Übereinstimmungsbedingungen für Firewall-Filter für MPLS-Datenverkehr

Sie können einen Firewall-Filter mit Übereinstimmungsbedingungen für MPLS-Datenverkehr konfigurieren (family mpls).

Die input-list filter-names and-Anweisungen output-list filter-names für Firewall-Filter für die mpls Protokollfamilie werden auf allen Schnittstellen unterstützt, mit Ausnahme von Verwaltungsschnittstellen und internen Ethernet-Schnittstellen (fxp oder em0), Loopback-Schnittstellen (lo0) und USB-Modemschnittstellen (umd)
(QFX5100, QFX5110, QFX5200, QFX5210) Wenn Sie einen MPLS-Filter auf eine Loopback-Schnittstelle anwenden, können Sie nur nach den labelFeldern , exp, ttl=1und Layer 4 tcp und udp Portnummer filtern. Für TTL müssen Sie explizit under family mpls angebenttl=1, um mit TTL=1-Paketen übereinzustimmen. Die einzigen Aktionen, die Sie konfigurieren können, sind accept, discardund count. Sie können den Filter nur in Eingangsrichtung anwenden.
Bei Routern der MX-Serie mit MPC und MIC können Sie eingehende und ausgehende Filter für die MPLS-Familie auf der Grundlage von MPLS-getaggten IPv4- und IPv6-Parametern unter Verwendung interner Nutzlastübereinstimmungsbedingungen anwenden und die selektive Portspiegelung des MPLS-Datenverkehrs an ein Überwachungsgerät aktivieren (ab Junos OS Version 18.4R1). Für die IP-basierte Filterung sind unter dem Parameter MPLS-Filterbegriff from zusätzliche Übereinstimmungsbedingungen verfügbar, und zur Unterstützung der Portspiegelung sind zusätzliche Aktionen (z. B. port-mirror und port-mirror-instance) unter dem Parameter filterbegriff thenverfügbar.

Tabelle 1 Beschreibt die match-conditions Konfigurationen, die Sie auf Hierarchieebene [edit firewall family mpls filter filter-name term term-name from] konfigurieren können.

Tabelle 1: Übereinstimmungsbedingungen für Firewall-Filter für MPLS-Datenverkehr
Übereinstimmungsbedingung	Beschreibung
`apply-groups`	Geben Sie an, von welchen Gruppen Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben. Sie müssen sie in der Reihenfolge ihrer Vererbungspriorität auflisten. Die Konfigurationsdaten in der ersten Gruppe haben Vorrang vor den Daten in den nachfolgenden Gruppen.
`apply-groups-except`	Geben Sie an, von welchen Gruppen keine Konfigurationsdaten geerbt werden sollen. Sie können mehrere Gruppennamen angeben.
`destination-port number`	Übereinstimmung im Feld UDP- oder TCP-Zielport. Anstelle des numerischen Werts können Sie eines der folgenden Textsynonyme angeben (die Portnummern werden ebenfalls aufgelistet): `afs` ( 1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), `eklogin` (2105), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), `mobileip-agent` (434), `mobilip-mn` (435), `msdp` (639), `netbios-dgm` (138), `netbios-ns` (137), `netbios-ssn` (139), `nfsd` (2049), `nntp` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), `snpp` (444), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` ((49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513) oder `xdmcp` (177).
`exp number`	Experimentelle (EXP) Bitnummer oder Bereich von Bitnummern im MPLS-Header eines Pakets. Für `number`können Sie einen oder mehrere Werte von 0 bis 7 im Binär-, Dezimal- oder Hexadezimalformat angeben, wie unten angegeben: Ein einzelnes EXP-Bit, z. B. `exp 3` Mehrere EXP-Bits, z. B. `exp 0,4` Ein Bereich von EXP-Bits, `exp [0-5]`z. B. . Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt. HINWEIS: Diese Übereinstimmungsbedingung ist auf PTX10001-36MR-, PTX10003-, PTX10004-, PTX10008- und PTX10016-Geräten veraltet und wird durch `exp0 number`ersetzt.
`exp-except number`	Stimmen Sie nicht mit der EXP-Bitnummer oder dem Bereich der Bitnummern im MPLS-Header überein. Für `number`können Sie einen oder mehrere Werte von `0` bis `7`angeben. HINWEIS: Diese Übereinstimmungsbedingung ist auf PTX10001-36MR-, PTX10003-, PTX10004-, PTX10008- und PTX10016-Geräten veraltet und wird durch `exp0-except`ersetzt.
`exp0 number`	Experimentelle (EXP) Bitnummer oder Bereich von Bitnummern im TOS MPLS-Header eines Pakets. Für `number`können Sie einen oder mehrere Werte von 0 bis 7 im Binär-, Dezimal- oder Hexadezimalformat angeben, wie unten angegeben: Ein einzelnes EXP-Bit, z. B. `exp0 3` Mehrere EXP-Bits, z. B. `exp0 0,4` Ein Bereich von EXP-Bits, `exp0 [0-5]`z. B. . Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt.
`exp0-except number`	Stimmt nicht mit der EXP-Bitnummer oder dem Bereich der Bitnummern im TOS-MPLS-Header eines Pakets überein. Für `number`können Sie einen oder mehrere Werte von 0 bis 7 im Binär-, Dezimal- oder Hexadezimalformat angeben, wie unten angegeben: Ein einzelnes EXP-Bit, z. B. `exp0-except 3` Mehrere EXP-Bits, z. B. `exp0-except 0,4` Ein Bereich von EXP-Bits, `exp0-except [0-5]`z. B. . Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt.
`exp1 number`	Experimentelle (EXP) Bitnummer oder Bereich von Bitnummern im MPLS-Header, der sich neben dem TOS-MPLS-Header (Top of Stack) befindet. Für `number`können Sie einen oder mehrere Werte von 0 bis 7 im Binär-, Dezimal- oder Hexadezimalformat angeben, wie unten angegeben: Ein einzelnes EXP-Bit, z. B. `exp1 3` Mehrere EXP-Bits, z. B. `exp1 0,4` Ein Bereich von EXP-Bits, `exp1 [0-5]`z. B. . Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt.
`exp1-except number`	Stimmen Sie nicht mit der EXP-Bitnummer oder dem Bereich der Bitnummern im MPLS-Header neben dem TOS-MPLS-Header überein. Für `number`können Sie einen oder mehrere Werte von 0 bis 7 im Binär-, Dezimal- oder Hexadezimalformat angeben, wie unten angegeben: Ein einzelnes EXP-Bit, z. B. `exp1-except 3` Mehrere EXP-Bits, z. B. `exp1-except 0,4` Ein Bereich von EXP-Bits, `exp1-except [0-5]`z. B. . Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt.
`forwarding-class class`	Weiterleitungsklasse. Geben Sie , `best-effort`, `expedited-forwarding`oder `network-control`.`assured-forwarding` HINWEIS: Auf PTX10001-36MR werden PTX10003-, PTX10004-, PTX10008-, PTX10016-Router oder `exp1` Bits verwendet, `exp0`um die Weiterleitungsklasse abzurufen.
`forwarding-class-except class`	Keine Übereinstimmung mit der Weiterleitungsklasse. Geben Sie , `best-effort`, `expedited-forwarding`oder `network-control`.`assured-forwarding`
`interface interface-name`	Schnittstelle, auf der das Paket empfangen wurde. Sie können eine Übereinstimmungsbedingung konfigurieren, die Pakete basierend auf der Schnittstelle, auf der sie empfangen wurden, abgleicht. HINWEIS: Wenn Sie diese Übereinstimmungsbedingung mit einer Schnittstelle konfigurieren, die nicht vorhanden ist, stimmt der Begriff mit keinem Paket überein.
`interface-set interface-set-name`	Ordnen Sie die Schnittstelle, auf der das Paket empfangen wurde, der angegebenen Schnittstellengruppe zu. Um eine Schnittstellenmenge zu definieren, fügen Sie die `interface-set` Anweisung auf Hierarchieebene `[edit firewall]` ein. HINWEIS: Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt. Weitere Informationen finden Sie unter Filtern von Paketen, die auf einer Schnittstelle empfangen wurden Satzübersicht.
`ip-version number`	Übereinstimmung mit der inneren IP-Version. Um z. B. IPv4-Pakete mit MPLS-Tags abzugleichen, stimmen Sie mit dem Text synonym überein `ipv4`. Darin `ip-version number` können Sie Pakete basierend auf Quell- und Zieladressen und Ports abgleichen. Verweisen Tabelle 1 und Tabelle 2.
`label number`	MPLS-Label-Wert oder Bereich von Label-Werten im MPLS-Header eines Pakets. Für `number`können Sie einen oder mehrere Werte von 0 bis 1048575 im Dezimal- oder Hexadezimalformat angeben, wie unten angegeben: Ein einzelnes Etikett, z. B. `label 3` Mehrere Bezeichnungen, z. B. `label 0,4` Eine Reihe von Bezeichnungen, `label [0-5]`z. B. . . Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt. HINWEIS: Diese Option ist auf PTX10001-36MR-, PTX10003-, PTX10004-, PTX10008- und PTX10016-Geräten veraltet und wird durch `label0`ersetzt.
`label0 number`	MPLS-Label-Wert oder Bereich von Label-Werten im TOS-MPLS-Header eines Pakets. Für `number`können Sie einen oder mehrere Werte von 0 bis 1048575 im Dezimal- oder Hexadezimalformat angeben, wie unten angegeben: Ein einzelnes Etikett, z. B. `label0 3` Mehrere Bezeichnungen, z. B. `label0 0,4` Eine Reihe von Bezeichnungen, `label0 [0-5]`z. B. . . Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt.
`label0-except number`	Stimmen Sie nicht mit dem MPLS-Label-Wert oder dem Bereich der Label-Werte im TOS-MPLS-Header eines Pakets überein. Für `number`können Sie einen oder mehrere Werte von 0 bis 1048575 im Dezimal- oder Hexadezimalformat angeben, wie unten angegeben: Ein einzelnes Etikett, z. B. `label0-except 3` Mehrere Bezeichnungen, z. B. `label0-except 0,4` Eine Reihe von Bezeichnungen, `label0-except [0-5]`z. B. . . Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt.
`label1 number`	Stimmt mit dem MPLS-Beschriftungswert oder dem Bereich der Beschriftungswerte in der MPLS-Header-Beschriftung der MPLS-Kopfzeile überein, die sich neben der TOS-MPLS-Kopfzeile befindet. Für `number`können Sie einen oder mehrere Werte von 0 bis 1048575 im Dezimal- oder Hexadezimalformat angeben, wie unten angegeben: Ein einzelnes Etikett, z. B. `label1 3` Mehrere Bezeichnungen, z. B. `label1 0,4` Eine Reihe von Bezeichnungen, `label1 [0-5]`z. B. . . Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt.
`label1-except number`	Stimmen Sie nicht mit dem MPLS-Beschriftungswert oder dem Bereich der Beschriftungswerte in der MPLS-Header-Beschriftung der MPLS-Kopfzeile überein, die sich neben der TOS-MPLS-Kopfzeile befindet. Für `number`können Sie einen oder mehrere Werte von 0 bis 1048575 im Dezimal- oder Hexadezimalformat angeben, wie unten angegeben: Ein einzelnes Etikett, z. B. `label1-except 3` Mehrere Bezeichnungen, z. B. `label1-except 0,4` Eine Reihe von Bezeichnungen, `label1-except [0-5]`z. B. . . Diese Werte werden für Filter, die auf die Loopback-Schnittstelle angewendet werden, nicht unterstützt.
`label number top` \| `bottom` \| `offset` `offset-value`	Stimmt mit dem oberen oder unteren Label oder dem Label an einem bestimmten Offset (vom oberen oder unteren Rand des Labelstapels) des eingehenden MPLS-Pakets überein. `top` - Übereinstimmung mit Bezug auf Top-of-Stack nach Bottom-of-Stack. `bottom` - Übereinstimmung mit Bezug auf das Bottom-of-Stack zum Top-of-Stack. `offset<offset-value>` - Übereinstimmung mit Bezug auf die MPLS-Stapeltiefe in Bezug auf die Ober- oder Unterseite des Stapels, wobei `offset-value` = (0..15). `label` `number` `top` `offset` `offset-value` - MPLS-Top-Label-Filter passen mit einem Offset zum Stapelschliff von 0 bis 15. 0 ist die erste Beschriftungsposition vom oberen Rand des Stapels für implizite und CLI-Filter. `label` `number` `bottom` `offset` `offset-value` - MPLS-Filter für das untere Etikett passen mit einem Offset zum Stapelschliff von 0 bis 15 an. 0 ist die erste Beschriftungsposition vom unteren Ende des Stapels für implizite und CLI-Filter. `label` `number` `offset` `offset-value` - Wenn daneben `label` `number` keine Optionen (oben oder unten) angezeigt werden, beginnt die Standardübereinstimmung am Anfang des Stapels mit dem angegebenen Offset. Mit anderen Worten, der Versatz der Etikettennummer [n = 0..15] entspricht dem oberen Versatz der Etikettennummer [n = 0..15]. `label` `number` - Wenn keine Optionen daneben `label` `number` angegeben sind, wird die Standardübereinstimmung für die oberste Beschriftung durchgeführt (impliziter Offset 0 und Ankerpunkt ist Top-of-Stack). HINWEIS: Die Filterübereinstimmung auf dem Etikett mit einem Offset außerhalb der MPLS-Stapeltiefe führt möglicherweise nicht zum erwarteten Verhalten. Wenn der Versatz außerhalb der MPLS-Stapeltiefe liegt, stimmt der Filter bei Übereinstimmung der Filterbeschriftung mit der Position unten immer mit der Beschriftung am Ende des Stapels überein. Wenn der Offset bei einer Filterübereinstimmung mit der Position als oben außerhalb der MPLS-Stapeltiefe liegt, wird auf die Nutzlast verwiesen, die mit dem konfigurierten Label abgeglichen werden soll. HINWEIS: Die Konfigurationsbefehlsoptionen werden in Junos Version 22.3R1 eingeführt.
`loss-priority level`	Entspricht der PLP-Stufe (Packet Loss Priority). Geben Sie eine einzelne Ebene oder mehrere Ebenen an: `low`, `medium-low`, `medium-high`oder `high`. Unterstützt auf M120- und M320-Routern; M7i- und M10i-Router mit dem erweiterten CFEB (CFEB-E); und Router der MX-Serie und Switches der EX-Serie. Für IP-Datenverkehr auf Routern der Serien M320, MX und T mit Enhanced II Flexible PIC Concentrators (FPCs) und Switches der EX-Serie müssen Sie die `tri-color` Anweisung auf Hierarchieebene `[edit class-of-service]` einschließen, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen zu bestätigen. Wenn die `tri-color` Anweisung nicht aktiviert ist, können Sie nur die `high` Ebenen und `low` konfigurieren. Dies gilt für alle Protokollfamilien. Weitere Informationen zu dieser `tri-color` Anweisung finden Sie unter Konfigurieren und Anwenden von dreifarbigen Markierungsrichtlinien. Informationen zur Verwendung von BA-Klassifizierern (Behavior Aggregate) zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Grundlegendes zum Zuweisen von Klassen zu Ausgabewarteschlangen durch Weiterleitungsklassen. HINWEIS: Bei PTX10001-36MR werden PTX10003-, PTX10004-, PTX10008-, PTX10016-Router oder `exp1` Bits verwendet, `exp0`um die Verlustpriorität zu erhalten.
`loss-priority-except level`	Nicht mit dem PLP-Wert übereinstimmen. Weitere Informationen finden Sie in der Übereinstimmungsbedingung `loss-priority` . HINWEIS: Diese Übereinstimmungsbedingung wird auf Paketübertragungsroutern der PTX-Serie nicht unterstützt.
`source-port number`	Übereinstimmung im Feld TCP- oder UDP-Quellport. Sie können die `port` Bedingungen und `source-port` übereinstimmen nicht im selben Begriff angeben. Wenn Sie diese Übereinstimmungsbedingung für IPv4-Datenverkehr konfigurieren, empfehlen wir, dass Sie auch die `protocol udp` Anweisung or `protocol tcp` match im selben Begriff konfigurieren, um anzugeben, welches Protokoll auf dem Port verwendet wird. Anstelle des numerischen Feldes können Sie eines der unter `destination-port`aufgeführten Textsynonyme angeben.
`ttl0 number`	Übereinstimmung mit TTL-Nummer oder Zahlenbereich im TOS-MPLS-Header eines Pakets. Die Gültigkeitsdauer (TTL) ist ein 8-Bit-Feld in der MPLS-Bezeichnung, das die verbleibende Zeit angibt, die ein Paket noch hat, bevor seine Lebensdauer endet und verworfen wird. Für `number`können Sie einen Wert zwischen 0 und 255 angeben.
`ttl0-except number`	Stimmt nicht mit der TTL-Nummer oder dem Nummernbereich im TOS MPLS-Header eines Pakets überein. Die Gültigkeitsdauer (TTL) ist ein 8-Bit-Feld in der MPLS-Bezeichnung, das die verbleibende Zeit angibt, die ein Paket noch hat, bevor seine Lebensdauer endet und verworfen wird. Für `number`können Sie einen Wert zwischen 0 und 255 angeben.
`ttl1 number`	Übereinstimmung mit der TTL-Nummer oder dem Zahlenbereich im MPLS-Header, der sich neben dem TOS-MPLS-Header eines Pakets befindet. Die Gültigkeitsdauer (TTL) ist ein 8-Bit-Feld in der MPLS-Bezeichnung, das die verbleibende Zeit angibt, die ein Paket noch hat, bevor seine Lebensdauer endet und verworfen wird. Für `number`können Sie einen Wert zwischen 0 und 255 angeben.
`ttl1-except number`	Stimmen Sie nicht mit der TTL-Nummer oder dem Nummernbereich im MPLS-Header überein, der sich neben dem TOS-MPLS-Header eines Pakets befindet. Die Gültigkeitsdauer (TTL) ist ein 8-Bit-Feld in der MPLS-Bezeichnung, das die verbleibende Zeit angibt, die ein Paket noch hat, bevor seine Lebensdauer endet und verworfen wird. Für `number`können Sie einen Wert zwischen 0 und 255 angeben.

HINWEIS:

exp0, exp0-except, exp1, , ip-versionexp1-except, label0ttl0label0-exceptlabel1-exceptttl0-exceptlabel1ttl1und ttl1-except werden nur auf PTX10001-36MR, PTX10003, PTX10004, PTX10008, PTX10016 unterstützt.

Tabelle 2 beschreibt die Aktionen, die Sie für MPLS-Firewallfilter auf Hierarchieebene [edit firewall family mpls filter filter-name term term-name then] konfigurieren können.

Tabelle 2: Unterstützte Aktionen für MPLS-Firewall-Filter
Action!	Beschreibung
`accept`	Paket annehmen
`count counter-name`	Zählen Sie die Anzahl der Pakete, die diesen Filter oderBegriff passieren. HINWEIS: Es wird empfohlen, für jeden Begriff in einem Firewallfilter einen Leistungsindikator zu konfigurieren, damit Sie die Anzahl der Pakete überwachen können, die den in jedem Filterbegriff angegebenen Bedingungen entsprechen.
`discard`	Verwerfen Sie ein Paket im Hintergrund, ohne eine ICMP-Nachricht (Internet Control Message Protocol) zu senden.
`policer`	Ab Junos OS 13.2X51-D15 können Sie Datenverkehr, der mit einem MPLS-Filter übereinstimmt, an einen zweifarbigen Policer senden.
`three-color-policer`	Ab Junos OS 13.2X51-D15 können Sie Datenverkehr, der mit einem MPLS-Filter übereinstimmt, an einen dreifarbigen Policer senden.

Übereinstimmungsbedingungen für Firewall-Filter für MPLS-Datenverkehr

Verwandte Themen