Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

방화벽 필터 구성(CLI 절차)

EX 시리즈 스위치에서 방화벽 필터를 구성하여 스위치에서 포트를 입력하거나 네트워크 및 레이어 3(라우팅) 인터페이스에서 VLAN으로 들어오고 나가는 트래픽을 제어할 수 있습니다. 방화벽 필터를 구성하려면 필터를 구성한 다음 포트, VLAN 또는 레이어 3 인터페이스에 적용해야 합니다.

방화벽 필터 구성

방화벽 필터를 포트, VLAN 또는 레이어 3 인터페이스에 적용하려면 방화벽 필터용 제품군 유형, 방화벽 필터 이름 및 일치 조건과 같은 필수 세부 정보가 포함된 방화벽 필터를 구성해야 합니다. 방화벽 필터 구성의 일치 조건은 일치 조건에 대한 기준을 정의하는 여러 용어를 포함할 수 있습니다. 각 용어에 대해 패킷이 해당 용어의 조건에 일치하는 경우 수행할 작업을 지정해야 합니다. 다양한 일치 조건 및 작업에 대한 자세한 내용은 EX 시리즈 스위치용 방화벽 필터 일치 조건, 작업 및 액션 Modifiers를 참조하십시오.

방화벽 필터를 구성하려면 다음을 수행합니다.

  1. 방화벽 필터에 대한 패밀리 주소 유형 구성:
    • 포트 또는 VLAN에 적용되는 방화벽 필터의 경우, 예를 들어 레이어 2(이더넷) 패킷 및 레이어 3(IP) 패킷을 필터링하기 위해 패밀리 주소 유형을 ethernet-switching 지정합니다.

    • 레이어 3(라우팅) 인터페이스에 적용되는 방화벽 필터의 경우:

      • IPv4 패킷을 필터링하려면, 예를 들어 패밀리 주소 유형을 inet지정합니다.

      • IPv6 패킷을 필터링하려면, 예를 들어 패밀리 주소 유형을 inet6지정합니다.

      주:

      동일한 레이어 3 인터페이스에서 IPv4 및 IPv6 트래픽 모두에 대한 방화벽 필터를 구성할 수 있습니다.

  2. 필터 이름 지정:

    필터 이름에는 문자, 숫자 및 하이픈(-)이 포함될 수 있으며 최대 64자리를 가질 수 있습니다. 각 필터 이름은 고유해야 합니다.

  3. 방화벽 필터를 여러 인터페이스에 적용하고 각 인터페이스에 특정한 개별 방화벽 카운터의 이름을 지정하려면 다음과 같은 interface-specific 옵션을 구성하십시오.
  4. 이름 지정:

    이름에는 문자, 숫자 및 하이픈(-)이 포함될 수 있으며 최대 64자리를 가질 수 있습니다.

    방화벽 필터는 하나 이상의 용어를 포함할 수 있습니다. 각 용어 이름은 필터 내에서 고유해야 합니다.

    주:

    EX 시리즈 스위치의 방화벽 필터당 허용되는 최대 용어 수는 다음과 같습니다.

    • EX2200 스위치용 512

    • EX3300 스위치 1,436대

      주:

      EX3300 스위치에서 동일한 커밋 작업에서 많은 수의 용어(1000개 이상의 순서로)로 필터를 추가 및 삭제하는 경우 모든 필터가 설치되지는 않습니다. 하나의 커밋 작업에서 필터를 추가하고 별도의 커밋 작업에서 필터를 삭제해야 합니다.

    • EX3200 및 EX4200 스위치의 경우 7,168개

    • EX4300 스위치의 경우 포트, VLAN 및 레이어 3 인터페이스에서 구성된 방화벽 파일러의 수신 및 송신 트래픽에 대해 지원되는 용어의 수는 다음과 같습니다.

      • 수신 트래픽의 경우:

        • 포트에 구성된 방화벽 필터에 대한 3,500개 용어

        • VLAN에 구성된 방화벽 필터에 대한 3,500개 용어

        • IPv4 트래픽을 위한 레이어 3 인터페이스에 구성된 방화벽 필터 7,000개 용어

        • IPv6 트래픽을 위한 레이어 3 인터페이스에 구성된 방화벽 파일러에 대한 3,500개 용어

      • 송신 트래픽의 경우:

        • 포트에 구성된 방화벽 필터에 대한 512개 용어

        • VLAN에 구성된 방화벽 필터에 대한 256개 용어

        • IPv4 트래픽을 위한 레이어 3 인터페이스에 구성된 방화벽 필터 512개 용어

        • IPv6 트래픽을 위한 레이어 3 인터페이스에 구성된 방화벽 파일러에 대한 512개 용어

      주:

      스위치에서 한 가지 유형의 방화벽 필터(포트, VLAN 또는 라우터(레이어 3) 방화벽 필터)를 구성하고 스위치의 모든 인터페이스에서 스톰 컨트롤이 활성화되지 않은 경우에만 이러한 최대 용어 수를 구성할 수 있습니다.

    • EX4500 및 EX4550 스위치의 경우 1,200개

    • EX6200 스위치 1,400대

    • EX8200 스위치용 32,768개

    이러한 제한을 초과하는 방화벽 필터 구성을 시도하면 구성을 커밋할 때 스위치가 오류 메시지를 반환합니다.

  5. 각 방화벽 필터 용어에 대해 포함할 일치 조건을 지정합니다. 아래의 예는 주어진 IP 주소 및 포트에서 패킷을 맞추는 방법을 보여줍니다.

    단일 from 명령문에서 하나 이상의 일치 조건을 지정할 수 있습니다. 일치하기 위해서는 패킷이 용어의 모든 조건과 일치해야 합니다.

    명령문은 from 선택 사항이지만 용어 from 에 포함된 경우 명령문을 비울 수 없습니다. 명령문을 생략 from 하면 모든 패킷이 일치하는 것으로 간주됩니다.

  6. 각 방화벽 필터 용어에 대해 패킷이 해당 용어의 모든 조건과 일치하는 경우 취할 조치를 지정합니다.

    작업 및/또는 작업 수정자를 지정할 수 있습니다.

    • 예를 들어 필터 작업을 지정하여 필터 용어의 조건에 맞는 패킷을 폐기하려면 다음을 수행합니다.

      필터 용어당 1개 이하의 조치를 지정할 수 있습니다.

    • 예를 들어 포워딩 클래스에서 패킷을 계산하고 분류하기 위한 작업 수정자를 지정하려면 다음을 수행합니다.

      then 성명서에서 다음 작업 수정자를 지정할 수 있습니다.

      • analyzer analyzer-name—프로토콜 분석기 애플리케이션에 연결된 지정된 대상 포트 또는 VLAN에 포트 트래픽을 미러레이션합니다. 패밀리 analyzer 주소 유형에 따라 ethernet-switching 구성해야 합니다. 트래픽 분석(CLI 절차) 포트 미러링 구성을 참조하십시오.

      • count counter-name—이 필터 용어를 통과하는 패킷의 수를 계산합니다.

        주:

        각 필터에 지정된 조건과 일치하는 패킷 수를 모니터링할 수 있도록 방화벽 필터의 각 용어에 카운터를 구성하는 것이 좋습니다.

      • forwarding-class class—포워딩 클래스에서 패킷을 분류합니다.

      • loss-priority priority—패킷 삭제에 대한 우선 순위를 설정합니다.

      • policer policer-name—트래픽에 속도 제한을 적용합니다.

      • interface interface-name—트래픽을 지정된 인터페이스로 전달하여 스위칭 조회를 우회합니다.

      • log—라우팅 엔진에 패킷의 헤더 정보를 기록합니다.

    명령문을 생략 then 하거나 조치를 지정하지 않으면 명령문의 모든 조건과 일치하는 패킷이 from 수락됩니다. 그러나 항상 명령문에서 작업 및/또는 작업 수정자를 then 명시적으로 구성해야 합니다. 두 개 이상의 액션을 포함할 수는 없지만 모든 조합의 작업 수정자를 사용할 수 있습니다. 조치 또는 작업 수정자가 적용하려면 명령문의 from 모든 조건이 일치해야 합니다.

    주:

    암묵적 폐기는 루프백 인터페이스에 적용되는 방화벽 필터에도 lo0적용됩니다.

    주니퍼 네트웍스 EX8200 이더넷 스위치에서 IPv4 트래픽을 위한 루프백 인터페이스에서 암시적 또는 명시적 discard 조치가 구성된 경우, 다음 홉 해결 패킷이 수용되고 스위치를 통과하도록 허용됩니다. 그러나 IPv6 트래픽의 경우, 다음 홉 IPv6가 패킷을 스위치를 통과하도록 허용하도록 규칙을 명시적으로 구성해야 합니다.

IPv4 또는 IPv6 트래픽에 대한 용어 구성

특히 IPv4 트래픽에 대해 방화벽 필터 구성에서 용어를 구성하려면 다음을 수행합니다.

  1. 구성의 용어에 어느 쪽 ether-type ipv6 도 지정되지 않은 ip-version ipv6 지 확인합니다. 기본적으로 IPv4 트래픽을 ether-type ipv6 포함하거나 ip-version ipv6 한 용어로 포함하지 않은 구성이 적용됩니다.
  2. (선택사항) 다음 작업 중 하나를 수행합니다.
    • 구성의 용어를 정의 ether-type ipv4 합니다.

    • 구성의 용어를 정의 ip-version ipv4 합니다.

    • 구성 용어와 ip-version ipv4 용어를 모두 ether-type ipv4 정의합니다.

    • 구성 용어에 ether-type ipv6 모두 지정되지 않았거나 ip-version ipv6 지정되지 않은지 확인합니다. 기본적으로 해당 구성이 포함되어 ether-type ipv6ip-version ipv6 있지 않거나 해당되는 용어가 포함되어 ether-type ipv6 있지 않은 경우 IPv4 트래픽에 적용되는지 확인합니다 ip-version ipv6.

  3. 용어의 다른 일치 조건이 IPv4 트래픽에 유효한지 확인합니다.

특히 IPv6 트래픽에 대해 방화벽 필터 구성에서 용어를 구성하려면 다음을 수행합니다.

  1. 다음 작업 중 하나를 수행합니다.

    • 구성의 용어를 정의 ether-type ipv6 합니다.

    • 구성의 용어를 정의 ip-version ipv6 합니다.

    • 구성 용어와 ip-version ipv4 용어를 모두 ether-type ipv6 정의합니다.

      주:

      기본적으로 IPv4 트래픽을 ether-type ipv6 포함하거나 ip-version ipv6 한 용어로 포함하지 않은 구성이 적용됩니다.

  2. 용어의 다른 일치 조건이 IPv6 트래픽에 유효한지 확인합니다.

주:

조건에 일치 조건이 ether-type ipv6 포함되어 있거나 ip-version ipv6다른 IPv6 일치 조건이 지정되지 않은 경우 모든 IPv6 트래픽이 일치합니다.

주:

IPv4 및 IPv6 트래픽 모두에 대해 방화벽 필터를 구성하려면 두 개의 개별 용어, 하나는 IPv4 트래픽, 다른 하나는 IPv6 트래픽을 포함해야 합니다.

스위치의 포트에 방화벽 필터 적용

방화벽 필터를 스위치의 포트에 적용하여 스위치의 수신 또는 송신 트래픽을 필터링할 수 있습니다. 방화벽 필터를 구성할 때 방화벽 필터 일치 조건, 작업 및 EX 시리즈 스위치에 대한 Action Modifiers에 지정된 일치 조건, 작업 및 작업 수정자를 지정할 수 있습니다. 일치 조건에 지정된 작업은 ingress 또는 egress 트래픽에서 일치된 패킷에 대한 작업을 나타냅니다.

방화벽 필터를 포트에 적용하여 수신 또는 송신 트래픽을 필터링하려면 다음을 수행합니다.

주:

방화벽 필터를 관리 인터페이스에 적용하려면 스위치의 관리 인터페이스에 방화벽 필터 적용

  1. 인터페이스 이름을 지정하고 방화벽 필터와 필터가 적용되는 인터페이스에 대한 의미 있는 설명을 제공합니다.
    주:

    설명을 제공하는 것이 옵션입니다.

  2. 인터페이스의 유닛 번호와 패밀리 주소 유형을 지정합니다.

    포트에 적용되는 방화벽 필터의 경우, 패밀리 주소 유형이 어야 ethernet-switching합니다.

  3. 포트에 입력되는 패킷을 필터링하기 위해 방화벽 필터를 적용하려면 다음을 수행합니다.

    포트에서 나가는 패킷을 필터링하기 위해 방화벽 필터를 적용하려면 다음을 수행합니다.

    주:

    포트당 방향별로 방화벽 필터를 두 개 이상 적용할 수 없습니다.

스위치의 관리 인터페이스에 방화벽 필터 적용

방화벽 필터를 관리 인터페이스에 구성 및 적용하여 스위치에서 인터페이스로 들어오거나 나가는 트래픽을 제어할 수 있습니다. SSH 또는 Telnet과 같은 유틸리티를 사용하여 네트워크상의 관리 인터페이스에 연결한 다음 SNMP와 같은 관리 프로토콜을 사용하여 스위치에서 통계 데이터를 수집할 수 있습니다. 다른 유형의 인터페이스에서 방화벽 필터를 구성하는 것과 마찬가지로 방화벽 필터에 지정된 일치 조건, 조치 및 작업 수정자를 사용하여 관리 인터페이스에서 방화 필터를 구성할 수 있습니다.

  • loss-priority

  • forwarding-class

모든 EX 시리즈 스위치의 관리 이더넷 인터페이스에 방화벽 필터를 적용할 수 있습니다. 또한 방화벽 필터를 EX4200 스위치의 VME(Virtual Management Ethernet) 인터페이스에 적용할 수 있습니다. 관리 이더넷 인터페이스 및 VME 인터페이스에 대한 자세한 내용은 스위치의 인터페이스 개요를 참조하십시오.

방화벽 필터를 관리 인터페이스에 적용하여 수신 또는 송신 트래픽을 필터링하려면 다음을 수행합니다.

  1. 인터페이스 이름을 지정하고 방화벽 필터와 필터가 적용되는 인터페이스에 대한 의미 있는 설명을 제공합니다.
    주:

    설명을 제공하는 것이 옵션입니다.

  2. 관리 인터페이스의 단위 번호 및 패밀리 주소 유형을 지정합니다.
    주:

    관리 인터페이스에 적용되는 방화벽 필터의 경우, 패밀리 주소 유형 중 하나 inet 또는 inet6을 사용할 수 있습니다.

  3. 관리 인터페이스에 입력되는 패킷을 필터링하기 위해 방화벽 필터를 적용하려면 다음을 수행합니다.

    관리 인터페이스를 종료하는 패킷을 필터링하기 위해 방화벽 필터를 적용하려면 다음을 수행합니다.

    주:

    관리 인터페이스당 방향별로 방화벽 필터를 두 개 이상 적용할 수 없습니다.

네트워크 VLAN에 방화벽 필터 적용

방화벽 필터를 네트워크의 VLAN에 적용하여 네트워크에서 수신 또는 송신 트래픽을 필터링할 수 있습니다. 방화벽 필터를 VLAN에 적용하려면 VLAN 이름과 ID를 지정한 다음 방화벽 필터를 VLAN에 적용합니다. 방화벽 필터를 구성할 때 방화벽 필터 일치 조건, 작업 및 EX 시리즈 스위치에 대한 Action Modifiers에 지정된 일치 조건, 작업 및 작업 수정자를 지정할 수 있습니다. 일치 조건에 지정된 작업은 ingress 또는 egress 트래픽에서 일치된 패킷에 대한 작업을 나타냅니다.

VLAN에 방화벽 필터를 적용하려면 다음을 수행합니다.

  1. VLAN 이름 및 VLAN ID를 지정하고 방화벽 필터와 필터가 적용되는 VLAN에 대한 의미 있는 설명을 제공합니다.
    주:

    설명을 제공하는 것이 옵션입니다.

  2. 방화벽 필터를 적용하여 VLAN으로 들어오거나 나가는 패킷을 필터링합니다.
    • VLAN에 입력되는 패킷을 필터링하기 위해 방화벽 필터를 적용하려면 다음을 수행합니다.

      (EX4300 스위치에서) VLAN에 입력되는 패킷을 필터링하기 위해 방화벽 필터를 적용하려면 다음을 수행합니다.

    • VLAN에서 나가는 패킷을 필터링하기 위해 방화벽 필터를 적용하려면 다음을 수행합니다.

      (EX4300 스위치에서) VLAN에서 나가는 패킷을 필터링하기 위해 방화벽 필터를 적용하려면 다음을 수행합니다.

    주:

    VLAN당 1개 이하의 방화벽 필터를 방향별로 적용할 수 있습니다.

레이어 3(라우팅) 인터페이스에 방화벽 필터 적용

방화벽 필터를 Layer 3(라우팅된) 인터페이스에 적용하여 스위치에서 수신 또는 송신 트래픽을 필터링할 수 있습니다. 방화벽 필터를 구성할 때 방화벽 필터 일치 조건, 작업 및 EX 시리즈 스위치에 대한 Action Modifiers에 지정된 일치 조건, 작업 및 작업 수정자를 지정할 수 있습니다. 일치 조건에 지정된 작업은 ingress 또는 egress 트래픽에서 일치된 패킷에 대한 작업을 나타냅니다.

스위치의 레이어 3 인터페이스에 방화벽 필터를 적용하려면 다음을 수행합니다.

  1. 인터페이스 이름을 지정하고 방화벽 필터와 필터가 적용되는 인터페이스에 대한 의미 있는 설명을 제공합니다.
    주:

    설명을 제공하는 것이 옵션입니다.

  2. 인터페이스의 단위 번호, 패밀리 주소 유형 및 주소를 지정합니다.

    레이어 3 인터페이스에 적용된 방화벽 필터의 경우, 제품군 주소 유형은 (IPv4 트래픽에 대한) 또는 inet6 (IPv6 트래픽에 대한)이어야 inet 합니다.

  3. 방화벽 필터를 적용하여 레이어 3(라우팅된) 인터페이스로 들어오거나 나가는 패킷을 필터링할 수 있습니다.
    • 레이어 3 인터페이스에 입력되는 패킷을 필터링하기 위해 방화벽 필터를 적용하려면 다음을 수행합니다.

    • 레이어 3 인터페이스로 나가는 패킷을 필터링하기 위해 방화벽 필터를 적용하려면 다음을 수행합니다.

    주:

    지정된 VLAN과 연결된 IRB 인터페이스에 필터를 적용하면 필터는 일치하는 VLAN ID와 함께 모든 레이어 3 인터페이스에서 실행됩니다. 필터가 모든 레이어 3 인터페이스에서 해당 VLAN 태그와 일치하기 때문입니다.

    주:

    레이어 3 인터페이스당 방향당 1개 이상의 방화벽 필터를 적용할 수 있습니다.