Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

방화벽 필터 구성(CLI 프로시저)

EX 시리즈 스위치에서 방화벽 필터를 구성하여 스위치의 포트에 들어오거나 네트워크 및 레이어 3(라우팅) 인터페이스에서 VLA를 입력하고 나가는 트래픽을 제어합니다. 방화벽 필터를 구성하려면 필터를 구성한 다음 포트, VLAN 또는 레이어 3 인터페이스에 적용해야 합니다.

방화벽 필터 구성

방화벽 필터를 포트, VLAN 또는 Layer 3 인터페이스에 적용하기 전에 방화벽 필터에 대한 패밀리 유형, 방화벽 필터 이름 및 일치 조건과 같은 필요한 세부 정보를 사용하여 방화벽 필터를 구성해야 합니다. 방화벽 필터 구성의 일치 조건은 일치 조건에 대한 기준을 정의하는 여러 용어를 포함할 수 있습니다. 각 용어에 대해 패킷이 용어의 조건과 일치하는 경우 수행할 조치를 지정해야 합니다. 서로 다른 일치 조건 및 작업에 대한 정보는 EX 시리즈 스위치용 방화벽 필터 일치 조건, 작업 및 작업 수정자를 참조하십시오.

방화벽 필터 구성:

  1. 방화벽 필터에 대한 패밀리 주소 유형을 구성합니다.
    • 포트 또는 VLAN에 적용된 방화벽 필터의 경우, ethernet-switching Layer 2(Ethernet) 패킷 및 Layer 3(IP) 패킷을 필터링하는 패밀리 주소 유형을 지정합니다.

    • Layer 3(Routed) 인터페이스에 적용되는 방화벽 필터의 경우:

      • IPv4 패킷을 필터링하기 위해 다음과 같은 패밀리 주소 유형을 inet 지정합니다.

      • IPv6 패킷을 필터링하기 위해 다음과 같은 패밀리 주소 유형을 inet6 지정합니다.

      주:

      동일한 레이어 3 인터페이스에서 IPv4 및 IPv6 트래픽에 대한 방화벽 필터를 구성할 수 있습니다.

  2. 필터 이름을 지정합니다.

    필터 이름에는 문자, 번호, 하이픈(-)이 포함될 수 있으며 최대 64자까지 입력할 수 있습니다. 각 필터 이름은 고유해야 합니다.

  3. 여러 인터페이스에 방화벽 필터를 적용하고 각 인터페이스에 특정 개별 방화벽 카운터의 이름을 지정하려는 경우 다음 옵션을 interface-specific 구성합니다.
  4. 용어 이름을 지정합니다.

    용어 이름에는 문자, 번호, 하이픈(-)이 포함될 수 있으며 최대 64자까지 포함될 수 있습니다.

    방화벽 필터는 하나 이상의 용어를 포함할 수 있습니다. 각 용어의 이름은 필터 내에서 고유해야 합니다.

    주:

    EX 시리즈 스위치의 방화벽 필터당 허용되는 최대 용어 개수는 다음과 같습니다.

    • 512 for EX2200 스위치

    • 1,436(EX3300 스위치용)

      주:

      스위치 EX3300 동일한 커밋 작업에서 많은 수의 용어(1000개 이상)를 사용하는 필터를 추가 및 삭제하는 경우 모든 필터가 설치되지는 않습니다. 한 커밋 작업에 필터를 추가하고 별도의 커밋 작업에서 필터를 삭제해야 합니다.

    • EX3200용 7,EX4200 스위치

    • 스위치의 EX4300 포트, VLAN 및 Layer 3 인터페이스에서 구성된 방화벽 파일러의 경우, ingress 및 egress 트래픽에서 지원되는 용어의 개수는 다음과 같습니다.

      • ingress 트래픽의 경우:

        • 포트에서 구성된 방화벽 필터에 대한 3,500개 용어

        • VLAN에서 구성된 방화벽 필터에 대한 3,500 용어

        • IPv4 트래픽용 레이어 3 인터페이스에서 구성된 방화벽 필터에 대한 7,000개 용어

        • IPv6 트래픽을 위한 레이어 3 인터페이스에서 구성된 방화벽 파일러에 대한 3,500개 용어

      • egress 트래픽의 경우:

        • 포트에서 구성된 방화벽 필터에 대한 512 약관

        • VLAN에서 구성된 방화벽 필터에 대한 256 약관

        • IPv4 트래픽을 위한 레이어 3 인터페이스에서 구성된 방화벽 필터에 대한 512 약관

        • IPv6 트래픽을 위한 레이어 3 인터페이스에서 구성된 방화벽 파일머에 대한 512 약관

      주:

      스위치에서 한 가지 유형의 방화벽 필터(포트, VLAN 또는 라우터(레이어 3) 방화벽 필터를 구성하고 스위치의 모든 인터페이스에서 스톰 컨트롤이 활성화되지 않은 경우 이러한 최대 용어 수를 구성할 수 있습니다.

    • 1,200대의 EX4500 및 EX4550 스위치

    • 1,EX6200 스위치용

    • 32,768 대(EX8200 스위치용)

    이러한 제한을 초과하는 방화벽 필터를 구성하려고 시도하면 스위치는 구성을 커밋할 때 오류 메시지를 반환합니다.

  5. 각 방화벽 필터 용어에서 패킷의 구성 요소와 일치하기 위해 사용할 일치 조건을 지정합니다.

    특정 소스 주소와 소스 포트가 포함된 패킷과 일치할 조건을 지정하기 위해 다음을 들 수 있습니다.

    단일 명령문으로 하나 이상의 일치 조건을 지정할 수 from 있습니다. 일치하려면 패킷은 용어의 모든 조건을 일치해야 합니다.

    명령문은 선택 사항이지만, 용어에 포함된 경우 from 명령문을 from 비어 있을 수 없습니다. 명령문을 생략하면 모든 패킷이 from 일치하는 것으로 간주됩니다.

  6. 각 방화벽 필터 용어에서 패킷이 해당 용어의 모든 조건과 일치하는 경우 취할 조치를 지정합니다.

    작업 및/또는 조치 수정자를 지정할 수 있습니다.

    • 예를 들어 필터 작업을 지정하기 위해 필터 용어 조건과 일치하는 패킷을 폐기합니다.

      필터 용어당 하나 이상의 작업을 지정할 수 있습니다.

    • 예를 들어, 포우링 클래스에서 패킷을 카운트 및 분류하기 위해 작업 수정자를 지정합니다.

      명령문에서 다음과 같은 조치 then 수정자를 지정할 수 있습니다.

      • analyzer analyzer-name—프로토콜 분석기 애플리케이션에 연결된 특정 대상 포트 또는 VLAN에 포트 트래픽을 미러링합니다. 패밀리 analyzer 주소 유형에 ethernet-switching 따라 구성해야 합니다. 트래픽을 분석하기 위한 포트 미러링 구성(CLI 프로시저)을 참조하십시오.

      • count counter-name—이 필터 용어를 통과하는 패킷 수를 계산합니다.

        주:

        각 필터 용어에 지정된 조건과 일치하는 패킷 수를 모니터링할 수 있도록 방화벽 필터에서 각 용어에 대해 카운터를 구성하는 것이 좋습니다.

      • forwarding-class class—포우링 클래스에서 패킷을 분류합니다.

      • loss-priority priority—패킷 삭제에 대한 우선 순위를 설정합니다.

      • policer policer-name—트래픽에 속도 제한을 적용합니다.

      • interface 인터페이스 이름—트래픽을 스위칭 룩업을 우회하여 지정된 인터페이스로 전달합니다.

      • log—패킷 헤더 정보를 패킷 패킷 라우팅 엔진.

    명령문을 생략하거나 조치를 지정하지 않으면 명령문의 모든 조건과 일치하는 패킷이 thenfrom 허용됩니다. 그러나 명령문에서 항상 작업 및/또는 작업 수정자를 명시적으로 구성해야 then 합니다. 하나 이상의 작업을 포함할 수는 있지만 어떤 조합의 작업 수정자도 사용할 수 있습니다. 조치 또는 조치 수정자를 적용하려면 명령문의 모든 조건이 from 일치해야 합니다.

    주:

    암시적 폐기 역시 루프백 인터페이스에 적용된 방화벽 필터에도 lo0 적용됩니다.

    또한 주니퍼 네트웍스 EX8200 이더넷 스위치 IPv4 트래픽을 위한 루프백 인터페이스에서 암시적 또는 명시적 작업이 구성된 경우 다음 홉 해결 패킷이 허용되어 스위치를 통과하도록 discard 허용합니다. 그러나 IPv6 트래픽의 경우 다음 홉 IPv6 해결 패킷이 스위치를 통과하도록 허용하는 규칙을 명시적으로 구성해야 합니다.

IPv4 또는 IPv6 트래픽을 위한 용어 구성

특히 IPv4 트래픽을 위해 방화벽 필터 구성에서 용어를 구성하려면:

  1. 구성이라는 ether-type ipv6ip-version ipv6 용어에 명시되지 않은지 검증합니다. 기본적으로, IPv4 트래픽을 포함하지 않는 구성은 ether-type ipv6ip-version ipv6 IPv4 트래픽에 적용됩니다.
  2. (선택 사항) 이러한 작업 중 하나를 수행합니다.
    • 구성의 ether-type ipv4 용어를 정의합니다.

    • 구성의 ip-version ipv4 용어를 정의합니다.

    • 구성의 ether-type ipv4ip-version ipv4 용어와 용어를 모두 정의합니다.

    • 기본적으로 구성의 용어로 정의되지도, 또는 포함하지 않는 경우, 또는 를 포함하지 않는 경우 ether-type ipv6 IPv4 트래픽에 적용되는 구성이 기본적으로 없는지 ip-version ipv6ether-type ipv6ip-version ipv6ether-type ipv6ip-version ipv6 검증합니다.

  3. IPv4 트래픽에 대해 해당 용어의 다른 일치 조건이 유효한지 확인

특히 IPv6 트래픽을 위해 방화벽 필터 구성에서 용어를 구성하려면:

  1. 이러한 작업 중 하나를 수행합니다.

    • 구성의 ether-type ipv6 용어를 정의합니다.

    • 구성의 ip-version ipv6 용어를 정의합니다.

    • 구성의 ether-type ipv6ip-version ipv4 용어와 용어를 모두 정의합니다.

      주:

      기본적으로, IPv4 트래픽을 포함하지 않는 구성은 ether-type ipv6ip-version ipv6 IPv4 트래픽에 적용됩니다.

  2. 용어의 다른 일치 조건이 IPv6 트래픽에 대해 유효한지 확인

주:

용어에 일치 조건 중 하나 또는 다른 IPv6 일치 조건이 지정되지 않은 경우 ether-type ipv6ip-version ipv6 모든 IPv6 트래픽이 일치합니다.

주:

IPv4 및 IPv6 트래픽에 대해 방화벽 필터를 구성하려면 IPv4 트래픽에 대해 두 가지 별도의 용어를 포함해야 합니다. 하나는 IPv4 트래픽용인 다른 하나는 IPv6 트래픽에 해당합니다.

스위치의 포트에 방화벽 필터 적용

스위치의 포트에 방화벽 필터를 적용하여 스위치에서 ingress 또는 egress 트래픽을 필터링할 수 있습니다. 방화벽 필터를 구성할 때 방화벽 필터 일치 조건, 작업 및 작업 수정자(Firewall Filter Match Conditions, Actions, Action Modifiers)에지정된 일치 조건, 작업 및 작업 수정자를 지정할 수 있습니다. 일치 조건에 지정된 조치는 수신 또는 egress 트래픽에서 일치된 패킷에 대한 작업을 나타냅니다.

ingress 또는 egress 트래픽을 필터링하기 위해 방화벽 필터를 포트에 적용하기:

주:

방화벽 필터를 관리 인터페이스에 적용하는 경우, 스위치의 관리 인터페이스에 방화벽 필터 적용

  1. 인터페이스 이름을 지정하고 방화벽 필터와 필터가 적용된 인터페이스에 대한 의미 있는 설명을 제공합니다.
    주:

    설명을 제공하는 것은 선택 사항입니다.

  2. 인터페이스에 유닛 번호 및 패밀리 주소 유형을 지정합니다.

    포트에 적용되는 방화벽 필터의 경우, 패밀리 주소 유형이 되어야 ethernet-switching 합니다.

  3. 포트에 입력하는 패킷을 필터링하기 위해 방화벽 필터를 적용하면 다음을 할 수 있습니다.

    포트에서 나가는 패킷을 필터링하기 위해 방화벽 필터를 적용하면 다음을 할 수 있습니다.

    주:

    포트당, 방향에 따라 하나 이상의 방화벽 필터를 적용할 수 없습니다.

스위치의 관리 인터페이스에 방화벽 필터 적용

스위치에서 인터페이스로 들어오고 나가는 트래픽을 제어하기 위해 방화벽 필터를 관리 인터페이스에 구성하고 적용할 수 있습니다. SSH 또는 Telnet과 같은 유틸리티를 사용하여 네트워크의 관리 인터페이스에 연결한 다음 SNMP와 같은 관리 프로토콜을 사용하여 스위치에서 통계 데이터를 수집할 수 있습니다. 다른 유형의 인터페이스에서 방화벽 필터를 구성하는 경우와 마찬가지로, 다음 조치 수정자를 제외하고 방화벽 필터 일치 조건, 작업 및 EX 시리즈 스위치에 지정된 일치 조건, 작업 및 작업 수정자에 지정된 일치 조건, 조치, 조치 수정자를 사용하여 관리 인터페이스에서 방화벽 필터를 구성할 수 있습니다.

  • loss-priority

  • forwarding-class

방화벽 필터를 모든 EX 시리즈 스위치의 관리 Ethernet 인터페이스에 적용할 수 있습니다. 또한 방화벽 필터를 스위치의 가상 관리 이더넷(VME) 인터페이스에 EX4200 수 있습니다. 관리 이더넷 인터페이스 및 VME 인터페이스에 대한 자세한 내용은 스위치용 인터페이스 개요 를 참조하십시오.

관리 인터페이스에 방화벽 필터를 적용하여 ingress 또는 egress 트래픽을 필터링:

  1. 인터페이스 이름을 지정하고 방화벽 필터와 필터가 적용된 인터페이스에 대한 의미 있는 설명을 제공합니다.
    주:

    설명을 제공하는 것은 선택 사항입니다.

  2. 관리 인터페이스를 위해 유닛 번호 및 패밀리 주소 유형을 지정합니다.
    주:

    관리 인터페이스에 적용되는 방화벽 필터의 경우 패밀리 주소 유형이 될 수 inetinet6 있습니다.

  3. 방화벽 필터를 적용하여 관리 인터페이스에 입력하는 패킷을 필터링합니다.

    방화벽 필터를 적용하여 관리 인터페이스를 빠져나가고 있는 패킷을 필터링:

    주:

    관리 인터페이스당 방향에 따라 하나 이상의 방화벽 필터를 적용할 수 없습니다.

네트워크의 VLAN에 방화벽 필터 적용

네트워크의 VLAN에 방화벽 필터를 적용하여 네트워크에서 ingress 또는 egress 트래픽을 필터링할 수 있습니다. 방화벽 필터를 VLAN에 적용하기 위해 VLAN 이름과 ID를 지정한 다음 방화벽 필터를 VLAN에 적용합니다. 방화벽 필터를 구성할 때 방화벽 필터 일치 조건, 작업 및 작업 수정자(Firewall Filter Match Conditions, Actions, Action Modifiers)에지정된 일치 조건, 작업 및 작업 수정자를 지정할 수 있습니다. 일치 조건에 지정된 조치는 수신 또는 egress 트래픽에서 일치된 패킷에 대한 작업을 나타냅니다.

방화벽 필터를 VLAN에 적용하는 방법:

  1. VLAN 이름과 VLAN ID를 지정하고 필터가 적용되는 방화벽 필터와 VLAN에 대한 의미 있는 설명을 제공합니다.
    주:

    설명을 제공하는 것은 선택 사항입니다.

  2. VLAN에 들어오거나 나가는 패킷을 필터링하기 위해 방화벽 필터를 적용합니다.
    • VLAN에 입력하는 패킷을 필터링하기 위해 방화벽 필터를 적용하면 다음을 할 수 있습니다.

      (스위치 EX4300) VLAN에 입력하는 패킷을 필터링하기 위해 방화벽 필터를 적용하면 다음을 할 수 있습니다.

    • VLAN에서 나가는 패킷을 필터링하기 위해 방화벽 필터를 적용하면 다음을 할 수 있습니다.

      (스위치 EX4300) VLAN에서 나가는 패킷을 필터링하기 위해 방화벽 필터를 적용하면 다음을 할 수 있습니다.

    주:

    VLAN당 방향에 따라 하나 이상의 방화벽 필터를 적용할 수 없습니다.

방화벽 필터를 레이어 3(라우팅) 인터페이스에 적용

방화벽 필터를 Layer 3(라우팅) 인터페이스에 적용하여 스위치에서 ingress 또는 egress 트래픽을 필터링할 수 있습니다. 방화벽 필터를 구성할 때 방화벽 필터 일치 조건, 작업 및 작업 수정자(Firewall Filter Match Conditions, Actions, Action Modifiers)에지정된 일치 조건, 작업 및 작업 수정자를 지정할 수 있습니다. 일치 조건에 지정된 조치는 수신 또는 egress 트래픽에서 일치된 패킷에 대한 작업을 나타냅니다.

스위치의 레이어 3 인터페이스에 방화벽 필터를 적용하는 방법:

  1. 인터페이스 이름을 지정하고 방화벽 필터와 필터가 적용된 인터페이스에 대한 의미 있는 설명을 제공합니다.
    주:

    설명을 제공하는 것은 선택 사항입니다.

  2. 인터페이스의 유닛 번호, 패밀리 주소 유형 및 주소를 지정합니다.

    레이어 3 인터페이스에 적용된 방화벽 필터의 경우, 패밀리 주소 inet 유형은(IPv4 트래픽) inet6 또는(IPv6 트래픽)되어야 합니다.

  3. 방화벽 필터를 적용하여 레이어 3(라우팅) 인터페이스로 들어오거나 나가는 패킷을 필터링할 수 있습니다.
    • 방화벽 필터를 적용하여 Layer 3 인터페이스에 입력하는 패킷을 필터링합니다.

    • 방화벽 필터를 적용하여 Layer 3 인터페이스에서 나가는 패킷을 필터링합니다.

    주:

    레이어 3 인터페이스당 방향에 따라 하나 이상의 방화벽 필터를 적용할 수 있습니다.