Condições de correspondência do filtro de firewall para tráfego MPLS

Você pode configurar um filtro de firewall com condições de correspondência para tráfego MPLS (family mpls).

As input-list filter-names declarações e output-list filter-names declarações para filtros de firewall para a família de mpls protocolo são suportadas em todas as interfaces, exceto interfaces de gerenciamento e interfaces internas de Ethernet (fxp ou em0), interfaces de loopback (lo0) e interfaces de modem USB (umd)
Se um pacote tiver vários rótulos MPLS, o filtro aplica as condições de correspondência apenas ao rótulo inferior na pilha de rótulos.
(QFX5100, QFX5110, QFX5200, QFX5210) Se você estiver aplicando um filtro MPLS em uma interface de loopback, você só pode filtrar nos labelcampos de número de camada expttl=14 tcp e udp de porta. Para TTL, você deve especificar ttl=1 explicitamente abaixo family mpls para combinar em pacotes TTL=1. As únicas ações que você pode configurar são accept, discarde count. Você só pode aplicar o filtro na direção da entrada.
Para roteadores da Série MX com MPC e MIC, você pode aplicar filtros de entrada e saída para a família MPLS com base em parâmetros IPv4 e IPv6 marcados por MPLS usando condições internas de correspondência de carga, e permitir o espelhamento de porta seletiva do tráfego MPLS até um dispositivo de monitoramento (começando no Junos OS Release 18.4R1). Para filtragem baseada em IP, condições adicionais de correspondência estão disponíveis sob o parâmetro de termo from do filtro MPLS e para oferecer suporte a espelhamento de porta, ações adicionais (como espelho de porta e instância espelho de porta), estão disponíveis sob o parâmetro do termo thenfiltro.

Tabela 1 descreve o match-conditions que você pode configurar no nível da [edit firewall family mpls filter filter-name term term-name from] hierarquia.

Tabela 1: Condições de correspondência do filtro de firewall para tráfego MPLS
Condição de correspondência	Descrição
`apply-groups`	Especifique de quais grupos herdar dados de configuração. Você pode especificar mais de um nome de grupo. Você deve listá-los por ordem de prioridade de herança. Os dados de configuração do primeiro grupo têm prioridade sobre os dados em grupos subsequentes.
`apply-groups-except`	Especifique de quais grupos não herdar dados de configuração. Você pode especificar mais de um nome de grupo.
`destination-port number`	Combine no campo de porta de destino UDP ou TCP. No lugar do valor numérico, você pode especificar um dos seguintes sínodos de texto (os números da porta também estão listados): `afs`(1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), (21) `eklogin` 05), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), `mobileip-agent` (434), `mobilip-mn` (435), `msdp` (639), `netbios-dgm` (138), `netbios-ns` (137), (139), (2049), (119), (518), (137), `netbios-ssn` (139), `nfsd` (2049), `nntp` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), (44) `snpp` 4), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513) ou `xdmcp` (177).
`exp number`	Número de bit experimental (EXP) ou faixa de números de bits no cabeçalho MPLS de um pacote. Para `número`, você pode especificar um ou mais valores de 0 a 7 em formato binário, decimal ou hexadecimal, conforme dado abaixo: Um único bit EXP — por exemplo, `exp 3` Vários bits EXP — por exemplo, `exp 0,4` Uma variedade de bits EXP , por exemplo, `exp [0-5]`. Esses valores não são suportados em filtros aplicados à interface de loopback. Nota: Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX.
`exp-except number`	Não corresponda ao número de bits EXP ou à faixa de números de bits no cabeçalho MPLS. Para `number`, você pode especificar um ou mais valores de `0` até `7`. Nota: Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX.
`forwarding-class class`	Aula de encaminhamento. Especifique`assured-forwarding`, `best-effortexpedited-forwarding`ou `network-control`.
`forwarding-class-except class`	Não corresponda à classe de encaminhamento. Especifique`assured-forwarding`, `best-effortexpedited-forwarding`ou `network-control`.
`interface interface-name`	Interface na qual o pacote foi recebido. Você pode configurar uma condição de correspondência que corresponda aos pacotes com base na interface na qual eles foram recebidos. Nota: Se você configurar essa condição de correspondência com uma interface que não existe, o termo não corresponde a nenhum pacote.
`interface-set interface-set-name`	Corresponda à interface na qual o pacote foi recebido ao conjunto de interface especificado. Para definir um conjunto de interface, inclua a `interface-set` declaração no nível de `[edit firewall]` hierarquia. Nota: Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX. Para obter mais informações, consulte Filtragem de pacotes recebidos em uma visão geral do conjunto de interface.
`ip-version number`	(Interfaces sobre concentradores PIC flexíveis de dimensionamento aprimorado [FPCs] apenas em roteadores da Série T suportados) Versão ip interna. Para combinar pacotes IPv4 marcados por MPLS, combine com o sínodo `ipv4`de texto. Nota: Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX.
`label number`	Valor de rótulo MPLS ou faixa de valores de rótulo no cabeçalho MPLS de um pacote. Para `número`, você pode especificar um ou mais valores de 0 a 1048575 em formato decimal ou hexadecimal, conforme dado abaixo: Um único rótulo — por exemplo, `label 3` Vários rótulos — por exemplo, `label 0,4` Uma variedade de rótulos — por exemplo, `label [0-5]`. Esses valores não são suportados em filtros aplicados à interface de loopback.
`loss-priority level`	Corresponda ao nível de prioridade de perda de pacotes (PLP). Especifique um único nível ou vários níveis: `low`, `medium-lowmedium-high`ou`high`. Suporte para roteadores M120 e M320; Roteadores M7i e M10i com CFEB aprimorado (CFEB-E); e roteadores da Série MX e switches da Série EX. Para tráfego IP em roteadores M320, Série MX e T com concentradores PIC flexíveis (FPCs) aprimorados e switches da Série EX, você deve incluir a `tri-color` declaração no nível de `[edit class-of-service]` hierarquia para comprometer uma configuração PLP com qualquer um dos quatro níveis especificados. Se a `tri-color` declaração não estiver ativada, você só poderá configurar os níveis e `low` os `high` níveis. Isso se aplica a todas as famílias de protocolo. Para obter informações sobre a `tri-color` declaração, consulte Configuração e aplicação de policiais tricolores de marcação. Para obter informações sobre o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes recebidos, veja Como as aulas de encaminhamento atribuem aulas para filas de saída.
`loss-priority-except level`	Não corresponda ao nível de PLP. Para obter detalhes, veja a condição da `loss-priority` partida. Nota: Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX.
`source-port number`	Combine no campo de porta de origem TCP ou UDP. Você não pode especificar as `port` condições e `source-port` combinar no mesmo termo. Se você configurar essa condição de correspondência para o tráfego IPv4, recomendamos que você também configure a `protocol udp` declaração ou `protocol tcp` correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta. No lugar do campo numérico, você pode especificar um dos sínodos de texto listados em `destination-port`.
`ttl number`	Time To Live (TTL) é um campo de 8 bits no rótulo MPLS que significa o tempo restante que um pacote deixou antes que sua vida útil termine e seja descartado. Para `número`, você pode especificar um valor de 0 a 255.

Tabela 2 descreve as ações que você pode configurar para filtros de firewall MPLS no nível de [edit firewall family mpls filter filter-name term term-name then] hierarquia.

Tabela 2: Ações suportadas para filtros de firewall MPLS
Ação	Descrição
`accept`	Aceitar um pacote
`count counter-name`	Conte o número de pacotes que passam por este filtro ou termo. Nota: Recomendamos que você configure um contador para cada termo em um filtro de firewall, para que você possa monitorar o número de pacotes que correspondem às condições especificadas em cada termo de filtro.
`discard`	Descarte um pacote silenciosamente sem enviar uma mensagem do Protocolo de Mensagem de Controle de Internet (ICMP)
`policer`	Começando pelo Junos OS 13.2X51-D15, você pode enviar o tráfego compatível com um filtro MPLS para um policial de duas cores.
`three-color-policer`	Começando pelo Junos OS 13.2X51-D15, você pode enviar tráfego compatível com um filtro MPLS para um policial tricolor.

Condições de correspondência do filtro de firewall para tráfego MPLS

Tópicos relacionados