Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예를 들면 다음과 같습니다. EX 시리즈 스위치의 포트, VLAN 및 라우터 트래픽을 위한 방화벽 필터 구성

다음 예제에서는 스위치의 포트, 네트워크의 VLAN 및 스위치의 Layer 3 인터페이스에서 포트를 유입 또는 나가는 트래픽을 제어하기 위해 방화벽 필터를 구성하고 적용하는 방법을 보여줍니다. 방화벽 필터는 패킷 플로우의 특정 프로세싱 지점에서 패킷을 포용할지 또는 거부할지 여부를 결정하는 규칙을 정의합니다.

요구 사항

이 예에서는 다음과 같은 소프트웨어 및 하드웨어 구성 요소를 활용합니다.

  • Junos OS 릴리스 9.0 이상에서 사용할 수 있습니다.

  • 두 주니퍼 네트웍스 EX3200-48T 스위치: 액세스 스위치로, 다른 스위치는 분산 스위치로 사용할 수 있습니다.

  • 1 주니퍼 네트웍스 EX-UM-4SFP 업링크 모듈 1개

  • 1 주니퍼 네트웍스 J-series 라우터

이 예제에서 방화벽 필터를 구성하고 적용하기 전에 다음을 두시하십시오.

  • 방화벽 필터 개념, Policers 및 CoS에 대한 이해

  • 배포 스위치에 업링크 모듈을 설치합니다. EX3200스위치에 업링크 모듈 설치를 참조합니다.

개요

이 구성 예에서는 방화벽 필터를 구성 및 적용하여 패킷 컨텐트를 평가하는 규칙을 제공하고 모든 및 트래픽을 처리하는 EX 시리즈 스위치에서 시작되거나 시작된 패킷을 폐기, 포워드, 분류, 카운트 및 분석할 방법을 보여줍니다. 이 예에서는 EX 시리즈 스위치에 대해 구성된 방화벽 필터가 표시되어 voice-vlanemployee-vlanguest-vlan표 1 있습니다.

표 1: 구성 구성 요소: 방화벽 필터
컴포넌트 목적/설명

포트 방화벽 필터, ingress-port-voip-class-limit-tcp-icmp

이 방화벽 필터는

  • 전화 MAC 주소와 일치하는 소스 MAC 주소를 사용하여 패킷에 우선 순위 큐링을 할당합니다. 포링 클래스는 손실이 적고 지연이 적고 지터가 적고 보장 대역폭과 모든 트래픽에 대한 expedited-forwarding 엔드-to-엔드 서비스를 voice-vlan 제공합니다.

  • 에 대한 포트를 입력하는 패킷에서 속도 제한을 employee-vlan 수행 TCP 및 ICMP 패킷의 트래픽 속도는 최대 30,000바트의 버스트 크기로 1Mbps로 제한됩니다.

이 방화벽 필터는 액세스 스위치의 포트 인터페이스에 적용됩니다.

VLAN 방화벽 필터, ingress-vlan-rogue-block

VoIP 통화에 대한 통화 등록, 접수 및 통화 상태를 관리하는 게이트키퍼 디바이스를 모방하기 위해 HTTP 세션을 사용하는 것을 방지합니다. TCP 또는 UDP 포트만 사용해야 합니다. 게이트키퍼만 HTTP를 사용하며, 즉, TCP 포트의 모든 트래픽은 게이트키퍼 장비로 voice-vlan 도착해야 합니다. 이 방화벽 필터는 VLAN의 모든 2개 전화기 간의 통신과 게이트키퍼 장비와 VLAN 전화기 간의 모든 통신을 포함하여 모든 전화에 voice-vlan 적용됩니다.

이 방화벽 필터는 액세스 스위치의 VLAN 인터페이스에 적용됩니다.

VLAN 방화벽 필터, egress-vlan-watch-employee

기업 서브넷으로 예정된 트래픽을 허용하지만 이 트래픽을 employee-vlan 모니터링하지는 않습니다. 웹으로 예정된 직원 트래픽을 계산하고 분석합니다.

이 방화벽 필터는 액세스 스위치의 vlan 인터페이스에 적용됩니다.

VLAN 방화벽 필터, ingress-vlan-limit-guest

에서 게스트(비 직원)가 직원 또는 직원 호스트와 대화하는 것을 employee-vlan 방지합니다. 또한 게스트가 Peer-to-Peer 애플리케이션을 사용하지 못하게 하지만, 게스트가 웹에 액세스할 guest-vlan 수 있도록 합니다.

이 방화벽 필터는 액세스 스위치의 VLAN 인터페이스에 적용됩니다.

라우터 방화벽 필터, egress-router-corp-class

트래픽에 우선 순위를 지정하여 기업 서브넷으로 전달하는 직원 트래픽에 대해 가장 높은 포우링 우선 employee-vlan 순위를 제공합니다.

이 방화벽 필터는 분산 스위치의 라우팅 포트(Layer 3 업링크 모듈)에 적용됩니다.

그림 1 스위치에서 포트, VLAN 및 레이어 3 라우팅 방화벽 필터의 애플리케이션을 보여줍니다.

그림 1: 포트, VLAN 및 레이어 3 라우팅 방화벽 필터 애플리케이션포트, VLAN 및 레이어 3 라우팅 방화벽 필터 애플리케이션

네트워크 토폴로지

이 구성 예제의 토폴로지는 액세스 레이어에서 EX-3200-48T 스위치 1개와 분산 레이어에서 EX-3200-48T 스위치 1개로 구성됩니다. 분산 스위치의 업링크 모듈은 J-series 라우터에 대한 Layer 3 연결을 지원하도록 구성됩니다.

EX 시리즈 스위치는 VLAN 멤버십을 지원하도록 구성됩니다. 표 2 VLAN에 대한 VLAN 구성 요소를 보여줍니다.

표 2: 구성 구성 요소: VLAN

VLAN 이름

VLAN ID

VLAN 서브넷 및 가용 IP 주소

VLAN 설명

voice-vlan

10

192.0.2.0/28 192.0.2.1 통해 192.0.2.14

192.0.2.15 서브넷의 브로드캐스트 주소입니다.

직원 VoIP 트래픽에 사용되는 음성 VLAN

employee-vlan

20

192.0.2.16/28 192.0.2.17192.0.2.30 192.0.2.31스루(through)는 서브넷의 브로드캐스트 주소를 통해

VLAN 독립형 PC, VoIP 전화, 무선 액세스 포인트 및 프린터의 허브를 통해 네트워크에 연결된 PC. 이 VLAN에는 음성 VLAN이 완벽하게 포함되어 있습니다. 전화에 연결하는 포트에서 2개의 VLA(VLA)를 (voice-vlanemployee-vlan 구성해야 합니다.

guest-vlan

30

192.0.2.32/28 192.0.2.33192.0.2.46 192.0.2.47스루(through)는 서브넷의 브로드캐스트 주소를 통해

게스트의 데이터 디바이스(PC)를 위한 VLAN 시나리오에서는 기업이 방문자가 자신의 PC를 연결하여 웹 및 회사의 VPN에 연결할 수 있는 허브가 있는 로비나 회의실에서 방문자가 사용할 수 있는 영역을 가졌다고 가정합니다.

camera-vlan

40

192.0.2.48/28 192.0.2.49192.0.2.62 192.0.2.63스루(through)는 서브넷의 브로드캐스트 주소를 통해

기업 보안 카메라를 위한 VLAN.

EX Series 스위치의 포트는 PoE(Power over Ethernet)(PoE)를 지원하기 때문에 포트에 연결하는 VoIP 전화기 전원과 네트워크 연결을 모두 제공할 수 있습니다. VLA에 할당된 스위치 포트와 스위치 포트에 연결된 장치에 대한 표 3 IP 및 MAC 주소를 보여줍니다.

표 3: 구성 구성 요소: 48포트 All-PoE 스위치 포트

스위치 및 포트 번호

VLAN 멤버십

IP 및 MAC 주소

포트 디바이스

ge-0/0/0, ge-0/0/1

voice-vlan, employee-vlan

IP 주소: 192.0.2.1 통해 192.0.2.2

MAC 주소: 00.00.5E.00.53.01, 00.00.5E.00.53.02

2개의 VoIP 전화기가 각각 하나의 PC에 연결됩니다.

ge-0/0/2, ge-0/0/3

employee-vlan

192.0.2.17 통해 192.0.2.18

프린터, 무선 액세스 포인트

ge-0/0/4, ge-0/0/5

guest-vlan

192.0.2.34 통해 192.0.2.35

방문자가 자신의 PC를 연결할 수 있는 두 개의 허브 방문객이 사용할 수 있는 공간(예: 로비 또는 회의실 등)에 허브가 있습니다.

ge-0/0/6, ge-0/0/7

camera-vlan

192.0.2.49 통해 192.0.2.50

2대의 보안 카메라

ge-0/0/9

voice-vlan

IP address: 192.0.2.14

MAC 주소:00.05.5E.00.53.0E

게이트키퍼 디바이스. 게이트키퍼는 VoIP 전화에 대한 통화 등록, 접수 및 통화 상태를 관리합니다.

ge-0/1/0

IP address: 192.0.2.65

라우터에 대한 레이어 3 연결, 이는 스위치의 업링크 모듈에 있는 포트임

음성 트래픽에 우선 순위를 지정하고 TCP 및 ICMP 트래픽에 대한 속도 제한을 위한 Ingress 포트 방화벽 필터 구성

포트, VLAN 및 라우터 인터페이스에 대한 방화벽 필터를 구성하고 적용하기 위해 다음 작업을 수행합니다.

절차

CLI 빠른 구성

포트 방화벽 필터를 신속하게 구성하고 적용하여 서브넷으로 전달되는 음성 트래픽에 우선 순위를 지정하고 속도 제한 패킷을 지정하기 위해 다음 명령을 복사하여 스위치 터미널 employee-vlan 창에 붙여넣기:

단계별 절차

포트 방화벽 필터를 구성 및 적용하여 서브넷으로 전달되는 음성 트래픽에 우선 순위를 지정하고 속도 제한 employee-vlan 패킷을 적용하기 위한 경우:

  1. 정책자 및 tcp-connection-policericmp-connection-policer 정의:

  2. 방화벽 필터 ingress-port-voip-class-limit-tcp-icmp 정의:

  3. 다음 용어를 voip-high 정의합니다.

  4. 다음 용어를 network-control 정의합니다.

  5. tcp-connectionTCP 트래픽에 대한 속도 제한을 구성하는 용어를 정의합니다.

  6. ICMP 트래픽에 대한 속도 제한을 구성하는 용어를 icmp-connection 정의합니다.

  7. 방화벽 필터의 다른 용어와 일치하지 않는 모든 패킷에 대한 내재적 일치 조건 없이 best-effort 용어를 정의합니다.

  8. 방화벽 필터를 포트 인터페이스에 입력 필터로 적용하여 다음을 ingress-port-voip-class-limit-tcp-icmpemployee-vlan 제공합니다.

  9. 서로 다른 스케줄러에 원하는 매개 변수를 구성합니다.

    주:

    스케줄러에 대한 매개 변수를 구성할 때 네트워크 트래픽 패턴에 맞게 수를 정의합니다.

  10. 스케줄러 맵을 통해 포링 클래스를 스케줄러에 할당합니다.

  11. 스케줄러 맵을 아웃사이트 인터페이스에 연결합니다.

결과

구성의 결과를 표시합니다.

VoIP 트래픽 중단을 방지하기 위한 VLAN Ingress 방화벽 필터 구성

포트, VLAN 및 라우터 인터페이스에 대한 방화벽 필터를 구성하고 적용하기 위해 다음 작업을 수행합니다.

절차

CLI 빠른 구성

VoIP 트래픽을 관리하는 게이트키퍼 디바이스를 모방하기 위해 HTTP 세션을 사용하는 것을 막기 위해 VLAN 방화벽 필터를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 voice-vlan 붙여넣기:

단계별 절차

VoIP 트래픽을 관리하는 게이트키퍼 디바이스를 모방하는 HTTP를 사용하지 못하도록 VLAN 방화벽 필터를 구성하고 voice-vlan 적용하려면 다음을 실행하십시오.

  1. 허용 및 제한하려는 트래픽에 대한 필터 일치를 지정하는 ingress-vlan-rogue-block 방화벽 필터를 정의합니다.

  2. 게이트키퍼의 대상 IP 주소와 일치하는 패킷을 허용하는 to-gatekeeper 용어를 정의합니다.

  3. 게이트키퍼의 소스 IP 주소와 일치하는 패킷을 허용하는 from-gatekeeper 용어를 정의합니다.

  4. 게이트키퍼 장비에서 TCP 포트의 모든 트래픽이 도착하도록 보장하는 용어를 not-gatekeepervoice-vlan 정의합니다.

  5. VoIP 전화에 대한 VLAN 인터페이스에 방화벽 필터를 입력 ingress-vlan-rogue-block 필터로 적용합니다.

결과

구성의 결과를 표시합니다.

직원 VLAN에서 Egress 트래픽을 카운트, 모니터링 및 분석하기 위한 VLAN 방화벽 필터 구성

포트, VLAN 및 라우터 인터페이스에 대한 방화벽 필터를 구성하고 적용하기 위해 다음 작업을 수행합니다.

절차

CLI 빠른 구성

방화벽 필터가 구성되고 VLAN 인터페이스에 적용되어 employee-vlan egress 트래픽을 필터링합니다. 기업 서브넷으로 예정된 직원 트래픽은 허용하지만 모니터링되지 않습니다. 웹으로 예정된 직원 트래픽을 계산하고 분석합니다.

VLAN 방화벽 필터를 신속하게 구성하고 적용하기 위해 다음 명령을 복사하여 스위치 터미널 창에 붙여넣기:

단계별 절차

egress 포트 방화벽 필터를 구성하고 적용하여 웹으로 도착하는 트래픽을 계산하고 employee-vlan 분석하는 방법:

  1. 방화벽 필터 egress-vlan-watch-employee 정의:

  2. 기업 서브넷에서 시작되는 모든 트래픽을 허용하지만 모니터링하지 않는 employee-to-corpemployee-vlan 용어를 정의합니다.

  3. 웹으로 설정되는 모든 트래픽을 카운트 및 모니터링하는 용어를 employee-to-webemployee-vlan 정의합니다.

  4. VoIP 전화의 포트 인터페이스에 방화벽 필터를 출력 egress-vlan-watch-employee 필터로 적용합니다.

결과

구성의 결과를 표시합니다.

게스트 VLAN에서 게스트-직원 트래픽 및 Peer-to-Peer 애플리케이션을 제한하기 위한 VLAN 방화벽 필터 구성

포트, VLAN 및 라우터 인터페이스에 대한 방화벽 필터를 구성하고 적용하기 위해 다음 작업을 수행합니다.

절차

CLI 빠른 구성

다음 예제에서 첫 번째 필터 용어는 게스트가 에 있는 직원이 아닌 다른 게스트와 대화를 employee-vlan 허용합니다. 두 번째 필터 용어는 게스트의 웹 액세스를 허용하지만 에서 Peer-to-Peer 애플리케이션을 사용할 수 guest-vlan 없습니다.

게스트-직원 트래픽을 제한하기 위해 VLAN 방화벽 필터를 신속하게 구성하기 위해, 게스트가 직원 또는 직원 호스트와 대화하거나 에서 Peer-to-Peer 애플리케이션을 사용하려고 시도하지 못하도록 차단하고, 다음 명령을 복사하여 스위치 터미널 창에 employee-vlanguest-vlan 붙여넣기:

단계별 절차

다음에 대한 게스트-직원 트래픽 및 Peer-to-Peer 애플리케이션을 제한하기 위해 VLAN 방화벽 필터를 구성하고 guest-vlan 적용하는 방법

  1. 방화벽 필터 ingress-vlan-limit-guest 정의:

  2. 에 있는 직원이 아닌 다른 게스트와의 대화를 허용하는 guest-to-guestguest-vlanemployee-vlan 용어를 정의합니다.

  3. 에서 게스트가 웹 액세스를 허용하지만 에서 피어 투 피어 애플리케이션을 사용하지 못하도록 방지하는 no-guest-employee-no-peer-to-peerguest-vlan 용어를 guest-vlan 정의합니다.

    주:

    기본 게이트웨이로, VLAN의 모든 호스트에 대해 넥넥트 홉 destination-mac-address 라우터입니다.

  4. 방화벽 필터를 다음을 위한 입력 ingress-vlan-limit-guest 필터를 인터페이스에 guest-vlan 적용합니다.

결과

구성의 결과를 표시합니다.

기업 서브넷으로 연결되는 Egress 트래픽에 우선 순위를 적용하기 위한 라우터 방화벽 필터 구성

포트, VLAN 및 라우터 인터페이스에 대한 방화벽 필터를 구성하고 적용하기 위해 다음 작업을 수행합니다.

절차

CLI 빠른 구성

트래픽을 필터링하기 위해 라우팅된 포트(Layer 3 업링크 모듈)를 위한 방화벽 필터를 신속하게 구성하여 기업 서브넷으로 전달되는 트래픽에 대해 가장 높은 포우링 클래스 우선 순위를 제공하도록 하여 다음 명령을 복사하고 스위치 터미널 창에 employee-vlan 붙여넣기:

단계별 절차

방화벽 필터를 구성하고 라우팅된 포트(Layer 3 업링크 모듈)에 적용하여 기업 서브넷으로 도착하는 트래픽에 가장 높은 우선 순위를 employee-vlan 제공하십시오.

  1. 방화벽 필터 egress-router-corp-class 정의:

  2. 다음 용어를 corp-expedite 정의합니다.

  3. 다음 용어를 not-to-corp 정의합니다.

  4. 라우터에 Layer 3 연결을 제공하는 스위치 업링크 모듈의 포트에 대한 출력 필터로 방화벽 필터를 egress-router-corp-class 적용합니다.

결과

구성의 결과를 표시합니다.

확인

방화벽 필터가 제대로 작동하고 있는지 확인하려면 다음 작업을 수행합니다.

방화벽 필터 및 경찰관의 작동 확인

목적

스위치에서 구성된 방화벽 필터 및 Policers의 작동 상태를 검증합니다.

실행

운영 모드 명령어 사용:

의미

명령어는 스위치에 구성된 방화벽 show firewall 필터, Policers 및 카운터의 이름을 표시합니다. 출력 필드에는 구성된 모든 카운터에 대한 byte 및 패킷 카운트가 표시되어 있으며 모든 Policers의 패킷 카운트가 표시됩니다.

스케줄러 및 스케줄러 지도가 작동하고 있는지 확인

목적

스케줄러와 스케줄러 지도가 스위치에서 작동하고 있는지 검증합니다.

실행

운영 모드 명령어 사용:

의미

구성된 스케줄러 및 스케줄러 지도에 대한 통계를 표시합니다.