Übereinstimmungsbedingungen für Firewall-Filter für MPLS-Datenverkehr

Sie können einen Firewall-Filter mit Übereinstimmungsbedingungen für MPLS-Datenverkehr konfigurieren ().family mpls

Die and-Anweisungen für Firewall-Filter für die Protokollfamilie werden auf allen Schnittstellen unterstützt, mit Ausnahme von Verwaltungsschnittstellen und internen Ethernet-Schnittstellen ( oder ), Loopback-Schnittstellen () und USB-Modemschnittstellen ()input-list filter-namesoutput-list filter-namesmplsfxpem0lo0umd
(QFX5100, QFX5110, QFX5200, QFX5210) Wenn Sie einen MPLS-Filter auf eine Loopback-Schnittstelle anwenden, können Sie nur nach den Feldern , , und Layer 4 und Portnummer filtern.labelexpttl=1tcpudp Für TTL müssen Sie explizit under angeben, um mit TTL=1-Paketen übereinzustimmen.ttl=1family mpls Die einzigen Aktionen, die Sie konfigurieren können, sind , und .acceptdiscardcount Sie können den Filter nur in Eingangsrichtung anwenden.
Bei Routern der MX-Serie mit MPC und MIC können Sie eingehende und ausgehende Filter für die MPLS-Familie auf der Grundlage von MPLS-getaggten IPv4- und IPv6-Parametern unter Verwendung interner Nutzlastübereinstimmungsbedingungen anwenden und die selektive Portspiegelung des MPLS-Datenverkehrs an ein Überwachungsgerät aktivieren (ab Junos OS Version 18.4R1). Für die IP-basierte Filterung sind unter dem Parameter MPLS-Filterbegriff zusätzliche Übereinstimmungsbedingungen verfügbar, und zur Unterstützung der Portspiegelung sind zusätzliche Aktionen (z. B. port-mirror und port-mirror-instance) unter dem Parameter filterbegriff verfügbar.fromthen

Beschreibt die Konfigurationen, die Sie auf Hierarchieebene konfigurieren können.Tabelle 1match-conditions[edit firewall family mpls filter filter-name term term-name from]

Tabelle 1: Übereinstimmungsbedingungen für Firewall-Filter für MPLS-Datenverkehr
Übereinstimmungsbedingung	Beschreibung
`apply-groups`	Geben Sie an, von welchen Gruppen Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben. Sie müssen sie in der Reihenfolge ihrer Vererbungspriorität auflisten. Die Konfigurationsdaten in der ersten Gruppe haben Vorrang vor den Daten in den nachfolgenden Gruppen.
`apply-groups-except`	Geben Sie an, von welchen Gruppen keine Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben.
`destination-port number`	Übereinstimmung im Feld UDP- oder TCP-Zielport. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet): (1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), (513) oder (177).`afsbgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtpsnmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp`
`exp number`	Experimentelle (EXP) Bitnummer oder Bereich von Bitnummern im MPLS-Header eines Pakets. Für können Sie einen oder mehrere Werte von 0 bis 7 im Binär-, Dezimal- oder Hexadezimalformat angeben, wie unten angegeben:`number` Ein einzelnes EXP-Bit, z. B. `exp 3` Mehrere EXP-Bits, z. B. `exp 0,4` Ein Bereich von EXP-Bits, z. B. .`exp [0-5]` Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt. HINWEIS: Diese Übereinstimmungsbedingung ist auf PTX10001-36MR-, PTX10003-, PTX10004-, PTX10008- und PTX10016-Geräten veraltet und wird durch ersetzt.`exp0 number`
`exp-except number`	Stimmen Sie nicht mit der EXP-Bitnummer oder dem Bereich der Bitnummern im MPLS-Header überein. Für können Sie einen oder mehrere Werte von bis angeben.`number07` HINWEIS: Diese Übereinstimmungsbedingung ist auf PTX10001-36MR-, PTX10003-, PTX10004-, PTX10008- und PTX10016-Geräten veraltet und wird durch ersetzt.`exp0-except`
`exp0 number`	Experimentelle (EXP) Bitnummer oder Bereich von Bitnummern im TOS MPLS-Header eines Pakets. Für können Sie einen oder mehrere Werte von 0 bis 7 im Binär-, Dezimal- oder Hexadezimalformat angeben, wie unten angegeben:`number` Ein einzelnes EXP-Bit, z. B. `exp0 3` Mehrere EXP-Bits, z. B. `exp0 0,4` Ein Bereich von EXP-Bits, z. B. .`exp0 [0-5]` Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt.
`exp0-except number`	Stimmt nicht mit der EXP-Bitnummer oder dem Bereich der Bitnummern im TOS-MPLS-Header eines Pakets überein. Für können Sie einen oder mehrere Werte von 0 bis 7 im Binär-, Dezimal- oder Hexadezimalformat angeben, wie unten angegeben:`number` Ein einzelnes EXP-Bit, z. B. `exp0-except 3` Mehrere EXP-Bits, z. B. `exp0-except 0,4` Ein Bereich von EXP-Bits, z. B. .`exp0-except [0-5]` Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt.
`exp1 number`	Experimentelle (EXP) Bitnummer oder Bereich von Bitnummern im MPLS-Header, der sich neben dem TOS-MPLS-Header (Top of Stack) befindet. Für können Sie einen oder mehrere Werte von 0 bis 7 im Binär-, Dezimal- oder Hexadezimalformat angeben, wie unten angegeben:`number` Ein einzelnes EXP-Bit, z. B. `exp1 3` Mehrere EXP-Bits, z. B. `exp1 0,4` Ein Bereich von EXP-Bits, z. B. .`exp1 [0-5]` Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt.
`exp1-except number`	Stimmen Sie nicht mit der EXP-Bitnummer oder dem Bereich der Bitnummern im MPLS-Header neben dem TOS-MPLS-Header überein. Für können Sie einen oder mehrere Werte von 0 bis 7 im Binär-, Dezimal- oder Hexadezimalformat angeben, wie unten angegeben:`number` Ein einzelnes EXP-Bit, z. B. `exp1-except 3` Mehrere EXP-Bits, z. B. `exp1-except 0,4` Ein Bereich von EXP-Bits, z. B. .`exp1-except [0-5]` Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt.
`forwarding-class class`	Weiterleitungsklasse. Geben Sie , , oder .`assured-forwardingbest-effortexpedited-forwardingnetwork-control` HINWEIS: Auf PTX10001-36MR werden PTX10003-, PTX10004-, PTX10008-, PTX10016-Router oder Bits verwendet, um die Weiterleitungsklasse abzurufen.`exp0exp1`
`forwarding-class-except class`	Keine Übereinstimmung mit der Weiterleitungsklasse. Geben Sie , , oder .`assured-forwardingbest-effortexpedited-forwardingnetwork-control`
`interface interface-name`	Schnittstelle, auf der das Paket empfangen wurde. Sie können eine Übereinstimmungsbedingung konfigurieren, die Pakete basierend auf der Schnittstelle, auf der sie empfangen wurden, abgleicht. HINWEIS: Wenn Sie diese Übereinstimmungsbedingung mit einer Schnittstelle konfigurieren, die nicht vorhanden ist, stimmt der Begriff mit keinem Paket überein.
`interface-set interface-set-name`	Ordnen Sie die Schnittstelle, auf der das Paket empfangen wurde, der angegebenen Schnittstellengruppe zu. Um eine Schnittstellenmenge zu definieren, fügen Sie die Anweisung auf Hierarchieebene ein.`interface-set[edit firewall]` HINWEIS: Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. Weitere Informationen finden Sie unter .Filtern von Paketen, die auf einer Schnittstelle empfangen wurden Satzübersicht
`ip-version number`	Übereinstimmung mit der inneren IP-Version. Um z. B. IPv4-Pakete mit MPLS-Tags abzugleichen, stimmen Sie mit dem Text synonym überein .`ipv4` Darin können Sie Pakete basierend auf Quell- und Zieladressen und Ports abgleichen.`ip-version number` Verweisen und .Tabelle 1 Tabelle 2
`label number`	MPLS-Label-Wert oder Bereich von Label-Werten im MPLS-Header eines Pakets. Für können Sie einen oder mehrere Werte von 0 bis 1048575 im Dezimal- oder Hexadezimalformat angeben, wie unten angegeben:`number` Ein einzelnes Etikett, z. B. `label 3` Mehrere Bezeichnungen, z. B. `label 0,4` Eine Reihe von Bezeichnungen, z. B. . .`label [0-5]` Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt. HINWEIS: Diese Option ist auf PTX10001-36MR-, PTX10003-, PTX10004-, PTX10008- und PTX10016-Geräten veraltet und wird durch ersetzt.`label0`
`label0 number`	MPLS-Label-Wert oder Bereich von Label-Werten im TOS-MPLS-Header eines Pakets. Für können Sie einen oder mehrere Werte von 0 bis 1048575 im Dezimal- oder Hexadezimalformat angeben, wie unten angegeben:`number` Ein einzelnes Etikett, z. B. `label0 3` Mehrere Bezeichnungen, z. B. `label0 0,4` Eine Reihe von Bezeichnungen, z. B. . .`label0 [0-5]` Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt.
`label0-except number`	Stimmen Sie nicht mit dem MPLS-Label-Wert oder dem Bereich der Label-Werte im TOS-MPLS-Header eines Pakets überein. Für können Sie einen oder mehrere Werte von 0 bis 1048575 im Dezimal- oder Hexadezimalformat angeben, wie unten angegeben:`number` Ein einzelnes Etikett, z. B. `label0-except 3` Mehrere Bezeichnungen, z. B. `label0-except 0,4` Eine Reihe von Bezeichnungen, z. B. . .`label0-except [0-5]` Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt.
`label1 number`	Stimmt mit dem MPLS-Beschriftungswert oder dem Bereich der Beschriftungswerte in der MPLS-Header-Beschriftung der MPLS-Kopfzeile überein, die sich neben der TOS-MPLS-Kopfzeile befindet. Für können Sie einen oder mehrere Werte von 0 bis 1048575 im Dezimal- oder Hexadezimalformat angeben, wie unten angegeben:`number` Ein einzelnes Etikett, z. B. `label1 3` Mehrere Bezeichnungen, z. B. `label1 0,4` Eine Reihe von Bezeichnungen, z. B. . .`label1 [0-5]` Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt.
`label1-except number`	Stimmen Sie nicht mit dem MPLS-Beschriftungswert oder dem Bereich der Beschriftungswerte in der MPLS-Header-Beschriftung der MPLS-Kopfzeile überein, die sich neben der TOS-MPLS-Kopfzeile befindet. Für können Sie einen oder mehrere Werte von 0 bis 1048575 im Dezimal- oder Hexadezimalformat angeben, wie unten angegeben:`number` Ein einzelnes Etikett, z. B. `label1-except 3` Mehrere Bezeichnungen, z. B. `label1-except 0,4` Eine Reihe von Bezeichnungen, z. B. . .`label1-except [0-5]` Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt.
\| \| `label number topbottomoffsetoffset-value`	Stimmt mit dem oberen oder unteren Label oder dem Label an einem bestimmten Offset (vom oberen oder unteren Rand des Labelstapels) des eingehenden MPLS-Pakets überein. `top` - Übereinstimmung mit Bezug auf Top-of-Stack nach Bottom-of-Stack. `bottom` - Übereinstimmung mit Bezug auf das Bottom-of-Stack zum Top-of-Stack. - Übereinstimmung mit Bezug auf die MPLS-Stapeltiefe in Bezug auf die Ober- oder Unterseite des Stapels, wobei = (0..15).`offset<offset-value>offset-value` `label` `number` `top` `offset` `offset-value` - MPLS-Filter für die obere Beschriftung stimmen mit einem Versatz zum Stapelschliff von 0 bis 15 überein. 0 ist die erste Beschriftungsposition von der Spitze des Stapels sowohl für implizite als auch für CLI-Filter. `label` `number` `bottom` `offset` `offset-value` - MPLS-Filter für die untere Beschriftung stimmen mit einem Versatz zum Stapelschliff von 0 bis 15 überein. 0 ist die erste Beschriftungsposition vom unteren Ende des Stapels sowohl für implizite als auch für CLI-Filter. - Wenn daneben keine Optionen (oben oder unten) angezeigt werden, beginnt die Standardübereinstimmung am Anfang des Stapels mit dem angegebenen Offset.`labelnumberoffsetoffset-valuelabelnumber` Mit anderen Worten, der Versatz der Etikettennummer [n = 0..15] entspricht dem oberen Versatz der Etikettennummer [n = 0..15]. - Wenn keine Optionen neben Dann wird die Standardübereinstimmung mit der obersten Beschriftung durchgeführt (impliziter Offset 0 und Ankerpunkt ist Top-of-Stack).`labelnumberlabelnumber` HINWEIS: Die Filterübereinstimmung auf dem Etikett mit einem Offset außerhalb der MPLS-Stapeltiefe führt möglicherweise nicht zum erwarteten Verhalten. Wenn der Versatz außerhalb der MPLS-Stapeltiefe liegt, stimmt der Filter bei Übereinstimmung der Filterbeschriftung mit der Position unten immer mit der Beschriftung am Ende des Stapels überein. Wenn der Offset bei einer Filterübereinstimmung mit der Position als oben außerhalb der MPLS-Stapeltiefe liegt, wird auf die Nutzlast verwiesen, die mit dem konfigurierten Label abgeglichen werden soll. HINWEIS: Die Konfigurationsbefehlsoptionen werden in Junos Version 22.3R1 eingeführt.
`loss-priority level`	Entspricht der PLP-Stufe (Packet Loss Priority). Geben Sie eine einzelne Ebene oder mehrere Ebenen an: , , oder .`lowmedium-lowmedium-highhigh` Unterstützt auf M120- und M320-Routern; M7i- und M10i-Router mit dem erweiterten CFEB (CFEB-E); und Router der MX-Serie und Switches der EX-Serie. Für IP-Datenverkehr auf Routern der Serien M320, MX und T mit Enhanced II Flexible PIC Concentrators (FPCs) und Switches der EX-Serie müssen Sie die Anweisung auf Hierarchieebene einschließen, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen zu bestätigen. `tri-color` `[edit class-of-service]` Wenn die Anweisung nicht aktiviert ist, können Sie nur die Ebenen und konfigurieren.`tri-colorhighlow` Dies gilt für alle Protokollfamilien. Weitere Informationen zu dieser Anweisung finden Sie unter Konfigurieren und Anwenden von dreifarbigen Markierungsrichtlinien.`tri-color`Configuring and Applying Tricolor Marking Policers Informationen zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Grundlegendes zum Zuweisen von Klassen zu Ausgabewarteschlangen durch Weiterleitungsklassen.Understanding How Forwarding Classes Assign Classes to Output Queues HINWEIS: Bei PTX10001-36MR werden PTX10003-, PTX10004-, PTX10008-, PTX10016-Router oder Bits verwendet, um die Verlustpriorität zu erhalten.`exp0exp1`
`loss-priority-except level`	Nicht mit dem PLP-Wert übereinstimmen. Weitere Informationen finden Sie in der Übereinstimmungsbedingung .`loss-priority` HINWEIS: Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.
`source-port number`	Übereinstimmung im Feld TCP- oder UDP-Quellport. Sie können die Bedingungen und übereinstimmen nicht im selben Begriff angeben.`portsource-port` Wenn Sie diese Übereinstimmungsbedingung für IPv4-Datenverkehr konfigurieren, empfehlen wir, dass Sie auch die Anweisung or match im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird.`protocol udpprotocol tcp` Anstelle des numerischen Feldes können Sie eines der unter aufgeführten Textsynonyme angeben.`destination-port`
`ttl0 number`	Übereinstimmung mit TTL-Nummer oder Zahlenbereich im TOS-MPLS-Header eines Pakets. Die Gültigkeitsdauer (TTL) ist ein 8-Bit-Feld in der MPLS-Bezeichnung, das die verbleibende Zeit angibt, die ein Paket noch hat, bevor seine Lebensdauer endet und verworfen wird. Für können Sie einen Wert zwischen 0 und 255 angeben.`number`
`ttl0-except number`	Stimmt nicht mit der TTL-Nummer oder dem Nummernbereich im TOS MPLS-Header eines Pakets überein. Die Gültigkeitsdauer (TTL) ist ein 8-Bit-Feld in der MPLS-Bezeichnung, das die verbleibende Zeit angibt, die ein Paket noch hat, bevor seine Lebensdauer endet und verworfen wird. Für können Sie einen Wert zwischen 0 und 255 angeben.`number`
`ttl1 number`	Übereinstimmung mit der TTL-Nummer oder dem Zahlenbereich im MPLS-Header, der sich neben dem TOS-MPLS-Header eines Pakets befindet. Die Gültigkeitsdauer (TTL) ist ein 8-Bit-Feld in der MPLS-Bezeichnung, das die verbleibende Zeit angibt, die ein Paket noch hat, bevor seine Lebensdauer endet und verworfen wird. Für können Sie einen Wert zwischen 0 und 255 angeben.`number`
`ttl1-except number`	Stimmen Sie nicht mit der TTL-Nummer oder dem Nummernbereich im MPLS-Header überein, der sich neben dem TOS-MPLS-Header eines Pakets befindet. Die Gültigkeitsdauer (TTL) ist ein 8-Bit-Feld in der MPLS-Bezeichnung, das die verbleibende Zeit angibt, die ein Paket noch hat, bevor seine Lebensdauer endet und verworfen wird. Für können Sie einen Wert zwischen 0 und 255 angeben.`number`

HINWEIS:

, , , , , und werden nur auf PTX10001-36MR, PTX10003, PTX10004, PTX10008, PTX10016 unterstützt.exp0exp0-exceptexp1exp1-exceptip-versionlabel0label0-exceptlabel1label1-exceptttl0ttl0-exceptttl1ttl1-except

beschreibt die Aktionen, die Sie für MPLS-Firewallfilter auf Hierarchieebene konfigurieren können.Tabelle 2[edit firewall family mpls filter filter-name term term-name then]

Tabelle 2: Unterstützte Aktionen für MPLS-Firewall-Filter
Was	Beschreibung
`accept`	Paket annehmen
`count counter-name`	Zählen Sie die Anzahl der Pakete, die diesen Filter oder Begriff passieren. HINWEIS: Es wird empfohlen, für jeden Begriff in einem Firewallfilter einen Leistungsindikator zu konfigurieren, damit Sie die Anzahl der Pakete überwachen können, die den in jedem Filterbegriff angegebenen Bedingungen entsprechen.
`discard`	Verwerfen Sie ein Paket im Hintergrund, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.
`policer`	Ab Junos OS 13.2X51-D15 können Sie Datenverkehr, der mit einem MPLS-Filter übereinstimmt, an einen zweifarbigen Policer senden.
`three-color-policer`	Ab Junos OS 13.2X51-D15 können Sie Datenverkehr, der mit einem MPLS-Filter übereinstimmt, an einen dreifarbigen Policer senden.

Übereinstimmungsbedingungen für Firewall-Filter für MPLS-Datenverkehr

Verwandte Themen