Entendendo a filtragem baseada em IP e o espelhamento seletivo de portas do tráfego MPLS
Em um pacote MPLS, o cabeçalho IP vem imediatamente após o cabeçalho MPLS. O recurso de filtragem baseada em IP oferece um mecanismo de inspeção profundo, onde um máximo de até oito rótulos MPLS da carga interna pode ser inspecionado para permitir a filtragem do tráfego MPLS com base em parâmetros IP. O tráfego MPLS filtrado também pode ser espelhado em um dispositivo de monitoramento para oferecer serviços baseados em rede na rede MPLS principal.
Filtragem baseada em IP do tráfego MPLS
Antes do Junos OS Release 18.4R1, a filtragem com base em parâmetros IP não foi suportada para o filtro da família MPLS. Com a introdução do recurso de filtragem baseada em IP, você pode aplicar filtros de entrada e saída para pacotes IPv4 e IPv6 com marca MPLS com base em parâmetros IP, como endereços de origem e destino, tipo de protocolo de Camada 4 e portas de origem e destino.
O recurso de filtragem baseada em IP permite filtrar pacotes MPLS na entrada de uma interface, onde a filtragem é feita usando condições de correspondência na carga interna do pacote MPLS. O tráfego MPLS seletivo pode então ser espelhado em porta para um dispositivo de monitoramento remoto usando túneis lógicos.
Para oferecer suporte à filtragem baseada em IP, são adicionadas condições adicionais de correspondência que permitem que os pacotes MPLS sejam inspecionados profundamente para analisar a carga interna com cabeçalhos de Camada 3 e Camada 4 antes que os filtros apropriados sejam aplicados.
O recurso de filtragem baseado em IP é suportado apenas para pacotes IPv4 e IPv6 com tag MPLS. Em outras palavras, os filtros MPLS correspondem a parâmetros IP apenas quando a carga de IP vem imediatamente após os rótulos MPLS.
Em outros cenários, onde a carga de pagamento MPLS inclui pseudowires, protocolos que não sejam inet e inet6, ou outros encapsulamentos como VPN de Camada 2 ou VPLS, o recurso de filtragem baseado em IP não é suportado.
As seguintes condições de correspondência são adicionadas para a filtragem baseada em IP do tráfego MPLS:
Endereço fonte IPv4
Endereço de destino IPv4
Endereço fonte IPv6
Endereço de destino IPv6
Protocolo
Porta de origem
Porta de destino
Lista de prefixos IPv4 de origem
Lista de prefixos IPv4 de destino
Lista de prefixo IPv6 de origem
Lista de prefixos IPv6 de destino
As combinações de correspondência a seguir são suportadas para a filtragem baseada em IP do tráfego MPLS:
Condições de correspondência de endereços de origem e destino com listas de prefixo IPv4 e IPv6.
Endereço de porta de origem e destino e tipos de protocolo de condições de correspondência com listas de prefixo IPv4 e IPv6.
Espelhamento seletivo de portas do tráfego MPLS
Espelhamento de porta é a capacidade de espelhar um pacote para um destino configurado, além do processamento e encaminhamento normais dos pacotes. O espelhamento de portas é aplicado como uma ação para um filtro de firewall, que é aplicado na entrada ou saída de qualquer interface. Da mesma forma, o recurso de espelhamento de porta seletiva oferece a capacidade de espelhar o tráfego MPLS, que é filtrado com base em parâmetros IP, para um destino espelhado usando túneis lógicos.
Para permitir o espelhamento seletivo de portas, ações adicionais são configuradas no nível de hierarquia, além das ações existentes e:[edit firewall family mpls filter filter-nameterm term-name then]counteracceptdiscard
port-mirrorport-mirror-instance
Port Mirroring
A ação permite o espelhamento de portas globalmente no dispositivo, que se aplica a todos os Mecanismos de encaminhamento de pacotes (PFEs) e interfaces associadas.port-mirror
Para o filtro da família MPLS, a ação é habilitada para espelhamento global de portas.port-mirror
Port Mirroring Instance
A ação permite que você personalize cada instância com propriedades diferentes para destinos de amostragem de entrada e espelhamento de portas, em vez de precisar usar uma única configuração em todo o sistema para espelhamento de portas.port-mirror-instance
Você pode configurar apenas duas instâncias de espelhamento de porta por Concentrador PIC Flexível (FPC), incluindo a declaração no nível de hierarquia.instance port-mirror-instance-name[edit forwarding-options port-mirror] Em seguida, você pode associar instâncias de espelhamento de portas individuais a uma FPC, PIC ou (Forwarding Engine Board (FEB), dependendo do hardware do dispositivo.
Para o filtro da família MPLS, a ação é habilitada apenas para a instância de espelhamento de porta.port-mirror-instance
Para ambos e ações, a interface de saída deve ser habilitada com a família Camada 2 e não mpls familiar (Camada 3) para que o recurso de espelhamento de portas seletivo funcione.port-mirrorport-mirror-instance
Configurações de amostra
- Configuração de filtragem baseada em IP
- Configuração de espelhamento de porta seletiva
- Configuração de destino espelhada
Configuração de filtragem baseada em IP
[edit firewall family mpls filter mpls-filter]
term ipv4-term {
from {
ip-version {
ipv4 {
source-address {
10.10.10.10/24;
}
destination-address {
20.20.20.20/24;
}
protocol tcp {
source-port 100;
destination-port 200;
}
soure-prefix-list ipv4-source-users;
destination-prefix-list ipv4-destination-users;
}
}
exp 1;
}
then port-mirror;
then accept;
then count;
}
term ipv6-term {
from {
ip-version {
ipv6 {
source-address {
2000::1/128;
}
destination-address {
3000::1/128;
}
protocol tcp {
source-port 100;
destination-port 200;
}
source-prefix-list ipv6-source-users;
destination-prefix-list ipv6-destination-users;
}
}
exp 1;
}
then port-mirror-instance port-mirror-instance1;
then accept;
then count;
}
[edit policy-options]
prefix-list ipv4-source-users {
172.16.1.16/28;
172.16.2.16/28;
}
prefix-list ipv6-source-users {
2001::1/128;
3001::1/128;
}
[edit interfaces]
xe-0/0/1 {
unit 0 {
family inet {
address 100.100.100.1/30;
}
family mpls {
filter {
input mpls-filter;
}
}
}
}
Configuração de espelhamento de porta seletiva
[edit forwarding-options]
port-mirroring {
input {
rate 2;
run-length 4;
maximum-packet-length 500;
}
family any {
output {
interface xe-2/0/2.0;
}
}
}
[edit forwarding-options]
port-mirroring {
instance {
port-mirror-instance1 {
input {
rate 3;
run-length 5;
maximum-packet-length 500;
}
family any {
output {
interface xe-2/0/2.0;
}
}
}
}
}
A interface de saída está configurada para a família Camada 2 e não para o MPLS da família.xe-2/0/2.0
Para ambos e ações, a interface de saída deve ser habilitada com a família Camada 2 e não mpls familiar (Camada 3) para que o recurso de espelhamento de portas seletivo funcione.port-mirrorport-mirror-instance
Configuração de destino espelhada
[edit interfaces]
xe-2/0/2 {
vlan-tagging;
encapsulation extended-vlan-bridge;
unit 0 {
vlan-id 600;
}
}
[edit bridge-domains]
bd {
domain-type bridge;
interface xe-2/0/2.0;
}