예: 인터페이스 세트에서 수신된 패킷 필터링
이 예는 특정 인터페이스 세트에 대해 태그가 지정된 패킷과 일치하도록 표준 무상태 방화벽 필터를 구성하는 방법을 보여줍니다.
요구 사항
이 예를 구성하기 전에 디바이스 초기화를 제외한 특별한 구성은 필요하지 않습니다.
개요
이 예에서는 라우터 또는 스위치 루프백 인터페이스의 입력에 스테이트리스 방화벽 필터를 적용합니다. 방화벽 필터에는 특정 인터페이스 집합에 대해 태그가 지정된 패킷과 일치하는 용어가 포함되어 있습니다.
토폴로지
방화벽 필터를 L2_filter
생성하여 다음 인터페이스에서 수신되는 프로토콜 독립적 트래픽에 속도 제한을 적용할 수 있습니다.
fe-0/0/0.0
fe-1/0/0.0
fe-1/1/0.0
이 항목의 인터페이스 유형은 예제에 불과합니다. fe-
인터페이스 유형은 EX 시리즈 스위치에서 지원되지 않습니다.
먼저, 에서 fe-0/0/0.0
수신된 프로토콜 독립적 트래픽의 경우, 방화벽 필터 용어 t1
가 policer를 p1
적용합니다.
다른 고속 이더넷 인터페이스에서 수신되는 프로토콜 독립적 트래픽의 경우, 방화벽 필터 용어 t2
가 policer를 p2
적용합니다. 모든 고속 이더넷 인터페이스로 구성된 인터페이스 세트를 정의하려면 계층 수준에서 문을 [edit firewall]
포함합니다interface-set interface-set-name interface-name
. 패킷이 지정된 인터페이스 집합에 도착하는 인터페이스를 기반으로 패킷 일치 기준을 정의하려면 방화벽 필터 일치 조건을 사용하는 용어를 interface-set
구성합니다.
마지막으로, 다른 프로토콜 독립적 트래픽의 경우, 방화벽 필터 용어 t3
가 policer를 p3
적용합니다.
구성
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 대한 자세한 내용은 을 참조하십시오 구성 모드에서 CLI 편집기 사용.
이 예를 구성하려면 다음 작업을 수행합니다.
- CLI 빠른 구성
- 무상태 방화벽 필터 용어가 속도 제한 작업을 수행하는 인터페이스 구성
- 패킷이 도착하는 인터페이스를 기반으로 프로토콜 독립적 트래픽의 속도를 제한하는 상태 비저장 방화벽 필터 구성
- 라우팅 엔진 입력 인터페이스에 무상태 방화벽 필터 적용
CLI 빠른 구성
이 예를 빠르게 구성하려면, 다음 구성 명령을 텍스트 파일에 복사하고, 줄 바꿈을 제거한 다음, 계층 수준에서 명령을 CLI에 붙여넣습니다 [edit]
.
set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30 set firewall policer p1 if-exceeding bandwidth-limit 5m set firewall policer p1 if-exceeding burst-size-limit 10m set firewall policer p1 then discard set firewall policer p2 if-exceeding bandwidth-limit 40m set firewall policer p2 if-exceeding burst-size-limit 100m set firewall policer p2 then discard set firewall policer p3 if-exceeding bandwidth-limit 600m set firewall policer p3 if-exceeding burst-size-limit 1g set firewall policer p3 then discard set firewall interface-set ifset fe-* set firewall family any filter L2_filter term t1 from interface fe-0/0/0.0 set firewall family any filter L2_filter term t1 then count c1 set firewall family any filter L2_filter term t1 then policer p1 set firewall family any filter L2_filter term t2 from interface-set ifset set firewall family any filter L2_filter term t2 then count c2 set firewall family any filter L2_filter term t2 then policer p2 set firewall family any filter L2_filter term t3 then count c3 set firewall family any filter L2_filter term t3 then policer p3 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 family inet address 172.16.1.157/30 set interfaces lo0 unit 0 filter input L2_filter
무상태 방화벽 필터 용어가 속도 제한 작업을 수행하는 인터페이스 구성
단계별 절차
무상태 방화벽 필터 용어가 속도 제한 작업을 수행하는 인터페이스를 구성하려면 다음을 수행합니다.
입력 트래픽이 방화벽 필터의 첫 번째 용어와 일치할 논리적 인터페이스를 구성합니다.
[edit] user@host# set interfaces fe-0/0/0 unit 0 family inet address 10.1.1.1/30
입력 트래픽이 방화벽 필터의 두 번째 용어와 일치할 논리적 인터페이스를 구성합니다.
[edit ] user@host# set interfaces fe-1/0/0 unit 0 family inet address 10.2.2.1/30 user@host# set interfaces fe-1/1/0 unit 0 family inet address 10.4.4.1/30
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@host# commit
결과
구성 모드 명령을 입력하여 show interfaces
라우터(또는 스위치) 전송 인터페이스의 구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.
[edit] user@host# show interfaces fe-0/0/0 { unit 0 { family inet { address 10.1.1.1/30; } } } fe-1/0/0 { unit 0 { family inet { address 10.2.2.1/30; } } } fe-1/1/0 { unit 0 { family inet { address 10.4.4.1/30; } } }
패킷이 도착하는 인터페이스를 기반으로 프로토콜 독립적 트래픽의 속도를 제한하는 상태 비저장 방화벽 필터 구성
단계별 절차
폴리서(p1
, p2
, 및 p3
)를 사용하여 패킷이 도착하는 인터페이스를 기반으로 프로토콜 독립적 트래픽의 속도를 제한하는 표준 무상태 방화벽 L2_filter
을 구성하려면,
방화벽 문을 구성합니다.
[edit] user@host# edit firewall
bps의
5m
트래픽 속도 또는 바이트의10m
버스트 크기를 초과하는 트래픽을 폐기하도록 폴리서를p1
구성합니다.[edit firewall] user@host# set policer p1 if-exceeding bandwidth-limit 5m user@host# set policer p1 if-exceeding burst-size-limit 10m user@host# set policer p1 then discard
bps의
40m
트래픽 속도 또는 바이트의100m
버스트 크기를 초과하는 트래픽을 폐기하도록 폴리서를p2
구성합니다.[edit firewall] user@host# set policer p2 if-exceeding bandwidth-limit 40m user@host# set policer p2 if-exceeding burst-size-limit 100m user@host# set policer p2 then discard
bps의
600m
트래픽 속도 또는 바이트의1g
버스트 크기를 초과하는 트래픽을 폐기하도록 폴리서를p3
구성합니다.[edit firewall] user@host# set policer p3 if-exceeding bandwidth-limit 600m user@host# set policer p3 if-exceeding burst-size-limit 1g user@host# set policer p3 then discard
인터페이스 집합을
ifset
라우터의 모든 고속 이더넷 인터페이스 그룹으로 정의합니다.[edit firewall] user@host# set interface-set ifset fe-*
무상태 방화벽 필터를
L2_filter
생성합니다.[edit firewall] user@host# edit family any filter L2_filter
인터페이스에서
fe-0/0/0.0
수신된 IPv4, IPv6 또는 MPLS 패킷과 일치하도록 필터 용어t1
를 구성하고 폴리서를p1
사용하여 해당 트래픽의 속도를 제한합니다.[edit firewall family any filter L2_filter] user@host# set term t1 from interface fe-0/0/0.0 user@host# set term t1 then count c1 user@host# set term t1 then policer p1
인터페이스 세트
ifset
에서 수신된 패킷과 일치하도록 필터 용어t2
를 구성하고 폴리서를p2
사용하여 해당 트래픽의 속도를 제한합니다.[edit firewall family any filter L2_filter] user@host# set term t2 from interface-set ifset user@host# set term t2 then count c2 user@host# set term t2 then policer p2
폴리서를
p3
사용하여 다른 모든 트래픽의 속도를 제한하도록 필터 용어t3
를 구성합니다.[edit firewall family any filter L2_filter] user@host# set term t3 then count c3 user@host# set term t3 then policer p3
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@host# commit
결과
구성 모드 명령을 입력하여 무상태 방화벽 필터 및 방화벽 필터 동작으로 참조되는 폴리서의 show firewall
구성을 확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.
[edit] user@host# show firewall family any { filter L2_filter { term t1 { from { interface fe-0/0/0.0; } then { policer p1; count c1; } } term t2 { from { interface-set ifset; } then { policer p2; count c2; } } term t3 { then { policer p3; count c3; } } } } policer p1 { if-exceeding { bandwidth-limit 5m; burst-size-limit 10m; } then discard; } policer p2 { if-exceeding { bandwidth-limit 40m; burst-size-limit 100m; } then discard; } policer p3 { if-exceeding { bandwidth-limit 600m; burst-size-limit 1g; } then discard; } interface-set ifset { fe-*; }
라우팅 엔진 입력 인터페이스에 무상태 방화벽 필터 적용
단계별 절차
라우팅 엔진 입력 인터페이스에 스테이트리스 방화벽 필터를 적용하려면:
입력 방향으로 라우팅 엔진 인터페이스에 무상태 방화벽 필터를 적용합니다.
[edit] user@host# set interfaces lo0 unit 0 family inet address 172.16.1.157/30 user@host# set interfaces lo0 unit 0 filter input L2_filter
디바이스 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@host# commit
결과
명령을 다시 입력하여 라우팅 엔진 입력 인터페이스에 방화벽 필터의 적용을 show interfaces
확인합니다. 명령 출력에 의도한 구성이 표시되지 않으면 이 절차의 지침을 반복하여 구성을 수정하십시오.
user@host# show interfaces fe-0/0/0 { ... } fe-1/0/0 { ... } fe-1/1/0 { ... } lo0 { unit 0 { filter { input L2_filter; } family inet { address 172.16.1.157/30; } } }
검증
구성이 제대로 작동하는지 확인하려면 운영 모드 명령을 show firewall filter L2_filter
사용하여 방화벽 필터와 카운터 3개에 대한 트래픽 통계를 모니터링합니다.