- play_arrow 방화벽 필터 구성
- play_arrow 방화벽 필터가 네트워크를 보호하는 방법 이해
- play_arrow 방화벽 필터 일치 조건 및 작업
- 방화벽 필터 개요(OCX 시리즈)
- ACX 시리즈 라우터의 방화벽 필터 프로필 개요(Junos OS Evolved)
- 방화벽 필터 일치 조건 이해
- 방화벽 필터 계획 이해
- 방화벽 필터 평가 방법 이해
- 방화벽 필터 일치 조건 이해
- 방화벽 필터 FMC(Flexible Match Condition)
- 방화벽 필터 비 종료 동작
- 방화벽 필터 종료 동작
- 방화벽 필터 일치 조건 및 작업(ACX 시리즈 라우터)
- ACX 시리즈 라우터의 방화벽 필터 일치 조건 및 동작(Junos OS Evolved)
- 프로토콜 독립적 트래픽에 대한 방화벽 필터 일치 조건
- IPv4 트래픽 방화벽 일치 조건
- IPv6 트래픽에 대한 방화벽 필터 일치 조건
- 숫자 또는 텍스트 별칭을 기반으로 한 방화벽 필터 일치 조건
- 비트 필드 값에 기반한 방화벽 필터 일치 조건
- 주소 필드를 기반으로 한 방화벽 필터 일치 조건
- 주소 클래스에 기반한 방화벽 필터 일치 조건
- MPLS 트래픽의 IP 기반 필터링 및 선택적 포트 미러링 이해
- MPLS 트래픽에 대한 방화벽 필터 일치 조건
- MPLS 태그 지정된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건
- VPLS 트래픽에 대한 방화벽 필터 일치 조건
- 레이어 2 CCC 트래픽에 대한 방화벽 필터 일치 조건
- 레이어 2 브리징 트래픽에 대한 방화벽 필터 일치 조건
- 루프백 인터페이스의 방화벽 필터 지원
- play_arrow 라우팅 엔진 트래픽에 방화벽 필터 적용
- 레이어 3 VPN의 라우팅 인스턴스에 대한 루프백 인터페이스에서 논리적 단위 구성
- 예: 접두사 목록을 기반으로 포트에 대한 TCP 액세스를 제한하는 필터 구성
- 예: 신뢰할 수 있는 소스의 트래픽을 허용하도록 상태 비저장 방화벽 필터 구성
- 예: Block Telnet 및 SSH 액세스에 대한 필터 구성
- 예: TFTP 액세스를 차단하는 필터 구성
- 예: IPv6 TCP 플래그를 기반으로 패킷을 수락하도록 필터 구성
- 예: 지정된 BGP 피어를 제외하고 포트에 대한 TCP 액세스를 차단하는 필터 구성
- 예: TCP 및 ICMP 플러드로부터 보호하기 위한 무상태 방화벽 필터 구성
- 예: 초당 패킷 속도 제한 필터로 라우팅 엔진 보호
- 예: LAC 가입자에 대한 DHCPv6 및 ICMPv6 제어 트래픽을 제외하도록 필터 구성
- DHCP 방화벽 필터에 대한 포트 번호 요구 사항
- 예: 라우팅 엔진 보호를 위한 DHCP 방화벽 필터 구성
- play_arrow 전송 트래픽에 방화벽 필터 적용
- 예: 수신 큐잉 필터로 사용하기 위한 필터 구성
- 예: IPv6 플래그와 일치하도록 필터 구성
- 예: 포트 및 프로토콜 필드에서 일치하도록 필터 구성
- 예: 수락 및 거부된 패킷을 계산하도록 필터 구성
- 예: IP 옵션 패킷을 카운트하고 삭제하도록 필터 구성
- 예: IP 옵션 패킷을 계산하도록 필터 구성
- 예: 수락된 패킷을 카운트 및 샘플링하도록 필터 구성
- 예: DSCP 비트를 0으로 설정하는 필터 구성
- 예: DSCP 비트를 0으로 설정하는 필터 구성
- 예: 관련 없는 두 기준에서 일치하도록 필터 구성
- 예: 주소를 기반으로 DHCP 패킷을 수락하도록 필터 구성
- 예: 접두사에서 OSPF 패킷을 수락하도록 필터 구성
- 예: 프래그먼트를 처리하기 위한 상태 비저장 방화벽 필터 구성
- IPv4 패킷 단편화를 방지하거나 허용하도록 방화벽 필터 구성
- Mobility Extension 헤더가 있는 수신 IPv6 패킷을 삭제하도록 방화벽 필터 구성
- 예: IPv6 소스 또는 대상 IP 주소를 기반으로 송신 필터 구성
- 예: 대상 클래스를 기반으로 속도 제한 필터 구성
- play_arrow 논리적 시스템에서 방화벽 필터 구성
- 논리적 시스템의 방화벽 필터 개요
- 논리적 시스템에서 방화벽 필터를 구성하고 적용하기 위한 지침
- 논리적 시스템의 방화벽 필터에서 하위 개체에 대한 참조
- 논리적 시스템의 방화벽 필터에서 비방화벽 개체에 대한 참조
- 논리적 시스템의 비방화벽 개체에서 방화벽 필터로의 참조
- 예: 필터 기반 전달 구성
- 예: 논리적 시스템에서 필터 기반 전달 구성
- 예: ICMP 플러드로부터 논리적 시스템을 보호하기 위한 무상태 방화벽 필터 구성
- 예: ICMP 플러드로부터 논리적 시스템을 보호하기 위한 무상태 방화벽 필터 구성
- 논리적 시스템에 대해 지원되지 않는 방화벽 필터 문
- 논리적 시스템의 방화벽 필터에 대해 지원되지 않는 작업
- 라우팅 인스턴스에 대한 필터 기반 전달
- ACX 시리즈 라우터의 라우팅 인스턴스에 대한 포워딩 테이블 필터
- 포워딩 테이블 필터 구성
- play_arrow 방화벽 필터 계정 및 로깅 구성
- play_arrow 단일 인터페이스에 여러 방화벽 필터 연결
- 인터페이스에 방화벽 필터 적용
- 방화벽 필터 구성
- Multifield Classifier Example: 멀티필드 분류 구성
- MPC를 사용하는 MX 시리즈 라우터의 수신 큐잉을 위한 멀티필드 분류자
- 패킷 전달 동작을 지정하기 위해 방화벽 필터에 다중 필드 분류자 할당(CLI 절차)
- 중첩된 구성의 여러 방화벽 필터 이해
- 여러 방화벽 필터에 대한 참조 중첩에 대한 지침
- 목록으로 적용된 여러 방화벽 필터 이해
- 여러 방화벽 필터를 목록으로 적용하기 위한 지침
- 예: 여러 방화벽 필터 목록 적용
- 예: 여러 방화벽 필터에 대한 참조 중첩
- 예: 인터페이스 세트에서 수신된 패킷 필터링
- play_arrow 단일 방화벽 필터를 여러 인터페이스에 연결
- play_arrow IP 네트워크에서 필터 기반 터널링 구성
- play_arrow 서비스 필터 구성
- play_arrow 단순 필터 구성
- play_arrow 레이어 2 방화벽 필터 구성
- play_arrow 포워딩, 프래그먼트 및 폴리싱을 위한 방화벽 필터 구성
- play_arrow 방화벽 필터 구성(EX 시리즈 스위치)
- EX 시리즈 스위치용 방화벽 필터 개요
- 방화벽 필터 계획 이해
- 방화벽 필터 일치 조건 이해
- 방화벽 필터가 패킷 흐름을 제어하는 방법 이해
- 방화벽 필터 평가 방법 이해
- EX 시리즈 스위치에서 브리징 및 라우팅된 패킷에 대한 방화벽 필터 처리 지점 이해
- EX 시리즈 스위치의 방화벽 필터 매치 조건, 동작 및 동작 수정
- EX 시리즈 스위치의 방화벽 필터 일치 조건, 작업 및 작업 수정자를 위한 플랫폼 지원
- 스위치의 루프백 방화벽 필터에 대한 일치 조건 및 작업 지원
- 방화벽 필터 구성(CLI 절차)
- 방화벽 필터가 패킷의 프로토콜을 테스트하는 방법 이해
- EX 시리즈 스위치에 대한 필터 기반 포워딩 이해
- 예: EX 시리즈 스위치에서 포트, VLAN, 라우터 트래픽의 방화벽 필터 구성하기
- 예: EX 시리즈 스위치의 관리 인터페이스에 방화벽 필터 구성
- 예: 라우트 애플리케이션 트래픽-보안 장치에 필터 기반 포워딩 사용
- 예: 802.1X 또는 MAC RADIUS 인증이 활성화된 인터페이스의 여러 요청자에 방화벽 필터 적용
- 폴리서의 작동 여부 확인
- 방화벽 필터 문제 해결
- play_arrow 방화벽 필터 구성(QFX 시리즈 스위치, EX4600 스위치, PTX 시리즈 라우터)
- 방화벽 필터 개요(QFX 시리즈)
- 방화벽 필터 계획 이해
- 생성할 방화벽 필터 수 계획
- 방화벽 필터 일치 조건 및 조치(QFX 및 EX 시리즈 스위치)
- 방화벽 필터 일치 조건 및 동작(QFX10000 스위치)
- 방화벽 필터 일치 조건 및 작업(PTX 시리즈 라우터)
- PTX 시리즈 패킷 전송 라우터와 T 시리즈 매트릭스 라우터의 방화벽 및 폴리싱 차이점
- 방화벽 필터 구성
- 인터페이스에 방화벽 필터 적용
- 루프백 인터페이스의 MPLS 방화벽 필터 개요
- 스위치에서 MPLS 방화벽 필터 및 폴리서 구성
- 라우터에서 MPLS 방화벽 필터 및 폴리서 구성
- MPLS 방화벽 필터 및 폴리서 구성
- 방화벽 필터가 프로토콜을 테스트하는 방법 이해
- 브리지 및 라우팅된 패킷에 대한 방화벽 필터 처리 지점 이해
- 필터 기반 전달 이해
- 예: 라우트 애플리케이션 트래픽-보안 장치에 필터 기반 포워딩 사용
- GRE 또는 IPIP 트래픽의 캡슐화 해제를 위한 방화벽 필터 구성
- 방화벽 필터가 작동하는지 확인
- 방화벽 필터 트래픽 모니터링
- 방화벽 필터 구성 문제 해결
- play_arrow 방화벽 필터 어카운팅 및 로깅 구성(EX9200 스위치)
-
- play_arrow 트래픽 폴리서 구성
- play_arrow 트래픽 폴리서 이해하기
- 폴리서 구현 개요
- ARP 폴리서 개요
- 예: ARP 폴리서 구성
- 폴리서 및 토큰 버킷 알고리즘의 이점 이해하기
- 트래픽 폴리서에 맞는 적절한 버스트 크기 결정
- 트래픽 폴리싱을 사용하여 네트워크 액세스 제어 개요
- 트래픽 폴리서 유형
- 폴리서 및 방화벽 필터 작업 순서
- 폴리싱 패킷의 프레임 길이 이해하기
- 폴리싱에 지원되는 표준
- 계층적 폴리서 구성 개요
- 향상된 계층적 폴리서 이해
- pps(Packets-Per-Second) 기반 폴리서 개요
- 트래픽 폴리서 적용 지침
- 통합 이더넷 인터페이스에 대한 폴리서 지원 개요
- 예: 물리적 인터페이스에서 집계 트래픽을 위한 물리적 인터페이스 폴리서 구성
- PTX 시리즈 패킷 전송 라우터와 T 시리즈 매트릭스 라우터의 방화벽 및 폴리싱 차이점
- ACX 시리즈 라우터의 계층적 폴리서 개요
- ACX 시리즈 라우터에서 계층적 폴리서를 구성하기 위한 지침
- ACX 시리즈 라우터의 계층적 폴리서 모드
- ACX 시리즈 라우터에서 계층적 폴리서 처리
- ACX 시리즈 라우터에서 계층적 폴리서에 대해 수행되는 작업
- ACX 시리즈 라우터에서 통합 부모 및 하위 폴리서 구성
- play_arrow 폴리서 속도 제한 및 작업 구성
- play_arrow 레이어 2 폴리서 구성
- 계층적 폴리서
- 폴리서 오버헤드 구성
- 레이어 2의 2색 및 3색 폴리서
- 유사 회선의 레이어 2 트래픽 폴리싱 개요
- 유사 회선을 위한 2색 레이어 2 폴리서 구성
- 유사 회선을 위한 3색 레이어 2 폴리서 구성
- 동적 프로필 인터페이스에 폴리서 적용
- 라우팅 인스턴스에 동적 프로필 연결
- 유사 회선 개요에서 레이어 2 트래픽 폴리싱을 위한 변수 사용
- 복잡한 구성을 위한 폴리서 구성
- 복잡한 구성에 대한 동적 프로필 만들기
- 복잡한 구성의 라우팅 인스턴스에 동적 프로필 연결
- VPLS 연결에서 레이어 2 트래픽 폴리서 확인
- OVSDB 관리 인터페이스의 폴리서 이해
- 예: OVSDB 관리 인터페이스에 폴리서 적용
- play_arrow 레이어 3에서 2색 및 3색 트래픽 폴리서 구성
- play_arrow 레이어 3에서 논리적 및 물리적 인터페이스 트래픽 폴리서 구성
- play_arrow 스위치에서 폴리서 구성
- 폴리서 개요
- 트래픽 폴리서 유형
- 방화벽 필터에서 폴리서 사용 이해
- 삼색 마킹 아키텍처 이해
- 트래픽 요금을 관리하는 폴리서 구성하기(CLI 절차)
- 삼색 마킹 폴리서 구성
- Link Aggregation Groups를 사용하는 폴리서 이해
- 단일 속도 삼색 표시를 위한 색맹 모드 이해
- 단일 속도 삼색 표시를 위한 색상 인식 모드 이해
- 2레이트 삼색 마킹을 위한 색맹 모드 이해
- 2레이트 삼색 마킹을 위한 색상 인식 모드 이해
- 예: 2색 폴리서 및 접두사 목록 사용
- 예: 폴리서를 사용하여 초과 구독 관리
- 포워딩 클래스 및 손실 우선순위 할당
- 중간-낮음 PLP를 위한 색맹 송신 폴리서 구성
- 트래픽 속도를 제어하기 위한 2색 및 3색 폴리서 구성
- 2색 폴리서의 작동 여부 확인
- 3색 폴리서의 작동 여부 확인
- 폴리서 구성 문제 해결
- 폴리서 구성 문제 해결
-
- play_arrow 구성 명령문 및 작동 명령
- play_arrow 문제 해결
- play_arrow 기술 자료
-
예: 라우팅 테이블에 접두사의 조건부 설치를 활성화하는 조건부 광고의 라우팅 정책 구성
이 예는 BGP 내보내기 정책을 사용하여 라우팅 테이블 내 접두사의 조건부 설치를 구성하는 방법을 보여줍니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
M 시리즈 Multiservice 에지 라우터, MX 시리즈 5G 유니버설 라우팅 플랫폼 또는 T 시리즈 코어 라우터
Junos OS 릴리스 9.0 이상
개요
이 예에서는 세 가지 다른 AS(Autonomous System) 내 라우터 3개가 BGP 프로토콜과 연결 및 구성되어 있습니다. 업스트림 라우터인 라우터 라벨링 Internet에는 lo0.0 루프백 인터페이스(172.16.11.1/32, 172.16.12.1/32, 172.16.13.1/32, 172.16.14.1/32, 및 172.16.15.1/32)에 구성된 주소 다섯 개가 있으며, 추가 루프백 주소(192.168.9.1/32)는 라우터 ID로 구성됩니다. 이 주소 여섯 개는 BGP로 내보내어져 Internet에 연결된 라우터의 BGP 라우팅 테이블 콘텐츠를 에뮬레이트하고, North에 광고됩니다.
North 및 South 라우터는 10.0.89.12/30 및 10.0.78.12/30 네트워크를 사용하고, 각각의 루프백 주소에 192.168.7.1 및 192.168.8.1을 각각 사용합니다.
그림 1 본 예제에서 사용되는 토폴로지를 나타냅니다.
라우터 North는 라우터 인터넷에서 라우터 South까지 학습하는 172.16.0.0/16 BGP 경로를 내보냅니다. 이러한 경로는 인터넷 라우터의 도메인이 소유한 경로를 나타낼 수 있습니다. 또한 특정 172.16.11.1/32 경로가 있는 경우, 라우터 North는 또한 기본 경로를 알립니다. 172.16.11.1 경로는 완전한 인터넷 연결을 제공하는 Tier 1 전송 피어링 프로바이더에 대한 인터넷 라우터의 링크를 나타낼 수 있습니다.
라우터 South는 6개의 경로 모두를 수신하지만 라우팅 테이블에 기본 경로와 하나의 다른 특정 경로(172.16.11.1/32)만을 설치해야 합니다.
요약하자면, 이 예는 다음 요구 사항을 충족합니다:
North에서는 모든 172.16/16 접두사를 보냅니다. 또한 inet.0 라우팅 테이블(이 예시에서는 172.16.11.1/32)에 특정 경로가 있는 경우에만 0/0을 South로 보냅니다.
South에서는 라우팅 및 포워딩 테이블에 기본 경로와 172.16.11.1/32 경로를 수락하고 설치합니다. 다른 모든 경로는 삭제합니다. South는 전체 인터넷 라우팅 테이블을 수락할 수 없는 저가형 디바이스일 수 있습니다. 결과적으로 운영자는 South가 기본 경로와 하나의 다른 특정 접두사만 갖기를 원합니다.
첫 번째 요구 사항은 North의 내보내기 정책을 충족합니다:
user@North# show policy-options
policy-statement conditional-export-bgp {
term prefix_11 {
from {
protocol bgp;
route-filter 172.16.0.0/16 orlonger;
}
then accept;
}
term conditional-default {
from {
route-filter 0.0.0.0/0 exact;
condition prefix_11;
}
then accept;
}
term others {
then reject;
}
}
condition prefix_11 {
if-route-exists {
172.16.11.1/32;
table inet.0;
}
}
조건부 내보내기 정책의 논리는 다음과 같이 요약할 수 있습니다: 0/0이 존재하고, 172.16.11.1/32가 존재하면 0/0 접두사를 보냅니다. 이것은 172.16.11.1/32가 존재하지 않으면 0/0을 보내지 않는다는 의미입니다.
두 번째 요구 사항은 South의 가져오기 정책을 충족합니다:
user@South# show policy-options
policy-statement import-selected-routes {
term 1 {
from {
rib inet.0;
neighbor 10.0.78.14;
route-filter 0.0.0.0/0 exact;
route-filter 172.16.11.1/32 exact;
}
then accept;
}
term 2 {
then reject;
}
}
이 예에서 South의 가져오기 정책 결과로 경로 네 개가 삭제됩니다. North의 내보내기 정책이 Internet에서 수신된 모든 경로를 누수하고, South의 가져오기 정책이 이 경로 중 일부를 제외하기 때문입니다.
가져오기 정책(인바운드 경로 필터)이 경로를 거부하고, 트래픽 포워딩에 사용하지 않고, 다른 피어에 대한 광고에 포함하지 않을 수도 있지만, Junos OS에서 이 라우터가 숨겨진 경로로 이 경로들을 유지한다는 것을 이해하는 게 중요합니다. 이 숨겨진 경로는 정책 또는 라우팅 목적으로 사용할 수 없습니다. 그러나 라우터의 메모리 공간을 차지합니다. 경로를 필터링하여 메모리에 보관되고 라우터에서 처리되는 정보 양을 제어하는 서비스 프로바이더는 라우터가 가져오기 정책에 의해 거부된 경로를 완전히 제거하길 원할 수 있습니다.
숨겨진 경로는 show route receive-protocol bgp neighbor-address hidden 명령을 사용하여 볼 수 있습니다. 그런 다음 숨겨진 경로는 [edit protocols bgp]또는 [edit protocols bgp group group-name]계층 수준에서 keep all | none문을 구성하여 라우팅 테이블에서 유지되거나 삭제될 수 있습니다.
BGP 경로 유지 규칙은 다음과 같습니다:
기본값으로 AS 경로가 반복되는 경우를 제외하고 BGP에서 학습된 모든 경로가 유지됩니다. (AS 경로는 로컬 AS를 포함합니다.)
keep all문을 구성하여, BGP에서 학습된 모든 경로(AS 경로 내 로컬 AS 경로를 포함)가 유지됩니다.keep none문을 구성하여, BGP는 피어에게서 수신하거나 가져오기 정책 또는 기타 온전성 검사로 거부된 경로를 버립니다. 이 문이 구성되고 인바운드 정책이 변경되면, Junos OS는 피어가 광고하는 모든 경로를 다시 광고합니다.
keep all 또는 keep none을(를) 구성하고 피어가 경로 새로고침을 지원하면, 로컬 스피커는 새로고침 메시지를 보내고 가져오기 평가를 수행합니다. 이 피어를 위해 세션이 다시 시작하지 않습니다. 피어의 새로고침 지원을 알아보려면 show bgp neighbor명령의 출력에서 Peer supports Refresh capability을(를) 확인하십시오.
keep all 또는 keep none을(를) 구성하고 피어가 세션 재시작을 지원하지 않으면, 연결된 BGP 세션이 다시 시작합니다(플랩됨).
토폴로지
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣습니다.
라우터 Internet
set interfaces lo0 unit 0 family inet address 172.16.11.1/32 set interfaces lo0 unit 0 family inet address 172.16.12.1/32 set interfaces lo0 unit 0 family inet address 172.16.13.1/32 set interfaces lo0 unit 0 family inet address 172.16.14.1/32 set interfaces lo0 unit 0 family inet address 172.16.15.1/32 set interfaces lo0 unit 0 family inet address 192.168.9.1/32 set interfaces fe-0/1/3 unit 0 family inet address 10.0.89.14/30 set protocols bgp group toNorth local-address 10.0.89.14 set protocols bgp group toNorth peer-as 65200 set protocols bgp group toNorth neighbor 10.0.89.13 set protocols bgp group toNorth export into-bgp set policy-options policy-statement into-bgp term 1 from interface lo0.0 set policy-options policy-statement into-bgp term 1 then accept set routing-options router-id 192.168.9.1 set routing-options autonomous-system 65300
라우터 North
set interfaces fe-1/3/1 unit 0 family inet address 10.0.78.14/30 set interfaces fe-1/3/0 unit 0 family inet address 10.0.89.13/30 set interfaces lo0 unit 0 family inet address 192.168.8.1/32 set protocols bgp group toInternet local-address 10.0.89.13 set protocols bgp group toInternet peer-as 65300 set protocols bgp group toInternet neighbor 10.0.89.14 set protocols bgp group toSouth local-address 10.0.78.14 set protocols bgp group toSouth export conditional-export-bgp set protocols bgp group toSouth peer-as 65100 set protocols bgp group toSouth neighbor 10.0.78.13 set policy-options policy-statement conditional-export-bgp term prefix_11 from protocol bgp set policy-options policy-statement conditional-export-bgp term prefix_11 from route-filter 172.16.0.0/16 orlonger set policy-options policy-statement conditional-export-bgp term prefix_11 then accept set policy-options policy-statement conditional-export-bgp term conditional-default from route-filter 0.0.0.0/0 exact set policy-options policy-statement conditional-export-bgp term conditional-default from condition prefix_11 set policy-options policy-statement conditional-export-bgp term conditional-default then accept set policy-options policy-statement conditional-export-bgp term others then reject set policy-options condition prefix_11 if-route-exists 172.16.11.1/32 set policy-options condition prefix_11 if-route-exists table inet.0 set routing-options static route 0/0 reject set routing-options router-id 192.168.8.1 set routing-options autonomous-system 65200
라우터 South
set interfaces fe-0/1/2 unit 0 family inet address 10.0.78.13/30 set interfaces lo0 unit 0 family inet address 192.168.7.1/32 set protocols bgp group toNorth local-address 10.0.78.13 set protocols bgp group toNorth import import-selected-routes set protocols bgp group toNorth peer-as 65200 set protocols bgp group toNorth neighbor 10.0.78.14 set policy-options policy-statement import-selected-routes term 1 from neighbor 10.0.78.14 set policy-options policy-statement import-selected-routes term 1 from route-filter 172.16.11.1/32 exact set policy-options policy-statement import-selected-routes term 1 from route-filter 0.0.0.0/0 exact set policy-options policy-statement import-selected-routes term 1 then accept set policy-options policy-statement import-selected-routes term 2 then reject set routing-options router-id 192.168.7.1 set routing-options autonomous-system 65100
접두사의 조건부 설치 구성
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색 관련 정보는 Junos OS CLI 사용자 가이드의 구성 모드에서의 CLI 편집기 사용을 참조하십시오.
접두사의 조건부 설치 구성:
라우터 세 개 사이에 링크를 형성하는 라우터 인터페이스를 구성합니다.
content_copy zoom_out_mapRouter Internet [edit interfaces] user@Internet# set fe-0/1/3 unit 0 family inet address 10.0.89.14/30
content_copy zoom_out_mapRouter North [edit interfaces] user@North# set fe-1/3/1 unit 0 family inet address 10.0.78.14/30 user@North# set fe-1/3/0 unit 0 family inet address 10.0.89.13/30
content_copy zoom_out_mapRouter South [edit interfaces] user@South# set fe-0/1/2 unit 0 family inet address 10.0.78.13/30
라우터 Internet에 루프백 인터페이스 주소 다섯 개를 구성하여 라우터 South의 라우팅 테이블로 가져오게 되는 Internet에서 학습된 BGP 경로를 에뮬레이트하고, 라우터 ID로 구성될 추가 주소(192.168.9.1/32)를 구성합니다.
content_copy zoom_out_mapRouter Internet [edit interfaces lo0 unit 0 family inet] user@Internet# set address 172.16.11.1/32 user@Internet# set address 172.16.12.1/32 user@Internet# set address 172.16.13.1/32 user@Internet# set address 172.16.14.1/32 user@Internet# set address 172.16.15.1/32 user@Internet# set address 192.168.9.1/32
또한 라우터 North 및 South에 루프백 인터페이스 주소를 구성합니다.
content_copy zoom_out_mapRouter North [edit interfaces lo0 unit 0 family inet] user@North# set address 192.168.8.1/32
content_copy zoom_out_mapRouter South [edit interfaces lo0 unit 0 family inet] user@South# set address 192.168.7.1/32
라우터 North에 광고되도록 라우터 South에 정적 기본 경로를 구성합니다.
content_copy zoom_out_map[edit routing-options] user@North# set static route 0/0 reject
라우터 North의 라우팅 테이블에서 접두사를 내보내기 위한 조건을 정의합니다.
content_copy zoom_out_map[edit policy-options condition prefix_11] user@North# set if-route-exists 172.16.11.1/32 user@North# set if-route-exists table inet.0
라우터 Internet과 North에서 개별적으로 내보내기 정책(
into-bgp및conditional-export-bgp)을 정의하여 BGP로 경로를 광고합니다.주:내보내기 정책 내 조건
prefix_11(4단계에서 구성)을 참조하십시오.content_copy zoom_out_mapRouter Internet [edit policy-options policy-statement into-bgp ] user@Internet# set term 1 from interface lo0.0 user@Internet# set term 1 then accept
content_copy zoom_out_mapRouter North [edit policy-options policy-statement conditional-export-bgp] user@North# set term prefix_11 from protocol bgp user@North# set term prefix_11 from route-filter 172,16.0.0/16 orlonger user@North# set term prefix_11 then accept user@North# set term conditional-default from route-filter 0.0.0.0/0 exact user@North# set term conditional-default from condition prefix_11 user@North# set term conditional-default then accept user@North# set term others then reject
라우터 South에서 가져오기 정책(
import-selected-routes)을 정의하여 라우터 North에 의해 광고되는 경로 일부를 라우팅 테이블로 가져옵니다.content_copy zoom_out_map[edit policy-options policy-statement import-selected-routes ] user@South# set term 1 from neighbor 10.0.78.14 user@South# set term 1 from route-filter 172.16.11.1/32 exact user@South# set term 1 from route-filter 0.0.0.0/0 exact user@South# set term 1 then accept user@South# set term 2 then reject
라우터 세 개에 BGP를 구성하여 AS(Autonomous System) 간 접두사의 흐름을 활성화합니다.
주:접두사 광고를 활성화하기 위해 각 BGP 그룹에 정의된 가져오기 및 내보내기 정책을 적용했는지 확인합니다.
content_copy zoom_out_mapRouter Internet [edit protocols bgp group toNorth] user@Internet# set local-address 10.0.89.14 user@Internet# set peer-as 65200 user@Internet# set neighbor 10.0.89.13 user@Internet# set export into-bgp
content_copy zoom_out_mapRouter North [edit protocols bgp group toInternet] user@North# set local-address 10.0.89.13 user@North# set peer-as 65300 user@North# set neighbor 10.0.89.14
content_copy zoom_out_map[edit protocols bgp group toSouth] user@North# set local-address 10.0.78.14 user@North# set peer-as 65100 user@North# set neighbor 10.0.78.13 user@North# set export conditional-export-bgp
content_copy zoom_out_mapRouter South [edit protocols bgp group toNorth] user@South# set local-address 10.0.78.13 user@South# set peer-as 65200 user@South# set neighbor 10.0.78.14 user@South# set import import-selected-routes
라우터 세 개에 대한 라우터 ID 및 AS(Autonomous System) 번호를 구성합니다.
주:이 예에서 라우터 ID는 라우터의 lo0.0 인터페이스에서 구성된 주소를 기반으로 구성됩니다.
content_copy zoom_out_mapRouter Internet [edit routing options] user@Internet# set router-id 192.168.9.1 user@Internet# set autonomous-system 65300
content_copy zoom_out_mapRouter North [edit routing options] user@North# set router-id 192.168.8.1 user@North# set autonomous-system 65200
content_copy zoom_out_mapRouter South [edit routing options] user@South# set router-id 192.168.7.1 user@South# set autonomous-system 65100
결과
구성 모드에서 show interfaces, show protocols bgp, show policy-options 및 show routing-options 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
디바이스 Internet
user@Internet# show interfaces
fe-0/1/3 {
unit 0 {
family inet {
address 10.0.89.14/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 172.16.11.1/32;
address 172.16.12.1/32;
address 172.16.13.1/32;
address 172.16.14.1/32;
address 172.16.15.1/32;
address 192.168.9.1/32;
}
}
}
user@Internet# show protocols bgp
group toNorth {
local-address 10.0.89.14;
export into-bgp;
peer-as 65200;
neighbor 10.0.89.13;
}
user@Internet# show policy-options
policy-statement into-bgp {
term 1 {
from interface lo0.0;
then accept;
}
}
user@Internet# show routing-options router-id 192.168.9.1; autonomous-system 65300;
디바이스 North
user@North# show interfaces
fe-1/3/1 {
unit 0 {
family inet {
address 10.0.78.14/30;
}
}
}
fe-1/3/0 {
unit 0 {
family inet {
address 10.0.89.13/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.8.1/32;
}
}
}
user@North# show protocols bgp
group toInternet {
local-address 10.0.89.13;
peer-as 65300;
neighbor 10.0.89.14;
}
group toSouth {
local-address 10.0.78.14;
export conditional-export-bgp;
peer-as 65100;
neighbor 10.0.78.13;
}
user@North# show policy-options
policy-statement conditional-export-bgp {
term prefix_11 {
from {
protocol bgp;
route-filter 172.16.0.0/16 orlonger;
}
then accept;
}
term conditional-default {
from {
route-filter 0.0.0.0/0 exact;
condition prefix_11;
}
then accept;
}
term others {
then reject;
}
}
condition prefix_11 {
if-route-exists {
172.16.11.1/32;
table inet.0;
}
}
user@North# show routing-options
static {
route 0.0.0.0/0 reject;
}
router-id 192.168.8.1;
autonomous-system 65200;
디바이스 South
user@South# show interfaces
fe-0/1/2 {
unit 0 {
family inet {
address 10.0.78.13/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.7.1/32;
}
}
}
user@South# show protocols bgp
bgp {
group toNorth {
local-address 10.0.78.13;
import import-selected-routes;
peer-as 65200;
neighbor 10.0.78.14;
}
}
user@South# show policy-options
policy-statement import-selected-routes {
term 1 {
from {
neighbor 10.0.78.14;
route-filter 172.16.11.1 exact;
route-filter 0.0.0.0/0 exact;
}
then accept;
}
term 2 {
then reject;
}
}
user@South# show routing-options router-id 192.168.7.1; autonomous-system 65100;
라우터 구성을 마친 경우, 구성 모드에서 commit을(를) 입력합니다.
검증
구성이 올바르게 작동하고 있는지 확인합니다.
- BGP 검증
- 라우터 Internet에서 라우터 North로의 접두사 광고 검증
- 라우터 North에서 라우스 South로의 접두사 광고 검증
- 접두사의 설치를 위한 BGP 가져오기 정책 검증
- 라우터 North에서 라우터 South로 조건부 내보내기 검증
- 정책으로 숨겨진 경로 존재 검증(옵션)
BGP 검증
목적
BGP 세션이 라우터 세 개 사이에 설정되었는지 확인합니다.
작업
운영 모드에서 show bgp neighbor neighbor-address 명령을 실행합니다.
라우터 Internet에서 BGP 세션을 확인하여 라우터 North가 neighbor인지 확인합니다.
content_copy zoom_out_mapuser@Internet> show bgp neighbor 10.0.89.13 Peer: 10.0.89.13+179 AS 65200 Local: 10.0.89.14+56187 AS 65300 Type: External State: Established Flags: [ImportEval Sync] Last State: OpenConfirm Last Event: RecvKeepAlive Last Error: None Export: [ into-bgp ] Options: [Preference LocalAddress PeerAS Refresh] Local Address: 10.0.89.14 Holdtime: 90 Preference: 170 Number of flaps: 0 Peer ID: 192.168.8.1 Local ID: 192.168.9.1 Active Holdtime: 90 Keepalive Interval: 30 Group index: 0 Peer index: 0 BFD: disabled, down Local Interface: fe-0/1/3.0 NLRI for restart configured on peer: inet-unicast NLRI advertised by peer: inet-unicast NLRI for this session: inet-unicast Peer supports Refresh capability (2) Stale routes from peer are kept for: 300 Peer does not support Restarter functionality NLRI that restart is negotiated for: inet-unicast NLRI of received end-of-rib markers: inet-unicast NLRI of all end-of-rib markers sent: inet-unicast Peer supports 4 byte AS extension (peer-as 65200) Peer does not support Addpath Table inet.0 Bit: 10000 RIB State: BGP restart is complete Send state: in sync Active prefixes: 0 Received prefixes: 0 Accepted prefixes: 0 Suppressed due to damping: 0 Advertised prefixes: 6 Last traffic (seconds): Received 9 Sent 18 Checked 28 Input messages: Total 12 Updates 1 Refreshes 0 Octets 232 Output messages: Total 14 Updates 1 Refreshes 0 Octets 383 Output Queue[0]: 0라우터 North에서 BGP 세션을 확인하여 라우터 Internet이 neighbor인지 확인합니다.
content_copy zoom_out_mapuser@North> show bgp neighbor 10.0.89.14 Peer: 10.0.89.14+56187 AS 65300 Local: 10.0.89.13+179 AS 65200 Type: External State: Established Flags: [ImportEval Sync] Last State: OpenConfirm Last Event: RecvKeepAlive Last Error: None Options: [Preference LocalAddress PeerAS Refresh] Local Address: 10.0.89.13 Holdtime: 90 Preference: 170 Number of flaps: 0 Peer ID: 192.168.9.1 Local ID: 192.168.8.1 Active Holdtime: 90 Keepalive Interval: 30 Group index: 0 Peer index: 0 BFD: disabled, down Local Interface: fe-1/3/0.0 NLRI for restart configured on peer: inet-unicast NLRI advertised by peer: inet-unicast NLRI for this session: inet-unicast Peer supports Refresh capability (2) Stale routes from peer are kept for: 300 Peer does not support Restarter functionality NLRI that restart is negotiated for: inet-unicast NLRI of received end-of-rib markers: inet-unicast NLRI of all end-of-rib markers sent: inet-unicast Peer supports 4 byte AS extension (peer-as 65300) Peer does not support Addpath Table inet.0 Bit: 10001 RIB State: BGP restart is complete Send state: in sync Active prefixes: 6 Received prefixes: 6 Accepted prefixes: 6 Suppressed due to damping: 0 Advertised prefixes: 0 Last traffic (seconds): Received 14 Sent 3 Checked 3 Input messages: Total 16 Updates 2 Refreshes 0 Octets 402 Output messages: Total 15 Updates 0 Refreshes 0 Octets 348 Output Queue[0]: 0
이 출력에서 다음 필드를 확인하여 BGP 세션이 설정되었는지 확인합니다:
Peer-피어 AS 번호가 목록에 있는지 확인합니다.
Local-로컬 AS 번호가 목록에 있는지 확인합니다.
State-값이
Established인지 확인합니다. 그렇지 않으면 구성을 다시 확인하고show bgp neighbor을(를) 입력해 출력 필드에서 더 자세한 정보를 살펴봅니다.
마찬가지로, 라우터 North 및 South가 서로 피어 관계를 형성하는지 확인합니다.
의미
BGP 세션은 라우터 세 개 사이에 설정됩니다.
라우터 Internet에서 라우터 North로의 접두사 광고 검증
목적
라우터 Internet에서 전송된 경로가 라우터 North에서 수신되는지 확인합니다.
작업
라우터 Internet의 운영 모드에서
show route advertising-protocol bgp neighbor-address명령을 실행합니다.content_copy zoom_out_mapuser@Internet> show route advertising-protocol bgp 10.0.89.13 inet.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path * 172.16.11.1/32 Self I * 172.16.12.1/32 Self I * 172.16.13.1/32 Self I * 172.16.14.1/32 Self I * 172.16.15.1/32 Self I * 192.168.9.1/32 Self I
출력으로 라우터 Internet이 라우터 North에 경로 172.16.11.1/32, 172.16.12.1/32, 172.16.13.1/32, 172.16.14.1/32, 172.16.15.1/32, 및 192.168.9.1/32(라우터 ID로 사용되는 루프백 주소)를 광고하는지 확인합니다.
라우터 North의 운영 모드에서
show route receive-protocol bgp neighbor-address명령을 실행합니다.content_copy zoom_out_mapuser@North> show route receive-protocol bgp 10.0.89.14 inet.0: 12 destinations, 12 routes (12 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path * 172.16.11.1/32 10.0.89.14 65300 I * 172.16.12.1/32 10.0.89.14 65300 I * 172.16.13.1/32 10.0.89.14 65300 I * 172.16.14.1/32 10.0.89.14 65300 I * 172.16.15.1/32 10.0.89.14 65300 I * 192.168.9.1/32 10.0.89.14 65300 I
출력으로 라우터 North가 라우터 Internet이 광고하는 모든 경로를 수신했는지 확인합니다.
의미
라우터 Internet이 전송한 접두사가 라우터 North의 라우팅 테이블에 성공적으로 설치되었습니다.
라우터 North에서 라우스 South로의 접두사 광고 검증
목적
라우터 Internet에서 수신된 경로와 정적 기본 경로가 라우터 North에서 라우터 South로 광고되는지 확인합니다.
작업
라우터 North의 운영 모드에서
show route 0/0 exact명령을 실행합니다.content_copy zoom_out_mapuser@North> show route 0/0 exact inet.0: 12 destinations, 12 routes (12 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[Static/5] 00:10:22 Reject출력으로 라우터 North의 라우팅 테이블 내 정적 기본 경로(0.0.0.0/0)의 존재를 확인합니다.
라우터 North의 운영 모드에서
show route advertising-protocol bgp neighbor-address명령을 실행합니다.content_copy zoom_out_mapuser@North> show route advertising-protocol bgp 10.0.78.13 inet.0: 12 destinations, 12 routes (12 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path * 0.0.0.0/0 Self I * 172.16.11.1/32 Self 65300 I * 172.16.12.1/32 Self 65300 I * 172.16.13.1/32 Self 65300 I * 172.16.14.1/32 Self 65300 I * 172.16.15.1/32 Self 65300 I
출력으로 라우터 North가 라우터 Internet에서 수신되는 정적 경로 및 172.16.11.1/32 경로를 광고하고 라우터 South로의 다른 여러 경로를 최대한 많이 광고하는지 확인합니다.
접두사의 설치를 위한 BGP 가져오기 정책 검증
목적
BGP 가져오기 정책이 필요한 접두사를 성공적으로 설치하는지 확인합니다.
작업
라우터 North에서 정적 기본 경로와 라우터에서 172.16.11.1/32 경로만 라우팅 테이블에 설치되었는지 확인하여 라우터 South의 가져오기 정책의 작동을 점검합니다.
운영 모드에서 show route receive-protocol bgp neighbor-address 명령을 실행합니다.
user@South> show route receive-protocol bgp 10.0.78.14 inet.0: 10 destinations, 11 routes (6 active, 0 holddown, 4 hidden) Prefix Nexthop MED Lclpref AS path * 0.0.0.0/0 10.0.78.14 65200 I * 172.16.11.1/32 10.0.78.14 65200 65300 I
출력으로 라우터 South에서 BGP 가져오기 정책이 운영되고, 라우터 North에서 0.0.0.0/0의 정적 기본 경로 및 라우터 Internet에서 172.16.11.1/32 경로만 라우터 South의 라우팅 테이블로 누수되었는지 확인합니다.
의미
구성된 BGP 가져오기 정책 덕분에 접두사의 설치가 성공적으로 작동합니다.
라우터 North에서 라우터 South로 조건부 내보내기 검증
목적
디바이스 Internet이 172.16.11.1/32 경로를 전송하지 않을 때, 디바이스 North가 기본 0/0 경로를 전송을 멈추는지 확인합니다.
작업
루프백 인터페이스의 172.16.11.1/32 주소를 비활성화하여 디바이스 Internet의 172.16.11.1/32 경로 전송을 중단합니다.
content_copy zoom_out_map[edit interfaces lo0 unit 0 family inet] user@Internet# deactivate address 172.16.11.1/32 user@Internet# commit
라우터 North의 운영 모드에서
show route advertising-protocol bgp neighbor-address명령을 실행합니다.content_copy zoom_out_mapuser@North> show route advertising-protocol bgp 10.0.78.13 inet.0: 11 destinations, 11 routes (11 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path * 172.16.12.1/32 Self 65300 I * 172.16.13.1/32 Self 65300 I * 172.16.14.1/32 Self 65300 I * 172.16.15.1/32 Self 65300 I
출력으로 라우터 North가 라우터 South로 기본 경로를 광고하지 않는다는 것을 확인합니다. 이것은 172.16.11.1/32 경로가 존재하지 않을 때 예상되는 동작입니다.
디바이스 Internet의 루프백 인터페이스에서 172.16.11.1/32 주소를 다시 활성화합니다.
content_copy zoom_out_map[edit interfaces lo0 unit 0 family inet] user@Internet# activate address 172.16.11.1/32 user@Internet# commit
