방화벽 필터 구성

다음 섹션의 단계에 따라 스위치에 방화벽 필터를 구성하고 적용합니다.

방화벽 필터 구성

방화벽 필터 구성 방법:

제품군 주소 유형, 필터 이름, 용어 이름 및 하나 이상의 일치 조건(예: 특정 소스 주소가 포함된 패킷의 일치)을 구성합니다.
- 레이어 2 트래픽(포트 또는 VLAN)을 필터링하려면 제품군 주소 유형을 지정합니다.ethernet-switching
- 레이어 3(라우팅) 트래픽을 필터링하려면 제품군 주소 유형(IPv4의 경우) 또는 IPv6의 경우 ()를 지정합니다.inetinet6
- 레이어 2 서킷 인터페이스 트래픽을 필터링하려면 제품군 주소 유형을 지정합니다.ccc
필터 및 용어 이름은 문자, 숫자 및 하이픈(-)을 포함할 수 있으며 최대 64자 길이일 수 있습니다. 각 필터 이름은 독특해야 합니다. 필터는 하나 이상의 용어를 포함할 수 있으며 각 용어 이름은 필터 내에서 고유해야 합니다.
추가 일치 조건을 구성합니다. 예:
이 구성에서 필터는 소스 포트 80을 포함하는 레이어 2 패킷에서 일치합니다.
이 구성에서 필터는 인터페이스 ge-0/0/6.0을 포함하는 VLAN에서 일치합니다.
하나의 from 문에서 하나 이상의 일치 조건을 지정할 수 있습니다. 일치하려면 패킷이 용어의 모든 조건과 일치해야 합니다. 문은 선택 사항이지만 용어에 포함하는 경우 비워 둘 수 없습니다.from from 문을 생략하면 모든 패킷이 일치하는 것으로 간주됩니다.
방화벽 필터를 여러 인터페이스에 적용하고 각 인터페이스에 특정한 카운터를 볼 수 있도록 하려면 옵션을 구성합니다.interface-specific

각 방화벽 필터 용어에서 패킷이 해당 용어의 모든 조건과 일치할 경우 수행할 작업을 지정합니다. 작업 및 작업 수정자를 지정할 수 있습니다.

예를 들어, 필터 용어의 조건과 일치하는 패킷을 폐기하기 위해 필터 작업을 지정하는 방법은 다음과 같습니다.
용어당 하나의 작업(, , , , 또는 )만 지정할 수 있습니다.acceptdiscardfloodrejectrouting-instancevlan

예를 들어, QFX5100/QFX5110/ QFX5120-32C/QFX5200/QFX5210의 MAC 주소와 일치하는 패킷을 플러딩하기 위해 필터 동작을 지정하려면:

대상 MAC 주소를 일치 조건으로 사용하여 수신 포트 기반 방화벽 필터를 구성하여 다음 BPDU를 플러딩하거나 삭제할 수 있습니다.

프로토콜	DMAC(Destination Media Access Control) 주소	방화벽 작업(Firewall Action)
LACP(Link Aggregation Control Protocol)	01:80:씨2:00:00:02	플러드/폐기/카운트
LLDP(Link Layer Discovery Protocol)	01:80:c2:00:00:0E	플러드/폐기/카운트
EAPOL(Extensible Authentication Protocol over LAN)	01:80:씨2:00:00:03	플러드/폐기/카운트
STP(Spanning Tree Protocol)	01:80:c2:00:00:00	홍수/폐기/쿤
VSTP(VLAN Spanning Tree Protocol)	01:00:0c:cc:cc:cd	플러드/폐기/카운트
시스코 디스커버리 프로토콜(CDP)/VLAN 트렁크 프로토콜(VTP)	01:00:0C:참조:참조:참조	폐기/카운트
ISIS L1	01:80:C2:00:00:14	폐기/카운트
ISIS L2	01:80:씨2:00:00:15	폐기/카운트

주:

CDP/VTP, ISIS L1/L2 프로토콜은 기본 동적 필터를 사용하여 플러드됩니다. 따라서 이러한 프로토콜에 대한 추가 필터를 구성할 필요가 없습니다.
수신 포트 기반 방화벽 필터는 포트 수준에서 적용되므로 서비스 프로바이더 스타일 구성에서 물리적 인터페이스에 대해 하나의 필터만 적용할 수 있습니다.
트렁크 포트에서 수신된 태그 없는 BPDU의 플러딩을 보장하도록 네이티브 VLAN을 구성해야 합니다. 네이티브 VLAN이 구성되지 않은 경우, 태그 없는 BPDU는 로컬 FPC의 모든 인터페이스에 플러딩됩니다.
IGMP 스누핑 또는 MLD(Multicast Listener Discovery) 스누핑이 활성화되면 플러드 기능이 작동하지 않습니다.
플러드 동작이 있는 방화벽 필터가 인터페이스에 적용되고 나중에 인터페이스가 다운되면 해당 인터페이스에서 수신된 BPDU가 일치 조건을 충족하면 플러딩됩니다.

예를 들어, 포워딩 클래스에 대한 패킷을 카운트하고 분류하기 위해 작업 수정자를 지정하려면:
문에서 다음과 같은 작업 수정자를 지정할 수 있습니다 .then
- - 수준에서 구성해야 하는 지정된 분석기에 대한 포트 트래픽을 미러링합니다 .analyzer analyzer-name[ethernet-switching-options]
- count counter-name - 이 필터 용어를 통과하는 패킷 수를 카운트합니다.
  
  주:
  각 필터 용어에서 지정한 조건과 일치하는 패킷 수를 모니터링할 수 있도록 방화벽 필터에서 각 용어에 대한 카운터를 구성하는 것이 좋습니다.
  
  주:
  QFX3500 및 QFX3600 스위치에서 필터는 순환 중복 검사(CRC) 오류로 인해 수신 방향으로 손실된 패킷을 자동으로 계산합니다.
- forwarding-class class- 포워딩 클래스에 패킷을 할당합니다.
- log- 라우팅 엔진에 패킷 헤더 정보를 기록합니다.
- loss-priority priority- 패킷 드롭의 우선순위를 설정합니다.
- policer policer-name- 트래픽에 속도 제한을 적용합니다.
- flood- 패킷을 플러딩합니다.
- syslog- 이 패킷에 대한 경고를 기록합니다.

문을 생략 하거나 작업을 지정하지 않으면 문의 모든 조건과 일치하는 패킷이 허용됩니다.thenfrom 그러나 항상 문에서 작업을 구성해야 합니다.then 하나의 작업 명령문만 포함할 수 있지만 모든 작업 변경 도구 조합을 사용할 수 있습니다. 작업 또는 작업 변경 도구가 유효하려면 from 문의 모든 조건이 일치해야 합니다.

주:

루프백 인터페이스에 적용된 방화벽 필터에 적용할 수 있는 작업입니다.implicit discardlo0

향상된 송신 방화벽 필터 구성(QFX5110 및 QFX5220 스위치)

하드웨어 제한으로 인해 QFX5110 및 QFX5220 스위치는 최대 1,000개의 송신 방화벽 필터(eRACL)만 지원할 수 있습니다. 확장 모드에서 스위치를 구성하여 이 수를 2000으로 늘릴 수 있습니다. 이 모드에서 스위치는 수신 TCAM 공간(IFP)을 사용하여 더 높은 확장성을 달성합니다.

송신 필터를 구성하려면 제품군 주소 유형(IPv4의 경우) 또는 IPv6의 경우 (), 필터 이름 및 용어 이름을 지정합니다.inetinet6 스위치에 적용 가능한 확장 옵션을 포함하고, 일치 조건 및 일치가 발생할 경우 취할 조치를 지정합니다. 그런 다음 인터페이스의 출력 방향으로 필터를 적용합니다.

확장 옵션을 구성, 수정 또는 삭제한 후에는 구성을 커밋하고 패킷 전달 엔진(PFE)을 다시 시작해야 합니다.

QFX5110의 송신 필터 수를 늘리려면 구성에 옵션을 포함합니다 .egress-to-ingress 모든 용어 아래에 이 옵션을 추가할 수 있습니다. 다음은 샘플 구성입니다.

QFX5220의 송신 필터 수를 늘리려면 문 아래에 옵션을 포함합니다.eracl-scaleegress-profile 다음은 샘플 구성입니다.

주:

옵션은 전역 모드로 구성됩니다.eracl-scale 사용하도록 설정하면 기존 송신 필터가 크기 조정 모드에서 자동으로 다시 설치됩니다.

크기 조정 모드를 사용하도록 설정하면 다음과 같은 제한 사항이 적용됩니다.

송신 방향(VLAN에서 나가는 트래픽)으로만 필터를 적용할 수 있습니다.
및 프로토콜 제품군만 지원됩니다.inetinet6
GRE(Generic Routing Encapsulation) 인터페이스는 지원되지 않습니다.
송신 방화벽 필터에 대한 크기 조정 옵션만 사용합니다.
다른 송신 VLAN 또는 레이어 3 인터페이스에 동일한 일치 조건을 가진 필터를 적용할 수 없습니다. 유일하게 지원되는 작업은 , , 입니다 .acceptdiscardcount
일치 조건은 수신 방화벽 필터 TCAM에 프로그래밍됩니다. 즉, 필터에 연결된 모든 카운터는 들어오는 VLAN의 트래픽을 계산합니다.

포트에 방화벽 필터 적용

포트에 방화벽 필터를 적용하는 방법:

방화벽 필터에 대한 의미 있고 설명이 포함된 이름을 제공합니다. 이름은 포트에 필터를 적용하는 데 사용하는 이름입니다.
인터페이스에 필터를 적용하여 단위 번호, 제품군 주소 유형(), 필터 방향(포트에 들어오는 패킷의 경우) 및 필터 이름을 지정합니다.ethernet-switching
주:
수신 방향의 포트에 하나의 필터만 적용할 수 있습니다.

VLAN에 방화벽 필터 적용

주:

VLAN 방화벽 필터는 EVPN-VXLAN 환경의 QFX5100, QFX5100 Virtual Chassis, QFX5110 및 QFX5120 스위치에서 지원되지 않습니다.

방화벽 필터를 VLAN에 적용하는 방법:

방화벽 필터에 대한 의미 있고 설명이 포함된 이름을 제공합니다. 이 이름은 VLAN에 필터를 적용하는 데 사용하는 이름입니다.
방화벽 필터를 적용하여 VLAN에 들어오거나 나가는 패킷을 필터링합니다.
- VLAN에 들어오는 패킷과 일치하도록 필터를 적용하려면 다음을 수행합니다.
- 방화벽 필터를 적용하여 VLAN을 나가는 패킷을 일치시키려면 다음을 수행합니다.
주:
지정된 방향(수신 또는 송신)에 대해 VLAN에 하나의 필터만 적용할 수 있습니다.

방화벽 필터를 레이어 3(라우팅) 인터페이스에 적용하는 방법

IPv4 및 IPv6 인터페이스, 라우팅된 VLAN 인터페이스(RVI)( 통합 라우팅 및 브리징(IRB) 인터페이스라고도 함) 및 루프백 인터페이스에 방화벽 필터를 적용할 수 있습니다. 이들은 모두 레이어 3 라우팅 인터페이스로 간주됩니다.

주:

(QFX5100 및 QFX5110 스위치) EVPN-VXLAN 환경에서는 IRB 인터페이스를 사용하여 스위치에 레이어 3 연결을 제공할 수 있습니다. IRB 인터페이스를 구성하려면 예: 데이터센터의 호스트에 레이어 3 연결을 제공하기 위해 EVPN-VXLAN 환경에서 IRB 인터페이스 구성. 그런 다음 아래 단계에 따라 IRB 인터페이스에 방화벽 필터를 적용할 수 있습니다(수신 방향만 지원됨). 지원되는 일치 조건 목록은 방화벽 필터 일치 조건 및 작업(QFX5100, QFX5110, QFX5120, QFX5200, EX4600, EX4650)을 참조하십시오.방화벽 필터 일치 조건 및 조치(EX4400, EX4600, EX4650, QFX5100, QFX5110, QFX5120, QFX5200, QFX5210, QFX5700)

주:

필터를 주어진 VLAN과 연결된 IRB 인터페이스에 적용할 경우, 일치하는 VLAN ID가 있는 모든 레이어 3 인터페이스에서 필터가 실행됩니다. 이는 해당 VLAN 태그가 있는 모든 레이어 3 인터페이스에서 필터가 일치하기 때문입니다.

레이어 3 인터페이스에 방화벽 필터를 적용하려면 다음을 수행합니다.

방화벽 필터에 대한 의미 있고 설명이 포함된 이름을 제공합니다. 이 이름은 인터페이스에 필터를 적용하는 데 사용하는 이름입니다.
방화벽 필터를 적용합니다.
- 인터페이스에 들어오는 패킷을 필터링하는 방법:
- 인터페이스를 나가는 패킷을 필터링하는 방법:
  제품군 주소 유형은 IPv4의 경우 ( 또는 IPv6의 경우 ()일 수 있습니다.inetinet6
주:
주어진 방향(수신 또는 송신)에 대해 인터페이스에 하나의 필터만 적용할 수 있습니다.

방화벽 필터를 레이어 2 CCC에 적용(QFX10000 스위치)

QFX10000 스위치의 레이어 2 CCC(Circuit Cross-Connect) 트래픽에 카운트 및 폴리서 작업으로 방화벽 필터를 적용할 수 있습니다. 이를 통해 계층 수준에서 설정된 폴리서 활동을 계산하고 모니터링할 수 있습니다 .[edit firewall family ccc]

이 예에서 은(는) 폴리서 작업입니다.count

이 예에서 은(는) 폴리서 작업입니다.discard

이 페이지에서

방화벽 필터 구성