예를 들면 다음과 같습니다. 간단한 필터 구성 및 적용
이 예는 간단한 필터를 구성하는 방법을 보여줍니다.
요구 사항
이 예는 다음 하드웨어 구성 요소 중 하나를 사용합니다.
M120, M320 또는 T 시리즈 라우터에 설치된 기가비트 이더넷 지능형 큐잉(IQ2) PIC 1개
MX 시리즈 라우터 또는 EX 시리즈 스위치에 설치된 EQ DPC(Enhanced Queuing Dense Port Concentrator) 1개
시작하기 전에 다음을 확인하십시오.
지원되는 라우터(또는 스위치) 및 PIC 또는 DPC를 설치하고 초기 라우터(또는 스위치) 구성을 수행했습니다.
토폴로지에서 기본 이더넷을 구성하고 트래픽이 토폴로지에서 흐르고 수신 IPv4 트래픽이 논리적 인터페이스
ge-0/0/1.0로 흐르는지 확인합니다.
개요
이 간단한 필터는 소스 주소를 172.16.1.1가진 TCP 트래픽의 손실 우선순위를 낮게 설정하고, 소스 주소가 172.16.4.0/8 범위에서 소스 주소를 가진 HTTP(웹) 트래픽의 손실 우선순위를 '고'로 설정하고, 목적지 주소를 172.16.6.6가진 모든 트래픽에 대해 손실 우선순위를 낮게 설정합니다.
토폴로지
간단한 필터는 인터페이스ge-0/0/1.0에서 입력 필터로 적용됩니다(도착하는 패킷은 대기열에 있는 출력 패킷이 아닌 대상 주소를 6.6.6.6확인하고 있습니다).
구성
다음 예제에서는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 정보는 을(를) 참조하십시오 구성 모드에서 CLI 편집기 사용.
이 예를 구성하려면 다음 작업을 수행하십시오.
CLI 빠른 구성
이 예를 빠르게 구성하려면 다음 명령을 텍스트 파일로 복사하여 모든 라인브러브를 제거한 다음 계층 수준에서 명령을 CLI [edit] 에 붙여 넣습니다.
set firewall family inet simple-filter sf_classify_1 term 1 from source-address 172.16.1.1/32 set firewall family inet simple-filter sf_classify_1 term 1 from protocol tcp set firewall family inet simple-filter sf_classify_1 term 1 then loss-priority low set firewall family inet simple-filter sf_classify_1 term 2 from source-address 172.16.4.0/8 set firewall family inet simple-filter sf_classify_1 term 2 from protocol tcp set firewall family inet simple-filter sf_classify_1 term 2 from source-port http set firewall family inet simple-filter sf_classify_1 term 2 then loss-priority high set firewall family inet simple-filter sf_classify_1 term 3 from destination-address 6.6.6.6/32 set firewall family inet simple-filter sf_classify_1 term 3 then loss-priority low set firewall family inet simple-filter sf_classify_1 term 3 then forwarding-class best-effort set interfaces ge-0/0/1 unit 0 family inet simple-filter input sf_classify_1 set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.3/30
간단한 방화벽 필터 구성
단계별 절차
간단한 필터 구성 방법:
간단한 필터
sf_classify_1를 생성합니다.[edit] user@host# edit firewall family inet simple-filter sf_classify_1
소스 IP 주소를 기반으로 TCP 트래픽 분류를 구성합니다.
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 1 from source-address 172.16.1.1/32 user@host# set term 1 from protocol tcp user@host# set term 1 then loss-priority low
소스 IP 주소를 기반으로 HTTP 트래픽 분류를 구성합니다.
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 2 from source-address 172.16.4.0/8 user@host# set term 2 from protocol tcp user@host# set term 2 from source-port http user@host# set term 2 then loss-priority high
대상 IP 주소를 기반으로 다른 트래픽 분류를 구성합니다.
[edit firewall family inet simple-filter sf_classify_1] user@host# set term 3 from destination-address 6.6.6.6/32 user@host# set term 3 then loss-priority low user@host# set term 3 then forwarding-class best-effort
결과
구성 모드 명령을 입력하여 간단한 필터의 구성을 show firewall 확인합니다. 명령 출력이 의도한 구성을 표시하지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
[edit]
user@host# show firewall
family inet {
simple-filter sf_classify_1 {
term 1 {
from {
source-address {
172.16.1.1/32;
}
protocol {
tcp;
}
}
then loss-priority low;
}
term 2 {
from {
source-address {
172.16.4.0/8;
}
source-port {
http;
}
protocol {
tcp;
}
}
then loss-priority high;
}
term 3 {
from {
destination-address {
6.6.6.6/32;
}
}
then {
loss-priority low;
forwarding-class best-effort;
}
}
}
}
논리적 인터페이스 입력에 단순 필터 적용
단계별 절차
논리 인터페이스 입력에 간단한 필터를 적용하려면 다음을 수행합니다.
간단한 필터를 적용할 논리적 인터페이스를 구성합니다.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
논리적 인터페이스의 인터페이스 주소를 구성합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
간단한 필터를 논리적 인터페이스 입력에 적용합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set simple-filter input sf_classify_1
결과
구성 모드 명령을 입력하여 인터페이스의 구성을 확인합니다 show interfaces . 명령 출력이 의도한 구성을 표시하지 않으면 이 예의 지침을 반복하여 구성을 수정합니다.
[edit]
user@host# show interfaces
ge-0/0/1 {
unit 0 {
family inet {
simple-filter {
input sf_classify_1;
}
address 10.1.2.3/30;
}
}
}
디바이스 구성이 완료되면 후보 구성을 커밋합니다.
확인
구성이 제대로 작동하는지 확인합니다.
- 클래스 맵 및 이름을 대기열 번호로 포워딩하는 매핑 표시
- 인터페이스에 대한 CoS(coS) 대기열 카운터 표시
- 물리적 인터페이스에 대한 CoS(coS) 대기열 카운터 세부 정보 표시
클래스 맵 및 이름을 대기열 번호로 포워딩하는 매핑 표시
목적
대기열 번호에 포워딩 클래스 이름 매핑을 표시합니다.
실행
show class-of-service forwarding-class 운영 모드 명령을 입력합니다.
[edit] user@host> show class-of-service forwarding-class
명령 출력에 대한 정보는 CLI 탐색기의 "show class-of-service forwarding-class"을 참조하십시오.
인터페이스에 대한 CoS(coS) 대기열 카운터 표시
목적
인터페이스에 대한 CoS(Class of Service) 대기열 카운터가 논리적 인터페이스에 적용된 간단한 필터를 반영하는지 확인합니다.
실행
간단한 필터가 show interfaces 적용된 물리적 인터페이스에 대한 명령을 입력하고 을(를) 지정하거나 extensive 출력 수준을 지정 detail 합니다.
[edit] user@host> show interfaces ge-0/0/1 detail
섹션의 Physical interface 에서 에서 Ingress queues, 섹션은 Queue counters 각 포워딩 클래스에 대한 수신 대기열 카운터를 표시합니다.
명령 출력에 대한 자세한 내용은 CLI 탐색기의 "show interfaces "을 참조하십시오.
물리적 인터페이스에 대한 CoS(coS) 대기열 카운터 세부 정보 표시
목적
물리적 인터페이스에 대한 CoS(Class of Network) 대기열 카운터 세부 정보가 논리적 인터페이스에 적용된 단순 필터를 반영하는지 확인합니다.
실행
간단한 필터가 show interfaces queue 적용된 물리적 인터페이스에 대한 명령을 입력하고 옵션을 지정 ingress 합니다.
[edit] user@host> show interfaces queue ge-0/0/1 ingress
명령 출력에 대한 정보는 CLI 탐색기의 "show interfaces queue"을 참조하십시오.