Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

방화벽 필터 구성

다음 섹션의 단계를 따라 스위치에 방화벽 필터를 구성하고 적용합니다.

방화벽 필터 구성

방화벽 필터를 구성하려면 다음을 수행합니다.

  1. 패밀리 주소 유형, 필터 이름, 용어 이름 및 최소 1개의 일치 조건(예: 특정 소스 주소가 포함된 패킷에 일치)을 구성합니다.
    • 레이어 2 트래픽(포트 또는 VLAN)을 필터링하려면 패밀리 주소 유형을 ethernet-switching지정합니다.

    • 레이어 3(라우팅) 트래픽을 필터링하려면 IPv4 또는inet6(IPv6)의 패밀리 주소 유형을inet 지정합니다.

    • Layer 2 회선 인터페이스 트래픽을 필터링하려면 패밀리 주소 유형을 ccc지정합니다.

    필터 및 용어 이름은 문자, 숫자 및 하이픈(-)을 포함할 수 있으며 최대 64자 길이가 될 수 있습니다. 각 필터 이름은 고유해야 합니다. 필터는 하나 이상의 용어를 포함할 수 있으며 각 용어 이름은 필터 내에서 고유해야 합니다.

  2. 추가 일치 조건을 구성합니다. 예를 들어,

    이 구성에서는 필터가 소스 포트 80을 포함하는 레이어 2 패킷과 일치합니다.

    이 구성에서 필터는 인터페이스 ge-0/0/6.0을 포함하는 VLAN과 일치합니다.

    단일 from 명령문에서 하나 이상의 일치 조건을 지정할 수 있습니다. 일치하기 위해서는 패킷이 용어의 모든 조건과 일치해야 합니다. 명령문은 from 선택 사항이지만 용어로 포함하면 비어 있을 수 없습니다. 명령문을 생략 from 하면 모든 패킷이 일치하는 것으로 간주됩니다.

  3. 방화벽 필터를 여러 인터페이스에 적용하고 각 인터페이스에 대한 카운터를 확인할 수 있으려면 다음과 같은 옵션을 구성 interface-specific 하십시오.
  4. 각 방화벽 필터 용어에서 패킷이 해당 용어의 모든 조건과 일치하는 경우 수행할 조치를 지정합니다. 작업 및 작업 수정자를 지정할 수 있습니다.
    • 예를 들어 필터 작업을 지정하여 필터 용어의 조건에 맞는 패킷을 폐기하려면 다음을 수행합니다.

      용어(, discardrejectfloodrouting-instance또는vlan)accept당 하나의 작업만 지정할 수 있습니다.

    • 예를 들어, 필터 작업을 지정하여 QFX5100/QFX5110/QFX5120-32C/QFX5200/QFX5210의 MAC 주소와 일치하는 패킷을 플러딩하려면 다음을 수행합니다.

      수신 포트 기반 방화벽 필터 를 대상 MAC 주소를 일치 조건으로 사용하여 다음 BPDU를 플러딩하거나 폐기하도록 구성할 수 있습니다.

      프로토콜

      대상 미디어 액세스 제어(DMAC) 주소

      방화벽 작업(Firewall Action)

      LACP(Link Aggregation Control Protocol)

      01:80:00:c2:00:02

      플러드/폐기/수

      LLDP(Link Layer Discovery Protocol)

      01:80:80:c2:00:00:0E

      플러드/폐기/수

      EAPOL(Extensible Authentication Protocol over LAN)

      01:80:00:c2:00:03

      플러드/폐기/수

      STP(Spanning Tree Protocol)

      01:80:80:c2:00:00:00

      플러드/폐기/쿤

      VSTP(VLAN Spanning Tree Protocol)

      01:00:0c:cc:cc:cd

      플러드/폐기/수

      CDP(Cisco Discovery Protocol)/VTP(VLAN Trunk Protocol)

      01:00:0C:cc:cc:cc

      폐기/카운트

      ISIS L1

      01:80:80:c2:00:00:14

      폐기/카운트

      ISIS L2

      01:80:80:c2:00:00:15

      폐기/카운트

      주:
      • CDP/VTP, ISIS L1/L2 프로토콜 플러드(flood)는 기본 동적 필터를 사용합니다. 따라서 이러한 프로토콜에 대한 추가 필터를 구성할 필요가 없습니다.

      • 수신 포트 기반 방화벽 필터 가 포트 수준에서 적용될 때 서비스 프로바이더 스타일의 구성에서 물리적 인터페이스에 단 하나의 필터만 적용할 수 있습니다.

      • 트렁크 포트에서 수신된 태그가 없는 BPDU의 플러딩을 보장하기 위해 네이티브 VLAN을 구성해야 합니다. 네이티브 VLAN이 구성되지 않으면 태그가 없는 BPDU가 로컬 FPC의 모든 인터페이스에 플러딩됩니다.

      • IGMP 스누핑 또는 MLD(Multicast Listener Discovery) 스누핑이 활성화되면 플러드 기능이 작동하지 않습니다.

      • 플러드 액션이 있는 방화벽 필터가 인터페이스에 적용되고 인터페이스가 다운되면 해당 인터페이스에서 수신된 BPDU가 일치 조건을 충족하면 플러딩됩니다.

    • 예를 들어 패킷을 포워딩 클래스로 계산 및 분류하기 위한 작업 수정자를 지정하려면 다음을 수행합니다.

      다음 작업 수정자를 성명서에 then 지정할 수 있습니다.

      • analyzer analyzer-name—지정된 분석기로 포트 트래픽을 미러러야 하며, 수준에서 구성 [ethernet-switching-options] 해야 합니다.

      • count counter-name—이 필터 용어를 통과하는 패킷의 수를 계산합니다.

        주:

        각 필터에 지정된 조건과 일치하는 패킷 수를 모니터링할 수 있도록 방화벽 필터의 각 용어에 카운터를 구성하는 것이 좋습니다.

        주:

        QFX3500 및 QFX3600 스위치에서 필터는 CRC(Cyclic Redundancy Check) 오류로 인해 수신 방향으로 드롭된 패킷을 자동으로 계산합니다.

      • forwarding-class class—포워딩 클래스에 패킷을 할당합니다.

      • log—라우팅 엔진에서 패킷 헤더 정보를 기록합니다.

      • loss-priority priority—패킷 삭제의 우선 순위를 설정합니다.

      • policer policer-name—트래픽에 속도 제한을 적용합니다.

      • flood—패킷을 플러딩합니다.

      • syslog—이 패킷에 대한 경고를 기록합니다.

    명령문을 생략 then 하거나 조치를 지정하지 않으면 명령문의 모든 조건에 일치하는 패킷이 from 허용됩니다. 그러나 항상 명령문에서 then 작업을 구성해야 합니다. 하나의 작업 명령문만 포함할 수 있지만 모든 조합의 작업 수정자를 사용할 수 있습니다. 조치 또는 작업 수정자가 적용하려면 명령문의 from 모든 조건이 일치해야 합니다.

    주:

    implicit discard 루프백 인터페이스에 적용된 방화벽 필터에 적용되는 작업, lo0.

향상된 송신 방화벽 필터 구성(QFX5110 및 QFX5220 스위치)

하드웨어 제한으로 인해 QFX5110 및 QFX5220은 최대 1000개의 송신 방화벽 필터(eRAC)만 지원할 수 있습니다. 스케일드 모드에서 스위치를 구성하여 이 수를 2000개까지 늘릴 수 있습니다. 이 모드에서 스위치는 수신 TCAM 공간(IFP)을 사용하여 더 높은 확장성을 달성합니다.

송신 필터를 구성하려면, 제품군 주소 유형(IPv4) 또는 (inetinet6IPv6), 필터 이름 및 용어 이름을 지정합니다. 스위치에 해당되는 확장 옵션을 포함하고 일치가 발생할 경우 취할 일치 조건 및 조치를 지정합니다. 그런 다음 인터페이스의 출력 방향으로 필터를 적용합니다.

확장 옵션을 구성, 수정 또는 삭제한 후에는 구성을 커밋해야 하며 패킷 포워딩 엔진(PFE)을 다시 시작해야 합니다.

QFX5110의 송신 필터 수를 늘리려면 구성에 egress-to-ingress 이 옵션을 포함하십시오. 이 옵션은 어떤 용어로든 추가할 수 있습니다. 다음은 샘플 구성입니다.

QFX5220의 송신 필터 수를 늘리려면 성명서에 egress-profile 옵션을 포함 eracl-scale 하십시오. 다음은 샘플 구성입니다.

주:

eracl-scale 옵션은 글로벌 모드로 구성됩니다. 활성화되면 기존 송신 필터가 확장 모드로 자동으로 재설치됩니다.

스케일드 모드를 사용하면 다음과 같은 제한 사항이 적용됩니다.

  • 송신 방향(VLAN에서 나가는 트래픽)에서만 필터를 적용할 수 있습니다.

  • 오직 프로토콜 inet6 제품군만 inet 지원됩니다.

  • GRE(Generic Routing Encapsulation) 인터페이스는 지원되지 않습니다.

  • 송신 방화벽 필터에 대한 확장 옵션만 사용하십시오.

  • 동일한 조건의 필터를 다른 송신 VLAN 또는 레이어 3 인터페이스에 적용할 수 없습니다. 유일하게 지원되는 accept작업은 , discardcount.

  • Ingress 방화벽 필터 TCAM에서 일치 조건이 프로그래밍됩니다. 즉, 필터에 연결된 카운터는 모든 수신 VLAN의 트래픽을 계산합니다.

포트에 방화벽 필터 적용

방화벽 필터를 포트에 적용하려면 다음을 수행합니다.

  1. 방화벽 필터에 대한 의미 있고 설명적인 이름을 제공합니다. 이름은 필터를 포트에 적용하는 데 사용하는 것입니다.
  2. 인터페이스에 필터를 적용하여 유닛 번호, 패밀리 주소 유형(), 필터 방향(ethernet-switching포트에 들어오는 패킷의 경우) 및 필터 이름을 지정합니다.
    주:

    수신 방향의 포트에 필터를 하나만 적용할 수 있습니다.

VLAN에 방화벽 필터 적용

주:

VLAN 방화벽 필터는 EVPN-VXLAN 환경에서 QFX5100, QFX5100 Virtual Chassis, QFX5110 및 QFX5120 스위치에서는 지원되지 않습니다.

VLAN에 방화벽 필터를 적용하려면 다음을 수행합니다.

  1. 방화벽 필터에 대한 의미 있고 설명적인 이름을 제공합니다. 이 이름은 VLAN에 필터를 적용하는 데 사용하는 것입니다.
  2. 방화벽 필터를 적용하여 VLAN으로 들어오거나 나가는 패킷을 필터링합니다.
    • VLAN에 입력된 패킷과 일치하도록 필터를 적용하려면 다음을 수행합니다.

    • VLAN에서 나가는 패킷과 일치하도록 방화벽 필터를 적용하려면 다음을 수행합니다.

    주:

    특정 방향(수신 또는 송신)에 대해 하나의 필터만 VLAN에 적용할 수 있습니다.

레이어 3(라우팅) 인터페이스에 방화벽 필터 적용

방화벽 필터를 IPv4 및 IPv6 인터페이스, 라우팅 VLAN 인터페이스(RVI) (IRB(Integrated Routing and Bridging) 인터페이스) 및 루프백 인터페이스에 적용할 수 있습니다. 이들 모두 Layer 3 라우팅 인터페이스로 간주됩니다.

주:

(QFX5100 및 QFX5110 스위치) EVPN-VXLAN 환경에서 IRB 인터페이스를 사용하여 스위치에 레이어 3 연결을 제공할 수 있습니다. IRB 인터페이스를 구성하려면 예제: 데이터센터의 호스트를 위한 레이어 3 연결을 제공하기 위해 EVPN-VXLAN 환경에서 IRB 인터페이스 구성 그런 다음 아래 단계를 따라 방화벽 필터를 IRB 인터페이스에 적용할 수 있습니다(수신 방향만 지원됨). 지원되는 매치 조건 목록은 방화벽 필터 일치 조건 및 작업(QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650)을 참조하십시오.

주:

지정된 VLAN과 연결된 IRB 인터페이스에 필터를 적용하면 필터는 일치하는 VLAN ID와 함께 모든 레이어 3 인터페이스에서 실행됩니다. 필터가 모든 레이어 3 인터페이스에서 해당 VLAN 태그와 일치하기 때문입니다.

방화벽 필터를 레이어 3 인터페이스에 적용하려면 다음을 수행합니다.

  1. 방화벽 필터에 대한 의미 있고 설명적인 이름을 제공합니다. 이 이름은 인터페이스에 필터를 적용하는 데 사용하는 것입니다.
  2. 방화벽 필터를 적용합니다.
    • 인터페이스에 들어오는 패킷을 필터링하려면 다음을 수행합니다.

    • 인터페이스에서 나가는 패킷을 필터링하려면 다음을 수행합니다.

      패밀리 주소 유형은 (inet IPv4용) 또는 (inet6 IPv6용)일 수 있습니다.

    주:

    지정된 방향(수신 또는 송신)에 대해 하나의 필터만 인터페이스에 적용할 수 있습니다.

레이어 2 CCC(QFX10000 스위치)에 방화벽 필터 적용

QFX10000 스위치의 레이어 2 회로 교차 연결(CCC) 트래픽에 카운트 및 폴리서 작업이 포함된 방화벽 필터를 적용할 수 있습니다. 이를 통해 계층 수준에서 설정된 폴리서 활동을 계산하고 모니터링할 [edit firewall family ccc] 수 있습니다.

이 예 count 에서는 폴리서 작업입니다.

이 예 discard 에서는 폴리서 작업입니다.