Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

방화벽 필터 구성

다음 섹션의 단계를 따라 스위치에 방화벽 필터를 구성하고 적용합니다.

방화벽 필터 구성

방화벽 필터 구성:

  1. 예를 들어, 패밀리 주소 유형, 필터 이름, 용어 이름 및 최소 하나의 일치 조건을 구성합니다. 예를 들어 특정 소스 주소를 포함하는 패킷과 일치합니다.
    • Layer 2 트래픽(포트 또는 VLAN)을 필터링하기 위해 패밀리 주소 유형을 ethernet-switching 지정합니다.

    • 레이어 3(라우팅된) 트래픽을 필터링하기 위해 패밀리 주소 inet 유형(IPv4) 또는 inet6 (IPv6의 경우)를 지정합니다.

    • 레이어 2 회로 인터페이스 트래픽을 필터링하기 위해 패밀리 주소 유형을 ccc 지정합니다.

    필터 및 용어 이름은 문자, 번호, 하이픈(-)을 포함할 수 있으며 최대 64자까지 길 수 있습니다. 각 필터 이름은 고유해야 합니다. 필터는 하나 이상의 용어를 포함할 수 있으며 각 용어는 필터 내에서 고유해야 합니다.

  2. 추가 일치 조건을 구성합니다. 몇 가지 예를 들면 다음과 같습니다.

    이 구성에서 필터는 소스 포트 80이 포함된 레이어 2 패킷에 일치합니다.

    이 구성에서 필터는 인터페이스 ge-0/0/6.0을 포함하는 VLA와 일치합니다.

    단일 명령문으로 하나 이상의 일치 조건을 지정할 수 from 있습니다. 일치하려면 패킷은 용어의 모든 조건을 일치해야 합니다. 선택 사항이지만, 용어에 포함하면 비어 있을 from 수 없습니다. 명령문을 생략하면 모든 패킷이 from 일치하는 것으로 간주됩니다.

  3. 방화벽 필터를 여러 인터페이스에 적용하고 각 인터페이스에 특정 카운터를 표시하려는 경우 다음 옵션을 interface-specific 구성합니다.
  4. 각 방화벽 필터 용어에서 패킷이 해당 용어의 모든 조건과 일치하는 경우 수행할 조치를 지정합니다. 작업 및 작업 수정자를 지정할 수 있습니다.
    • 예를 들어 필터 작업을 지정하기 위해 필터 용어 조건과 일치하는 패킷을 폐기합니다.

      용어당 한 가지 작업만 지정할 acceptdiscardfloodrejectrouting-instancevlan 있습니다.

    • 예를 들어, QFX5100/QFX5110/QFX5120-32C/QFX5120/QFX5200/QFX5210.

      대상 MAC 주소를 일치 조건으로 사용하여 ingress 포트 기반 방화벽 필터를 다음과 같은 BPUS의 플러드 또는 폐기하도록 구성할 수 있습니다.

      프로토콜

      대상 미디어 액세스 제어(DMAC) 주소

      방화벽 작업(Firewall Action)

      LACP(Link Aggregation Control Protocol)

      01:80:c2:00:00:02

      플러드/폐기/카운트

      LLDP(Link Layer Discovery Protocol)

      01:80:c2:00:00:0E

      플러드/폐기/카운트

      EAPOL(Extensible Authentication Protocol over LAN)

      01:80:c2:00:00:03

      플러드/폐기/카운트

      STP(Spanning Tree Protocol)

      01:80:c2:00:00:00

      플러드/폐기/Un

      VSTP(VLAN Spanning Tree Protocol)

      01:00:0c:cc:cc:cd

      플러드/폐기/카운트

      Cisco Discovery Protocol(CDP)/VLAN Trunk Protocol(VTP)

      01:00:0C:cc:cc:cc

      폐기/카운트

      ISIS L1

      01:80:c2:00:00:14

      폐기/카운트

      ISIS L2

      01:80:c2:00:00:15

      폐기/카운트

      주:
      • CDP/VTP, 기본 동적 필터를 사용하여 ISIS L1/L2 프로토콜 플러드 따라서 이들 프로토콜을 위한 추가 필터를 구성하는 것은 필요하지 않습니다.

      • ingress 포트 기반 방화벽 필터가 포트 수준에서 적용될 때 서비스 제공업체 스타일의 구성에서 물리적 인터페이스에 한 필터만 적용할 수 있습니다.

      • 트렁크 포트에서 수신된 비통신 BPUS의 플러드를 보장하기 위해 네이티브 VLAN을 구성해야 합니다. 네이티브 VLAN이 구성되지 않은 경우, 언타그리게이트 BPUS는 로컬 FPC의 모든 인터페이스에 플러드됩니다.

      • IGMP 스누킹 또는 MLD(Multicast Listener Discovery) 스누킹이 활성화되면 플러드 기능이 작동하지 않습니다.

      • 플러드 조치가 있는 방화벽 필터가 인터페이스에 적용되고 인터페이스가 다운될 경우 해당 인터페이스에서 수신된 BPD가 일치 조건을 충족하면 플러드됩니다.

    • 예를 들어, 패킷을 카운트 및 포링 클래스로 분류하는 작업 수정자를 지정합니다.

      명령문에서 다음 조치 수정자를 지정할 수 then 있습니다.

      • analyzer analyzer-name—레벨에서 구성해야 하는 특정 분석기에 포트 트래픽을 [ethernet-switching-options] 미러링합니다.

      • count counter-name—이 필터 용어를 통과하는 패킷 수를 계산합니다.

        주:

        각 필터 용어에 지정된 조건과 일치하는 패킷 수를 모니터링할 수 있도록 방화벽 필터에서 각 용어에 대해 카운터를 구성하는 것이 좋습니다.

        주:

        스위치 QFX3500 QFX3600 CRC(Cyclic Redundancy Check) 오류로 인하여 수신 방향에 드롭된 패킷을 필터가 자동으로 카운트합니다.

      • forwarding-class class—포우링 클래스에 패킷을 할당합니다.

      • log—패킷 헤더 정보를 패킷 라우팅 엔진.

      • loss-priority priority—패킷 드롭의 우선순위를 설정합니다.

      • policer policer-name—트래픽에 속도 제한을 적용합니다.

      • flood—패킷 플러드

      • syslog—이 패킷에 대한 경고를 기록합니다.

    명령문을 생략하거나 조치를 지정하지 않으면 명령문의 모든 조건과 일치하는 패킷이 thenfrom 허용됩니다. 그러나 항상 명령문에서 작업을 구성하는지 then 확인해야 합니다. 오직 하나의 조치문만 포함할 수 있지만, 어떤 조합의 조치 수정자도 사용할 수 있습니다. 조치 또는 조치 수정자를 적용하려면 명령문의 모든 조건이 from 일치해야 합니다.

    주:

    루프백 인터페이스에 적용된 방화벽 implicit discard 필터에 적용하는 작업 lo0

향상된 Egress 방화벽 필터(QFX5110 및 QFX5220 스위치)

하드웨어 제한으로 인해 QFX5110 QFX5220 방화벽 필터(eRAC)를 최대 1000개만 지원할 수 있습니다. 확장 모드에서 스위치를 구성하여 이 수를 2000개까지 늘 수 있습니다. 이 모드에서 스위치는 IFP(ingress TCAM Space)를 사용하여 더 높은 확장을 달성합니다.

egress 필터를 구성하기 위해 패밀리 주소 inet 유형(IPv4용) 또는 inet6 (IPv6의 경우), 필터 이름 및 용어 이름을 지정합니다. 스위치에 적용 가능한 확장 옵션을 포함하고 일치 조건 및 일치 작업이 발생할 경우 취할 조치를 지정합니다. 필터를 인터페이스의 출력 방향으로 적용합니다.

확장 옵션을 구성, 수정 또는 삭제한 후 구성을 커밋해야 합니다. PFE(패킷 전달 엔진)를 다시 시작해야 합니다.

네트워크에서 egress 필터의 QFX5110 egress-to-ingress 구성에 옵션을 포함하십시오. 어떤 용어로든 이 옵션을 추가할 수 있습니다. 샘플 구성은 다음과 같습니다.

명령문에 있는 egress 필터의 QFX5220 eracl-scale 명령문에 옵션을 egress-profile 포함하십시오. 샘플 구성은 다음과 같습니다.

주:

eracl-scale 옵션은 글로벌 모드로 구성됩니다. 활성화되면 기존 Egress 필터가 스케일드(scaled) 모드로 자동으로 재설치됩니다.

확장 모드를 활성화할 경우, 이러한 제한 사항이 적용됩니다.

  • egress 방향(VLAN에서 나가는 트래픽)에서만 필터를 적용할 수 있습니다.

  • 오직 inetinet6 프로토콜 패밀리만 지원됩니다.

  • GRE(Generic Routing Encapsulation) 인터페이스는 지원되지 않습니다.

  • egress 방화벽 필터에 대한 확장 옵션만 사용합니다.

  • 서로 다른 egress VLANS 또는 Layer 3 인터페이스에 동일한 조건의 필터를 적용할 수 없습니다. 지원되는 조치는 acceptdiscard 을, 및 count 입니다.

  • 매치 조건은 ingress 방화벽 필터 TCAM에서 프로그래밍됩니다. 즉, 필터에 연결된 카운터는 수신 VLA에서 트래픽을 계산합니다.

포트에 방화벽 필터 적용

방화벽 필터를 포트에 적용하는 경우:

  1. 방화벽 필터에 대한 의미 있고 설명적인 이름을 제공합니다. 이름은 필터를 포트에 적용하는 데 사용하는 것입니다.
  2. 유닛 번호, 패밀리 주소 유형(), 필터 방향(포트에 입력하는 패킷), 필터 이름을 지정하고, 인터페이스에 필터를 ethernet-switching 적용합니다.
    주:

    ingress 방향의 포트에 필터 하나만 적용할 수 있습니다.

방화벽 필터를 VLAN에 적용

주:

VLAN 방화벽 필터는 EVPN-QFX5100 환경에서 QFX5100, QFX5100 Virtual Chassis, QFX5110 스위치에서 지원되지 가상 확장형 LAN(VXLAN) 없습니다.

방화벽 필터를 VLAN에 적용하는 방법:

  1. 방화벽 필터에 대한 의미 있고 설명적인 이름을 제공합니다. 이 이름은 필터를 VLAN에 적용하는 데 사용하는 것입니다.
  2. 방화벽 필터를 적용하여 VLAN으로 들어오거나 나가는 패킷을 필터링합니다.
    • VLAN에 입력된 패킷과 일치하기 위해 필터를 적용하기 위해 다음을 합니다.

    • 방화벽 필터를 적용하여 VLAN에서 나가는 패킷에 일치:

    주:

    주어진 방향(ingress 또는 egress)을 위해 하나의 필터만 VLAN에 적용할 수 있습니다.

방화벽 필터를 레이어 3(라우팅) 인터페이스에 적용

방화벽 필터를 IPv4 및 IPv6 인터페이스, RVI(Routed VLAN Interface) 및 루프백 인터페이스에 적용할 수 있습니다. 모두 Layer 3 라우팅 인터페이스로 간주됩니다.

주:

(QFX5100 및 QFX5110 스위치) EVPN-가상 확장형 LAN(VXLAN) 환경에서 IRB 인터페이스를 사용하여 스위치에 레이어 3 연결을 제공할 수 있습니다. IRB 인터페이스를 구성하기 위한 예는 다음을 참조합니다. EVPN-가상 확장형 LAN(VXLAN) 환경에서 IRB 인터페이스를 구성하여 데이터센터의 호스트에 레이어 3 연결을 제공합니다. 그런 다음 아래 단계(ingress 방향만 지원)를 따라 방화벽 필터를 IRB 인터페이스에 적용할 수 있습니다. 지원되는 일치 조건 목록은 방화벽 필터 일치 조건 및 작업(QFX5100, QFX5110,QFX5120, QFX5200, EX4600, EX4650 를 참조하세요.

방화벽 필터를 Layer 3 인터페이스에 적용하는 방법:

  1. 방화벽 필터에 대한 의미 있고 설명적인 이름을 제공합니다. 이 이름은 필터를 인터페이스에 적용하는 데 사용하는 것입니다.
  2. 방화벽 필터를 적용합니다.
    • 인터페이스에 입력하는 패킷을 필터링하는 경우:

    • 인터페이스를 나가는 패킷을 필터링하는 경우:

      패밀리 주소 유형은 inet (IPv4용) 또는 inet6 (IPv6의 경우)일 수 있습니다.

    주:

    주어진 방향(ingress 또는 egress)을 위해 오직 하나의 필터만 인터페이스에 적용할 수 있습니다.

방화벽 필터를 Layer 2 CCC에 적용(QFX10000 스위치)

스위치에서 레이어 2 CCC(Circuit Cross-Connect) 트래픽에 카운트와 QFX10000 방화벽 필터를 적용할 수 있습니다. 이를 통해 계층 수준에서 설정된 Policer 활동을 카운트하고 [edit firewall family ccc] 모니터링할 수 있습니다.

이 예에서는 count Policer 작업입니다.

이 예에서는 discard Policer 작업입니다.