예: 단순 필터 구성 및 적용
이 예에서는 단순 필터를 구성하는 방법을 보여 줍니다.
요구 사항
이 예에서는 다음 하드웨어 구성 요소 중 하나를 사용합니다.
M120, M320 또는 T 시리즈 라우터에 설치된 기가비트 이더넷 지능형 큐잉(IQ2) PIC 1개
MX 시리즈 라우터 또는 EX 시리즈 스위치에 설치된 EQ DPC(Enhanced Queuing Dense Port Concentrator) 1개
시작하기 전에 다음이 있는지 확인하세요.
지원되는 라우터(또는 스위치)와 PIC 또는 DPC를 설치하고 초기 라우터(또는 스위치) 구성을 수행했습니다.
토폴로지에서 기본 이더넷을 구성하고 트래픽이 토폴로지에서 흐르고 수신 IPv4 트래픽이 논리적 인터페이스
ge-0/0/1.0
로 흐르고 있는지 확인했습니다.
개요
이 단순 필터는 소스 주소가 172.16.1.1
있는 TCP 트래픽에 대해 손실 우선 순위를 낮게 설정하고, 소스 주소가 172.16.4.0/8 범위인 HTTP(웹) 트래픽에 대해 손실 우선 순위를 높음으로 설정하고, 대상 주소가 172.16.6.6
있는 모든 트래픽에 대해 손실 우선 순위를 낮음으로 설정합니다.
토폴로지
단순 필터는 인터페이스에서 ge-0/0/1.0
입력 필터(도착하는 패킷은 대기열에 있는 출력 패킷이 아닌 대상 주소를 6.6.6.6
확인하고 있음)로 적용됩니다.
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 구성 모드에서 CLI 편집기 사용.
이 예를 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면 다음 명령을 텍스트 파일에 복사하고 줄 바꿈을 제거한 다음 명령을 계층 수준의 CLI에 붙여넣습니다 [edit]
.
set firewall family inet simple-filter sf_classify_1 term 1 from source-address 172.16.1.1/32 set firewall family inet simple-filter sf_classify_1 term 1 from protocol tcp set firewall family inet simple-filter sf_classify_1 term 1 then loss-priority low set firewall family inet simple-filter sf_classify_1 term 2 from source-address 172.16.4.0/8 set firewall family inet simple-filter sf_classify_1 term 2 from protocol tcp set firewall family inet simple-filter sf_classify_1 term 2 from source-port http set firewall family inet simple-filter sf_classify_1 term 2 then loss-priority high set firewall family inet simple-filter sf_classify_1 term 3 from destination-address 6.6.6.6/32 set firewall family inet simple-filter sf_classify_1 term 3 then loss-priority low set firewall family inet simple-filter sf_classify_1 term 3 then forwarding-class best-effort set interfaces ge-0/0/1 unit 0 family inet simple-filter input sf_classify_1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
단순 방화벽 필터 구성
단계별 절차
단순 필터 구성 방법:
단순 필터
sf_classify_1
를 만듭니다.[edit] user@host# edit firewall family inet simple-filter sf_classify_1
소스 IP 주소를 기반으로 TCP 트래픽 분류를 구성합니다.
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 1 from source-address 172.16.1.1/32 user@host# set term 1 from protocol tcp user@host# set term 1 then loss-priority low
소스 IP 주소를 기반으로 HTTP 트래픽 분류를 구성합니다.
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 2 from source-address 172.16.4.0/8 user@host# set term 2 from protocol tcp user@host# set term 2 from source-port http user@host# set term 2 then loss-priority high
대상 IP 주소를 기반으로 다른 트래픽의 분류를 구성합니다.
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 3 from destination-address 6.6.6.6/32 user@host# set term 3 then loss-priority low user@host# set term 3 then forwarding-class best-effort
결과
구성 모드 명령을 입력하여 단순 필터의 show firewall
구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제의 지침을 반복하여 구성을 수정하십시오.
[edit] user@host# show firewall family inet { simple-filter sf_classify_1 { term 1 { from { source-address { 172.16.1.1/32; } protocol { tcp; } } then loss-priority low; } term 2 { from { source-address { 172.16.4.0/8; } source-port { http; } protocol { tcp; } } then loss-priority high; } term 3 { from { destination-address { 6.6.6.6/32; } } then { loss-priority low; forwarding-class best-effort; } } } }
논리적 인터페이스 입력에 단순 필터 적용
단계별 절차
논리적 인터페이스 입력에 단순 필터를 적용하려면:
단순 필터를 적용할 논리적 인터페이스를 구성합니다.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
논리적 인터페이스의 인터페이스 주소를 구성합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
단순 필터를 논리적 인터페이스 입력에 적용합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set simple-filter input sf_classify_1
결과
구성 모드 명령을 입력하여 show interfaces
인터페이스 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.
[edit] user@host# show interfaces ge-0/0/1 { unit 0 { family inet { simple-filter { input sf_classify_1; } address 10.1.2.3/30; } } }
디바이스 구성을 완료하면 후보 구성을 커밋합니다.
검증
구성이 올바르게 작동하고 있는지 확인합니다.
대기열 번호에 대한 포워딩 클래스 맵 및 이름 매핑 표시
목적
대기열 번호에 대한 포워딩 클래스 이름의 매핑을 표시합니다.
작업
show class-of-service forwarding-class
작동 모드 명령을 입력합니다.
[edit] user@host> show class-of-service forwarding-class
명령 출력에 대한 자세한 내용은 CLI 탐색기에서 "show class-of-service forwarding-class
"를 참조하세요.
인터페이스에 대한 CoS 대기열 카운터 표시
목적
인터페이스의 CoS(class-of-service) 대기열 카운터가 논리적 인터페이스에 적용된 단순 필터를 반영하는지 확인합니다.
작업
show interfaces
단순 필터가 적용된 물리적 인터페이스에 대한 명령을 입력하고 또는 extensive
출력 수준을 지정합니다detail
.
[edit] user@host> show interfaces ge-0/0/1 detail
Physical interface
섹션의 Ingress queues
아래 섹션에는 Queue counters
각 포워딩 클래스에 대한 수신 대기열 카운터가 표시됩니다.
명령 출력에 대한 자세한 내용은 CLI 탐색기의 "show interfaces
"를 참조하세요.
물리적 인터페이스에 대한 CoS 대기열 카운터 세부 정보 표시
목적
물리적 인터페이스에 대한 CoS 대기열 카운터 세부 정보가 논리적 인터페이스에 적용된 단순 필터를 반영하는지 확인합니다.
작업
show interfaces queue
단순 필터가 적용되는 물리적 인터페이스에 대한 명령을 입력하고 옵션을 지정합니다ingress
.
[edit] user@host> show interfaces queue ge-0/0/1 ingress
명령 출력에 대한 자세한 내용은 CLI 탐색기에서 "show interfaces queue
"를 참조하세요.