예: EX 시리즈 스위치에서 포트, VLAN, 라우터 트래픽의 방화벽 필터 구성하기

CLI 빠른 구성

employee-vlan 서브넷을 목적지로 하는 음성 트래픽 우선 순위 및 속도 제한 패킷에 대한 포트 방화벽 필터를 빠르게 구성하고 적용하기 위해 다음의 명령문을 복사하고 스위치 단말 창에 붙여 넣으세요.

단계별 절차

employee-vlan 서브넷을 목적지로 하는 음성 트래픽 우선 순위 및 속도 제한 패킷에 대한 포트 방화벽 필터를 구성하고 적용합니다.

1. 폴리서 tcp-connection-policer 및 icmp-connection-policer 정의:

2. 방화벽 필터 ingress-port-voip-class-limit-tcp-icmp 정의:

3. voip-high 용어 정의:

4. network-control 용어 정의:

5. TCP 트래픽 속도 제한을 구성하기 위한 tcp-connection 용어 정의:

6. ICMP 트래픽 속도 제한을 구성하기 위한 icmp-connection 용어 정의:

7. 방화벽 필터의 다른 용어와 일치하지 않는 모든 패킷의 암시적 일치에 대한 일치 조건이 없는 best-effort 용어 정의:

8. 방화벽 필터 ingress-port-voip-class-limit-tcp-icmp을(를) employee-vlan의 포트 인터페이스에 대한 입력 필터로 적용:

9. 다른 스케줄러에 대해 원하는 매개 변수를 구성합니다.

   주:

   스케줄러에 대한 매개 변수를 구성 할 경우 네트워크 트래픽 패턴과 일치하도록 수를 정의합니다.

10. 스케줄러 맵을 사용하여 스케줄러에 포워딩 클래스를 할당:

11. 나가는 인터페이스에 대한 스케줄러 맵을 연결:

결과

구성의 결과를 표시합니다.

CLI 빠른 구성

불량 디바이스가 HTTP 세션을 사용하여 VoIP 트래픽을 관리하는 게이트키퍼 디바이스를 모방하는 것을 막기위해 voice-vlan에서 VLAN 방화벽 필터를 빠르게 구성하기 위해 다음 명령문을 복사하여 스위치 단말창에 붙여 넣기:

단계별 절차

불량 디바이스가 HTTP를 사용해 VoIP 트래픽을 관리하는 게이트키퍼 디바이스를 모방하는 것을 막기위해 voice-vlan에서 VLAN 방화벽 필터를 구성하고 적용:

1. 허용 및 제한을 원하는 트래픽에 대한 필터 매칭을 지정하기 위한 ingress-vlan-rogue-block 방화벽 필터 정의:

2. 게이트키퍼의 대상 IP 주소와 일치하는 패킷을 받아들이기 위한 to-gatekeeper 용어 정의:

3. 게이트키퍼의 소스 IP 주소와 일치하는 패킷을 받아들이기 위한 from-gatekeeper 용어 정의:

4. TCP 포트에 대한 not-gatekeeper모든 트래픽이 게이트키퍼 voice-vlan디바이스를 목적지가 되도록 하는 용어를 정의:

5. VoIP 전화용 VLAN 인터페이스에 대한 입력 필터로 ingress-vlan-rogue-block 방화벽 필터를 적용:

결과

구성의 결과를 표시합니다.

CLI 빠른 구성

방화벽 필터는 employee-vlan 송신 트래픽을 필터링하기 위해 VLAN 인터페이스에 구성되어 적용됩니다. 기업 서브넷을 목적지로 하는 직원 트래픽은 허용되지만 모니터링되지 않습니다. 웹으로 향하는 고용된 트래픽은 카운트되고 분석됩니다.

VLAN 방화벽 필터를 빠르게 구성하고 적용하기 위해 다음 명령을 복사하여 스위치 단말창에 붙여 넣기:

단계별 절차

웹을 목적지로 하는 employee-vlan 트래픽을 카운트하고 분석하기 위해 송신 포트 방화벽 필터를 구성하고 적용하기:

1. 방화벽 필터 egress-vlan-watch-employee 정의:

2. 기업 서브넷을 목적지로하는 employee-to-corp모든 트래픽을 수용하지만 모니터링하지 않는 용어 employee-vlan정의:

3. 웹으로 향하는 모든 employee-to-web트래픽을 카운트하고 모니터링하는 용어 employee-vlan정의:

   주:

   예: employee-monitor 분석기를 구성하는 정보를 위한 EX 시리즈 스위치 에서 직원 자원 사용 로컬 모니터링을 위한 포트 미러링 구성하기.

4. VoIP 전화용 포트 인터페이스의 출력 필터로 방화벽 필터 egress-vlan-watch-employee을(를) 적용:

결과

구성의 결과를 표시합니다.

CLI 빠른 구성

다음 예에서 첫 번째 필터 용어는 손님이 다른 손님과 대화하도록 허용하지만 employee-vlan의 직원은 아닙니다. 두 번째 필터 용어는 손님에게 웹 액세스를 허용하지만 피어 투 피어 애플리게이션은 guest-vlan에서 사용하지 못하게 합니다.

손님에서 직원으로 트래픽을 제한하기 위한 VLAN 방화벽 필터를 빠르게 구성하기 위해 손님이 직원 또는 employee-vlan에서 호스팅하는 직원과 대화하거나 guest-vlan에서 피어 투 피어 애플리케이션을 사용하는 것을 시도하는 것을 차단하기 위해 다음 명령을 복사하여 스위치 단말 창에 붙여넣기:

단계별 절차

손님에서 직원으로 트래픽과 guest-vlan에서 피어 투 피어 애플리케이션을 제한하기 위한 VLAN 방화벽 필터를 구성하고 적용:

1. 방화벽 필터 ingress-vlan-limit-guest 정의:

2. 에서 손님이 다른 guest-to-guest손님과 대화할 수 있도록 허용하지만 guest-vlan에서 직원과 대화하는 것은 허용하지 않는 용어 employee-vlan정의:

3. 손님이 의 웹 no-guest-employee-no-peer-to-peer액세스를 허용하지만 에서 피어 guest-vlan투 피어 애플리케이션을 사용하지 않도록 하는 용어 guest-vlan정의.

   주:

   destination-mac-address은(는) 기본 게이트웨이로 VLAN의 모든 호스트에 대한 다음 홉 라우터입니다.

4. 방화벽 필터 ingress-vlan-limit-guest을(를) guest-vlan 의 인터페이스에 대한 입력 필터로 적용:

결과

구성의 결과를 표시합니다.

CLI 빠른 구성

employee-vlan 트래픽을 필터하기 위한 라우팅된 포트(레이어 3 업링크 모듈)의 방화벽 필터를 빠르게 구성하기 위해 기업 서브넷으로 향하는 트래픽에 가장 높은 포워딩 등급을 부여하고 다음 명령을 복사하여 스위치 단말 창에 붙여 넣기:

단계별 절차

기업 서브넷으로 향하는 employee-vlan 트래픽에 가장 높은 우선 순위를 부여하기 위해 라우팅된 포트(레이어 3 업링크 모듈)에 방화벽 필터를 구성하고 적용하기:

1. 방화벽 필터 egress-router-corp-class 정의:

2. corp-expedite 용어 정의:

3. not-to-corp 용어 정의:

4. 라우터에 레이어 3 연결을 제공하는 스위치 업링크 모듈의 포트에 대한 출력 필터로 방화벽 필터 egress-router-corp-class을(를) 적용:

결과

구성의 결과를 표시합니다.

목적

스위치 내에서 구성된 방화벽 필터 및 폴리서의 작동 상태를 확인합니다.

작업

작동 모드 명령을 사용합니다.

의미

show firewall 명령은 스위치 내에서 구성된 방화벽 필터, 폴리서 및 카운터의 이름을 표시합니다. 출력 필드는 모든 구성된 카운터의 바이트와 패킷 수를 보여주며 모든 폴리서의 패킷 수를 보여줍니다.

목적

스케줄러 및 스케줄러 매핑이 스위치에서 작동하는지 확인하기.

작업

작동 모드 명령을 사용합니다.

의미

구성된 스케줄러 및 스케줄러 매핑에 대한 통계 표시하기.