방화벽 필터 구성(CLI 절차)

EX 시리즈 스위치에서 방화벽 필터를 구성하여 스위치에서 포트를 입력하거나 네트워크 및 레이어 3(라우팅) 인터페이스에서 VLAN을 내보내는 트래픽을 제어합니다. 방화벽 필터를 구성하려면 필터를 구성한 다음 포트, VLAN 또는 레이어 3 인터페이스에 적용해야 합니다.

방화벽 필터 구성

포트, VLAN 또는 레이어 3 인터페이스에 방화벽 필터를 적용하기 전에 방화벽 필터의 패밀리 유형, 방화벽 필터 이름 및 일치 조건 등과 같은 필요한 세부 정보를 사용하여 방화벽 필터를 구성해야 합니다. 방화벽 필터 구성의 일치 조건에는 일치 조건에 대한 기준을 정의하는 여러 가지 용어가 포함될 수 있습니다. 패킷이 용어의 조건과 일치할 경우 각 용어 마다 수행할 작업을 지정해야 합니다. 다른 일치 조건 및 조치에 관한 정보는 EX 시리즈 스위치에 대한 방화벽 필터 일치 조건, 작업 및 작업 변경 도구를 참조하십시오.

방화벽 필터 구성 방법:

방화벽 필터를 위한 제품군 주소 유형 구성:
- 포트 또는 VLAN에 적용되는 방화벽 필터의 경우 레이어 2(이더넷) 패킷과 레이어 3(IP) 패킷을 필터링하기 위해 제품군 주소 유형 ethernet-switching을 지정해야 합니다. 예:
- 레이어 3(라우팅) 인터페이스에 적용되는 방화벽 필터의 경우:
  - IPv4 패킷을 필터링하려면 제품군 주소 유형 inet을(를) 지정해야 합니다. 예:
  - IPv6 패킷을 필터링하려면 제품군 주소 유형 inet6을(를) 지정해야 합니다. 예:
  주:
  동일한 레이어 3 인터페이스에 IPv4와 IPv6 트래픽 모두를 위한 방화벽 필터를 구성할 수 있습니다.
필터 이름 지정:
필터 이름은 문자, 숫자 및 하이픈(-)을 포함할 수 있고 최대 64자를 가질 수 있습니다. 각 필터 이름은 독특해야 합니다.
방화벽 필터를 여러 인터페이스에 적용하고 각 인터페이스에 특화된 개별 방화벽 카운터 이름을 지정하려면 interface-specific 옵션을 구성해야 합니다.
용어 이름 지정:
용어 이름은 문자, 숫자 및 하이픈(-)을 포함할 수 있고 최대 64자를 가질 수 있습니다.

방화벽 필터는 하나 이상의 용어를 포함할 수 있습니다. 각 용어 이름은 필터 내에서 독특해야 합니다.
주:
EX 시리즈 스위치의 방화벽 필터당 허용되는 최대 용어 수는 다음과 같습니다.
- EX2200 스위치의 경우 512
- EX3300 스위치의 경우 1,436
  
  주:
  EX3300 스위치에서는, 동일한 커밋 작업에서 상당히 많은 수의 용어(1,000개 이상의 항)가 있는 필터를 추가 및 삭제할 경우 일부 필터가 설치되지 않습니다. 하나의 커밋 작업에 필터를 추가하고 별도의 커밋 작업에서 필터를 삭제해야 합니다.
- EX3200 및 EX4200 스위치의 경우 7,168
- EX4300 스위치에서, 포트, VLAN 및 레이어 3 인터페이스에 구성된 방화벽 필터에 대해 수신 및 송신 트래픽에 지원되는 용어의 수는 다음과 같습니다.
  
  수신 트래픽:
  
  포트에 구성된 방화벽 필터의 경우 용어 3,500개
  
  VLAN에 구성된 방화벽 필터의 경우 용어 3,500개
  
  IPv4 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 7,000개
  
  IPv6 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 3,500개
  
  송신 트래픽:
  
  포트에 구성된 방화벽 필터의 경우 용어 512개
  
  VLAN에 구성된 방화벽 필터의 경우 용어 256개
  
  IPv4 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 512개
  
  IPv6 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 512개
  
  주:
  스위치에 하나의 방화벽 필터(포트, VLAN 또는 라우터(레이어 3) 방화벽 필터) 유형을 구성하고 스위치의 모든 인터페이스에서 스톰 제어가 비활성화된 경우에만 다음과 같은 최대 용어 수를 구성할 수 있습니다.
- EX4500 및 EX4550 스위치의 경우 1,200개
- EX6200 스위치 경우 1,400개
- EX8200 스위치 경우 32,768개
이러한 한계를 초과하는 방화벽 필터를 구성하려고 하면 구성 커밋 시 스위치가 오류 메시지를 반환합니다.
각 방화벽 필터 용어 경우 포함하려는 일치 조건을 지정해야 합니다. 아래 예에는 해당 IP 주소 및 포트에서 패킷을 일치시키는 방법이 제시되어 있습니다.
하나의 from 문에서 하나 이상의 일치 조건을 지정할 수 있습니다. 일치하려면 패킷이 용어의 모든 조건과 일치해야 합니다.

from 문은 선택 사항이지만 용어에 포함된 경우 from 문은 비어 둘 수 없습니다. from 문을 생략하면 모든 패킷이 일치하는 것으로 간주됩니다.
각 방화벽 필터 용어는 패킷이 해당 용어의 모든 조건과 일치할 경우 취해야 하는 작업을 지정해야 합니다.
작업 및/또는 변경 도구를 지정할 수 있습니다.
- 예를 들어, 필터 용어의 조건과 일치하는 패킷을 폐기하기 위해 필터 작업을 지정하는 방법은 다음과 같습니다.
  필터 용어당 하나의 작업만 지정할 수 있습니다.
- 예를 들어, 포워딩 클래스에서 패킷을 카운트하고 분류하기 위해 하나의 작업 변경 도구를 지정하는 방법은 다음과 같습니다.
  then 문에서 다음과 같은 작업 수정자를 지정할 수 있습니다.
  - analyzer analyzer-name - 프로토콜 분석기 애플리케이션에 연결된 지정 대상 포트 또는 VLAN에 대한 포트 트래픽 미러링 ethernet-switching제품군 주소 유형에 따라 analyzer을(를) 구성해야 합니다. 포트 미러링을 구성하여 트래픽 분석(CLI 절차)을 참조하십시오.
  - count counter-name - 이 필터 용어를 통과하는 패킷 수를 카운트합니다.
    
    주:
    각 필터 용어에서 지정한 조건과 일치하는 패킷 수를 모니터링할 수 있도록 방화벽 필터에서 각 용어에 대한 카운터를 구성하는 것이 좋습니다.
  - forwarding-class class - 포워딩 클래스에서 패킷을 분류합니다.
  - loss-priority priority - 패킷 드롭을 위한 우선순위를 설정합니다.
  - policer policer-name - 트래픽에 제한 속도를 적용합니다.
  - interfaceinterface-name - 스위칭 루프를 우회하여 트래픽을 지정된 인터페이스에 포워딩합니다.
  - log - 라우팅 엔진에서 패킷의 헤더 정보를 기록합니다.
then 문을 생략하거나 작업을 지정하지 않으면 from 문의 모든 조건과 일치하는 패킷이 허용됩니다. 그러나 then 문에서 하나의 작업 및/또는 작업 변경 도구를 항상 명백히 구성해야 합니다. 하나의 작업만 포함할 수 있지만 모든 작업 변경 도구 조합을 사용할 수 있습니다. 작업 또는 작업 변경 도구가 유효하려면 from 문의 모든 조건이 일치해야 합니다.

주:
암묵적 폐기 절차는 루프백 인터페이스 lo0에 적용되는 방화벽 필터에도 적용 가능합니다.

주니퍼 네트웍스 EX8200 이더넷 스위치에서, IPv4 트래픽을 위해 루프백 인터페이스에 하나의 암묵적이거나 명시적인 discard 작업을 구성한 경우, 다음 호프 해결 패킷이 수락되고 스위치를 통과하도록 허용됩니다. 그러나 IPv6 트래픽의 경우, 다음 호프 IPv6 패킷이 스위치를 통과하도록 허용하는 규칙을 명시적으로 구성해야 합니다.

IPv4 또는 IPv6 트래픽을 위한 특정 용어 구성

IPv4 트래픽을 위한 특정 방화벽 필터 구성 시 용어 구성 방법:

구성 시 용어에 ip-version ipv6 또는 ether-type ipv6이(가) 지정되지 않았는지 확인합니다. 기본적으로 용어의 ether-type ipv6 또는 ip-version ipv6 중 하나를 포함하지 않은 구성이 IPv4 트래픽에 적용됩니다.
(선택 사항) 다음과 같은 작업 중 하나를 수행합니다.
- 구성 시 용어에서 ether-type ipv4을(를) 정의합니다.
- 구성 시 용어에서 ip-version ipv4을(를) 정의합니다.
- 구성 시 용어에 ether-type ipv4 및 ip-version ipv4 모두를 정의합니다.
- 구성 시 용어에 ether-type ipv6 또는 ip-version ipv6이(가) 지정되지 않았는지 확인합니다. 기본적으로, ether-type ipv6 또는 ip-version ipv6을(를) 포함하지 않는 경우 용어에 ether-type ipv6 또는 ip-version ipv6을(를) 포함하지 않는 구성이 IPv4 트래픽에 적용됩니다.
용어의 다른 일치 조건이 IPv4 트래픽에서도 유효한지 확인합니다.

IPv6 트래픽을 위한 특정 방화벽 필터 구성 시 용어 구성 방법:

다음과 같은 작업 중 하나를 수행합니다.
- 구성 시 용어에서 ether-type ipv6을(를) 정의합니다.
- 구성 시 용어에서 ip-version ipv6을(를) 정의합니다.
- 구성 시 용어에 ether-type ipv6 및 ip-version ipv4 모두를 정의합니다.
  
  주:
  기본적으로 용어의 ether-type ipv6 또는 ip-version ipv6 중 하나를 포함하지 않은 구성이 IPv4 트래픽에 적용됩니다.
용어의 다른 일치 조건이 IPv6 트래픽에 유효한지 확인합니다.

주:

다른 IPv6 일치 조건을 지정하지 않은 상태에서 용어가 일치 조건 ether-type ipv6 또는 ip-version ipv6 중 하나를 포함하는 경우, 모든 IPv6 트래픽이 일치합니다.

주:

IPv4와 IPv6 트래픽 모두에 대해 방화벽 필터를 구성하려면 IPv4 트래픽과 IPv6 트래픽에 대해 각각 하나씩, 두 개의 개별 용어를 포함해야 합니다.

방화벽 필터를 스위치의 포트에 적용

스위치의 필터에 방화벽 필터를 적용하여 스위치에서 수신 또는 송신 트래픽을 필터링할 수 있습니다. 방화벽 필터 구성 시, EX 시리즈 스위치에 대한 방화벽 필터 일치 조건, 작업 및 작업 변경 도구에 지정된 모든 일치 조건, 작업 및 작업 변경 도구를 지정할 수 있습니다. 일치 조건에 지정된 작업은 수신 또 송신 트래픽에서 일치하는 패킷에 대한 작업을 나타냅니다.

포트에 방화벽 필터를 적용하여 수신 또는 송신 트래픽을 필터링하는 방법:

주:

방화벽 필터를 관리 인터페이스에 적용하는 방법은 방화벽 필터를 스위치의 관리 인터페이스에 적용하는 방법을(를) 참조하십시오.

인터페이스 이름을 지정하고 방화벽 필터 및 필터가 적용된 인터페이스에 대한 의미 있는 설명을 제공합니다.
주:
설명을 제공하는 것은 선택 사항입니다.
인터페이스의 장치 번호 및 제품군 주소 유형을 지정합니다.
포트에 적용되는 방화벽 필터의 경우, 제품군 주소 유형은 ethernet-switching입니다.
방화벽 필터를 적용하여 포트에 들어오는 패킷을 필터링하는 방법:
방화벽 필터를 적용하여 포트를 나가는 패킷을 필터링하는 방법:
주:
포트와 방향에 따라 하나의 방화벽 필터를 적용할 수 있습니다.

방화벽 필터를 스위치의 관리 인터페이스에 적용하는 방법

방화벽 필터를 관리 인터페이스에 구성 및 적용하여 스위치의 인터페이스에 들어오거나 나가는 트래픽을 제어할 수 있습니다. SSH 또는 Telnet 같은 유틸리티를 사용하여 네트워크 상에서 관리 인터페이스에 연결한 다음 SNMP 같은 관리 프로토콜을 사용하여 스위치에서 통계 데이터를 수집할 수 있습니다. 다른 유형의 인터페이스에 방화벽 필터를 구성하는 것과 유사하게, 다음 작업 수정자를 제외하고 EX 시리즈 스위치에 대한 방화벽 필터 일치 조건, 작업 및 작업 수정자에 지정된 모든 일치 조건, 작업 및 작업 수정자를 사용하여 관리 인터페이스에서 방화벽 필터를 구성할 수 있습니다.

loss-priority
forwarding-class

방화벽 필터를 모든 EX 시리즈 스위치의 관리 이더넷 인터페이스에 적용할 수 있습니다. 또한 방화벽 필터를 EX4200 스위치의 가상 관리 이더넷(VME) 인터페이스에 적용할 수 있습니다. 관리 이더넷 인터페이스 및 VME 인터페이스에 관한 자세한 내용은 스위치 인터페이스 개요를 참조하십시오.

관리 인터페이스에 방화벽 필터를 적용하여 수신 또는 송신 트래픽을 필터링하는 방법:

인터페이스 이름을 지정하고 방화벽 필터 및 필터가 적용된 인터페이스에 대한 의미 있는 설명을 제공합니다.
주:
설명을 제공하는 것은 선택 사항입니다.
관리 인터페이스의 장치 번호 및 제품군 주소 유형을 지정합니다.
주:
관리 인터페이스에 적용된 방화벽 필터의 경우, 제품군 주소 유형은 inet 또는 inet6 중 하나가 될 수 있습니다.
방화벽 필터를 적용하여 관리 인터페이스에 들어오는 패킷을 필터링하는 방법:
방화벽 필터를 적용하여 관리 인터페이스를 나가는 패킷을 필터링하는 방법:
주:
관리 인터페이스와 방향에 따라 하나의 방화벽 필터를 적용할 수 있습니다.

네트워크의 VLAN에 방화벽 필터 적용

방화벽 필터를 네트워크의 VLAN에 적용하여 네트워크에서 수신 또는 송신 트래픽을 필터링할 수 있습니다. 방화벽 필터를 VLAN에 적용하려면 VLAN 이름과 ID를 지정한 다음 방화벽 필터를 VLAN에 적용해야 합니다. 방화벽 필터 구성 시, EX 시리즈 스위치에 대한 방화벽 필터 일치 조건, 작업 및 작업 변경 도구에 지정된 모든 일치 조건, 작업 및 작업 변경 도구를 지정할 수 있습니다. 일치 조건에 지정된 작업은 수신 또 송신 트래픽에서 일치하는 패킷에 대한 작업을 나타냅니다.

방화벽 필터를 VLAN에 적용하는 방법:

VLAN 이름과 VLAN ID를 지정하고 방화벽 필터 및 필터가 적용된 VLAN에 대한 의미 있는 설명을 제공합니다.
주:
설명을 제공하는 것은 선택 사항입니다.
방화벽 필터를 VLAN에 들어오거나 나가는 패킷을 필터링합니다.
- 방화벽 필터를 적용하여 VLAN에 들어오는 패킷을 필터링하는 방법:
  (EX4300 스위치에서) 방화벽 필터를 적용하여 VLAN에 들어오는 패킷을 필터링하는 방법:
- 방화벽 필터를 적용하여 VLAN을 나가는 패킷을 필터링하는 방법:
  (EX4300 스위치에서) 방화벽 필터를 적용하여 VLAN을 나가는 패킷을 필터링하는 방법:
주:
VLAN과 방향에 따라 하나의 방화벽 필터를 적용할 수 있습니다.

방화벽 필터를 레이어 3(라우팅) 인터페이스에 적용하는 방법

방화벽 필터를 레이어 3(라우팅) 인터페이스에 적용하여 스위치에서 수신 또는 송신 트래픽을 필터링할 수 있습니다. 방화벽 필터 구성 시, EX 시리즈 스위치에 대한 방화벽 필터 일치 조건, 작업 및 작업 변경 도구에 지정된 모든 일치 조건, 작업 및 작업 변경 도구를 지정할 수 있습니다. 일치 조건에 지정된 작업은 수신 또 송신 트래픽에서 일치하는 패킷에 대한 작업을 나타냅니다.

스위치의 레이어 3 인터페이스에 방화벽 필터를 적용하는 방법:

인터페이스 이름을 지정하고 방화벽 필터 및 필터가 적용된 인터페이스에 대한 의미 있는 설명을 제공합니다.
주:
설명을 제공하는 것은 선택 사항입니다.
인터페이스에 대한 장치 번호, 제품군 주소 유형 및 주소를 지정합니다.
레이어 3 인터페이스에 적용된 방화벽 필터의 경우, 제품군 주소 유형은 IPv4 트래픽의 경우 inet이(가) 되거나 IPv6 트래픽의 경우 inet6이(가) 되어야 합니다.
방화벽 필터를 적용하여 레이어 3(라우팅) 인터페이스에 들어가거나 나가는 패킷을 필터링할 수 있습니다.
- 방화벽 필터를 적용하여 레이어 3 인터페이스에 들어오는 패킷을 필터링하는 방법:
- 방화벽 필터를 적용하여 레이어 3 인터페이스를 나가는 패킷을 필터링하는 방법:
주:
필터를 주어진 VLAN과 연결된 IRB 인터페이스에 적용할 경우, 일치하는 VLAN ID가 있는 모든 레이어 3 인터페이스에서 필터가 실행됩니다. 이는 해당 VLAN 태그가 있는 모든 레이어 3 인터페이스에서 필터가 일치하기 때문입니다.

주:
레이어 3 인터페이스와 방향에 따라 하나의 방화벽 필터를 적용할 수 있습니다.

이 페이지에서

방화벽 필터 구성(CLI 절차)