예를 들면 다음과 같습니다. 인터페이스 세트에서 수신된 패킷 필터링
이 예에서는 특정 인터페이스 세트에 대해 태그가 지정된 패킷과 일치하도록 표준 stateless 방화벽 필터를 구성하는 방법을 보여줍니다.
요구 사항
이 예제를 구성하기 전에 장치 초기화 이외에는 특별한 구성이 필요하지 않습니다.
개요
이 예에서는 라우터 또는 스위치 루프백 인터페이스의 입력에 스테이트리스 방화벽 필터를 적용합니다. 방화벽 필터는 특정 인터페이스 세트에 대해 태그가 지정된 패킷과 일치하는 용어를 포함합니다.
토폴로지
방화벽 필터를 생성하여 다음 인터페이스에서 수신되는 프로토콜 독립 트래픽에 속도 L2_filter
제한을 적용합니다.
fe-0/0/0.0
fe-1/0/0.0
fe-1/1/0.0
이 주제의 인터페이스 유형은 한 가지 예에 불과합니다. 인터페이스 fe-
유형은 EX 시리즈 스위치에서 지원되지 않습니다.
첫째, 수신된 프로토콜 독립 트래픽의 경우 방화벽 필터 fe-0/0/0.0
용어가 t1
Policer를 p1
적용합니다.
다른 Fast Ethernet 인터페이스에서 수신되는 프로토콜 독립 트래픽의 경우 방화벽 필터 t2
용어가 Policer를 p2
적용합니다. 모든 Fast Ethernet 인터페이스로 구성된 인터페이스 세트를 정의하기 위해 계층 수준에서 interface-set interface-set-name interface-name
[edit firewall]
명령문을 포함합니다. 패킷이 지정된 인터페이스 세트에 도착하는 인터페이스에 따라 패킷 일치 기준을 정의하기 위해 방화벽 필터 일치 조건을 사용하는 용어를 interface-set
구성합니다.
마지막으로, 다른 프로토콜 독립 트래픽의 경우 방화벽 필터 t3
용어가 Policer를 p3
적용합니다.
구성
다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 에 대한 자세한 구성 모드에서 CLI 편집자 CLI.
이 예제를 구성하기 위해 다음 작업을 수행합니다.
- CLI 빠른 구성
- Stateless 방화벽 필터 용어가 속도 제한 작업을 수행할 수 있는 인터페이스 구성
- 패킷이 도착하는 인터페이스를 기반으로 프로토콜 독립 트래픽을 속도 제한하는 Stateless Firewall 필터 구성
- 스테이트리스 방화벽 필터를 라우팅 엔진 인터페이스에 적용
CLI 빠른 구성
이 예제를 신속하게 구성하려면 다음 구성 명령을 텍스트 파일에 복사하고, 라인 브레이크를 제거한 다음, 계층 수준에서 CLI 명령어에 [edit]
붙여넣습니다.
set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30 set firewall policer p1 if-exceeding bandwidth-limit 5m set firewall policer p1 if-exceeding burst-size-limit 10m set firewall policer p1 then discard set firewall policer p2 if-exceeding bandwidth-limit 40m set firewall policer p2 if-exceeding burst-size-limit 100m set firewall policer p2 then discard set firewall policer p3 if-exceeding bandwidth-limit 600m set firewall policer p3 if-exceeding burst-size-limit 1g set firewall policer p3 then discard set firewall interface-set ifset fe-* set firewall family any filter L2_filter term t1 from interface fe-0/0/0.0 set firewall family any filter L2_filter term t1 then count c1 set firewall family any filter L2_filter term t1 then policer p1 set firewall family any filter L2_filter term t2 from interface-set ifset set firewall family any filter L2_filter term t2 then count c2 set firewall family any filter L2_filter term t2 then policer p2 set firewall family any filter L2_filter term t3 then count c3 set firewall family any filter L2_filter term t3 then policer p3 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 filter input L2_filter
Stateless 방화벽 필터 용어가 속도 제한 작업을 수행할 수 있는 인터페이스 구성
단계별 절차
stateless 방화벽 필터 조건이 속도 제한 조치를 취하는 인터페이스를 구성하기 위해 다음을 수행할 수 있습니다.
방화벽 필터의 첫 번째 용어와 일치되는 입력 트래픽을 사용하는 논리적 인터페이스를 구성합니다.
[edit] user@host# set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30
입력 트래픽이 방화벽 필터의 두 번째 용어와 일치되는 논리적 인터페이스를 구성합니다.
[edit ] user@host# set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 user@host# set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30
디바이스 구성이 완료되면 구성을 커밋합니다.
[edit] user@host# commit
결과
구성 모드 명령을 입력하여 라우터(또는 스위치) 전송 인터페이스의 show interfaces
구성을 확인합니다. 명령 출력이 의도한 구성을 표시하지 않는 경우 이 절차의 명령을 반복하여 구성을 수정합니다.
[edit] user@host# show interfaces fe-0/0/0 { unit 0 { family inet { address 10.1.1.1/30; } } } fe-1/0/0 { unit 0 { family inet { address 10.2.2.1/30; } } } fe-1/1/0 { unit 0 { family inet { address 10.4.4.1/30; } } }
패킷이 도착하는 인터페이스를 기반으로 프로토콜 독립 트래픽을 속도 제한하는 Stateless Firewall 필터 구성
단계별 절차
Policers (및 ) 를 사용하여 패킷이 도착하는 인터페이스에 따라 프로토콜 독립 트래픽의 속도 제한을 사용하는 표준 stateless 방화벽을 L2_filter
p1
p2
p3
구성합니다.
방화벽 명령문을 구성합니다.
[edit] user@host# edit firewall
트래픽 속도 bps 또는 버스트 크기(burst size of
p1
5m
bytes)를 초과하는 트래픽을 폐기하도록 Policer를10m
구성합니다.[edit firewall] user@host# set policer p1 if-exceeding bandwidth-limit 5m user@host# set policer p1 if-exceeding burst-size-limit 10m user@host# set policer p1 then discard
트래픽 속도 bps 또는 버스트 크기(burst size of
p2
40m
bytes)를 초과하는 트래픽을 폐기하도록 Policer를100m
구성합니다.[edit firewall] user@host# set policer p2 if-exceeding bandwidth-limit 40m user@host# set policer p2 if-exceeding burst-size-limit 100m user@host# set policer p2 then discard
트래픽 속도 bps 또는 버스트 크기(burst size of
p3
600m
bytes)를 초과하는 트래픽을 폐기하도록 Policer를1g
구성합니다.[edit firewall] user@host# set policer p3 if-exceeding bandwidth-limit 600m user@host# set policer p3 if-exceeding burst-size-limit 1g user@host# set policer p3 then discard
라우터의 모든 Fast Ethernet 인터페이스의 그룹으로 설정된
ifset
인터페이스를 정의합니다.[edit firewall] user@host# set interface-set ifset fe-*
스테이트리스 방화벽 필터를
L2_filter
생성합니다.[edit firewall] user@host# edit family any filter L2_filter
인터페이스에서 수신된 IPv4, IPv6 또는 MPLS 패킷과 일치하도록 필터 용어를 구성하고 이 트래픽의 속도 제한을 위해
t1
fe-0/0/0.0
policer를p1
사용합니다.[edit firewall family any filter L2_filter] user@host# set term t1 from interface fe-0/0/0.0 user@host# set term t1 then count c1 user@host# set term t1 then policer p1
인터페이스 세트에서 수신된 패킷과 일치하도록 필터 용어를 구성하고 Policer를 사용하여 트래픽 속도 제한을
t2
ifset
p2
실행합니다.[edit firewall family any filter L2_filter] user@host# set term t2 from interface-set ifset user@host# set term t2 then count c2 user@host# set term t2 then policer p2
다른 모든 트래픽에 대한 속도 제한을 위해 Policer를 사용하도록 필터
t3
p3
용어를 구성합니다.[edit firewall family any filter L2_filter] user@host# set term t3 then count c3 user@host# set term t3 then policer p3
디바이스 구성이 완료되면 구성을 커밋합니다.
[edit] user@host# commit
결과
스테이트리스 방화벽 필터와 방화벽 필터 작업으로 참조되는 Policers의 구성을 구성 모드 명령을 show firewall
입력합니다. 명령 출력이 의도한 구성을 표시하지 않는 경우 이 절차의 명령을 반복하여 구성을 수정합니다.
[edit] user@host# show firewall family any { filter L2_filter { term t1 { from { interface fe-0/0/0.0; } then { policer p1; count c1; } } term t2 { from { interface-set ifset; } then { policer p2; count c2; } } term t3 { then { policer p3; count c3; } } } } policer p1 { if-exceeding { bandwidth-limit 5m; burst-size-limit 10m; } then discard; } policer p2 { if-exceeding { bandwidth-limit 40m; burst-size-limit 100m; } then discard; } policer p3 { if-exceeding { bandwidth-limit 600m; burst-size-limit 1g; } then discard; } interface-set ifset { fe-*; }
스테이트리스 방화벽 필터를 라우팅 엔진 인터페이스에 적용
단계별 절차
스테이트리스(stateless) 방화벽 필터를 라우팅 엔진 인터페이스:
입력 방향으로 stateless 방화벽 필터를 라우팅 엔진 인터페이스에 적용합니다.
[edit] user@host# set interfaces lo0 unit 0 family inet address 172.16.1.157/30 user@host# set interfaces lo0 unit 0 filter input L2_filter
디바이스 구성이 완료되면 구성을 커밋합니다.
[edit] user@host# commit
결과
명령어를 다시 입력하여 방화벽 필터를 라우팅 엔진 인터페이스에 show interfaces
적용하는지 확인 명령 출력이 의도한 구성을 표시하지 않는 경우 이 절차의 명령을 반복하여 구성을 수정합니다.
user@host# show interfaces fe-0/0/0 { ... } fe-1/0/0 { ... } fe-1/1/0 { ... } lo0 { unit 0 { filter { input L2_filter; } family inet { address 172.16.1.157/30; } } }
확인
구성이 올바르게 작동하고 있는지 확인하려면, 운영 모드 명령을 사용하여 방화벽 필터 및 3개의 카운터에 대한 트래픽 통계를 show firewall filter L2_filter
모니터링합니다.