예: 수락된 패킷을 카운트 및 샘플링하도록 필터 구성
이 예에서는 허용된 패킷을 카운트하고 샘플링하기 위해 표준 무상태 방화벽 필터를 구성하는 방법을 보여줍니다.
요구 사항
이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
시작하기 전에 계층 수준에서 문을 포함하여 트래픽 샘플링을 구성합니다.sampling[edit forwarding-options]
개요
이 예에서는 표준 스테이트리스 방화벽 필터를 사용하여 논리적 인터페이스에서 수신된 모든 패킷을 카운트하고 샘플링합니다.
방화벽 로그 및 개수에 대한 입력 필터가 있는 인터페이스에서 RPF(Reverse Path Forwarding)를 활성화하면 거부된 패킷은 계산되지만 입력 방화벽 필터는 RPF에 의해 거부된 패킷을 기록하지 않습니다. 거부된 패킷을 기록하려면 RPF 검사 실패 필터를 사용합니다.
MPC3 또는 MPC4가 있는 MX 시리즈 라우터에서 방화벽 필터가 TWAMP(Two-Way Active Measurement Protocol) 패킷을 계산하도록 구성된 경우 모든 TWAMP 패킷에 대해 개수가 두 배가 됩니다. 또한 TWAMP 서버가 MPC3 또는 MPC4에서 호스팅되는 경우 RTT(Round Trip Time)가 약간 증가할 수 있습니다. 이 경고는 MPC1 또는 MPC2 카드가 있는 라우터에는 적용되지 않습니다.
QFX5130 및 QFX5700 패킷이 카운터 동작이 있는 여러 방화벽 필터에 부딪히면 우선 순위가 가장 높은 그룹 카운터만 증가합니다. 예를 들어, 패킷이 IPACL(Port ACL) 필터와 IRACL(Routed ACL) 필터에 도달했다고 가정해 보겠습니다. 우선 순위에 따르면 IRACL은 IPACL보다 우선 순위가 높습니다. 따라서 IRACL 카운터만 증가합니다. IRACL에 적중이 없으면 IPACL 카운터가 증가합니다.
다음은 사용자 구성 ACL의 우선 순위 순서(가장 높은 것부터 가장 낮은 것까지)입니다.
-
루프백
-
증권 시세 표시기
-
아이파클
-
아이바클
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 .구성 모드에서 CLI 편집기 사용
이 예를 구성하려면 다음 작업을 수행합니다.
CLI 빠른 구성
이 예를 빠르게 구성하려면, 다음 구성 명령을 텍스트 파일에 복사하고, 줄 바꿈을 제거한 다음, 계층 수준에서 명령을 CLI에 붙여넣습니다 .[edit]
set firewall family inet filter sam term all then count count_sam set firewall family inet filter sam term all then sample set interfaces at-2/0/0 unit 301 family inet address 10.1.2.3/30 set interfaces at-2/0/0 unit 301 family inet filter input sam
무상태 방화벽 필터 구성
단계별 절차
무상태 방화벽 필터 구성 방법:sam
무상태 방화벽 필터를 생성합니다.
sam[edit] user@host# edit firewall family inet filter sam
모든 패킷을 카운트하고 샘플링하도록 용어를 구성합니다.
[edit firewall family inet filter sam] user@host# set term all then count count_sam user@host# set term all then sample
논리적 인터페이스에 무상태 방화벽 필터 적용
단계별 절차
논리적 인터페이스에 무상태 방화벽 필터를 적용하려면:
무상태 방화벽 필터를 적용할 논리적 인터페이스를 구성합니다.
[edit] user@host# edit interfaces ge-0/0/1 unit 0 family inet
논리적 인터페이스의 인터페이스 주소를 구성합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set address 10.1.2.3/30
논리적 인터페이스에 무상태 방화벽 필터를 적용합니다.
[edit interfaces ge-0/0/1 unit 0 family inet] user@host# set filter input sam
주:Junos OS는 라우터 또는 스위치에서 발생하는 패킷을 샘플링하지 않습니다. 필터를 구성하고 인터페이스의 출력 측에 적용하면 해당 인터페이스를 통과하는 전송 패킷만 샘플링됩니다. 라우팅 엔진에서 패킷 전달 엔진으로 전송되는 패킷은 샘플링되지 않습니다.
후보 구성 확인 및 커밋
단계별 절차
후보 구성을 확인한 후 커밋하려면 다음을 수행합니다.
구성 모드 명령을 입력하여 무상태 방화벽 필터의 구성을 확인합니다.
show firewall명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show firewall family inet { filter sam { term all { then { count count_sam; sample; # default action is accept } } } }구성 모드 명령을 입력하여 인터페이스 구성을 확인합니다.
show interfaces명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show interfaces interfaces { at-2/0/0 { unit 301 { family inet { filter { input sam; } address 10.1.2.3/30; } } } }디바이스 구성을 완료하면 후보 구성을 커밋합니다.
[edit] user@host# commit
검증
구성이 올바르게 작동하고 있는지 확인합니다.
패킷 카운터 표시
목적
방화벽 필터가 패킷을 평가하고 있는지 확인합니다.
작업
user@host> show firewall filter sam Filter: Counters: Name Bytes Packets sam sam-1 98 8028
방화벽 필터 로그 출력 표시
목적
방화벽 필터에 의해 평가된 모든 패킷에 대한 패킷 헤더 정보를 표시합니다.
작업
user@host> show firewall log Time Filter A Interface Pro Source address Destination address 23:09:09 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:80 23:09:07 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:56 23:09:07 - A at-2/0/0.301 ICM 10.2.0.25 10.211.211.1:49552 23:02:27 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:56 23:02:25 - A at-2/0/0.301 TCP 10.2.0.25 10.211.211.1:80 23:01:22 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:23251 23:01:21 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:16557 23:01:20 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:29471 23:01:19 - A at-2/0/0.301 ICM 10.2.2.101 10.211.211.1:26873
의미
이 출력 파일에는 다음 필드가 포함되어 있습니다.
Time- 패킷이 수신된 시간입니다(기본값에는 표시되지 않음).- 계층 수준에서 문으로 구성된 필터의 이름입니다.
Filterfilter[edit firewall]하이픈(-) 또는 약 어는 패킷이 패킷 전달 엔진에 의해 처리되었음을 나타냅니다.pfe공백(하이픈 없음)은 패킷이 라우팅 엔진에 의해 처리되었음을 나타냅니다.A- 필터 동작:A- 수락(또는 다음 기간)D- 폐기R- 거부
Interface- 필터가 구성된 인터페이스.주:문에서 항상 작업을 명시적으로 구성하는 것이 좋습니다.
thenPro- 패킷의 프로토콜 이름 또는 번호입니다.Source address- 패킷의 소스 IP 주소입니다.Destination address- 패킷의 대상 IP 주소입니다.
샘플링 출력 표시하기
목적
샘플링 출력에 적절한 데이터가 포함되어 있는지 확인합니다.
작업
wtmp.0.gz Size: 15017, Last changed: Dec 19 13:15:54 wtmp.1.gz Size: 493, Last changed: Nov 19 13:47:29 wtmp.2.gz Size: 57, Last changed: Oct 20 15:24:34 | Pipe through a command
user@host> show log /var/tmp/sam
# Apr 7 15:48:50
Time Dest Src Dest Src Proto TOS Pkt Intf IP TCP
addr addr port port len num frag flags
Apr 7 15:48:54 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:55 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0
Apr 7 15:48:56 192.168.9.194 192.168.9.195 0 0 1 0x0 84 8 0x0 0x0