Visão geral dos filtros de firewall MPLS na interface de loopback
Embora todas as interfaces sejam importantes, a interface de loopback pode ser a mais importante porque é o link para o Mecanismo de Roteamento, que executa e gerencia todos os protocolos de roteamento. A interface de loopback é um gateway para todo o tráfego de controle que entra no mecanismo de roteamento do switch. Você pode controlar esse tráfego configurando um filtro de firewall na interface de loopback (lo0) em family mpls
. Os filtros de firewall de loopback afetam apenas o tráfego destinado à CPU do mecanismo de roteamento. Você pode aplicar um filtro de firewall de loopback apenas na direção de entrada (pacotes que entram na interface). A partir do Junos OS Release 19.2R1, você pode aplicar um filtro de firewall MPLS em uma interface de loopback em um roteador de switch de rótulo (LSR) em QFX5100, QFX5110, QFX5200 e switches de QFX5210.
Ao configurar um filtro de firewall MPLS, você define critérios de filtragem (termos, com condições de correspondência) para os pacotes e uma ação para o switch tomar se os pacotes corresponderem aos critérios de filtragem. Como você aplica o filtro em uma interface de loopback, você deve especificar explicitamente a condição family mpls
de correspondência do tempo de vida (TTL) sob e definir seu valor de TTL em 1 (ttl=1
). O TTL é um campo de cabeçalho de 8 bits (IPv4) que significa o tempo restante que um pacote IP deixou antes que sua vida útil termine e seja descartado. Você também pode combinar pacotes com outras qualificatórias MPLS, comolabel
, Camada 4 source port
e Camada 4destination port
exp
.
Benefícios da inclusão de filtros de firewall MPLS na interface de loopback
Protege o mecanismo de roteamento, garantindo que ele aceite o tráfego apenas de redes confiáveis.
Ajuda a proteger o mecanismo de roteamento contra ataques de negação de serviço.
Oferece a flexibilidade para combinar pacotes na porta de origem e na porta de destino. Por exemplo, se você executar um traceroute, você pode filtrar o tráfego seletivamente escolhendo TCP ou UDP.
Diretrizes e limitações
Você pode aplicar um filtro de firewall de loopback apenas na direção de entrada
Apenas os campos
label
MPLS ettl=1
exp
os campostcp
de Camada 4 eudp
os números de porta são suportados.Apenas
accept
,discard
ecount
as ações são apoiadas.Você deve especificar
ttl=1
explicitamente abaixofamily mpls
para combinar em pacotes TLL.Os filtros aplicados na interface de loopback não podem ser combinados na porta de destino (carga interna) de um pacote IPv6.
Você não pode aplicar um filtro em pacotes que tenham mais de duas etiquetas MPLS.
Você não pode especificar um intervalo de portas para condições de correspondência de TCP ou UDP.
Apenas 255 termos de firewall são suportados.
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.