Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在本页
 

环路接口上的 MPLS 防火墙过滤器概述

尽管所有接口都很重要,但环路接口可能是最重要的,因为它是运行和管理所有路由协议的路由引擎的链路。环路接口是进入交换机路由引擎的所有控制流量的网关。您可以通过在 上的 环路接口 (lo0) 上配置防火墙过滤器来控制此流量。family mpls 环路防火墙过滤器仅影响发往路由引擎 CPU 的流量。您只能在 入口 方向(进入接口的数据包)应用环路防火墙过滤器。从 Junos OS 19.2R1 版开始,您可以将 MPLS 防火墙过滤器应用于 QFX5100、QFX5110、QFX5200 和 QFX5210 交换机上的标签交换机路由器 (LSR) 上的环路接口。

配置 MPLS 防火墙过滤器时,您可以定义数据包的过滤标准(带匹配条件的术语),以及在数据包与过滤标准匹配时交换机要执行 的操作 。由于您将过滤器应用于环路接口,因此您必须在 下显式指定生存时间 (TTL) 匹配条件,并将其 TTL 值设置为 1 ()。family mplsttl=1 TTL 是一个 8 位 (IPv4) 标头字段,表示 IP 数据包在其生命结束和丢弃之前剩余的时间。您还可以将数据包与其他 MPLS 限定符(如 、 、 第 4 层和第 4 层)进行匹配。labelexpsource portdestination port

在环路接口上添加 MPLS 防火墙过滤器的好处

  • 通过确保路由引擎仅接受来自可信网络的流量来保护路由引擎。

  • 帮助保护路由引擎免受拒绝服务攻击。

  • 使您能够灵活地匹配源端口和目标端口上的数据包。例如,如果运行路由跟踪,则可以通过选择 TCP 或 UDP 有选择地过滤流量。

准则和限制

  • 您只能在 入口 方向应用环路防火墙过滤器

  • 仅支持 MPLS 字段 、 以及第 4 层字段和端口号。labelexpttl=1tcpudp

  • 仅 支持 、 和 操作。acceptdiscardcount

  • 您必须显式指定 under 才能在 TLL 数据包上进行匹配。ttl=1family mpls

  • 在环路接口上应用的过滤器无法与 IPv6 数据包的目标端口(内部有效负载)匹配。

  • 您无法对具有两个以上 MPLS 标签的数据包应用过滤器。

  • 不能为 TCP 或 UDP 匹配条件指定端口范围。

  • 仅支持 255 个防火墙术语。

变更历史表

是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。

版本
说明
19.2R1
从 Junos OS 19.2R1 版开始,您可以将 MPLS 防火墙过滤器应用于 QFX5100、QFX5110、QFX5200 和 QFX5210 交换机上的标签交换机路由器 (LSR) 上的环路接口。