Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

예를 들면 다음과 같습니다. 방화벽 필터 체인 사용

이 예는 방화벽 필터 체인의 사용을 보여줍니다. 방화벽 필터 필터1, 필터2 및 필터3은 및 구성 문을 사용하여 인터페이스 ge-0/1/1.0에 input-chainoutput-chain 적용됩니다.

요구 사항

시작하기 전에 다음을 수행합니다.

  • MPC가 있는 MX 시리즈 라우터가 있어야 하며 릴리스 18.4R1 이상에서 Junos 실행되어야 합니다.

    이 기능에 PTX10001-36MR, PTX10004, PTX10008 또는 PTX10016 라우터를 사용하는 경우 Junos OS Evolved 릴리스 21.4R1을 설치하십시오.

  • 라우터는 IP 버전 4(IPv4) 프로토콜(family inet)에 대해 구성하고 인터페이스 주소로 논리적 인터페이스를 구성해야 합니다. 다른 모든 초기 라우터 구성이 완료되어야 하며, 확인된 디바이스 간의 기본 IPv4 연결이 있어야 합니다.

  • 전송하는 트래픽은 방화벽 필터 규칙과 호환되어야 하므로 구성하는 규칙이 전송하는 테스트 트래픽과 일치할 수 있습니다.

개요

이 예는 수신 및 송신 모두에 대해 여러 방화벽 필터를 연결하여 주어진 인터페이스에 적용하고 순서대로 평가할 수 있는 방법을 보여줍니다. 체인의 각 필터는 CLI 필터와 동일하게 작동합니다. 실행 순서는 체인과 동일한 순서로 왼쪽에서 오른쪽으로 발생합니다.

입력 목록 필터와는 달리 필터 체인을 사용하면 초기 필터를 사용하여 일반 분류(예: QoS)를 수행한 다음, 평가에서 사용되는 IP 주소가 겹칠 때 발생할 수 있는 상속 충돌을 방지하여 추가 개선(예: 보안)을 위한 하나 이상의 후속 필터를 사용하는 것과 같은 여러 수준의 필터링을 허용하는 이점이 있습니다.

Junos OS Evolved 릴리스 21.4R1부터 PTX10001-36MR, PTX10004, PTX10008 및 PTX10016 라우터에서 방화벽 필터 체인을 사용할 수 있습니다.

다음과 같이 필터 체인을 적용할 수 있습니다.

set interfaces interface-name unit unit family inet filter input-chain [filter1 filter2 filter3];

set interfaces interface-name unit unit family inet filter output-chain [filter1 filter2 filter3];

PTX Evo 플랫폼에서 이 기능에는 다음과 같은 한계가 있습니다.

  • 인터페이스별으로 필터 체인에서 첫 번째 필터만 구성할 수 있습니다. MX 시리즈 라우터에서 필터 체인의 모든 필터를 특정 인터페이스로 구성할 수 있습니다.

  • 동일한 인터페이스 특정 바인딩 포인트에서 일반 CLI 필터 및 체인 필터의 일부로 동일한 필터를 구성할 수 없습니다. 이러한 인터페이스 특정 바인딩 포인트에서 기존 CLI 필터를 필터 체인으로 대체하거나 그 반대의 반대로 별도로 커밋하여 오류를 방지합니다.

  • 동일한 바인딩 포인트에서 "family ANY" 및 interface-policers와 함께 체인 필터를 구성할 수 없습니다.

  • 루프백 인터페이스에서 출력 체인 필터는 지원되지 않습니다.

  • 루프백 인터페이스에서는 입력 CLI 정규 필터와 체인 필터를 모두 구성할 수 없습니다.

  • IRB 인터페이스의 경우, 정규 CLI 인터페이스별 필터와 필터 체인을 모두 구성할 수 없습니다.

  • 레이어 2 SP 스타일 출력의 경우, 정규 CLI 인터페이스 특정 필터와 체인 필터를 모두 구성할 수 없습니다.

  • 와 같은 fast-lookup-filter 필터는 CLI 체인 필터의 일부로 지원되지 않습니다.

  • CLI 필터 체인은 Urpf-fail-filter에 대해 지원되지 않습니다.

  • MPLS 패밀리에 대한 송신 필터가 전용으로 fast-lookup-filter 지원되고 체인 필터가 fast-lookup-filter를 지원하지 않기 때문에 제품군 MPLS 송신 체인 필터를 구성하는 동안 관련 커밋 검사가 제공됩니다.

토폴로지

이 예에서 여러 방화벽 필터를 구성한 다음 해당 인터페이스에 연결하여 순차별로 적용합니다. 이 예는 입력 및 출력 체인 모두에 대해 IP 주소 172.16.1.1/30으로 구성된 을(를) 사용합니다 ge-0/1/1.0 . 패킷이 체인 목록의 필터와 일치하지 않으면 패킷이 누락됩니다.

구성

다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 을(를) 참조하십시오 구성 모드에서 CLI 편집기 사용.

CLI 빠른 구성

이 예를 빠르게 구성하려면 다음 명령을 텍스트 파일로 복사하여 모든 라인브러브를 제거한 다음 계층 수준에서 명령을 CLI [edit] 에 붙여 넣습니다. 여기에서 filter1사용되는 필터 이름은 , 등이며, 용어 이름은 (필터1을 사용하는 용어1) 등입니다 t1_f1 .

IPv4 방화벽 필터 구성

방화벽 필터를 구성합니다. 각각은 서로 다른 일치 조건과 카운트 동작을 가지고 있습니다. 처음 두 필터는 의 종료가 아닌 작업을 count가진 여러 용어를 가지고 있으며, 이는 패킷과 일치하는 패킷이 체인의 다음 필터로 전달되고 세 번째 필터는 수락 작업을 수행한다는 것을 의미 합니다. 지정된 조건과 일치하지 않는 패킷은 삭제됩니다.

단계별 절차

방화벽 필터를 구성하려면 다음을 수행합니다.

  1. IPv4 방화벽 필터를 구성하는 계층 수준으로 CLI를 이동합니다.

  2. 체인의 다음 필터로 전송하기 전에 TCP 패킷 또는 7보다 우선하는 패킷을 계산하는 첫 번째 방화벽 필터를 구성합니다.

  3. 체인의 다음 필터로 보내기 전에 DSCP 패킷 또는 소스 포트가 1020인 패킷을 계산하도록 두 번째 방화벽 필터를 구성합니다.

  4. 대상 주소가 172.30.1.1/32인 패킷 또는 5454의 대상 포트를 카운트하고 수락하도록 마지막 방화벽 필터를 구성합니다.

입력 필터 체인 적용

여기에서 방화벽 필터를 지정된 인터페이스에 연결합니다. 실행 순서는 체인과 동일한 순서로 왼쪽에서 오른쪽으로 발생합니다.

단계별 절차

인터페이스에 IP 주소를 할당하려면 다음을 수행합니다.

  1. 필터 ge-0/1/1.0에 사용하는 인터페이스로 이동합니다.

  2. 논리적 인터페이스에 IPv4 주소를 할당합니다.

  3. 필터를 입력 필터 목록으로 적용합니다.

응시자 구성 확인 및 커밋

단계별 절차

후보 구성을 확인하고 커밋하려면,

  1. 구성 모드 명령을 입력하여 방화벽 필터의 구성을 show firewall 확인합니다. 명령 출력이 의도한 구성을 표시하지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.

  2. 구성 모드 명령을 입력하여 인터페이스의 구성을 확인합니다 show interfaces .

  3. 디바이스 구성이 완료되면 구성을 커밋합니다.

확인

구성이 예상대로 작동하는지, 즉 일치하는 트래픽이 각 필터 필터1, 필터2, 필터3에 의해 평가되고 예상 작업(카운트 또는 수락)이 수행되었는지 확인합니다.

방화벽 필터를 통해 트래픽 전송

목적

체인의 모든 관련 필터에서 일치하는 패킷이 평가되고 있는지 확인하기 위해 하나의 디바이스에서 트래픽을 구성한 라우터로 보냅니다.

실행

입력 패킷이 filter1, filter2 및 filter3에 의해 평가되는지 확인하려면:

  1. 에 연결된 ge-0/1/1.0원격 호스트에서 우선 순위가 7인 패킷을 보냅니다. 패킷을 계산한 다음 filter2로 평가해야 합니다.

  2. 에 연결된 ge-0/1/1.0원격 호스트에서 DSCP 값이 0인 패킷을 보냅니다. 패킷을 계산한 다음 필터3으로 평가해야 합니다.

  3. 에 연결된 ge-0/1/1.0원격 호스트에서 대상 주소가 172.30.1.1/32이고 대상 포트 번호가 5454인 패킷을 보냅니다. 패킷을 계산한 다음 수락해야 합니다.

  4. 구성한 필터에 대한 카운터 정보를 표시하려면 운영 모드 명령을 입력합니다 show firewall filter filter-name . 명령 출력은 카운터와 연결된 필터 용어와 일치하는 바이트 및 패킷 수를 표시합니다.

관련 항목