Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Bedingungen für die Übereinstimmung von Firewall-Filtern MPLS Datenverkehrs

Sie können einen Firewall-Filter mit Bedingungen für MPLS Datenverkehr ( family mpls ) konfigurieren.

  • Die Anweisungen für Firewall-Filter für die Protokollfamilie werden an allen Schnittstellen außer an Managementschnittstellen und internen input-list filter-names Ethernet-Schnittstellen ( oder ), output-list filter-namesmplsfxp Loopback-Schnittstellen () und em0lo0 USB-Modemschnittstellen ( umd ) unterstützt.

  • Wenn ein Paket über mehrere Label MPLS verfügt, wendet der Filter die Übereinstimmungsbedingungen nur auf das untere Label im Labelstack an.

  • (QFX5100, QFX5110, QFX5200, QFX5210) Wenn Sie einen MPLS auf einer Loopbackschnittstelle anwenden, können Sie nur auf die , und labelexp Layer 4- und ttl=1tcpudp Portnummer-Felder filtern. Bei TTL müssen Sie unter "to ttl=1family mpls match" für TTL=1-Pakete explizit angeben. Sie können nur eine Konfiguration accept durchführen und discard ... count Sie können den Filter nur in die Ingress-Richtung anwenden.

  • Bei Routern der MX-Serie mit MPC und MIC können Sie ein- und ausgehende Filter für die MPLS-Familie anwenden, basierend auf MPLS-tagged-IPv4- und IPv6-Parametern mithilfe von Bedingungen zur Übereinstimmung mit innerer Payload, und eine selektive Portspiegelung des MPLS-Datenverkehrs für ein Überwachungsgerät ermöglichen (beginnend bei Junos OS Release 18.4R1). Für die IP-basierte Filterung stehen unter den MPLS-Term-Parametern zusätzliche Bedingungen zur Verfügung, und zur Unterstützung der Portspiegelung stehen zusätzliche Aktionen (z. B. Port-Spiegelung und Port-Spiegelung) unter den Term-Parametern des Filters zur fromthen Verfügung.

Tabelle 1 beschreibt die match-conditions Konfiguration auf [edit firewall family mpls filter filter-name term term-name from] Hierarchieebene.

Tabelle 1: Bedingungen für die Übereinstimmung von Firewall-Filtern MPLS Datenverkehrs
Bedingungen erfüllen Beschreibung

apply-groups

Geben Sie an, von welchen Gruppen Konfigurationsdaten übernommen werden sollen. Sie können mehr als einen Gruppennamen angeben. Sie müssen sie in der Reihenfolge der Vererbungspriorität auflisten. Die Konfigurationsdaten in der ersten Gruppe haben in den nachfolgenden Gruppen Priorität vor den Daten.

apply-groups-except

Geben Sie an, von welchen Gruppen konfigurationsdaten nicht übernommen werden sollen. Sie können mehr als einen Gruppennamen angeben.

destination-port number

Übereinstimmung im UDP- oder TCP-Zielportfeld.

Sie können an der Stelle des numerischen Werts eines der folgenden Text Synonyme angeben (die Portnummern sind ebenfalls aufgelistet): afs(1483), bgp (179), biff (512), bootpcbootps (68), (67), cmdcvspserver (514), (2401), dhcp (67), domaineklogin (53), ekshell (2105), (2106) exec (512), fingerftp (21) ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434) mobilip-mnmsdp (435) (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printerradacct (515), (1813) radius (1812) riprkinit (520) (2108) smtp und (2 5), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517) telnettftp (23), (69), timed (525) oder whoxdmcp (177).

exp number

Experimentelle (EXP)-Bitnummer oder Reichweite von Bitnummern im MPLS Header eines Pakets.

Als Zahlkönnen Sie einen oder mehrere Werte von 0 bis 7 im Binär-, Dezimal- oder Hexadezimalformat (wie unten angegeben) angeben:

  • Ein einzelner EXP-Bit – zum Beispiel exp 3

  • Mehrere EXP-Bits, z. B. exp 0,4

  • Eine Reihe von EXP-Bits, exp [0-5] z. B. . Diese Werte werden auf Filtern, die an die Loopbackschnittstelle angewendet werden, nicht unterstützt.

Anmerkung:

Diese Übereinstimmungsbedingung wird auf Pakettransport-Routern der PTX-Serie nicht unterstützt.

exp-except number

Nicht an die EXP-Bitnummer oder den Bereich von Bitnummern im Header MPLS. Sie number können einen oder mehrere Werte von bis 07 angeben.

Anmerkung:

Diese Übereinstimmungsbedingung wird auf Pakettransport-Routern der PTX-Serie nicht unterstützt.

forwarding-class class

Weiterleitungsklasse. assured-forwardingbest-effortexpedited-forwarding Spezifizieren, oder network-control .

forwarding-class-except class

Nicht mit der Weiterleitungsklasse übereinstimmen. assured-forwardingbest-effortexpedited-forwarding Spezifizieren, oder network-control .

interface interface-name

Schnittstelle, an der das Paket empfangen wurde. Sie können eine Übereinstimmungsbedingung konfigurieren, die Pakete basierend auf der Schnittstelle, an der sie empfangen wurden, entspricht.

Anmerkung:

Wenn Sie diese Bedingungen mit einer Schnittstelle konfigurieren, die nicht vorhanden ist, ist der Begriff nicht mit einem Paket übereinstimmen.

interface-set interface-set-name

Passen Sie die Schnittstelle an, an der das Paket an den angegebenen Schnittstellensatz empfangen wurde, an.

Um eine Schnittstellenschnittstelle zu definieren, fügen Sie die interface-set Anweisung auf der [edit firewall] Hierarchieebene ein.

Anmerkung:

Diese Übereinstimmungsbedingung wird auf Pakettransport-Routern der PTX-Serie nicht unterstützt.

Weitere Informationen finden Sie Filtern von Paketen, die an einer Schnittstelle empfangen werden, Übersicht unter.

ip-version number

(Schnittstellen für flexible PIC-Concentrators mit erweiterter Skalierung [FPCs] auf unterstützten T-Serie nur Router) Innen-IP-Version. Wenn Sie MPLS tagged IPv4-Pakete verwenden, geben Sie das Textsynonym ipv4 an.

Anmerkung:

Diese Übereinstimmungsbedingung wird auf Pakettransport-Routern der PTX-Serie nicht unterstützt.

label number

MPLS Labelwert oder -bereich von Labelwerten im Header MPLS Pakets.

Als Zahlkönnen Sie einen oder mehrere Werte von 0 bis 1048575 im Dezimal- oder Hexadezimalformat (wie unten angegeben) angeben:

  • Ein einzelnes Label– zum Beispiel label 3

  • Mehrere Labels, z. B. label 0,4

  • Eine Reihe von Labels, zum Beispiel label [0-5] . Diese Werte werden auf Filtern, die an die Loopbackschnittstelle angewendet werden, nicht unterstützt.

loss-priority level

Passen Sie die Paketverlustprioritätsebene (PLP) an.

Geben Sie eine einzelne oder mehrere Ebenen an: lowoder medium-lowmedium-highhigh

Wird auf Routern M120- M320 unterstützt. M7i- M10i mit Enhanced CFEB (CFEB-E); Router der MX-Serie und Switches der EX-Serie.

Für den IP-Datenverkehr auf M320-, MX-Serie- und T-Serie-Routern mit Enhanced II Flexible PIC Concentrators (FPCs) und Switches der EX-Serie muss die Anweisung auf der Hierarchieebene enthalten sein, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen tri-color[edit class-of-service] festzulegen. Wenn die tri-color Aussage nicht aktiviert ist, können Sie nur die Ebenen highlow konfigurieren. Dies gilt für alle Protokollfamilien.

Informationen zur Aussage finden Sie tri-color unter Konfigurieren und Anwenden von dreifarbigen Markierungs-Policern. Informationen zur Verwendung von BEHAVIOR Aggregate (BA)-Klassifizierern zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Understanding How Forwarding Classes Assign Classes to Output Queues(Informationen dazu, wie Weiterleitungsklassen Klassen Ausgangswarteschlangen zuweisen).

loss-priority-except level

Nicht der PLP-Ebene übereinstimmen. Details finden Sie in der loss-priority Bedingungen für die Übereinstimmung.

Anmerkung:

Diese Übereinstimmungsbedingung wird auf Pakettransport-Routern der PTX-Serie nicht unterstützt.

source-port number

Übereinstimmung im TCP- oder UDP-Quellportfeld.

Sie können nicht die port Bedingungen im gleichen Begriff source-port angeben.

Wenn Sie diese Bedingungen für den IPv4-Datenverkehr konfigurieren, empfehlen wir Ihnen, die Oder-Übereinstimmungs-Anweisung im selben Begriff zu konfigurieren, um anzugeben, welches Protokoll für den Port protocol udpprotocol tcp verwendet wird.

Sie können eines der unter . destination-port

ttl number

Time To Live (TTL) ist ein 8-Bit-Feld im label MPLS, das die verbleibende Zeit, die ein Paket vor seiner Lebensdauer hinter sich hat, nach und nach beendet wird.

Als Zahlkönnen Sie einen Wert zwischen 0 und 255 angeben.

Tabelle 2 beschreibt die Aktionen, die Sie für Firewall MPLS in der [edit firewall family mpls filter filter-name term term-name then] Hierarchieebene konfigurieren können.

Tabelle 2: Unterstützte Aktionen für MPLS Firewall-Filter

Aktion

Beschreibung

accept

Paket annehmen

count counter-name

Die Anzahl der Pakete, die diesen Filter oder Begriff bestehen, zählen.

Anmerkung:

Wir empfehlen, für jeden Begriff in einem Firewall-Filter einen Zähler zu konfigurieren, damit Sie die Anzahl der Pakete überwachen können, die den in jedem Filterbegriff angegebenen Bedingungen übereinstimmen.

discard

Paket unbedringt verwerfen, ohne eine ICMP-Nachricht (Internet Control Message Protocol) senden zu müssen

policer

Beginnend mit Junos OS 13.2X51-D15 können Sie Datenverkehr, der durch einen filterbasierten MPLS, an einen Zwei-Farb-Policer senden.

three-color-policer

Beginnend mit Junos OS 13.2X51-D15 Können Sie Datenverkehr, der durch einen bestimmten Filter MPLS, an einen dreifarbigen Policer senden.