Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Visão geral dos filtros de firewall MPLS na interface de loopback

Embora todas as interfaces sejam importantes, a interface de loopback pode ser a mais importante porque é o link para o Mecanismo de Roteamento, que executa e gerencia todos os protocolos de roteamento. A interface de loopback é um gateway para todo o tráfego de controle que entra no mecanismo de roteamento do switch. Você pode controlar esse tráfego configurando um filtro de firewall na interface de loopback (lo0) em .family mpls Os filtros de firewall de loopback afetam apenas o tráfego destinado à CPU do mecanismo de roteamento. Você pode aplicar um filtro de firewall de loopback apenas na direção de entrada (pacotes que entram na interface). A partir do Junos OS Release 19.2R1, você pode aplicar um filtro de firewall MPLS em uma interface de loopback em um roteador de switch de rótulo (LSR) em QFX5100, QFX5110, QFX5200 e switches de QFX5210.

Ao configurar um filtro de firewall MPLS, você define critérios de filtragem (termos, com condições de correspondência) para os pacotes e uma ação para o switch tomar se os pacotes corresponderem aos critérios de filtragem. Como você aplica o filtro em uma interface de loopback, você deve especificar explicitamente a condição de correspondência do tempo de vida (TTL) sob e definir seu valor de TTL em 1 ().family mplsttl=1 O TTL é um campo de cabeçalho de 8 bits (IPv4) que significa o tempo restante que um pacote IP deixou antes que sua vida útil termine e seja descartado. Você também pode combinar pacotes com outras qualificatórias MPLS, como, Camada 4 e Camada 4.labelexpsource portdestination port

Benefícios da inclusão de filtros de firewall MPLS na interface de loopback

  • Protege o mecanismo de roteamento, garantindo que ele aceite o tráfego apenas de redes confiáveis.

  • Ajuda a proteger o mecanismo de roteamento contra ataques de negação de serviço.

  • Oferece a flexibilidade para combinar pacotes na porta de origem e na porta de destino. Por exemplo, se você executar um traceroute, você pode filtrar o tráfego seletivamente escolhendo TCP ou UDP.

Diretrizes e limitações

  • Você pode aplicar um filtro de firewall de loopback apenas na direção de entrada

  • Apenas os campos MPLS e os campos de Camada 4 e os números de porta são suportados.labelexpttl=1tcpudp

  • Apenas , e as ações são apoiadas.acceptdiscardcount

  • Você deve especificar explicitamente abaixo para combinar em pacotes TLL.ttl=1family mpls

  • Os filtros aplicados na interface de loopback não podem ser combinados na porta de destino (carga interna) de um pacote IPv6.

  • Você não pode aplicar um filtro em pacotes que tenham mais de duas etiquetas MPLS.

  • Você não pode especificar um intervalo de portas para condições de correspondência de TCP ou UDP.

  • Apenas 255 termos de firewall são suportados.

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
19.2R1
A partir do Junos OS Release 19.2R1, você pode aplicar um filtro de firewall MPLS em uma interface de loopback em um roteador de switch de rótulo (LSR) em QFX5100, QFX5110, QFX5200 e switches de QFX5210.