예: 인터페이스 세트에서 수신된 패킷 필터링
이 예는 특정 인터페이스 세트에 대해 태그가 지정된 패킷과 일치하도록 표준 무상태 방화벽 필터를 구성하는 방법을 보여줍니다.
요구 사항
이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서는 라우터 또는 스위치 루프백 인터페이스의 입력에 스테이트리스 방화벽 필터를 적용합니다. 방화벽 필터에는 특정 인터페이스 집합에 대해 태그가 지정된 패킷과 일치하는 용어가 포함되어 있습니다.
토폴로지
방화벽 필터를 생성하여 다음 인터페이스에서 수신되는 프로토콜 독립적 트래픽에 속도 제한을 적용할 수 있습니다.L2_filter
fe-0/0/0.0fe-1/0/0.0fe-1/1/0.0
이 항목의 인터페이스 유형은 예제에 불과합니다. 인터페이스 유형은 EX 시리즈 스위치에서 지원되지 않습니다.fe-
먼저, 에서 수신된 프로토콜 독립적 트래픽의 경우, 방화벽 필터 용어 가 policer를 적용합니다.fe-0/0/0.0t1p1
다른 고속 이더넷 인터페이스에서 수신되는 프로토콜 독립적 트래픽의 경우, 방화벽 필터 용어 가 policer를 적용합니다.t2p2 모든 고속 이더넷 인터페이스로 구성된 인터페이스 세트를 정의하려면 계층 수준에서 문을 포함합니다.interface-set interface-set-name interface-name[edit firewall] 패킷이 지정된 인터페이스 집합에 도착하는 인터페이스를 기반으로 패킷 일치 기준을 정의하려면 방화벽 필터 일치 조건을 사용하는 용어를 구성합니다.interface-set
마지막으로, 다른 프로토콜 독립적 트래픽의 경우, 방화벽 필터 용어 가 policer를 적용합니다.t3p3
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 .구성 모드에서 CLI 편집기 사용
이 예를 구성하려면 다음 작업을 수행합니다.
- CLI 빠른 구성
- 무상태 방화벽 필터 용어가 속도 제한 작업을 수행하는 인터페이스 구성
- 패킷이 도착하는 인터페이스를 기반으로 프로토콜 독립적 트래픽의 속도를 제한하는 상태 비저장 방화벽 필터 구성
- 라우팅 엔진 입력 인터페이스에 무상태 방화벽 필터 적용
CLI 빠른 구성
이 예를 빠르게 구성하려면, 다음 구성 명령을 텍스트 파일에 복사하고, 줄 바꿈을 제거한 다음, 계층 수준에서 명령을 CLI에 붙여넣습니다 .[edit]
set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30 set firewall policer p1 if-exceeding bandwidth-limit 5m set firewall policer p1 if-exceeding burst-size-limit 10m set firewall policer p1 then discard set firewall policer p2 if-exceeding bandwidth-limit 40m set firewall policer p2 if-exceeding burst-size-limit 100m set firewall policer p2 then discard set firewall policer p3 if-exceeding bandwidth-limit 600m set firewall policer p3 if-exceeding burst-size-limit 1g set firewall policer p3 then discard set firewall interface-set ifset fe-* set firewall family any filter L2_filter term t1 from interface fe-0/0/0.0 set firewall family any filter L2_filter term t1 then count c1 set firewall family any filter L2_filter term t1 then policer p1 set firewall family any filter L2_filter term t2 from interface-set ifset set firewall family any filter L2_filter term t2 then count c2 set firewall family any filter L2_filter term t2 then policer p2 set firewall family any filter L2_filter term t3 then count c3 set firewall family any filter L2_filter term t3 then policer p3 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 filter input L2_filter
무상태 방화벽 필터 용어가 속도 제한 작업을 수행하는 인터페이스 구성
단계별 절차
무상태 방화벽 필터 용어가 속도 제한 작업을 수행하는 인터페이스를 구성하려면 다음을 수행합니다.
입력 트래픽이 방화벽 필터의 첫 번째 용어와 일치할 논리적 인터페이스를 구성합니다.
[edit] user@host# set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30
입력 트래픽이 방화벽 필터의 두 번째 용어와 일치할 논리적 인터페이스를 구성합니다.
[edit ] user@host# set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 user@host# set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@host# commit
결과
구성 모드 명령을 입력하여 라우터(또는 스위치) 전송 인터페이스의 구성을 확인합니다.show interfaces 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.
[edit]
user@host# show interfaces
fe-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/30;
}
}
}
fe-1/0/0 {
unit 0 {
family inet {
address 10.2.2.1/30;
}
}
}
fe-1/1/0 {
unit 0 {
family inet {
address 10.4.4.1/30;
}
}
}
패킷이 도착하는 인터페이스를 기반으로 프로토콜 독립적 트래픽의 속도를 제한하는 상태 비저장 방화벽 필터 구성
단계별 절차
폴리서(, , 및 )를 사용하여 패킷이 도착하는 인터페이스를 기반으로 프로토콜 독립적 트래픽의 속도를 제한하는 표준 무상태 방화벽 을 구성하려면, L2_filterp1p2p3
방화벽 문을 구성합니다.
[edit] user@host# edit firewall
bps의 트래픽 속도 또는 바이트의 버스트 크기를 초과하는 트래픽을 폐기하도록 폴리서를 구성합니다.
p15m10m[edit firewall] user@host# set policer p1 if-exceeding bandwidth-limit 5m user@host# set policer p1 if-exceeding burst-size-limit 10m user@host# set policer p1 then discard
bps의 트래픽 속도 또는 바이트의 버스트 크기를 초과하는 트래픽을 폐기하도록 폴리서를 구성합니다.
p240m100m[edit firewall] user@host# set policer p2 if-exceeding bandwidth-limit 40m user@host# set policer p2 if-exceeding burst-size-limit 100m user@host# set policer p2 then discard
bps의 트래픽 속도 또는 바이트의 버스트 크기를 초과하는 트래픽을 폐기하도록 폴리서를 구성합니다.
p3600m1g[edit firewall] user@host# set policer p3 if-exceeding bandwidth-limit 600m user@host# set policer p3 if-exceeding burst-size-limit 1g user@host# set policer p3 then discard
인터페이스 집합을 라우터의 모든 고속 이더넷 인터페이스 그룹으로 정의합니다.
ifset[edit firewall] user@host# set interface-set ifset fe-*
무상태 방화벽 필터를 생성합니다.
L2_filter[edit firewall] user@host# edit family any filter L2_filter
인터페이스에서 수신된 IPv4, IPv6 또는 MPLS 패킷과 일치하도록 필터 용어 를 구성하고 폴리서를 사용하여 해당 트래픽의 속도를 제한합니다.
t1fe-0/0/0.0p1[edit firewall family any filter L2_filter] user@host# set term t1 from interface fe-0/0/0.0 user@host# set term t1 then count c1 user@host# set term t1 then policer p1
인터페이스 세트 에서 수신된 패킷과 일치하도록 필터 용어 를 구성하고 폴리서를 사용하여 해당 트래픽의 속도를 제한합니다.
t2ifsetp2[edit firewall family any filter L2_filter] user@host# set term t2 from interface-set ifset user@host# set term t2 then count c2 user@host# set term t2 then policer p2
폴리서를 사용하여 다른 모든 트래픽의 속도를 제한하도록 필터 용어를 구성합니다.
t3p3[edit firewall family any filter L2_filter] user@host# set term t3 then count c3 user@host# set term t3 then policer p3
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@host# commit
결과
구성 모드 명령을 입력하여 무상태 방화벽 필터 및 방화벽 필터 동작으로 참조되는 폴리서의 구성을 확인합니다.show firewall 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.
[edit]
user@host# show firewall
family any {
filter L2_filter {
term t1 {
from {
interface fe-0/0/0.0;
}
then {
policer p1;
count c1;
}
}
term t2 {
from {
interface-set ifset;
}
then {
policer p2;
count c2;
}
}
term t3 {
then {
policer p3;
count c3;
}
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 5m;
burst-size-limit 10m;
}
then discard;
}
policer p2 {
if-exceeding {
bandwidth-limit 40m;
burst-size-limit 100m;
}
then discard;
}
policer p3 {
if-exceeding {
bandwidth-limit 600m;
burst-size-limit 1g;
}
then discard;
}
interface-set ifset {
fe-*;
}
라우팅 엔진 입력 인터페이스에 무상태 방화벽 필터 적용
단계별 절차
라우팅 엔진 입력 인터페이스에 스테이트리스 방화벽 필터를 적용하려면:
입력 방향으로 라우팅 엔진 인터페이스에 무상태 방화벽 필터를 적용합니다.
[edit] user@host# set interfaces lo0 unit 0 family inet address 172.16.1.157/30 user@host# set interfaces lo0 unit 0 filter input L2_filter
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@host# commit
결과
명령을 다시 입력하여 라우팅 엔진 입력 인터페이스에 방화벽 필터의 적용을 확인합니다.show interfaces 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.
user@host# show interfaces
fe-0/0/0 {
...
}
fe-1/0/0 {
...
}
fe-1/1/0 {
...
}
lo0 {
unit 0 {
filter {
input L2_filter;
}
family inet {
address 172.16.1.157/30;
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 운영 모드 명령을 사용하여 방화벽 필터와 카운터 3개에 대한 트래픽 통계를 모니터링합니다.show firewall filter L2_filter