Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

방화벽 필터 및 향상된 네트워크 서비스 모드 개요

정상적인 조건에서 모든 방화벽 필터는 컴파일된 형식과 용어 기반의 두 가지 형식으로 생성됩니다. 컴파일된 형식은 라우팅 엔진(RE) 커널, FPC 및 MS-DP에서 사용됩니다. 용어 기반 형식은 MPC에서 사용됩니다. 컴파일된 방화벽 필터는 적용되는 각 인터페이스 또는 논리적 인터페이스에 대해 중복됩니다. 용어 기반 필터는 중복되는 대신 각 인터페이스 또는 논리적 인터페이스에서 참조됩니다.

MPC와 다른 카드의 조합이 섀시를 채우는 경우, 두 방화벽 필터 파일 형식의 생성이 필요합니다. 대부분의 네트워크에서 컴파일된 방화벽 필터에 대한 필터 형식과 중복의 양은 모두 생성해도 라우터에 영향을 주지 않습니다. 그러나 정적으로 구성된 수천 개의 가입자 인터페이스를 포함하는 가입자 관리 네트워크에서는 여러 형식으로 필터를 생성하고 각 인터페이스에 대해 이러한 필터를 복제하면 라우터 메모리 리소스의 상당 부분을 활용할 수 있습니다. 향상된 IP 네트워크 서비스 모드 또는 향상된 이더넷 네트워크 서비스 모드를 사용하여 정적으로 구성된 가입자 인터페이스를 사용하는 가입자 액세스 네트워크의 라우팅 필터에 특화된 확장성 및 성능을 향상시킬 수 있습니다.

인터페이스가 정적 또는 동적으로 생성되고 방화벽 필터가 동적으로 적용되는 구성에서는 섀시 네트워크 서비스가 향상된 모드에서 실행되도록 구성해야 합니다. 인터페이스가 정적으로 생성되고 방화벽 필터가 정적으로 적용되는 구성에서는 향상된 모드에서 실행되도록 섀시 네트워크 서비스를 구성하고 각 방화벽 필터도 향상된 모드로 구성해야 합니다.

메모:

컨트롤 플레인 트래픽을 위한 방화벽 필터에 대해 확장 모드를 사용하지 마십시오. 컨트롤 플레인 필터링은 라우팅 엔진 커널에 의해 처리되며, 확장 모드 필터의 용어 기반 형식을 사용할 수 없습니다.

표 1 에는 향상된 네트워크 서비스 모드 사용을 결정할 때의 구성 옵션이 나와 있습니다.

표 1: 향상된 네트워크 서비스 모드 및 방화벽 필터 사용 사례 결정

인터페이스 및 필터 구성

섀시 확장 모드 필요

방화벽 필터 고급 모드 필요

동적으로 생성된 인터페이스 및 동적으로 적용된 필터

아니요

정적으로 생성된 인터페이스 및 동적으로 적용된 필터

아니요

정적으로 생성된 인터페이스 및 정적으로 적용된 필터

라우터의 리소스를 대폭 절감하려면 다음과 같이 섀시와 필터 강화 모드 구성을 결합하십시오.

  • 섀시에 MPC만 설치합니다.

    메모:

    향상된 네트워크 서비스 모드 중 하나를 실행하도록 섀시 네트워크 서비스를 구성하면 라우터는 MPC 및 MS-DPC만 활성화합니다. MS-DPC는 향상된 네트워크 서비스 모드 중 하나로 구성된 라우터 섀시인 컴파일된 방화벽 필터 형식을 사용하므로 모든 MS-DPC와 함께 사용할 표준(향상되지 않은) 방화벽 필터를 구성하면 최적의 리소스 효율성이 감소할 수 있습니다.

  • 라우터에서 정적 인터페이스를 구성할 때 향상된 IP 네트워크 서비스 모드 또는 향상된 이더넷 네트워크 서비스 모드를 실행하도록 섀시 네트워크 서비스를 구성합니다.

  • 정적으로 생성된 인터페이스에 방화벽 필터를 정적으로 적용하는 경우, 필터 생성을 용어 기반 형식으로만 제한하도록 고급 모드에 대한 방화벽 필터를 구성합니다.

    메모:

    향상된 모드를 위해 구성되지 않은 모든 방화벽 필터는 섀시가 향상된 네트워크 서비스 모드 중 하나를 실행하는 경우에도 컴파일된 형식과 용어 기반 형식 모두로 생성됩니다. 다음 중 하나라도 참인 경우, [edit chassis network-services] 계층 수준의 문 설정에 enhanced-mode 관계없이 용어 기반(향상된) 방화벽 필터만 생성됩니다.

    • 유연한 필터 일치 조건은 또는 [edit firewall filter filter-name term term-name from] 계층 수준에서 구성됩니다[edit firewall family family-name filter filter-name term term-name from].

    • GRE 캡슐화 또는 캡슐화 해제와 같은 터널 헤더 푸시 또는 팝 동작은 계층 수준에서 구성됩니다 [edit firewall family family-name filter filter-name term term-name then] .

    • 페이로드 프로토콜 일치 조건은 또는 [edit firewall filter filter-name term term-name from] 계층 수준에서 구성됩니다[edit firewall family family-name filter filter-name term term-name from].

    • 확장-헤더 일치는 또는 [edit firewall filter filter-name term term-name from] 계층 수준에서 구성됩니다[edit firewall family family-name filter filter-name term term-name from].

    • IPv6 트래픽에 대한 방화벽 브리지 필터와 같이 MPC 카드에서만 작동하는 일치 조건이 구성됩니다.
    경고:

    이전 기준을 충족하는 방화벽 필터는 DPC 기반 FPC의 루프백 lo0 인터페이스에 적용되지 않습니다. 즉, DPC 기반 FPC의 루프백 인터페이스에서 사용하도록 구성된 용어 기반(향상된) 필터는 적용되지 않습니다. 이렇게 하면 RE가 해당 필터에 의해 보호되지 않습니다.

관련 문서