Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

예: 방화벽 필터 체인 사용

이 예에서는 방화벽 필터 체인을 사용하는 방법을 보여 줍니다. 방화벽 필터 filter1, filter2 및 filter3은 및 구성 문을 사용하여 인터페이스 ge-0/1/1.0에 적용됩니다.input-chainoutput-chain

요구 사항

시작하기 전에:

  • MPC가 있고 Junos 릴리스 18.4R1 이상을 실행하는 MX 시리즈 라우터가 있어야 합니다.

    이 기능을 위해 PTX10001-36MR, PTX10004, PTX10008 또는 PTX10016 라우터를 사용하는 경우 Junos OS Evolved 릴리스 21.4R1을 설치합니다.

  • 라우터는 IP 버전 4(IPv4) 프로토콜()에 대해 구성되어야 하며 인터페이스 주소를 사용하여 논리적 인터페이스를 구성해야 합니다.family inet 다른 모든 초기 라우터 구성이 완료되어야 하며, 디바이스 간의 기본 IPv4 연결이 확인되어야 합니다.

  • 전송하는 트래픽은 방화벽 필터 규칙과 호환되어야 구성되는 규칙이 전송하는 테스트 트래픽과 일치할 수 있습니다.

개요

이 예에서는 수신 및 송신 모두에 대해 여러 방화벽 필터를 연결하여 지정된 인터페이스에 적용하고 순차적으로 평가할 수 있도록 하는 방법을 보여줍니다. 실행 순서는 왼쪽에서 오른쪽으로 체인과 동일한 순서로 발생합니다.

입력 목록 필터와 달리 필터 체인을 사용하면 초기 필터를 사용하여 일반 분류(예: QoS)를 수행한 다음 하나 이상의 후속 필터를 사용하여 추가 구체화(예: 보안)를 수행하는 등 여러 수준의 필터링을 허용할 수 있는 이점이 있습니다.

Junos OS Evolved 릴리스 21.4R1부터 PTX10001-36MR, PTX10004, PTX10008 및 PTX10016 라우터에서 방화벽 필터 체인을 사용할 수 있습니다.

다음과 같이 필터 체인을 적용할 수 있습니다.

set interfaces interface-name unit unit family inet filter input-chain [filter1 filter2 filter3];

set interfaces interface-name unit unit family inet filter output-chain [filter1 filter2 filter3];

PTX Evo 플랫폼에서 이 기능은 다음과 같은 제한 사항이 있습니다.

  • 필터 체인의 첫 번째 필터만 인터페이스별로 구성할 수 있습니다. MX 시리즈 라우터에서는 필터 체인의 모든 필터를 인터페이스별로 구성할 수 있습니다.

  • 동일한 인터페이스별 바인드 포인트에서 일반 CLI 필터 및 체인 필터의 일부로 동일한 필터를 구성할 수 없습니다. 이러한 인터페이스별 바인드 포인트에서 기존 CLI 필터를 필터 체인으로 교체하거나 그 반대로 교체하고 별도로 커밋하여 오류를 방지합니다.

  • 동일한 바인드 포인트에서 "family ANY" 및 인터페이스 폴리서와 함께 체인 필터를 구성할 수 없습니다.

  • 루프백 인터페이스에서는 출력 체인 필터가 지원되지 않습니다.

  • 루프백 인터페이스에서는 입력 CLI 일반 필터와 체인 필터를 모두 구성할 수 없습니다.

  • IRB 인터페이스의 경우, 일반 CLI 인터페이스별 필터와 필터 체인을 모두 구성할 수 없습니다.

  • 레이어 2 SP 스타일 출력의 경우 일반 CLI 인터페이스별 필터와 체인 필터를 모두 구성할 수 없습니다.

  • 와 같은 필터는 CLI 체인 필터의 일부로 지원되지 않습니다.fast-lookup-filter

  • CLI 필터 체인은 Urpf-fail-filters에 대해 지원되지 않습니다.

  • MPLS 패밀리에 대한 송신 필터는 로만 지원 되고 체인 필터는 fast-lookup-filters를 지원하지 않으므로 제품군 MPLS 송신 체인 필터를 구성하는 동안 관련 커밋 검사가 제공됩니다.fast-lookup-filter

토폴로지

이 예에서는 여러 방화벽 필터를 구성한 다음 지정된 인터페이스에 연결하여 순서대로 적용합니다. 이 예에서는 입력 및 출력 체인 모두에 대해 IP 주소 172.16.1.1/30으로 구성된 것을 사용합니다 .ge-0/1/1.0 패킷이 체인 목록의 필터와 일치하지 않으면 패킷이 삭제됩니다.

구성

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 .구성 모드에서 CLI 편집기 사용

CLI 빠른 구성

이 예를 빠르게 구성하려면 다음 명령을 텍스트 파일에 복사하고 줄 바꿈을 제거한 다음 명령을 계층 수준의 CLI에 붙여넣습니다 .[edit] 여기서 사용되는 필터 이름은 , 등이고 , 용어 이름은 (term1, filter1 사용) 등입니다.filter1t1_f1

IPv4 방화벽 필터 구성

여기서는 방화벽 필터를 구성합니다. 각각은 서로 다른 일치 조건과 카운트 작업을 가지고 있습니다. 처음 두 필터는 종결되지 않는 동작을 갖는 여러 용어를 가지며, 이는 일치하는 패킷이 체인의 다음 필터로 전달된다는 것을 의미하며, 세 번째 필터는 수락 동작을 갖습니다.count 지정된 조건과 일치하지 않는 패킷은 삭제됩니다.

단계별 절차

방화벽 필터 구성 방법:

  1. CLI에서 IPv4 방화벽 필터를 구성하는 계층 수준으로 이동합니다.

  2. 체인의 다음 필터로 전송하기 전에 TCP 패킷 또는 우선 순위가 7인 패킷을 카운트하도록 첫 번째 방화벽 필터를 구성합니다.

  3. 체인의 다음 필터로 보내기 전에 DSCP 패킷 또는 소스 포트가 1020인 패킷을 카운트하도록 두 번째 방화벽 필터를 구성합니다.

  4. 대상 주소가 172.30.1.1/32 또는 대상 포트 5454인 패킷을 카운트하고 수락하도록 마지막 방화벽 필터를 구성합니다.

입력 필터 체인 적용

여기서는 방화벽 필터를 지정된 인터페이스에 연결합니다. 실행 순서는 왼쪽에서 오른쪽으로 체인과 동일한 순서로 발생합니다.

단계별 절차

인터페이스에 IP 주소를 할당하려면 다음을 수행합니다.

  1. 필터 에 사용 중인 인터페이스로 이동합니다.ge-0/1/1.0

  2. 논리적 인터페이스에 IPv4 주소를 할당합니다.

  3. 필터를 입력 필터 목록으로 적용합니다.

후보 구성 확인 및 커밋

단계별 절차

후보 구성을 확인한 후 커밋하려면 다음을 수행합니다.

  1. 구성 모드 명령을 입력하여 방화벽 필터의 구성을 확인합니다.show firewall 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.

  2. 구성 모드 명령을 입력하여 인터페이스 구성을 확인합니다.show interfaces

  3. 디바이스 구성을 완료하면 해당 구성을 커밋합니다.

검증

구성이 예상대로 작동하는지, 즉 일치하는 트래픽이 각 필터 filter1, filter2 및 filter3에 의해 평가되고 예상 작업(count 또는 accept)이 수행되었는지 확인합니다.

방화벽 필터를 통해 트래픽 전송

목적

한 디바이스에서 구성한 라우터로 트래픽을 전송하여 일치하는 패킷이 체인의 모든 관련 필터에 의해 평가되고 있는지 확인합니다.

작업

입력 패킷이 filter1, filter2 및 filter3에 의해 평가되는지 확인하려면,

  1. 에 연결된 원격 호스트에서 우선순위가 7인 패킷을 보냅니다. 패킷을 계산한 다음 filter2로 평가해야 합니다.ge-0/1/1.0

  2. 에 연결된 원격 호스트에서 DSCP 값이 0인 패킷을 보냅니다. 패킷을 계산한 다음 filter3으로 평가해야 합니다.ge-0/1/1.0

  3. 에 연결된 원격 호스트에서 대상 주소가 172.30.1.1/32이고 대상 포트 번호가 5454인 패킷을 보냅니다.ge-0/1/1.0 패킷을 계산한 다음 수락해야 합니다.

  4. 구성한 필터에 대한 카운터 정보를 표시하려면 운영 모드 명령을 입력합니다.show firewall filter filter-name 명령 출력은 카운터와 관련된 필터 용어와 일치하는 바이트 및 패킷 수를 표시합니다.