Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Visão geral dos filtros de firewall MPLS na interface de loopback

Embora todas as interfaces sejam importantes, a interface de loopback pode ser a mais importante porque é o enlace com o Mecanismo de Roteamento, que executa e gerencia todos os protocolos de roteamento. A interface de loopback é um gateway para todo o tráfego de controle que entra no mecanismo de roteamento do switch. Você pode controlar esse tráfego configurando um filtro de firewall na interface de loopback (lo0) em family mpls. Os filtros de firewall de loopback afetam apenas o tráfego destinado à CPU do mecanismo de roteamento. Você pode aplicar um filtro de firewall de loopback apenas na direção de entrada (pacotes que entram na interface). A partir do Junos OS Release 19.2R1, você pode aplicar um filtro de firewall MPLS a uma interface de loopback em um roteador de switch de rótulo (LSR) nos switches QFX5100, QFX5110, QFX5200 e QFX5210.

Ao configurar um filtro de firewall MPLS, você define critérios de filtragem (termos, com condições de correspondência) para os pacotes e uma ação para o switch tomar se os pacotes corresponderem aos critérios de filtragem. Como você aplica o filtro em uma interface de loopback, você deve especificar explicitamente a condição de correspondência ao vivo (TTL) embaixo family mpls e definir seu valor de TTL para 1 (ttl=1). O TTL é um campo de cabeçalho de 8 bits (IPv4) que significa o tempo restante que um pacote IP deixou antes que sua vida útil termine e seja descartado. Você também pode combinar pacotes com outras qualificações MPLS, como label, Camada 4 source porte Camada 4 destination portexp.

Benefícios da inclusão de filtros de firewall MPLS na interface de loopback

  • Protege o mecanismo de roteamento, garantindo que ele aceite o tráfego apenas de redes confiáveis.

  • Ajuda a proteger o mecanismo de roteamento contra ataques de negação de serviço.

  • Oferece a flexibilidade de combinar pacotes na porta de origem e na porta de destino. Por exemplo, se você executar um traceroute, você pode filtrar o tráfego seletivamente escolhendo TCP ou UDP.

Diretrizes e limitações

  • Você pode aplicar um filtro de firewall de loopback apenas na direção de entrada

  • Apenas campos labelMPLS, expttl=1 e os números de campos tcp e udp portas de Camada 4 são suportados.

  • Somente accept, discarde count as ações são apoiadas.

  • Você deve especificar ttl=1 explicitamente abaixo family mpls para combinar em pacotes TLL.

  • Os filtros aplicados na interface de loopback não podem ser combinados na porta de destino (carga interna) de um pacote IPv6.

  • Você não pode aplicar um filtro em pacotes com mais de dois rótulos MPLS.

  • Você não pode especificar uma faixa de porta para condições de correspondência de TCP ou UDP.

  • Apenas 255 termos de firewall são suportados.

Tabela de histórico de liberação
Versão
Descrição
19.2R1
A partir do Junos OS Release 19.2R1, você pode aplicar um filtro de firewall MPLS a uma interface de loopback em um roteador de switch de rótulo (LSR) nos switches QFX5100, QFX5110, QFX5200 e QFX5210.