구성하고 적용하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.

단계별 절차

송신 포트 방화벽 필터를 구성하고 적용하여 웹으로 향하는 트래픽을 계산하고 분석 employee-vlan 하려면 다음을 수행합니다.

  1. 방화벽 필터 egress-vlan-watch-employee정의:

  2. 기업 서브넷으로 향하는 모든 employee-vlan 트래픽을 수용하되 모니터링하지 않는 용어를 employee-to-corp 정의합니다.

  3. 웹으로 향하는 모든 employee-vlan 트래픽을 계산 및 모니터링하는 용어 employee-to-web 정의:

    주:

    예제 보기 : 직원 리소스의 로컬 모니터링을 위한 포트 미러링 구성 EX 시리즈 스위치 에서 분석기 구성 employee-monitor 에 대한 정보를 사용하십시오.

  4. 방화벽 필터 egress-vlan-watch-employee 를 VoIP 전화의 포트 인터페이스에 출력 필터로 적용합니다.

결과

구성 결과를 표시합니다.

게스트 VLAN에서 게스트-직원 트래픽 및 P2S(Peer-to-Peer) 애플리케이션을 제한하기 위한 VLAN 방화벽 필터 구성

포트, VLAN 및 라우터 인터페이스에 방화벽 필터를 구성하고 적용하려면 다음 작업을 수행합니다.

절차

CLI 빠른 구성

다음 예에서 첫 번째 필터 용어를 사용하면 게스트가 다른 게스트와 대화할 수 있지만 직원들은 대화를 나눌 수 employee-vlan없습니다. 두 번째 필터 용어는 게스트의 웹 액세스를 허용하지만, 게스트가 에 guest-vlanP2-P2(Peer-to-Peer) 애플리케이션을 사용하는 것을 방지합니다.

VLAN 방화벽 필터를 신속하게 구성하여 게스트-직원 트래픽을 제한하고, 게스트가 직원 또는 직원 호스트 employee-vlan 와 대화하거나 P2T(Peer-to-Peer) 애플리케이션 guest-vlan을 사용하려고 시도하지 못하도록 차단하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.

단계별 절차

VLAN 방화벽 필터를 구성 및 적용하여 다음에서 게스트-직원 트래픽 및 P2T(Peer-to-Peer) 애플리케이션을 제한하려면 다음을 수행합니다.guest-vlan

  1. 방화벽 필터 ingress-vlan-limit-guest정의:

  2. 다음 주제에 대해 직원이 아닌 다른 게스트와 대화를 나눌 수 있도록 허용하는 guest-vlan 용어를 guest-to-guest 정의합니다.employee-vlan

  3. 웹 액세스를 허용하지만 게스트가 에서 P2X(Peer-to-Peer) 애플리케이션을 사용하지 못하도록 하는 용어를 no-guest-employee-no-peer-to-peer 정의합니다guest-vlan.guest-vlan

    주:

    기본 destination-mac-address 게이트웨이인 VLAN의 모든 호스트는 넥스트 홉 라우터입니다.

  4. 방화벽 필터 ingress-vlan-limit-guest 를 다음과 같은 인터페이스에 guest-vlan 입력 필터로 적용합니다.

결과

구성 결과를 표시합니다.

라우터 방화벽 필터 구성하여 기업 서브넷으로 향하는 송신 트래픽에 우선 순위 부여

포트, VLAN 및 라우터 인터페이스에 방화벽 필터를 구성하고 적용하려면 다음 작업을 수행합니다.

절차

CLI 빠른 구성

라우팅된 포트(Layer 3 업링크 모듈)를 위한 방화벽 필터를 신속하게 구성하여 트래픽을 필터링 employee-vlan 하고 기업 서브넷으로 향하는 트래픽에 대해 가장 높은 포워딩 클래스 우선 순위를 부여하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣으십시오.

단계별 절차

방화벽 필터를 라우팅된 포트(Layer 3 업링크 모듈)에 구성하고 적용하여 기업 서브넷으로 향하는 트래픽에 employee-vlan 가장 높은 우선 순위를 부여하려면 다음을 수행합니다.

  1. 방화벽 필터 egress-router-corp-class정의:

  2. 용어 corp-expedite정의:

  3. 용어 not-to-corp정의:

  4. 방화벽 필터 egress-router-corp-class 를 라우터에 Layer 3 연결을 제공하는 스위치의 업링크 모듈상의 포트에 대한 출력 필터로 적용합니다.

결과

구성 결과를 표시합니다.

확인

방화벽 필터가 제대로 작동하는지 확인하려면 다음 작업을 수행합니다.

방화벽 필터 및 폴리서가 작동 중인지 확인

목적

스위치에서 구성된 방화벽 필터 및 폴리서의 작동 상태를 확인합니다.

실행

운영 모드 명령 사용:

의미

show firewall 명령은 스위치에 구성된 방화벽 필터, 폴리서 및 카운터의 이름을 표시합니다. 출력 필드에는 구성된 모든 카운터에 대한 바이트 및 패킷 카운트가 표시되고 모든 폴리서의 패킷 수가 표시됩니다.

스케줄러 및 스케줄러-맵이 작동 중인지 검증

목적

스케줄러와 스케줄러 맵이 스위치에서 작동하는지 확인합니다.

실행

운영 모드 명령 사용:

의미

구성된 스케줄러 및 스케줄러 맵에 대한 통계를 표시합니다.