예: IPv6 소스 또는 대상 IP 주소를 기반으로 송신 필터 구성
이 예에서는 인터페이스를 송신 하는 IPv6 패킷을 허용하도록 방화벽 필터를 구성하는 방법을 보여줍니다.inet6
요구 사항
이 주제는 Junos OS 릴리스 19.1R1에 소개된 EX4300 및 QFX5100에서 지원되는 기능에 대해 설명합니다. 이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서는 인터페이스의 송신 방향으로 IPv6 소스 및 대상 패킷을 수락하는 일반적인 방화벽 필터를 생성합니다.inet6 그러나 송신 방향에서 필터링을 지원하려면 먼저 또는 옵션을 사용하여 를 설정해야 합니다.set system packet-forwarding-options eracl-ip6-matchsrcip6-and-destip6srcip6-only 또한 구성을 커밋한 후 패킷 전달 엔진(PFE)을 다시 시작해야 합니다.
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 .구성 모드에서 CLI 편집기 사용
CLI 빠른 구성
이 예를 빠르게 구성하려면 다음 명령을 텍스트 파일에 복사하고 줄 바꿈을 제거한 다음 명령을 계층 수준의 CLI에 붙여넣습니다 .[edit]
set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6 set firewall family inet6 filter ipv6_filter term t1 from source-address 3001::10/64 set firewall family inet6 filter ipv6_filter term t1 from destination-address 2001::10/64 set interfaces ge-0/0/0 unit 0 family inet6 filter output ipv6_filter
IPv6 주소 필터링을 위한 시스템 활성화
단계별 절차
송신 인터페이스에서 IPv6 필터링 을 위한 방화벽 필터를 구성하려면 다음을 수행합니다.inet6
IPv6 소스 또는 IPv6 소스 및 대상 IP 주소에서 일치시키기 위한 패킷 전달 옵션을 활성화합니다. 이 예에서는 원본 및 대상 IP 주소 일치를 모두 사용하도록 설정합니다.
[edit] user@host# set system packet-forwarding-options eracl-ip6-match srcip6-and-destip6
IPv6 방화벽 필터에 사용할 인터페이스에 이미 바인딩된 기존 방화벽 필터를 확인하고 적절한 경우 삭제합니다.
[edit] user@host# delete interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter.
위의 변경 사항을 커밋한 다음 PFE를 중지했다가 다시 시작하여 IPv6 필터에 대한 PFE를 수락 하고 지웁니다.
packet-forwarding-optionsEX4300의 경우 다음을 사용합니다.
user@host# commit user@host# run request restart pfe-manager
EX4300 Virtual Chassis의 경우 다음을 사용합니다.
user@host# commit user@host# run request system reboot all-members
QFX5100 경우 시스템을 재부팅합니다.
user@host# commit user@host# run request system reboot
라는 IPv6 방화벽 필터를 만듭니다.tcp_filter
[edit] user@host# edit firewall family inet6 filter tcp_filter
여기에서 필요한 필터 동작을 구성하여 구성된 범위 내의 IPv6 소스 또는 대상 주소와 패킷을 일치시킵니다.
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 from source-address 3001::10/64 user@host# set term t1 from destination-address 2001::10/64
일치하는 패킷이 계산되어 PFE의 버퍼에 기록되고 수락되도록 지정합니다.
[edit firewall family inet6 filter tcp_filter] user@host# set term t1 then count egress_ipv6-packets user@host# set term t1 then log user@host# set term t1 then accept
송신 인터페이스에 방화벽 필터 적용
단계별 절차
방화벽 필터를 송신 inet6 인터페이스에 적용하려면 다음을 입력합니다.
user@host# set interfaces ge-0/0/0 unit 0 family inet6 filter output tcp_filter
후보 구성 확인 및 커밋
단계별 절차
후보 구성을 확인한 후 커밋하려면 다음을 수행합니다.
구성 모드 명령을 입력하여 방화벽 필터의 구성을 확인합니다.
show firewall명령 출력에 의도한 구성이 표시되지 않으면 이 예제의 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show firewall family inet6 { filter tcp_filter { term t1 { from { source-address 3001::10/64; destination-address 2001::10/64; } then { count egress_ipv6-packets; log; accept; } } } }구성 모드 명령을 입력하여 인터페이스 구성을 확인합니다.
show interfaces명령 출력에 의도한 구성이 표시되지 않으면 이 예제에 제공된 지침을 반복하여 구성을 수정하십시오.[edit] user@host# show interfaces ge-0/0/0 { unit 0 { family inet6 { filter { output tcp_filter; } source-address 3001::10/64; destination-address 2001::10/64; } } }디바이스 구성을 마치면 후보 구성을 커밋합니다.
[edit] user@host# commit