Visão geral dos filtros de firewall MPLS na interface de loopback
Embora todas as interfaces sejam importantes, a interface de loopback pode ser a mais importante porque é o enlace com o Mecanismo de Roteamento, que executa e gerencia todos os protocolos de roteamento. A interface de loopback é um gateway para todo o tráfego de controle que entra no mecanismo de roteamento do switch. Você pode controlar esse tráfego configurando um filtro de firewall na interface de loopback (lo0) em family mpls
. Os filtros de firewall de loopback afetam apenas o tráfego destinado à CPU do mecanismo de roteamento. Você pode aplicar um filtro de firewall de loopback apenas na direção de entrada (pacotes que entram na interface). A partir do Junos OS Release 19.2R1, você pode aplicar um filtro de firewall MPLS a uma interface de loopback em um roteador de switch de rótulo (LSR) nos switches QFX5100, QFX5110, QFX5200 e QFX5210.
Ao configurar um filtro de firewall MPLS, você define critérios de filtragem (termos, com condições de correspondência) para os pacotes e uma ação para o switch tomar se os pacotes corresponderem aos critérios de filtragem. Como você aplica o filtro em uma interface de loopback, você deve especificar explicitamente a condição de correspondência ao vivo (TTL) embaixo family mpls
e definir seu valor de TTL para 1 (ttl=1
). O TTL é um campo de cabeçalho de 8 bits (IPv4) que significa o tempo restante que um pacote IP deixou antes que sua vida útil termine e seja descartado. Você também pode combinar pacotes com outras qualificações MPLS, como label
, Camada 4 source port
e Camada 4 destination port
exp
.
Benefícios da inclusão de filtros de firewall MPLS na interface de loopback
Protege o mecanismo de roteamento, garantindo que ele aceite o tráfego apenas de redes confiáveis.
Ajuda a proteger o mecanismo de roteamento contra ataques de negação de serviço.
Oferece a flexibilidade de combinar pacotes na porta de origem e na porta de destino. Por exemplo, se você executar um traceroute, você pode filtrar o tráfego seletivamente escolhendo TCP ou UDP.
Diretrizes e limitações
Você pode aplicar um filtro de firewall de loopback apenas na direção de entrada
Apenas campos
label
MPLS,exp
ttl=1
e os números de campostcp
eudp
portas de Camada 4 são suportados.Somente
accept
,discard
ecount
as ações são apoiadas.Você deve especificar
ttl=1
explicitamente abaixofamily mpls
para combinar em pacotes TLL.Os filtros aplicados na interface de loopback não podem ser combinados na porta de destino (carga interna) de um pacote IPv6.
Você não pode aplicar um filtro em pacotes com mais de dois rótulos MPLS.
Você não pode especificar uma faixa de porta para condições de correspondência de TCP ou UDP.
Apenas 255 termos de firewall são suportados.