Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

예를 들면 다음과 같습니다. 인터페이스 세트에서 수신된 패킷 필터링

이 예에서는 특정 인터페이스 세트에 대해 태그가 지정된 패킷과 일치하도록 표준 stateless 방화벽 필터를 구성하는 방법을 보여줍니다.

요구 사항

이 예제를 구성하기 전에 장치 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

이 예에서는 라우터 또는 스위치 루프백 인터페이스의 입력에 스테이트리스 방화벽 필터를 적용합니다. 방화벽 필터는 특정 인터페이스 세트에 대해 태그가 지정된 패킷과 일치하는 용어를 포함합니다.

토폴로지

방화벽 필터를 생성하여 다음 인터페이스에서 수신되는 프로토콜 독립 트래픽에 속도 L2_filter 제한을 적용합니다.

  • fe-0/0/0.0

  • fe-1/0/0.0

  • fe-1/1/0.0

주:

이 주제의 인터페이스 유형은 한 가지 예에 불과합니다. 인터페이스 fe- 유형은 EX 시리즈 스위치에서 지원되지 않습니다.

첫째, 수신된 프로토콜 독립 트래픽의 경우 방화벽 필터 fe-0/0/0.0 용어가 t1 Policer를 p1 적용합니다.

다른 Fast Ethernet 인터페이스에서 수신되는 프로토콜 독립 트래픽의 경우 방화벽 필터 t2 용어가 Policer를 p2 적용합니다. 모든 Fast Ethernet 인터페이스로 구성된 인터페이스 세트를 정의하기 위해 계층 수준에서 interface-set interface-set-name interface-name[edit firewall] 명령문을 포함합니다. 패킷이 지정된 인터페이스 세트에 도착하는 인터페이스에 따라 패킷 일치 기준을 정의하기 위해 방화벽 필터 일치 조건을 사용하는 용어를 interface-set 구성합니다.

마지막으로, 다른 프로토콜 독립 트래픽의 경우 방화벽 필터 t3 용어가 Policer를 p3 적용합니다.

구성

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 에 대한 자세한 구성 모드에서 CLI 편집자 CLI.

이 예제를 구성하기 위해 다음 작업을 수행합니다.

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 구성 명령을 텍스트 파일에 복사하고, 라인 브레이크를 제거한 다음, 계층 수준에서 CLI 명령어에 [edit] 붙여넣습니다.

Stateless 방화벽 필터 용어가 속도 제한 작업을 수행할 수 있는 인터페이스 구성

단계별 절차

stateless 방화벽 필터 조건이 속도 제한 조치를 취하는 인터페이스를 구성하기 위해 다음을 수행할 수 있습니다.

  1. 방화벽 필터의 첫 번째 용어와 일치되는 입력 트래픽을 사용하는 논리적 인터페이스를 구성합니다.

  2. 입력 트래픽이 방화벽 필터의 두 번째 용어와 일치되는 논리적 인터페이스를 구성합니다.

  3. 디바이스 구성이 완료되면 구성을 커밋합니다.

결과

구성 모드 명령을 입력하여 라우터(또는 스위치) 전송 인터페이스의 show interfaces 구성을 확인합니다. 명령 출력이 의도한 구성을 표시하지 않는 경우 이 절차의 명령을 반복하여 구성을 수정합니다.

패킷이 도착하는 인터페이스를 기반으로 프로토콜 독립 트래픽을 속도 제한하는 Stateless Firewall 필터 구성

단계별 절차

Policers (및 ) 를 사용하여 패킷이 도착하는 인터페이스에 따라 프로토콜 독립 트래픽의 속도 제한을 사용하는 표준 stateless 방화벽을 L2_filterp1p2p3 구성합니다.

  1. 방화벽 명령문을 구성합니다.

  2. 트래픽 속도 bps 또는 버스트 크기(burst size of p15m bytes)를 초과하는 트래픽을 폐기하도록 Policer를 10m 구성합니다.

  3. 트래픽 속도 bps 또는 버스트 크기(burst size of p240m bytes)를 초과하는 트래픽을 폐기하도록 Policer를 100m 구성합니다.

  4. 트래픽 속도 bps 또는 버스트 크기(burst size of p3600m bytes)를 초과하는 트래픽을 폐기하도록 Policer를 1g 구성합니다.

  5. 라우터의 모든 Fast Ethernet 인터페이스의 그룹으로 설정된 ifset 인터페이스를 정의합니다.

  6. 스테이트리스 방화벽 필터를 L2_filter 생성합니다.

  7. 인터페이스에서 수신된 IPv4, IPv6 또는 MPLS 패킷과 일치하도록 필터 용어를 구성하고 이 트래픽의 속도 제한을 위해 t1fe-0/0/0.0 policer를 p1 사용합니다.

  8. 인터페이스 세트에서 수신된 패킷과 일치하도록 필터 용어를 구성하고 Policer를 사용하여 트래픽 속도 제한을 t2ifsetp2 실행합니다.

  9. 다른 모든 트래픽에 대한 속도 제한을 위해 Policer를 사용하도록 필터 t3p3 용어를 구성합니다.

  10. 디바이스 구성이 완료되면 구성을 커밋합니다.

결과

스테이트리스 방화벽 필터와 방화벽 필터 작업으로 참조되는 Policers의 구성을 구성 모드 명령을 show firewall 입력합니다. 명령 출력이 의도한 구성을 표시하지 않는 경우 이 절차의 명령을 반복하여 구성을 수정합니다.

스테이트리스 방화벽 필터를 라우팅 엔진 인터페이스에 적용

단계별 절차

스테이트리스(stateless) 방화벽 필터를 라우팅 엔진 인터페이스:

  1. 입력 방향으로 stateless 방화벽 필터를 라우팅 엔진 인터페이스에 적용합니다.

  2. 디바이스 구성이 완료되면 구성을 커밋합니다.

결과

명령어를 다시 입력하여 방화벽 필터를 라우팅 엔진 인터페이스에 show interfaces 적용하는지 확인 명령 출력이 의도한 구성을 표시하지 않는 경우 이 절차의 명령을 반복하여 구성을 수정합니다.

확인

구성이 올바르게 작동하고 있는지 확인하려면, 운영 모드 명령을 사용하여 방화벽 필터 및 3개의 카운터에 대한 트래픽 통계를 show firewall filter L2_filter 모니터링합니다.

관련 항목