예를 들면 다음과 같습니다. 서비스 필터 구성 및 적용
이 예에서는 서비스 필터를 구성하고 적용하는 방법을 보여줍니다.
요구 사항
이 예에서는 다음과 같은 하드웨어 구성 요소에서 논리적 인터페이스 xe-0/1/0.0 를 사용합니다.
M 시리즈 또는 T 시리즈 라우터의 AS(Adaptive Services) PIC
M 시리즈 또는 T 시리즈 라우터의 MS(Multiservices) PIC
MX 시리즈 라우터의 MS(Multiservices) DPC
EX 시리즈 스위치
시작하기 전에 다음 사항을 확인해야 합니다.
지원되는 라우터(또는 스위치) 및 PIC 또는 DPC를 설치하고 초기 라우터(또는 스위치) 구성을 수행했습니다.
토폴로지에서 기본 이더넷을 구성하고 트래픽이 토폴로지에서 흐르고 IPv4 트래픽이 논리적 인터페이스
xe-0/1/0.0를 통해 흐르는지 확인 .서비스 인터페이스에서 서비스에 대한 서비스 입력 및 출력 규칙 및 기본 설정으로 서비스 세트를
vrf_svcs구성했습니다.
서비스 세트 구성에 대한 지침은 서비스 인터페이스에 적용할 서비스 세트 구성을 참조하십시오.
개요
이 예에서는 IPv4 트래픽을 위한 다음과 같은 3가지 유형의 서비스 필터를 생성합니다. 1개의 입력 서비스 필터, 1개의 포스트서비스 입력 필터 및 1개의 출력 서비스 필터. 동일한 서비스 세트에 서로 다른 서비스 필터를 적용할 수 있습니다. 다음을 참조하십시오. 서비스 인터페이스에 적용할 서비스 세트 구성
토폴로지
입력 서비스 필터와 포스트서비스 입력 필터를 적용하여 논리적 인터페이스 xe-0/1/0.0에서 트래픽을 입력하면 출력 서비스 필터를 동일한 논리적 인터페이스에서 출력 트래픽에 적용할 수 있습니다.
IPv4 트래픽이 입력 서비스 프로세싱을 위해 수락되기 전에 필터링—논리적 인터페이스
xe-0/1/0.0에서는 서비스 필터in_filter_presvc를 사용하여 IPv4 입력 트래픽을 필터링한 후 서비스 세트vrf_svcs와 연관된 서비스에 의해 처리하도록 트래픽을 허용합니다. 서비스 필터는in_filter_presvcICMP 포트 179에서 보낸 패킷을 계산하고, 이러한 패킷을 서비스 세트vrf_svcs와 관련된 입력 서비스로 지시하고, 다른 모든 패킷을 폐기합니다.IPv4 트래픽이 입력 서비스 프로세싱을 완료한 후 필터링—논리적 인터페이스
xe-0/1/0.0에서는 서비스 필터in_filter_postsvc를 사용하여 입력 서비스 세트in_filter_presvc가 실행된 후 서비스 인터페이스로 반환되는 트래픽을 필터링합니다. 서비스 필터는in_filter_postsvcICMP 포트 179에서 보낸 패킷을 계산한 다음 폐기합니다.출력 서비스 프로세싱을 위해 허용되기 전에 IPv4 트래픽 필터링—논리적 인터페이스
xe-0/1/0.0에서는 서비스 필터out_filter_presvc를 사용하여 IPv4 출력 트래픽을 필터링한 다음, 서비스 세트vrf_svcs와 연관된 서비스에서 트래픽을 처리하기 위해 트래픽을 허용합니다. 서비스 필터는out_filter_presvcTCP 포트 179로 향하는 패킷을 계산한 다음, 서비스 세트vrf_svcs와 연관된 출력 서비스로 패킷을 지시합니다.
구성
다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. CLI 탐색에 대한 자세한 내용은 를 참조하십시오 구성 모드에서 CLI 편집기 사용.
이 예제를 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예제를 신속하게 구성하려면 다음 명령을 텍스트 파일에 복사하여 줄 바꿈을 제거한 다음 계층 수준에서 CLI [edit] 에 명령을 붙여넣습니다.
set firewall family inet service-filter in_filter_presvc term t1 from protocol tcp set firewall family inet service-filter in_filter_presvc term t1 from source-port bgp set firewall family inet service-filter in_filter_presvc term t1 then count svc_in_pkts set firewall family inet service-filter in_filter_presvc term t1 then service set firewall family inet service-filter in_filter_postsvc term t2 from protocol tcp set firewall family inet service-filter in_filter_postsvc term t2 from source-port bgp set firewall family inet service-filter in_filter_postsvc term t2 then count svc_in_pkts_rtn set firewall family inet service-filter in_filter_postsvc term t2 then skip set firewall family inet service-filter out_filter_presvc term t3 from protocol icmp set firewall family inet service-filter out_filter_presvc term t3 from destination-port bgp set firewall family inet service-filter out_filter_presvc term t3 then count svc_out_pkts set firewall family inet service-filter out_filter_presvc term t3 then service set interfaces xe-0/1/0 unit 0 family inet service input service-set vrf_svcs service-filter in_filter_presvc set interfaces xe-0/1/0 unit 0 family inet service input post-service-filter in_filter_postsvc set interfaces xe-0/1/0 unit 0 family inet service output service-set vrf_svcs service-filter out_filter_presvc
세 가지 서비스 필터 구성
단계별 절차
세 가지 서비스 필터를 구성하려면 다음을 수행합니다.
입력 서비스 필터를 구성합니다.
[edit] user@host# edit firewall family inet service-filter in_filter_presvc [edit firewall family inet service-filter in_filter_presvc] user@host# set term t1 from protocol tcp user@host# set term t1 from source-port bgp user@host# set term t1 then count svc_in_pkts user@host# set term t1 then service
포스트서비스 입력 필터를 구성합니다.
[edit] user@host# edit firewall family inet service-filter in_filter_postsvc [edit firewall family inet service-filter in_filter_postsvc] user@host# set term t2 from protocol tcp user@host# set term t2 from source-port bgp user@host# set term t2 then count svc_in_pkts_rtn user@host# set term t2 then skip
출력 서비스 필터를 구성합니다.
[edit] user@host# edit firewall family inet service-filter out_filter_presvc [edit firewall family inet service-filter out_filter_presvc] user@host# set term t3 from protocol icmp user@host# set term t3 from destination-port bgp user@host# set term t3 then count svc_out_pkts user@host# set term t3 then service
결과
구성 모드 명령을 입력하여 입력 및 출력 서비스 필터와 포스트서비스 입력 필터의 구성을 show firewall 확인합니다. 명령 출력이 의도한 구성을 표시하지 않는 경우 이 절차에서 지침을 반복하여 구성을 수정합니다.
[edit]
user@host# show firewall
family inet {
service-filter in_filter_presvc {
term t1 {
from {
protocol tcp;
source-port bgp;
}
then {
count svc_in_pkts;
service;
}
}
}
service-filter in_filter_postsvc {
term t2 {
from {
protocol tcp;
source-port bgp;
}
then {
count svc_in_pkts_rtn;
skip;
}
}
}
service-filter out_filter_presvc {
term t3 {
from {
protocol icmp;
destination-port bgp;
}
then {
count svc_out_pkts;
service;
}
}
}
}
세 가지 서비스 필터 적용
단계별 절차
세 가지 서비스 필터를 적용하려면 다음을 수행합니다.
입력 인터페이스에서 IPv4 프로토콜에 액세스하십시오
xe-0/1/0.0.[edit] user@host# edit interfaces xe-0/1/0 unit 0 family inet
입력 서비스 필터와 포스트서비스 입력 필터를 적용합니다.
[edit interfaces xe-0/1/0 unit 0 family inet] user@host# set service input service-set vrf_svcs service-filter in_filter_presvc user@host# set service input post-service-filter in_filter_postsvc user@host# set service output service-set vrf_svcs service-filter out_filter_presvc
결과
구성 모드 명령을 입력하여 인터페이스의 구성을 show interfaces 확인합니다. 명령 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.
[edit]
user@host# show interfaces
xe-0/1/0 {
unit 0 {
family inet {
service {
input {
service-set vrf_svcs service-filter in_filter_presvc;
post-service-filter in_filter_postsvc;
}
output {
service-set vrf_svcs service-filter out_filter_presvc;
}
}
}
}
}
디바이스 구성을 완료하면 지원자 구성을 커밋합니다.
확인
구성이 올바르게 작동하는지 확인합니다.
인바운드 트래픽이 입력 서비스 이전에 필터링되는지 검증
목적
TCP 포트 179에서 보낸 인바운드 패킷이 서비스 세트vrf_svcs와 관련된 입력 서비스에 의해 처리를 위해 전송되는지 확인합니다.
실행
서비스 세트vrf_svcs와 연관된 입력 서비스에 의해 프로세싱을 위해 전송되는 패킷 수를 표시합니다.
[edit] user@host> show firewall filter in_filter_presvc-vrf_svcs counter svc_in_pkts
인바운드 트래픽이 입력 서비스 처리 후에 필터링되는지 검증
목적
TCP 포트 179에서 전송된 인바운드 패킷이 서비스 세트vrf_svcs와 관련된 입력 서비스에 의해 처리되지 않는지 확인합니다.
실행
서비스 세트vrf_svcs와 연관된 입력 서비스에 의해 처리에서 반환된 패킷 수를 표시합니다.
[edit] user@host> show firewall filter in_filter_postsvc-vrf_svcs counter svc_in_pkts_rtn