예: 서비스 필터 구성 및 적용
이 예에서는 서비스 필터를 구성하고 적용하는 방법을 보여 줍니다.
요구 사항
이 예는 다음 하드웨어 구성 요소 중 하나에서 논리적 인터페이스를 xe-0/1/0.0 사용합니다.
M 시리즈 또는 T 시리즈 라우터의 Adaptive Services(AS) PIC
M 시리즈 또는 T 시리즈 라우터의 멀티서비스(MS) PIC
MX 시리즈 라우터의 멀티서비스(MS) DPC
EX 시리즈 스위치
시작하기 전에 다음이 있는지 확인하세요.
지원되는 라우터(또는 스위치)와 PIC 또는 DPC를 설치하고 초기 라우터(또는 스위치) 구성을 수행했습니다.
토폴로지에서 기본 이더넷을 구성하고 트래픽이 토폴로지에서 흐르고 IPv4 트래픽이 논리적 인터페이스를
xe-0/1/0.0통해 흐르는지 확인했습니다.서비스 입력 및 출력 규칙과 서비스 인터페이스의 서비스에 대한 기본 설정으로 서비스 세트를
vrf_svcs구성했습니다.
서비스 세트 구성에 대한 지침은 서비스 인터페이스에 적용할 서비스 세트 구성을 참조하십시오.
개요
이 예에서는 IPv4 트래픽에 대해 세 가지 유형의 서비스 필터를 생성합니다. 입력 서비스 필터 1개, 사후 서비스 입력 필터 1개, 출력 서비스 필터 1개. 동일한 서비스 세트에 서로 다른 서비스 필터를 적용할 수 있습니다. 참고 항목: 서비스 인터페이스에 적용할 서비스 세트 구성
토폴로지
입력 서비스 필터 및 사후 서비스 입력 필터를 논리 인터페이스의 xe-0/1/0.0입력 트래픽에 적용하고, 출력 서비스 필터를 동일한 논리 인터페이스의 출력 트래픽에 적용합니다.
입력 서비스 처리를 위해 수락되기 전에 IPv4 트래픽 필터링 - 논리적 인터페이스
xe-0/1/0.0에서는 서비스 세트vrf_svcs와 연결된 서비스에서 트래픽을 처리하기 위해 허용되기 전에 서비스 필터를in_filter_presvc사용하여 IPv4 입력 트래픽을 필터링합니다.in_filter_presvc서비스 필터는 ICMP 포트 179에서 전송된 패킷을 계산하고, 이러한 패킷을 서비스 집합vrf_svcs과 연결된 입력 서비스로 보내고, 다른 모든 패킷을 삭제합니다.입력 서비스 처리를 완료한 후 IPv4 트래픽 필터링 - 논리 인터페이스
xe-0/1/0.0에서 서비스 필터를in_filter_postsvc사용하여 입력 서비스 세트in_filter_presvc가 실행된 후 서비스 인터페이스로 돌아오는 트래픽을 필터링합니다.in_filter_postsvc서비스 필터는 ICMP 포트 179에서 보낸 패킷 수를 계산한 다음 삭제합니다.출력 서비스 처리를 위해 수락되기 전에 IPv4 트래픽 필터링 - 논리적 인터페이스
xe-0/1/0.0에서는 서비스 세트vrf_svcs와 연결된 서비스에서 트래픽을 처리하기 위해 수락하기 전에 서비스 필터를out_filter_presvc사용하여 IPv4 출력 트래픽을 필터링합니다.out_filter_presvc서비스 필터는 TCP 포트 179로 향하는 패킷을 계산한 다음 패킷을 서비스 세트vrf_svcs와 연결된 출력 서비스로 보냅니다.
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 구성 모드에서 CLI 편집기 사용.
이 예를 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면 다음 명령을 텍스트 파일에 복사하고 줄 바꿈을 제거한 다음 명령을 계층 수준의 CLI에 붙여넣습니다 [edit] .
set firewall family inet service-filter in_filter_presvc term t1 from protocol tcp set firewall family inet service-filter in_filter_presvc term t1 from source-port bgp set firewall family inet service-filter in_filter_presvc term t1 then count svc_in_pkts set firewall family inet service-filter in_filter_presvc term t1 then service set firewall family inet service-filter in_filter_postsvc term t2 from protocol tcp set firewall family inet service-filter in_filter_postsvc term t2 from source-port bgp set firewall family inet service-filter in_filter_postsvc term t2 then count svc_in_pkts_rtn set firewall family inet service-filter in_filter_postsvc term t2 then skip set firewall family inet service-filter out_filter_presvc term t3 from protocol icmp set firewall family inet service-filter out_filter_presvc term t3 from destination-port bgp set firewall family inet service-filter out_filter_presvc term t3 then count svc_out_pkts set firewall family inet service-filter out_filter_presvc term t3 then service set interfaces xe-0/1/0 unit 0 family inet service input service-set vrf_svcs service-filter in_filter_presvc set interfaces xe-0/1/0 unit 0 family inet service input post-service-filter in_filter_postsvc set interfaces xe-0/1/0 unit 0 family inet service output service-set vrf_svcs service-filter out_filter_presvc
세 가지 서비스 필터 구성
단계별 절차
세 가지 서비스 필터를 구성하려면 다음을 수행합니다.
입력 서비스 필터를 구성합니다.
[edit] user@host# edit firewall family inet service-filter in_filter_presvc [edit firewall family inet service-filter in_filter_presvc] user@host# set term t1 from protocol tcp user@host# set term t1 from source-port bgp user@host# set term t1 then count svc_in_pkts user@host# set term t1 then service
사후 서비스 입력 필터를 구성합니다.
[edit] user@host# edit firewall family inet service-filter in_filter_postsvc [edit firewall family inet service-filter in_filter_postsvc] user@host# set term t2 from protocol tcp user@host# set term t2 from source-port bgp user@host# set term t2 then count svc_in_pkts_rtn user@host# set term t2 then skip
출력 서비스 필터를 구성합니다.
[edit] user@host# edit firewall family inet service-filter out_filter_presvc [edit firewall family inet service-filter out_filter_presvc] user@host# set term t3 from protocol icmp user@host# set term t3 from destination-port bgp user@host# set term t3 then count svc_out_pkts user@host# set term t3 then service
결과
구성 모드 명령을 입력하여 입력 및 출력 서비스 필터와 사후 서비스 입력 필터의 show firewall 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.
[edit]
user@host# show firewall
family inet {
service-filter in_filter_presvc {
term t1 {
from {
protocol tcp;
source-port bgp;
}
then {
count svc_in_pkts;
service;
}
}
}
service-filter in_filter_postsvc {
term t2 {
from {
protocol tcp;
source-port bgp;
}
then {
count svc_in_pkts_rtn;
skip;
}
}
}
service-filter out_filter_presvc {
term t3 {
from {
protocol icmp;
destination-port bgp;
}
then {
count svc_out_pkts;
service;
}
}
}
}
세 가지 서비스 필터 적용
단계별 절차
세 가지 서비스 필터를 적용하려면 다음을 수행합니다.
입력 인터페이스에서
xe-0/1/0.0IPv4 프로토콜에 액세스합니다.[edit] user@host# edit interfaces xe-0/1/0 unit 0 family inet
입력 서비스 필터와 사후 서비스 입력 필터를 적용합니다.
[edit interfaces xe-0/1/0 unit 0 family inet] user@host# set service input service-set vrf_svcs service-filter in_filter_presvc user@host# set service input post-service-filter in_filter_postsvc user@host# set service output service-set vrf_svcs service-filter out_filter_presvc
결과
구성 모드 명령을 입력하여 show interfaces 인터페이스 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.
[edit]
user@host# show interfaces
xe-0/1/0 {
unit 0 {
family inet {
service {
input {
service-set vrf_svcs service-filter in_filter_presvc;
post-service-filter in_filter_postsvc;
}
output {
service-set vrf_svcs service-filter out_filter_presvc;
}
}
}
}
}
디바이스 구성을 완료하면 후보 구성을 커밋합니다.
검증
구성이 올바르게 작동하고 있는지 확인합니다.
입력 서비스 전에 인바운드 트래픽이 필터링되었는지 확인
목적
TCP 포트 179에서 전송된 인바운드 패킷이 서비스 세트vrf_svcs와 연결된 입력 서비스에서 처리하기 위해 전송되었는지 확인합니다.
작업
서비스 세트vrf_svcs와 연관된 입력 서비스에서 처리하기 위해 전송된 패킷 수를 표시합니다.
[edit] user@host> show firewall filter in_filter_presvc-vrf_svcs counter svc_in_pkts
입력 서비스 처리 후 인바운드 트래픽이 필터링되는지 확인
목적
TCP 포트 179에서 전송된 인바운드 패킷이 서비스 세트vrf_svcs와 연결된 입력 서비스에 의해 처리에서 반환되는지 확인합니다.
작업
서비스 세트vrf_svcs와 연관된 입력 서비스에 의한 처리에서 반환된 패킷 수를 표시합니다.
[edit] user@host> show firewall filter in_filter_postsvc-vrf_svcs counter svc_in_pkts_rtn