Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Visão geral dos filtros de firewall MPLS na interface de loopback

Embora todas as interfaces sejam importantes, a interface de loopback pode ser a mais importante porque é o link para o Mecanismo de Roteamento, que executa e gerencia todos os protocolos de roteamento. A interface de loopback é um gateway para todo o tráfego de controle que entra no mecanismo de roteamento do switch. Você pode controlar esse tráfego configurando um filtro de firewall na interface de loopback (lo0) em family mpls. Os filtros de firewall de loopback afetam apenas o tráfego destinado à CPU do mecanismo de roteamento. Você pode aplicar um filtro de firewall de loopback apenas na direção de entrada (pacotes que entram na interface). A partir do Junos OS Release 19.2R1, você pode aplicar um filtro de firewall MPLS em uma interface de loopback em um roteador de switch de rótulo (LSR) em QFX5100, QFX5110, QFX5200 e switches de QFX5210.

Ao configurar um filtro de firewall MPLS, você define critérios de filtragem (termos, com condições de correspondência) para os pacotes e uma ação para o switch tomar se os pacotes corresponderem aos critérios de filtragem. Como você aplica o filtro em uma interface de loopback, você deve especificar explicitamente a condição family mpls de correspondência do tempo de vida (TTL) sob e definir seu valor de TTL em 1 (ttl=1). O TTL é um campo de cabeçalho de 8 bits (IPv4) que significa o tempo restante que um pacote IP deixou antes que sua vida útil termine e seja descartado. Você também pode combinar pacotes com outras qualificatórias MPLS, comolabel, Camada 4 source porte Camada 4destination portexp.

Benefícios da inclusão de filtros de firewall MPLS na interface de loopback

  • Protege o mecanismo de roteamento, garantindo que ele aceite o tráfego apenas de redes confiáveis.

  • Ajuda a proteger o mecanismo de roteamento contra ataques de negação de serviço.

  • Oferece a flexibilidade para combinar pacotes na porta de origem e na porta de destino. Por exemplo, se você executar um traceroute, você pode filtrar o tráfego seletivamente escolhendo TCP ou UDP.

Diretrizes e limitações

  • Você pode aplicar um filtro de firewall de loopback apenas na direção de entrada

  • Apenas os campos labelMPLS e ttl=1expos campos tcp de Camada 4 e udp os números de porta são suportados.

  • Apenas accept, discarde count as ações são apoiadas.

  • Você deve especificar ttl=1 explicitamente abaixo family mpls para combinar em pacotes TLL.

  • Os filtros aplicados na interface de loopback não podem ser combinados na porta de destino (carga interna) de um pacote IPv6.

  • Você não pode aplicar um filtro em pacotes que tenham mais de duas etiquetas MPLS.

  • Você não pode especificar um intervalo de portas para condições de correspondência de TCP ou UDP.

  • Apenas 255 termos de firewall são suportados.

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
19.2R1
A partir do Junos OS Release 19.2R1, você pode aplicar um filtro de firewall MPLS em uma interface de loopback em um roteador de switch de rótulo (LSR) em QFX5100, QFX5110, QFX5200 e switches de QFX5210.