环路接口上的 MPLS 防火墙过滤器概述
尽管所有接口都很重要,但环路接口可能是最重要的,因为它是运行和管理所有路由协议的路由引擎的链路。环路接口是进入交换机路由引擎的所有控制流量的网关。您可以通过在 上的 环路接口 (lo0) 上配置防火墙过滤器来控制此流量。family mpls
环路防火墙过滤器仅影响发往路由引擎 CPU 的流量。您只能在 入口 方向(进入接口的数据包)应用环路防火墙过滤器。从 Junos OS 19.2R1 版开始,您可以将 MPLS 防火墙过滤器应用于 QFX5100、QFX5110、QFX5200 和 QFX5210 交换机上的标签交换机路由器 (LSR) 上的环路接口。
配置 MPLS 防火墙过滤器时,您可以定义数据包的过滤标准(带匹配条件的术语),以及在数据包与过滤标准匹配时交换机要执行 的操作 。由于您将过滤器应用于环路接口,因此您必须在 下显式指定生存时间 (TTL) 匹配条件,并将其 TTL 值设置为 1 ()。family mpls
ttl=1
TTL 是一个 8 位 (IPv4) 标头字段,表示 IP 数据包在其生命结束和丢弃之前剩余的时间。您还可以将数据包与其他 MPLS 限定符(如 、 、 第 4 层和第 4 层)进行匹配。label
exp
source port
destination port
在环路接口上添加 MPLS 防火墙过滤器的好处
通过确保路由引擎仅接受来自可信网络的流量来保护路由引擎。
帮助保护路由引擎免受拒绝服务攻击。
使您能够灵活地匹配源端口和目标端口上的数据包。例如,如果运行路由跟踪,则可以通过选择 TCP 或 UDP 有选择地过滤流量。
准则和限制
您只能在 入口 方向应用环路防火墙过滤器
仅支持 MPLS 字段 、 以及第 4 层字段和端口号。
label
exp
ttl=1
tcp
udp
仅 支持 、 和 操作。
accept
discard
count
您必须显式指定 under 才能在 TLL 数据包上进行匹配。
ttl=1
family mpls
在环路接口上应用的过滤器无法与 IPv6 数据包的目标端口(内部有效负载)匹配。
您无法对具有两个以上 MPLS 标签的数据包应用过滤器。
不能为 TCP 或 UDP 匹配条件指定端口范围。
仅支持 255 个防火墙术语。
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。