- play_arrow Junos 라우팅 정책 이해 및 구성
- play_arrow 개요
- play_arrow 일치 조건, 작업, 용어 및 표현식을 사용한 라우팅 정책 평가
- 라우팅 정책 평가 방법
- 라우팅 정책 일치 조건의 범주
- 라우팅 정책 일치 조건
- 경로 필터 일치 조건
- 라우팅 정책 용어의 작업
- 라우팅 정책 작업 요약
- 예: 내부 피어에 최고의 외부 경로를 보급하는 라우팅 정책 구성
- 예: 비활성 경로를 보급하는 BGP 구성
- 예: 라우팅 정책을 사용하여 BGP 경로에 대한 기본 설정 값 지정
- 예: BGP 경로 보급 활성화
- 예: 알려진 잘못된 경로 거부
- 예: ISP 네트워크에서 라우팅 정책 사용
- 정책 표현식 이해
- OSPF 프로토콜에 대한 백업 선택 정책 이해
- OSPF 프로토콜에 대한 백업 선택 정책 구성
- IS-IS 프로토콜에 대한 백업 선택 정책 구성
- 예: OSPF 또는 OSPF3 프로토콜에 대한 백업 선택 정책 구성
- play_arrow 정책 체인 및 서브루틴을 사용하여 복잡한 케이스 평가
- play_arrow 경로 필터 및 접두사 목록을 일치 조건으로 구성
- 라우팅 정책 일치 조건에서 사용하기 위한 경로 필터 이해하기
- 라우팅 정책 일치 조건에서 사용하기 위한 경로 필터 및 소스 주소 필터 목록 이해
- 원본 또는 대상 IP만 사용하는 로드 밸런싱 이해
- 소스 또는 대상 IP만 사용하여 로드 밸런싱 구성
- 경로 필터에 대한 워크업 개요
- 운영 효율성 향상을 위한 경로 필터의 워크업 구성
- 예: 경로 필터 목록 구성
- 예: 운영 효율성 향상을 위해 전역적으로 경로 필터에 대한 워크업 구성
- 예: 운영 효율성 향상을 위해 로컬에서 경로 필터에 대한 워크업 구성
- 예: OSPF를 통해 학습된 접두사의 우선 순위를 지정하도록 경로 필터 정책 구성
- 예: 경로 필터를 사용하여 MED 구성
- 예: 경로 필터를 위한 레이어 3 VPN 프로토콜 제품군 한정자 구성
- 라우팅 정책 일치 조건에서 사용하기 위한 접두사 목록 이해하기
- 예: 라우팅 정책 접두사 목록 구성
- 예: RPD 인프라에서 경로 접두사에 대한 우선 순위 구성
- RPD 인프라에서 경로 접두사에 대한 우선 순위 구성
- play_arrow AS 경로를 일치 조건으로 구성
- play_arrow 일치 조건으로 커뮤니티 구성
- play_arrow BGP 경로 플래핑 작업으로 네트워크 안정성 향상
- play_arrow 소스 클래스 사용량 및 대상 클래스 사용 작업으로 트래픽 사용량 추적
- 소스 클래스 사용 및 대상 클래스 사용 옵션 이해
- 소스 클래스 사용 개요
- SCU 구성 지침
- SCU에 대한 시스템 요구 사항
- SCU의 용어 및 약어
- SCU 구성을 위한 로드맵
- 레이어 3 VPN으로 SCU를 구성하기 위한 로드맵
- 라우팅 정책에서 경로 필터 및 소스 클래스 구성
- 포워딩 테이블에 정책 적용
- 인바운드 및 아웃바운드 인터페이스에서 계정 사용
- 송신 PE 라우터의 vt 인터페이스에서 입력 SCU 구성
- SCU 지원 vt 인터페이스를 VRF 인스턴스에 매핑
- 출력 인터페이스에서 SCU 구성
- SCU 클래스와 어카운팅 프로파일 연결
- SCU 어카운팅 프로파일 확인
- SCU 구성
- SCU(레이어 3 VPN 구성 포함)
- 예: 소스 및 대상 접두사를 포워딩 클래스로 그룹화
- play_arrow 조건부 라우팅 정책으로 트래픽 라우팅 위협 방지
- play_arrow 폐기 인터페이스로 트래픽을 전달하여 DoS 공격으로부터 보호
- play_arrow 동적 라우팅 정책으로 커밋 시간 개선
- play_arrow 라우팅 정책을 적용하기 전에 테스트하기
-
- play_arrow 방화벽 필터 구성
- play_arrow 방화벽 필터가 네트워크를 보호하는 방법 이해
- play_arrow 방화벽 필터 일치 조건 및 작업
- 방화벽 필터 개요(OCX 시리즈)
- ACX 시리즈 라우터의 방화벽 필터 프로필 개요(Junos OS Evolved)
- 방화벽 필터 일치 조건 이해
- 방화벽 필터 계획 이해
- 방화벽 필터 평가 방법 이해
- 방화벽 필터 일치 조건 이해
- 방화벽 필터 FMC(Flexible Match Condition)
- 방화벽 필터 비 종료 동작
- 방화벽 필터 종료 동작
- 방화벽 필터 일치 조건 및 작업(ACX 시리즈 라우터)
- ACX 시리즈 라우터의 방화벽 필터 일치 조건 및 동작(Junos OS Evolved)
- 프로토콜 독립적 트래픽에 대한 방화벽 필터 일치 조건
- IPv4 트래픽 방화벽 일치 조건
- IPv6 트래픽에 대한 방화벽 필터 일치 조건
- 숫자 또는 텍스트 별칭을 기반으로 한 방화벽 필터 일치 조건
- 비트 필드 값에 기반한 방화벽 필터 일치 조건
- 주소 필드를 기반으로 한 방화벽 필터 일치 조건
- 주소 클래스에 기반한 방화벽 필터 일치 조건
- MPLS 트래픽의 IP 기반 필터링 및 선택적 포트 미러링 이해
- MPLS 트래픽에 대한 방화벽 필터 일치 조건
- MPLS 태그 지정된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건
- VPLS 트래픽에 대한 방화벽 필터 일치 조건
- 레이어 2 CCC 트래픽에 대한 방화벽 필터 일치 조건
- 레이어 2 브리징 트래픽에 대한 방화벽 필터 일치 조건
- 루프백 인터페이스의 방화벽 필터 지원
- play_arrow 라우팅 엔진 트래픽에 방화벽 필터 적용
- 레이어 3 VPN의 라우팅 인스턴스에 대한 루프백 인터페이스에서 논리적 단위 구성
- 예: 접두사 목록을 기반으로 포트에 대한 TCP 액세스를 제한하는 필터 구성
- 예: 신뢰할 수 있는 소스의 트래픽을 허용하도록 상태 비저장 방화벽 필터 구성
- 예: Block Telnet 및 SSH 액세스에 대한 필터 구성
- 예: TFTP 액세스를 차단하는 필터 구성
- 예: IPv6 TCP 플래그를 기반으로 패킷을 수락하도록 필터 구성
- 예: 지정된 BGP 피어를 제외하고 포트에 대한 TCP 액세스를 차단하는 필터 구성
- 예: TCP 및 ICMP 플러드로부터 보호하기 위한 무상태 방화벽 필터 구성
- 예: 초당 패킷 속도 제한 필터로 라우팅 엔진 보호
- 예: LAC 가입자에 대한 DHCPv6 및 ICMPv6 제어 트래픽을 제외하도록 필터 구성
- DHCP 방화벽 필터에 대한 포트 번호 요구 사항
- 예: 라우팅 엔진 보호를 위한 DHCP 방화벽 필터 구성
- play_arrow 전송 트래픽에 방화벽 필터 적용
- 예: 수신 큐잉 필터로 사용하기 위한 필터 구성
- 예: IPv6 플래그와 일치하도록 필터 구성
- 예: 포트 및 프로토콜 필드에서 일치하도록 필터 구성
- 예: 수락 및 거부된 패킷을 계산하도록 필터 구성
- 예: IP 옵션 패킷을 카운트하고 삭제하도록 필터 구성
- 예: IP 옵션 패킷을 계산하도록 필터 구성
- 예: 수락된 패킷을 카운트 및 샘플링하도록 필터 구성
- 예: DSCP 비트를 0으로 설정하는 필터 구성
- 예: DSCP 비트를 0으로 설정하는 필터 구성
- 예: 관련 없는 두 기준에서 일치하도록 필터 구성
- 예: 주소를 기반으로 DHCP 패킷을 수락하도록 필터 구성
- 예: 접두사에서 OSPF 패킷을 수락하도록 필터 구성
- 예: 프래그먼트를 처리하기 위한 상태 비저장 방화벽 필터 구성
- IPv4 패킷 단편화를 방지하거나 허용하도록 방화벽 필터 구성
- Mobility Extension 헤더가 있는 수신 IPv6 패킷을 삭제하도록 방화벽 필터 구성
- 예: IPv6 소스 또는 대상 IP 주소를 기반으로 송신 필터 구성
- 예: 대상 클래스를 기반으로 속도 제한 필터 구성
- play_arrow 논리적 시스템에서 방화벽 필터 구성
- 논리적 시스템의 방화벽 필터 개요
- 논리적 시스템에서 방화벽 필터를 구성하고 적용하기 위한 지침
- 논리적 시스템의 방화벽 필터에서 하위 개체에 대한 참조
- 논리적 시스템의 방화벽 필터에서 비방화벽 개체에 대한 참조
- 논리적 시스템의 비방화벽 개체에서 방화벽 필터로의 참조
- 예: 필터 기반 전달 구성
- 예: 논리적 시스템에서 필터 기반 전달 구성
- 예: ICMP 플러드로부터 논리적 시스템을 보호하기 위한 무상태 방화벽 필터 구성
- 예: ICMP 플러드로부터 논리적 시스템을 보호하기 위한 무상태 방화벽 필터 구성
- 논리적 시스템에 대해 지원되지 않는 방화벽 필터 문
- 논리적 시스템의 방화벽 필터에 대해 지원되지 않는 작업
- 라우팅 인스턴스에 대한 필터 기반 전달
- ACX 시리즈 라우터의 라우팅 인스턴스에 대한 포워딩 테이블 필터
- 포워딩 테이블 필터 구성
- play_arrow 방화벽 필터 계정 및 로깅 구성
- play_arrow 단일 인터페이스에 여러 방화벽 필터 연결
- 인터페이스에 방화벽 필터 적용
- 방화벽 필터 구성
- Multifield Classifier Example: 멀티필드 분류 구성
- MPC를 사용하는 MX 시리즈 라우터의 수신 큐잉을 위한 멀티필드 분류자
- 패킷 전달 동작을 지정하기 위해 방화벽 필터에 다중 필드 분류자 할당(CLI 절차)
- 중첩된 구성의 여러 방화벽 필터 이해
- 여러 방화벽 필터에 대한 참조 중첩에 대한 지침
- 목록으로 적용된 여러 방화벽 필터 이해
- 여러 방화벽 필터를 목록으로 적용하기 위한 지침
- 예: 여러 방화벽 필터 목록 적용
- 예: 여러 방화벽 필터에 대한 참조 중첩
- 예: 인터페이스 세트에서 수신된 패킷 필터링
- play_arrow 단일 방화벽 필터를 여러 인터페이스에 연결
- play_arrow IP 네트워크에서 필터 기반 터널링 구성
- play_arrow 서비스 필터 구성
- play_arrow 단순 필터 구성
- play_arrow 레이어 2 방화벽 필터 구성
- play_arrow 포워딩, 프래그먼트 및 폴리싱을 위한 방화벽 필터 구성
- play_arrow 방화벽 필터 구성(EX 시리즈 스위치)
- EX 시리즈 스위치용 방화벽 필터 개요
- 방화벽 필터 계획 이해
- 방화벽 필터 일치 조건 이해
- 방화벽 필터가 패킷 흐름을 제어하는 방법 이해
- 방화벽 필터 평가 방법 이해
- EX 시리즈 스위치에서 브리징 및 라우팅된 패킷에 대한 방화벽 필터 처리 지점 이해
- EX 시리즈 스위치의 방화벽 필터 매치 조건, 동작 및 동작 수정
- EX 시리즈 스위치의 방화벽 필터 일치 조건, 작업 및 작업 수정자를 위한 플랫폼 지원
- 스위치의 루프백 방화벽 필터에 대한 일치 조건 및 작업 지원
- 방화벽 필터 구성(CLI 절차)
- 방화벽 필터가 패킷의 프로토콜을 테스트하는 방법 이해
- EX 시리즈 스위치에 대한 필터 기반 포워딩 이해
- 예: EX 시리즈 스위치에서 포트, VLAN, 라우터 트래픽의 방화벽 필터 구성하기
- 예: EX 시리즈 스위치의 관리 인터페이스에 방화벽 필터 구성
- 예: 라우트 애플리케이션 트래픽-보안 장치에 필터 기반 포워딩 사용
- 예: 802.1X 또는 MAC RADIUS 인증이 활성화된 인터페이스의 여러 요청자에 방화벽 필터 적용
- 폴리서의 작동 여부 확인
- 방화벽 필터 문제 해결
- play_arrow 방화벽 필터 구성(QFX 시리즈 스위치, EX4600 스위치, PTX 시리즈 라우터)
- 방화벽 필터 개요(QFX 시리즈)
- 방화벽 필터 계획 이해
- 생성할 방화벽 필터 수 계획
- 방화벽 필터 일치 조건 및 조치(QFX 및 EX 시리즈 스위치)
- 방화벽 필터 일치 조건 및 동작(QFX10000 스위치)
- 방화벽 필터 일치 조건 및 작업(PTX 시리즈 라우터)
- PTX 시리즈 패킷 전송 라우터와 T 시리즈 매트릭스 라우터의 방화벽 및 폴리싱 차이점
- 방화벽 필터 구성
- 인터페이스에 방화벽 필터 적용
- 루프백 인터페이스의 MPLS 방화벽 필터 개요
- 스위치에서 MPLS 방화벽 필터 및 폴리서 구성
- 라우터에서 MPLS 방화벽 필터 및 폴리서 구성
- MPLS 방화벽 필터 및 폴리서 구성
- 방화벽 필터가 프로토콜을 테스트하는 방법 이해
- 브리지 및 라우팅된 패킷에 대한 방화벽 필터 처리 지점 이해
- 필터 기반 전달 이해
- 예: 라우트 애플리케이션 트래픽-보안 장치에 필터 기반 포워딩 사용
- GRE 또는 IPIP 트래픽의 캡슐화 해제를 위한 방화벽 필터 구성
- 방화벽 필터가 작동하는지 확인
- 방화벽 필터 트래픽 모니터링
- 방화벽 필터 구성 문제 해결
- play_arrow 방화벽 필터 어카운팅 및 로깅 구성(EX9200 스위치)
-
- play_arrow 구성 명령문 및 작동 명령
- play_arrow 문제 해결
- play_arrow 기술 자료
-
예: ARP 폴리서 구성
이 예는 SRX 시리즈 방화벽에서 ARP(Address Resolution Protocol) 폴리서를 구성하는 방법을 보여줍니다.
MX 시리즈 라우터의 유사 회선 인터페이스에 대한 ARP 폴리서에 대한 지원은 Junos OS 릴리스 20.2R1에서 사용할 수 있습니다. 구성 원칙은 여기에 표시된 것과 동일합니다.
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
SRX 시리즈 방화벽.
Junos OS 릴리스 18.4R1 이상.
시작하기 전에 을 참조하십시오 ARP 폴리서 개요.
개요
ARP는 MAC 주소를 IP 주소에 매핑하는 데 사용됩니다. ARP는 IP 주소(논리적 주소)를 올바른 MAC 주소에 동적으로 바인딩합니다. IP 유니캐스트 패킷을 전송하기 전에, ARP는 IP 주소가 구성된 이더넷 인터페이스에서 사용한 MAC 주소를 검색합니다. 이 기능은 모든 SRX 시리즈 방화벽에서 지원됩니다. SRX 시리즈 방화벽에서 라우팅 엔진에 대한 트래픽은 ARP에 폴리서를 적용하여 제어됩니다. 이를 통해 브로드캐스트 스톰으로 인한 네트워크 혼잡을 방지할 수 있습니다.
라는 __default_arp_policer__ 기본 ARP 폴리서는 기본적으로 구성된 모든 이더넷 인터페이스에서 family inet 사용 및 공유됩니다.
MX 시리즈 라우터에서는 유사 회선 인터페이스에서 ARP 트래픽에 대한 폴리서를 생성할 수 있습니다. (방화벽 폴리서의 대역폭 및 버스트 크기 제한을 지정하고 다른 인터페이스와 마찬가지로 정책을 의사 회선 인터페이스에 연결하여 폴리서에 대한 속도 제한을 구성하고, 계층 수준에서 의사 회선 인터페이스에 [edit interfaces interface-name unit unit-number family inet policer arp policy-name] ARP 폴리서를 적용합니다. 지정된 속도 제한을 초과하는 트래픽은 삭제되거나 낮은 우선 순위로 표시되고 혼잡이 허용될 때 전달될 수 있습니다.
구성
이 예에서는 대역폭 및 버스트 크기 제한을 지정하여 폴리서에 대한 속도 제한을 구성하는 방법을 보여줍니다.
인터페이스에서 ARP 폴리서 구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.
set firewall policer arp_limit if-exceeding bandwidth-limit 1m set firewall policer arp_limit if-exceeding burst-size-limit 1m set firewall policer arp_limit then discard set interfaces ge-0/0/7 unit 0 family inet policer arp arp_limit
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이 작업을 수행하는 방법에 대한 지침은 CLI 사용자 가이드의 을 참조하십시오구성 모드에서 CLI 편집기 사용.
ARP 폴리서를 구성하려면 다음을 수행합니다.
폴리서의 이름을 지정합니다.
content_copy zoom_out_map[edit firewall] user@host# set policer arp-limit
폴리서에 대한 속도 제한을 구성합니다.
인터페이스의 트래픽 속도를 제어하기 위해 초당 비트 수(bps)로 대역폭 제한을 지정합니다.
content_copy zoom_out_map[edit firewall policer arp_limit] user@host# set if-exceeding bandwidth-limit 1m
대역폭 제한 범위는 1에서 150,000bps까지입니다.
버스트 크기 제한(바이트 단위의 최대 허용 버스트 크기)을 지정하여 트래픽 버스트 양을 제어합니다.
content_copy zoom_out_map[edit firewall policer arp_limit] user@host# set if-exceeding burst-size-limit 1m
버스트 크기 제한 값을 결정하려면 필터가 적용되는 인터페이스의 대역폭에 해당 대역폭에서 트래픽 버스트가 발생할 수 있는 시간을 곱합니다.
버스트 크기 = (대역폭) * (버스트 트래픽에 허용되는 시간)
버스트 크기 제한의 범위는 1바이트에서 150,00바이트입니다.
속도 제한을 초과하는 패킷을 삭제하려면 폴리서 작업 discard를 지정합니다.
content_copy zoom_out_map[edit firewall] user@host# set policer arp_limit then discard
폐기는 유일하게 지원되는 폴리서 작업입니다.
인터페이스를 구성합니다.
content_copy zoom_out_mapuser@host# set interfaces ge-0/0/7 unit 0 family inet policer arp arp_limit
결과
구성 모드에서 show firewall 명령을 입력하여 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 수정하십시오.
[edit]
user@host# show firewall
policer arp_limit {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1m;
}
then discard;
}
[edit]
user@host# show interfaces
ge-0/0/7 {
unit 0 {
family inet {
policer {
arp arp_limit;
}
}
}
}
디바이스 구성을 완료한 후 구성 모드에서 을 입력합니다 commit .
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
arp 폴리서의 결과 확인
목적
Arp 폴리서의 결과를 확인합니다.
작업
운영 모드의 구성 상단에서 명령을 입력합니다 show policer policer-name .
user@host> show policer arp_limit-ge-0/0/7.0-inet-arp Policers: Name Bytes Packets arp_limit-ge-0/0/7.0-inet-arp 0 0
의미
명령은 show policer policer-name 디바이스에 구성된 모든 방화벽 필터 및 폴리서의 이름을 표시합니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.
