Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예: EX 시리즈 스위치에서 포트, VLAN, 라우터 트래픽의 방화벽 필터 구성하기

다음 예시는 스위치에서 포트, 네트워크에서 VLAN, 스위치에서 레이어 3 인터페이스에 들어가거나 나가는 트래픽을 제어하기 위한 방화벽 필터를 구성하고 적용하는 방법을 보여줍니다. 방화벽 필터는 패킷 플로우의 특정 처리 지점에서 패킷을 포워드 하거나 거부할지 여부를 결정하는 규칙을 정의합니다.

요구 사항

이 예에서 사용되는 소프트웨어 및 하드웨어 구성 요소는 다음과 같습니다:

  • EX 시리즈 스위치를 위한 Junos OS 릴리스 9.0 이상.

  • 주니퍼 네트웍스 EX3200-48T 스위치 두 개: 액세스 스위치 역할을 하는 한 개와 다른 한 개는 배포 스위치 역할

  • 주니퍼 네트웍스 EX-UM-4SFP 업링크 모듈 한 개

  • 주니퍼 네트웍스 J-시리즈 라우터 한 개

다음 예에서 방화벽 필터를 구성하고 적용하기 전에 다음을 확인하세요.

개요

다음 구성 예시는 패킷 내용을 평가하고 모든 voice-vlan, employee-vlan, 및 guest-vlan 트래픽을 처리하는 EX 시리즈 스위치에서 출발하거나 도착하는 패킷들을 폐기, 포워딩, 분류, 카운트, 분석할지 결정하는데 사용하는 규칙을 제공하기 위한 방화벽 필터를 구성하고 적용하는 방법을 보여줍니다. 표 1은(는) 이 예에서 EX 시리즈 스위치 용으로 구성된 방화벽 필터를 보여줍니다.

표 1: 구성 요소: 방화벽 필터
구성 요소 목적/설명

포트 방화벽 필터, ingress-port-voip-class-limit-tcp-icmp

이 방화벽 필터는 다음의 두 가지 기능을 수행합니다.

  • 전화 MAC 주소와 일치하는 소스 MAC 주소로 패킷에 대한 우선 순위 대기열 지정하기. 전송 클래스 expedited-forwarding은(는) 모든 voice-vlan 트래픽에 대한 낮은 손실, 낮은 지연, 낮은 지터, 대역폭 보장, 엔드투엔드 서비스를 제공합니다.

  • employee-vlan 포트에 들어가는 패킷에 대한 요금 제한 작업을 수행합니다. TCP 및 ICMP 패킷의 트래픽 속도는 버스트 크기가 최대 30,000바이트인 1Mbps로 제한됩니다.

이 방화벽 필터는 액세스 스위치의 포트 인터페이스에 적용됩니다.

VLAN 방화벽 필터, ingress-vlan-rogue-block

불량 기기가 HTTP 세션을 사용하여 VoIP 전화에 대한 전화 등록, 승인, 호출 상태를 관리하는 게이트키퍼 디바이스를 모방하는 것을 방지합니다. TCP 또는 UDP 포트만 사용해야 합니다. 게이트키퍼만 HTTP를 사용합니다. 즉 TCP 포트에 있는 모든 voice-vlan 트래픽은 게이트키퍼 디바이스가 목적지가 되어야 합니다. 이 방화벽 필터는 VLAN에 있는 두 전화기 간의 통신과 게이트키퍼 디바이스 및 VLAN 전화기 간의 모든 통신을 포함하는 voice-vlan의 모든 전화기에 적용됩니다.

이 방화벽 필터는 액세스 스위치의 VLAN 인터페이스에 적용됩니다.

VLAN 방화벽 필터, egress-vlan-watch-employee

기업 서브넷이 목적지인 employee-vlan 트래픽을 허용하지만 이 트래픽을 모니터링하지는 않습니다. 웹으로 향하는 고용된 트래픽은 카운트되고 분석됩니다.

이 방화벽 필터는 액세스 스위치의 VLAN 인터페이스에 적용됩니다.

VLAN 방화벽 필터, ingress-vlan-limit-guest

직원이 아닌 손님이 직원 또는 employee-vlan에서 호스팅하는 직원과 대화하는 것을 방지합니다. 또한 손님들은 guest-vlan에서 피어 투 피어 애플리케이션을 사용하지는 못하지만 웹에 액세스 할 수 있습니다.

이 방화벽 필터는 액세스 스위치의 VLAN 인터페이스에 적용됩니다.

라우터 방화벽 필터, egress-router-corp-class

employee-vlan 트래픽을 기업 서브넷으로 향하는 직원 트래픽 중 가장 높은 포워딩 등급으로 우선 순위를 부여합니다.

이 방화벽 필터는 배포 스위치 내의 라우팅 포트(레이어 3 업링크 모듈)에 적용됩니다.

그림 1은(는) 스위치 내의 포트, VLAN, 레이어 3 라우팅 된 방화벽 필터의 애플리케이션을 보여줍니다.

그림 1: 포트, VLAN, 레이어 3 라우팅 된 방화벽 필터의 애플리케이션포트, VLAN, 레이어 3 라우팅 된 방화벽 필터의 애플리케이션

네트워크 토폴로지

이 구성 예의 토폴로지는 액세스 레이어의 EX-3200-48T 스위치 한 개와 배포 레이어의 EX-3200-48T 스위치 한 개로 이루어져 있습니다. 배포 스위치의 업링크 모듈은 J 시리즈 라우터에 레이어 3 연결을 지원하기 위해 구성되어 있습니다.

EX 시리즈 스위치는 VLAN 멤버십을 지원하기 위해 구성되어 있습니다. 표 2은(는) VLAN에 대한 VLAN 구성 요소를 보여줍니다.

표 2: 구성 요소: VLAN

VLAN 명칭

VLAN ID

VLAN 서브넷 및 사용 가능한 IP 주소

VLAN 세부 설명

voice-vlan

10

192.0.2.0/28 192.0.2.1부터 192.0.2.14 까지

192.0.2.15 은(는) 서브넷의 브로드캐스트 주소입니다.

직원 VoIP 트래픽에 사용되는 음성 VLAN

employee-vlan

20

192.0.2.16/28 192.0.2.17에서 192.0.2.30 192.0.2.31은(는) 서브넷의 브로드캐스트 주소입니다

VLAN 독립형 PC, VoIP 전화에 있는 허브를 통해 네트워크에 연결된 PC, 무선 액세스 포인트 및 프린터. 이 VLAN은 음성 VLAN을 완전히 포함합니다. VLAN 두 개((voice-vlan, employee-vlan)는 전화기에 연결된 포트에 구성되어야 합니다.

guest-vlan

30

192.0.2.32/28 192.0.2.33에서 192.0.2.46 192.0.2.47은(는) 서브넷의 브로드캐스트 주소입니다

게스트의 데이터 디바이스(PC)용 VLAN. 이 시나리오는 회사가 로비나 컨퍼런스 룸과 같은 방문객에게 열려 있는 공간이 있으며, 방문객이 웹과 회사의 VPN에 자신의 PC를 연결할 수 있는 허브가 있는 것으로 가정합니다.

camera-vlan

40

192.0.2.48/28 192.0.2.49에서 192.0.2.62 192.0.2.63은(는) 서브넷의 브로드캐스트 주소입니다

기업 보안 카메라에 대한 VLAN.

EX 시리즈 스위치의 포트는 PoE(Power over Ethernet)를 지원해 포트에 연결하는 VoIP에 대한 네트워크 연결 및 전력을 제공합니다. 표 3은(는) VLAN에 할당된 스위치 포트와 스위치 포트에 연결된 디바이스의 용 IP 및 MAC 주소를 보여줍니다.

표 3: 구성 요소: 48 포트 모든 PoE 스위치에 대한 스위치 포트

스위치 및 포트 번호

VLAN 회원

IP 및 MAC 주소

포트 장치

ge-0/0/0, ge-0/0/1

voice-vlan, employee-vlan

IP 주소: 192.0.2.1부터 192.0.2.2 까지

MAC 주소: 00.00.5E.00.53.01, 00.00.5E.00.53.02

VoIP 전화 두 개, 각각 하나의 PC에 연결됨.

ge-0/0/2, ge-0/0/3

employee-vlan

192.0.2.17부터 192.0.2.18까지

프린터,

ge-0/0/4, ge-0/0/5

guest-vlan

192.0.2.34부터 192.0.2.35까지

방문자가 PC에 연결할 수 있는 두 개의 허브. 허브는 로비 또는 컨퍼런스 룸과 같이 방문객에게 열려 있는 공간에 위치하고 있습니다.

ge-0/0/6, ge-0/0/7

camera-vlan

192.0.2.49부터 192.0.2.50까지

보안 카메라 두 개

ge-0/0/9

voice-vlan

IP 주소: 192.0.2.14

MAC 주소: 00.05.5E.00.53.0E

게이트키퍼 디바이스. 게이트키퍼는 VoIP 전화에 대한 통화 등록, 승인, 통화 상태를 관리합니다.

ge-0/1/0

IP 주소: 192.0.2.65

라우터에 대한 레이어 3 연결. 이것은 스위치의 업링크 모듈의 포트임을 유의하세요.

음성 트래픽의 우선 순위를 지정하고 TCP와 ICMP 트래픽 속도 한도를 위한 수신 포트 방화벽 필터 구성하기

포트, VLAN, 라우터 인터페이스에 대한 방화벽 필터를 구성하고 적용하기 위해 다음의 작업을 수행합니다.

절차

CLI 빠른 구성

employee-vlan 서브넷을 목적지로 하는 음성 트래픽 우선 순위 및 속도 제한 패킷에 대한 포트 방화벽 필터를 빠르게 구성하고 적용하기 위해 다음의 명령문을 복사하고 스위치 단말 창에 붙여 넣으세요.

단계별 절차

employee-vlan 서브넷을 목적지로 하는 음성 트래픽 우선 순위 및 속도 제한 패킷에 대한 포트 방화벽 필터를 구성하고 적용합니다.

  1. 폴리서 tcp-connection-policericmp-connection-policer 정의:

  2. 방화벽 필터 ingress-port-voip-class-limit-tcp-icmp 정의:

  3. voip-high 용어 정의:

  4. network-control 용어 정의:

  5. TCP 트래픽 속도 제한을 구성하기 위한 tcp-connection 용어 정의:

  6. ICMP 트래픽 속도 제한을 구성하기 위한 icmp-connection 용어 정의:

  7. 방화벽 필터의 다른 용어와 일치하지 않는 모든 패킷의 암시적 일치에 대한 일치 조건이 없는 best-effort 용어 정의:

  8. 방화벽 필터 ingress-port-voip-class-limit-tcp-icmp을(를) employee-vlan의 포트 인터페이스에 대한 입력 필터로 적용:

  9. 다른 스케줄러에 대해 원하는 매개 변수를 구성합니다.

    주:

    스케줄러에 대한 매개 변수를 구성 할 경우 네트워크 트래픽 패턴과 일치하도록 수를 정의합니다.

  10. 스케줄러 맵을 사용하여 스케줄러에 포워딩 클래스를 할당:

  11. 나가는 인터페이스에 대한 스케줄러 맵을 연결:

결과

구성의 결과를 표시합니다.

불량 디바이스가 VoIP 트래픽 방해하지 않도록 하는 VLAN 수신 방화벽 필터 구성하기

포트, VLAN, 라우터 인터페이스에 대한 방화벽 필터를 구성하고 적용하기 위해 다음의 작업을 수행합니다.

절차

CLI 빠른 구성

불량 디바이스가 HTTP 세션을 사용하여 VoIP 트래픽을 관리하는 게이트키퍼 디바이스를 모방하는 것을 막기위해 voice-vlan에서 VLAN 방화벽 필터를 빠르게 구성하기 위해 다음 명령문을 복사하여 스위치 단말창에 붙여 넣기:

단계별 절차

불량 디바이스가 HTTP를 사용해 VoIP 트래픽을 관리하는 게이트키퍼 디바이스를 모방하는 것을 막기위해 voice-vlan에서 VLAN 방화벽 필터를 구성하고 적용:

  1. 허용 및 제한을 원하는 트래픽에 대한 필터 매칭을 지정하기 위한 방화벽 필터 ingress-vlan-rogue-block정의:

  2. 게이트키퍼의 대상 IP 주소와 일치하는 패킷을 받아들이기 위한 용어to-gatekeeper 정의:

  3. 게이트키퍼의 소스 IP 주소와 일치하는 패킷을 받아들이기 위한 용어from-gatekeeper 정의:

  4. TCP 포트에 대한 모든 voice-vlan 트래픽이 게이트키퍼 디바이스를 목적지가 되도록 하는 용어not-gatekeeper 정의:

  5. VoIP 전화용 VLAN 인터페이스에 대한 입력 필터로 방화벽 필터ingress-vlan-rogue-block 적용:

결과

구성의 결과를 표시합니다.

직원 VLAN에 대한 송신 트래픽 카운트, 모니터링, 분석을 위한 VLAN 방화벽 필터를 구성하기

포트, VLAN, 라우터 인터페이스에 대한 방화벽 필터를 구성하고 적용하기 위해 다음의 작업을 수행합니다.

절차

CLI 빠른 구성

방화벽 필터는 employee-vlan 송신 트래픽을 필터링하기 위해 VLAN 인터페이스에 구성되어 적용됩니다. 기업 서브넷을 목적지로 하는 직원 트래픽은 허용되지만 모니터링되지 않습니다. 웹으로 향하는 고용된 트래픽은 카운트되고 분석됩니다.

VLAN 방화벽 필터를 빠르게 구성하고 적용하기 위해 다음 명령을 복사하여 스위치 단말창에 붙여 넣기:

단계별 절차

웹을 목적지로 하는 employee-vlan 트래픽을 카운트하고 분석하기 위해 송신 포트 방화벽 필터를 구성하고 적용하기:

  1. 방화벽 필터 egress-vlan-watch-employee 정의:

  2. 기업 서브넷을 목적지로하는 모든 employee-vlan트래픽을 수용하지만 모니터링하지 않는 용어employee-to-corp 정의:

  3. 웹으로 향하는 모든 employee-vlan트래픽을 카운트하고 모니터링하는 용어employee-to-web 정의:

    주:

    예: employee-monitor 분석기를 구성하는 정보를 위한 EX 시리즈 스위치 에서 직원 자원 사용 로컬 모니터링을 위한 포트 미러링 구성하기.

  4. VoIP 전화용 포트 인터페이스의 출력 필터로 방화벽 필터 egress-vlan-watch-employee을(를) 적용:

결과

구성의 결과를 표시합니다.

손님에서 직원으로 트래픽과 손님 VLAN의 피어 투 피어 애플리케이션을 제한하기 위해 VLAN 방화벽 필터 구성하기

포트, VLAN, 라우터 인터페이스에 대한 방화벽 필터를 구성하고 적용하기 위해 다음의 작업을 수행합니다.

절차

CLI 빠른 구성

다음 예에서 첫 번째 필터 용어는 손님이 다른 손님과 대화하도록 허용하지만 employee-vlan에서 직원은 아닙니다. 두 번째 필터 용어는 손님에게 웹 액세스를 허용하지만 피어 투 피어 애플리게이션은 guest-vlan에서 사용하지 못하게 합니다.

손님에서 직원으로 트래픽을 제한하기 위한 VLAN 방화벽 필터를 빠르게 구성하기 위해 손님이 직원 또는 employee-vlan에서 호스팅하는 직원과 대화하거나 guest-vlan에서 피어 투 피어 애플리케이션을 사용하는 것을 시도하는 것을 차단하기 위해 다음 명령을 복사하여 스위치 단말 창에 붙여넣기:

단계별 절차

손님에서 직원으로 트래픽과 guest-vlan에서 피어 투 피어 애플리케이션을 제한하기 위한 VLAN 방화벽 필터를 구성하고 적용:

  1. 방화벽 필터 ingress-vlan-limit-guest 정의:

  2. guest-vlan에서 손님이 다른 손님과 대화할 수 있도록 허용하지만 employee-vlan에서 직원과 대화하는 것은 허용하지 않는 용어guest-to-guest 정의:

  3. 손님이 guest-vlan의 웹 액세스를 허용하지만 guest-vlan에서 피어 투 피어 애플리케이션을 사용하지 않도록 하는 용어no-guest-employee-no-peer-to-peer 정의.

    주:

    destination-mac-address은(는) 기본 게이트웨이로 VLAN의 모든 호스트에 대한 다음 홉 라우터입니다.

  4. 방화벽 필터 ingress-vlan-limit-guest을(를) guest-vlan 의 인터페이스에 대한 입력 필터로 적용:

결과

구성의 결과를 표시합니다.

기업 서브넷으로 향하는 송신 트래픽에 우선 순위를 제공하기 위한 라우터 방화벽 필터 구성하기

포트, VLAN, 라우터 인터페이스에 대한 방화벽 필터를 구성하고 적용하기 위해 다음의 작업을 수행합니다.

절차

CLI 빠른 구성

employee-vlan 트래픽을 필터하기 위한 라우팅된 포트(레이어 3 업링크 모듈)의 방화벽 필터를 빠르게 구성하기 위해 기업 서브넷으로 향하는 트래픽에 가장 높은 포워딩 등급을 부여하고 다음 명령을 복사하여 스위치 단말 창에 붙여 넣기:

단계별 절차

기업 서브넷으로 향하는 employee-vlan 트래픽에 가장 높은 우선 순위를 부여하기 위해 라우팅된 포트(레이어 3 업링크 모듈)에 방화벽 필터를 구성하고 적용하기:

  1. 방화벽 필터 egress-router-corp-class 정의:

  2. 용어corp-expedite 정의:

  3. 용어not-to-corp 정의:

  4. 라우터에 레이어 3 연결을 제공하는 스위치 업링크 모듈의 포트에 대한 출력 필터로 방화벽 필터 egress-router-corp-class을(를) 적용:

결과

구성의 결과를 표시합니다.

검증

방화벽 필터가 제대로 작동하고 있는지 확인하기 위해 다음 작업을 수행합니다.

방화벽 필터 및 폴리서의 작동 확인하기

목적

스위치 내에서 구성된 방화벽 필터 및 폴리서의 작동 상태를 확인합니다.

작업

작동 모드 명령을 사용합니다.

의미

show firewall 명령은 스위치 내에서 구성된 방화벽 필터, 폴리서 및 카운터의 이름을 표시합니다. 출력 필드는 모든 구성된 카운터의 바이트와 패킷 수를 보여주며 모든 폴리서의 패킷 수를 보여줍니다.

스케줄러와 스케줄러 매핑의 작동 확인하기

목적

스케줄러 및 스케줄러 매핑이 스위치에서 작동하는지 확인하기.

작업

작동 모드 명령을 사용합니다.

의미

구성된 스케줄러 및 스케줄러 매핑에 대한 통계 표시하기.