Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

방화벽 필터 및 향상된 네트워크 서비스 모드 개요

정상적인 조건에서는 컴파일 및 용어 기반의 두 가지 형식으로 모든 방화벽 필터 가 생성됩니다. 컴파일된 형식은 라우팅 엔진(RE) 커널, FPC 및 MS-DP에 의해 사용됩니다. 용어 기반 형식은 MPC에 의해 사용됩니다. 컴파일된 방화벽 필터는 각 인터페이스 또는 적용된 논리적 인터페이스 에 대해 복제됩니다. 용어 기반 필터는 중복되는 대신 각 인터페이스 또는 논리적 인터페이스에 의해 참조됩니다.

MPC와 다른 카드의 조합이 섀시에 채워지면 방화벽 필터 파일 형식을 모두 생성해야 합니다. 대부분의 네트워크에서 컴파일된 방화벽 필터에 대한 필터 형식과 중복 양을 모두 생성하는 것은 라우터에 영향을 미치지 않습니다. 그러나 정적으로 구성된 수천 개의 가입자 인터페이스를 포함하는 가입자 관리 네트워크에서 여러 형식으로 필터를 생성하고 각 인터페이스에 대해 해당 필터를 복제하면 라우터 메모리 리소스의 상당 부분을 활용할 수 있습니다. Enhanced IP 네트워크 서비스 모드 또는 향상된 이더넷 네트워크 서비스 모드를 사용하여 정적으로 구성된 가입자 인터페이스를 사용하는 가입자 액세스 네트워크의 라우팅 필터에 따른 확장 및 성능을 개선할 수 있습니다.

인터페이스가 정적 또는 동적으로 생성되고 방화벽 필터가 동적으로 적용되는 구성에서, 향상된 모드에서 실행하려면 섀시 네트워크 서비스를 구성해야 합니다. 인터페이스가 정적으로 생성되고 방화벽 필터가 정적으로 적용되는 구성에서, 향상된 모드에서 실행될 섀시 네트워크 서비스를 구성하고 향상된 모드에 대해 각 방화벽 필터를 구성해야 합니다.

참고:

컨트롤 플레인 트래픽을 위한 방화벽 필터에는 향상된 모드를 사용하지 마십시오. 컨트롤 플레인 필터링은 향상된 모드 필터의 용어 기반 형식을 사용할 수 없는 라우팅 엔진 커널에 의해 처리됩니다.

표 1 은 향상된 네트워크 서비스 모드 사용을 결정할 때 구성 옵션을 보여줍니다.

표 1: 향상된 네트워크 서비스 모드 및 방화벽 필터 사용 사례 결정

인터페이스 및 필터 구성

섀시 강화 모드 필요

방화벽 필터 향상된 모드 필요

동적으로 생성된 인터페이스 및 동적 적용 필터

아니요

정적으로 생성된 인터페이스 및 동적 적용 필터

아니요

정적으로 생성된 인터페이스 및 정적 적용 필터

라우터에 상당한 리소스를 절약하려면 섀시와 필터 강화된 모드 구성을 다음과 같이 결합하십시오.

  • 섀시에 MPC만 설치합니다.

    참고:

    향상된 네트워크 서비스 모드 중 하나를 실행하도록 섀시 네트워크 서비스를 구성하면 라우터가 MPC 및 MS-DPC만 활성화됩니다. MS-DPC는 컴파일된 방화벽 필터 형식을 사용하기 때문에 향상된 네트워크 서비스 모드 중 하나에 구성된 라우터 섀시로서 MS-DPC와 함께 사용할 표준(비 향상되지 않은) 방화벽 필터를 구성하면 최적의 리소스 효율성을 줄일 수 있습니다.

  • 라우터에서 정적 인터페이스를 구성할 때 Enhanced IP 네트워크 서비스 모드 또는 Enhanced Ethernet 네트워크 서비스 모드 중 하나를 실행하도록 섀시 네트워크 서비스를 구성합니다.

  • 정적으로 생성된 인터페이스에 방화벽 필터를 정적으로 적용하는 경우, 향상된 모드에 대해 모든 방화벽 필터를 구성하여 필터 생성을 용어 기반 형식으로만 제한합니다.

    참고:

    섀시가 향상된 네트워크 서비스 모드 중 하나를 실행하는 경우에도 향상된 모드를 위해 구성되지 않은 모든 방화벽 필터는 컴파일된 형식과 용어 기반 형식으로 생성됩니다. [] 계층 수준에서 문을edit chassis network-services 설정하는 enhanced-mode 것과 관계없이 다음 중 어느 것이라도 true인 경우 용어 기반(향상된) 방화벽 필터만 생성됩니다.

    • 유연한 필터 일치 조건은 또는 [edit firewall filter filter-name term term-name from] 계층 수준에서 구성 [edit firewall family family-name filter filter-name term term-name from] 됩니다.

    • GRE 캡슐화 또는 디캡슐화와 같은 터널 헤더 푸시 또는 팝 작업이 계층 수준에서 구성 [edit firewall family family-name filter filter-name term term-name then] 됩니다.

    • Payload-protocol 일치 조건은 또는 [edit firewall filter filter-name term term-name from] 계층 수준에서 구성 [edit firewall family family-name filter filter-name term term-name from] 됩니다.

    • extension-header 일치는 또는 [edit firewall filter filter-name term term-name from] 계층 수준에서 구성 [edit firewall family family-name filter filter-name term term-name from] 됩니다.

    • IPv6 트래픽에 대한 방화벽 브리지 필터와 같은 MPC 카드에서만 작동하는 일치 조건이 구성됩니다.
    경고:

    이전 기준을 충족하는 모든 방화벽 필터는 DPC 기반 FPC의 루프백, lo0, 인터페이스에 적용되지 않습니다. 즉, DPC 기반 FPC의 루프백 인터페이스에서 사용하도록 구성된 용어 기반(향상된) 필터가 적용되지 않습니다. 이렇게 하면 RE가 해당 필터에 의해 보호되지 않습니다.

관련 문서