环路接口上的 MPLS 防火墙过滤器概述
尽管所有接口都很重要,但环路接口可能是最重要的,因为它是运行和管理所有路由协议的路由引擎的链路。环路接口是进入交换机路由引擎的所有控制流量的网关。您可以通过在 上的 family mpls
环路接口 (lo0) 上配置防火墙过滤器来控制此流量。环路防火墙过滤器仅影响发往路由引擎 CPU 的流量。您只能在 入口 方向(进入接口的数据包)应用环路防火墙过滤器。从 Junos OS 19.2R1 版开始,您可以将 MPLS 防火墙过滤器应用于 QFX5100、QFX5110、QFX5200 和 QFX5210 交换机上的标签交换机路由器 (LSR) 上的环路接口。
配置 MPLS 防火墙过滤器时,您可以定义数据包的过滤标准(带匹配条件的术语),以及在数据包与过滤标准匹配时交换机要执行 的操作 。由于您将过滤器应用于环路接口,因此您必须在 family mpls
下显式指定生存时间 (TTL) 匹配条件,并将其 TTL 值设置为 1 (ttl=1
)。TTL 是一个 8 位 (IPv4) 标头字段,表示 IP 数据包在其生命结束和丢弃之前剩余的时间。您还可以将数据包与其他 MPLS 限定符(如 label
、 exp
、 第 4 source port
层和第 4 destination port
层)进行匹配。
在环路接口上添加 MPLS 防火墙过滤器的好处
通过确保路由引擎仅接受来自可信网络的流量来保护路由引擎。
帮助保护路由引擎免受拒绝服务攻击。
使您能够灵活地匹配源端口和目标端口上的数据包。例如,如果运行路由跟踪,则可以通过选择 TCP 或 UDP 有选择地过滤流量。
准则和限制
您只能在 入口 方向应用环路防火墙过滤器
仅支持 MPLS 字段
label
、exp
以及ttl=1
第 4 层字段tcp
和udp
端口号。仅
accept
支持 、discard
和count
操作。您必须显式指定
ttl=1
underfamily mpls
才能在 TLL 数据包上进行匹配。在环路接口上应用的过滤器无法与 IPv6 数据包的目标端口(内部有效负载)匹配。
您无法对具有两个以上 MPLS 标签的数据包应用过滤器。
不能为 TCP 或 UDP 匹配条件指定端口范围。
仅支持 255 个防火墙术语。
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。