Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

环回接口上 MPLS 防火墙过滤器概述

尽管所有接口都很重要,但回传接口可能最为重要,因为它是运行和管理所有路由协议的路由引擎的链接。回传接口是进入交换机路由引擎的所有控制流量的网关。您可以通过在上family mpls的回传接口(lo0)上配置防火墙过滤器来控制此信息流。回传防火墙过滤器仅影响发往路由引擎 CPU 的信息流。您只能在入向防火墙过滤器(输入接口的数据包)中应用反向。从 Junos OS 版本 19.2 R1 开始,您可以将 MPLS 防火墙过滤器应用于 QFX5100、QFX5110、QFX5200 和 QFX5210 交换机上标签交换机路由器(LSR)上的回传接口。

配置 MPLS 防火墙过滤器时,将为数据包定义过滤标准(条件和匹配条件),如果数据包符合过滤标准,则为交换机提供相应的操作。由于您将过滤器应用于回传接口,因此必须在下family mpls明确指定生存时间(TTL)匹配条件,并将其 TTL 值设置为1(ttl=1)。TTL 是一个8位(IPv4)标头字段,表示 IP 数据包在其生命结束和丢弃之前保留的剩余时间。您还可以将数据包与其他 MPLS 限定符(例如labelexp第 4 source port层和第 4 destination port层)匹配。有关更多详细信息,请参阅防火墙过滤器符合 MPLS 流量的条件

在回传接口上添加 MPLS 防火墙过滤器的好处

  • 通过确保它只接受来自受信任网络的信息流来保护路由引擎。

  • 帮助保护路由引擎免遭拒绝服务攻击。

  • 为您提供在源端口和目标端口上匹配数据包的灵活性。例如,如果您运行 traceroute,则可以选择 TCP 或 UDP,从而有选择地过滤流量。

准则和限制

  • 您只能在入方向上应用回传防火墙过滤器

  • 仅支持 MPLS label字段expttl=1和第4层字段tcpudp端口号。

  • acceptdiscard支持、和count操作。

  • 您必须在ttl=1 TLL family mpls数据包上明确指定匹配项。

  • 在回传接口上应用的过滤器无法在 IPv6 数据包的目标端口(内部有效负载)上匹配。

  • 不能对具有超过两个 MPLS 标签的数据包应用过滤器。

  • 不能为 TCP 或 UDP 匹配条件指定端口范围。

  • 仅支持255防火墙术语。

发布历史记录表
版本
说明
19.2R1
从 Junos OS 版本 19.2 R1 开始,您可以将 MPLS 防火墙过滤器应用于 QFX5100、QFX5110、QFX5200 和 QFX5210 交换机上标签交换机路由器(LSR)上的回传接口。