이 페이지의 내용
예: 방화벽 필터 우회
이 예에서는 일치/작업 조합을 사용하여 service-filter-hit 여러 필터를 구성하는 방법에 대해 설명하고 다음 섹션을 포함합니다.
시작하기 전에
매치/액션 조합을 service-filter-hit 사용할 때는 다음 사항에 유의하십시오.
필터가 적용되는 순서가 중요합니다. 인터페이스에 대한 필터 우선 순위 값을 지정하여 필터가 처리되는 순서를 보장할 수 있습니다. 동적 필터 처리 및 문 사용
precedence방법에 대한 자세한 내용은 동적 필터 처리 순서 정의를 참조하십시오.
필터 바이패스 개요
패킷은 체인의 각 필터를 통과해야 합니다. 그러나 다양한 유형의 패킷(예: 음성, 비디오, 데이터 패킷)을 처리하는 필터 체인을 만드는 경우 계층 수준에서 [edit firewall family family-name filter filter-name term term-name] 일치/작업 조합을 사용하여 service-filter-hit 필터 프로세스를 간소화하여 체인의 각 필터에 대한 패킷 처리량을 줄이고 불필요한 필터를 효과적으로 우회할 수 있습니다.
그림 1 은 특정 데이터 유형에 대한 처리만 원하는 세 가지 필터(음성, 비디오 및 데이터) 체인을 통한 논리적 처리 흐름을 보여줍니다. 이 구성 예는 수신 필터 플로우를 보여줍니다. 체인의 후속 수신 필터는 작업이 설정되었는지 여부를 service-filter-hit 감지할 수 있지만 송신 필터는 감지하지 못합니다. 송신 필터를 우회하려면 해당 필터에 대한 일치/작업 조합도 구성 service-filter-hit 해야 합니다.
를 위한 논리적 플로우 예
필터 바이패스 구성
CLI 빠른 구성
이 예제를 빠르게 구성하려면:
[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept set firewall filter voice term default then accept set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept set firewall filter video term default then accept set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept set firewall filter data term T2 then policer data-policer service-filter-hit accept
음성 필터 구성
단계별 절차
그림 1의 논리적 흐름에 대한 음성 필터를 구성하려면 다음을 수행합니다.
보장된 포워딩 클래스를 적용하도록 필터를 구성하고 특정 주소 및 포트 범위(음성 트래픽이 예상되는 범위)의 트래픽에 대한 작업을 설정합니다
service-filter-hit.[edit] set firewall filter voice term T1 from address 203.0.113.11/32 set firewall filter voice term T1 from source-port 5004-5005 set firewall filter voice term T1 then forwarding-class assured-forwarding service-filter-hit accept
다른 주소 또는 포트 범위에서 패킷 트래픽을 통과(수락)하도록 필터 기본 작업을 구성합니다.
[edit] set firewall filter voice term default then accept
비디오 필터 구성
단계별 절차
그림 1의 논리적 흐름에 대한 비디오 필터를 구성하려면 다음을 수행합니다.
작업으로 태그가 지정된 수신 패킷을 통과(수락)하도록 필터를 구성합니다.
service-filter-hit[edit] set firewall filter video term T1 from service-filter-hit set firewall filter video term T1 then accept
비디오 폴리서를 적용하도록 필터를 구성하고 특정 주소(비디오 트래픽이 예상되는 주소)의 트래픽에 대한 작업을 설정합니다
service-filter-hit.[edit] set firewall filter video term T2 from source-address 203.0.113.100/32 set firewall filter video term T2 then policer video-policer service-filter-hit accept
다른 주소 또는 포트 범위에서 패킷 트래픽을 통과(수락)하도록 필터 기본 작업을 구성합니다.
[edit] set firewall filter video term default then accept
데이터 필터 구성
단계별 절차
그림 1의 논리적 플로우에 대한 데이터 필터를 구성하려면 다음을 수행합니다.
작업으로 태그가 지정된 수신 패킷을 통과(수락)하도록 필터를 구성합니다.
service-filter-hit[edit] set firewall filter data term T1 from service-filter-hit set firewall filter data term T1 then accept
데이터 폴리서를 적용하도록 필터를 구성하고 특정 주소(비디오 트래픽이 예상되는 주소)의 트래픽에 대한 작업을 설정합니다
service-filter-hit.[edit] set firewall filter data term T2 then policer data-policer service-filter-hit accept
결과
구성 결과를 표시합니다.
[edit firewall]
user@host# show
filter voice {
term T1 {
from {
address {
203.0.113.11/32;
}
source-port 5004-5005;
}
then {
forwarding-class assured-forwarding;
service-filter-hit;
accept;
}
}
term default {
then accept;
}
}
filter video {
term T1 {
from {
service-filter-hit;
}
then accept;
}
term T2 {
from {
source-address {
203.0.113.100/32;
}
}
then {
policer video_policer;
service-filter-hit;
accept;
}
}
term default {
then accept;
}
}
filter data {
term T1 {
from {
service-filter-hit;
}
then accept;
}
term T2 {
then {
policer data_policer;
service-filter-hit;
accept;
}
}
}