Bedingungen für die Übereinstimmung von Firewall-Filtern MPLS Datenverkehrs

Sie können einen Firewall-Filter mit Bedingungen für MPLS Datenverkehr ( family mpls ) konfigurieren.

Die Anweisungen für Firewall-Filter für die Protokollfamilie werden an allen Schnittstellen außer an Managementschnittstellen und internen input-list filter-names Ethernet-Schnittstellen ( oder ), output-list filter-namesmplsfxp Loopback-Schnittstellen () und em0lo0 USB-Modemschnittstellen ( umd ) unterstützt.
Wenn ein Paket über mehrere Label MPLS verfügt, wendet der Filter die Übereinstimmungsbedingungen nur auf das untere Label im Labelstack an.
(QFX5100, QFX5110, QFX5200, QFX5210) Wenn Sie einen MPLS auf einer Loopbackschnittstelle anwenden, können Sie nur auf die , und labelexp Layer 4- und ttl=1tcpudp Portnummer-Felder filtern. Bei TTL müssen Sie unter "to ttl=1family mpls match" für TTL=1-Pakete explizit angeben. Sie können nur eine Konfiguration accept durchführen und discard ... count Sie können den Filter nur in die Ingress-Richtung anwenden.
Bei Routern der MX-Serie mit MPC und MIC können Sie ein- und ausgehende Filter für die MPLS-Familie anwenden, basierend auf MPLS-tagged-IPv4- und IPv6-Parametern mithilfe von Bedingungen zur Übereinstimmung mit innerer Payload, und eine selektive Portspiegelung des MPLS-Datenverkehrs für ein Überwachungsgerät ermöglichen (beginnend bei Junos OS Release 18.4R1). Für die IP-basierte Filterung stehen unter den MPLS-Term-Parametern zusätzliche Bedingungen zur Verfügung, und zur Unterstützung der Portspiegelung stehen zusätzliche Aktionen (z. B. Port-Spiegelung und Port-Spiegelung) unter den Term-Parametern des Filters zur fromthen Verfügung.

Tabelle 1 beschreibt die match-conditions Konfiguration auf [edit firewall family mpls filter filter-name term term-name from] Hierarchieebene.

Tabelle 1: Bedingungen für die Übereinstimmung von Firewall-Filtern MPLS Datenverkehrs
Bedingungen erfüllen	Beschreibung
`apply-groups`	Geben Sie an, von welchen Gruppen Konfigurationsdaten übernommen werden sollen. Sie können mehr als einen Gruppennamen angeben. Sie müssen sie in der Reihenfolge der Vererbungspriorität auflisten. Die Konfigurationsdaten in der ersten Gruppe haben in den nachfolgenden Gruppen Priorität vor den Daten.
`apply-groups-except`	Geben Sie an, von welchen Gruppen konfigurationsdaten nicht übernommen werden sollen. Sie können mehr als einen Gruppennamen angeben.
`destination-port number`	Übereinstimmung im UDP- oder TCP-Zielportfeld. Sie können an der Stelle des numerischen Werts eines der folgenden Text Synonyme angeben (die Portnummern sind ebenfalls aufgelistet): `afs`(1483), `bgp` (179), `biff` (512), `bootpcbootps` (68), (67), `cmdcvspserver` (514), (2401), `dhcp` (67), `domaineklogin` (53), `ekshell` (2105), (2106) `exec` (512), `fingerftp` (21) `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), `mobileip-agent` (434) `mobilip-mnmsdp` (435) (639), `netbios-dgm` (138), `netbios-ns` (137), `netbios-ssn` (139), `nfsd` (2049), `nntp` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printerradacct` (515), (1813) `radius` (1812) `riprkinit` (520) (2108) `smtp` und (2 5), `snmp` (161), `snmptrap` (162), `snpp` (444), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), `tacacs-ds` (65), `talk` (517) `telnettftp` (23), (69), `timed` (525) oder `whoxdmcp` (177).
`exp number`	Experimentelle (EXP)-Bitnummer oder Reichweite von Bitnummern im MPLS Header eines Pakets. Als `Zahl`können Sie einen oder mehrere Werte von 0 bis 7 im Binär-, Dezimal- oder Hexadezimalformat (wie unten angegeben) angeben: Ein einzelner EXP-Bit – zum Beispiel `exp 3` Mehrere EXP-Bits, z. B. `exp 0,4` Eine Reihe von EXP-Bits, `exp [0-5]` z. B. . Diese Werte werden auf Filtern, die an die Loopbackschnittstelle angewendet werden, nicht unterstützt. Anmerkung: Diese Übereinstimmungsbedingung wird auf Pakettransport-Routern der PTX-Serie nicht unterstützt.
`exp-except number`	Nicht an die EXP-Bitnummer oder den Bereich von Bitnummern im Header MPLS. Sie `number` können einen oder mehrere Werte von bis `07` angeben. Anmerkung: Diese Übereinstimmungsbedingung wird auf Pakettransport-Routern der PTX-Serie nicht unterstützt.
`forwarding-class class`	Weiterleitungsklasse. `assured-forwardingbest-effortexpedited-forwarding` Spezifizieren, oder `network-control` .
`forwarding-class-except class`	Nicht mit der Weiterleitungsklasse übereinstimmen. `assured-forwardingbest-effortexpedited-forwarding` Spezifizieren, oder `network-control` .
`interface interface-name`	Schnittstelle, an der das Paket empfangen wurde. Sie können eine Übereinstimmungsbedingung konfigurieren, die Pakete basierend auf der Schnittstelle, an der sie empfangen wurden, entspricht. Anmerkung: Wenn Sie diese Bedingungen mit einer Schnittstelle konfigurieren, die nicht vorhanden ist, ist der Begriff nicht mit einem Paket übereinstimmen.
`interface-set interface-set-name`	Passen Sie die Schnittstelle an, an der das Paket an den angegebenen Schnittstellensatz empfangen wurde, an. Um eine Schnittstellenschnittstelle zu definieren, fügen Sie die `interface-set` Anweisung auf der `[edit firewall]` Hierarchieebene ein. Anmerkung: Diese Übereinstimmungsbedingung wird auf Pakettransport-Routern der PTX-Serie nicht unterstützt. Weitere Informationen finden Sie Filtern von Paketen, die an einer Schnittstelle empfangen werden, Übersicht unter.
`ip-version number`	(Schnittstellen für flexible PIC-Concentrators mit erweiterter Skalierung [FPCs] auf unterstützten T-Serie nur Router) Innen-IP-Version. Wenn Sie MPLS tagged IPv4-Pakete verwenden, geben Sie das Textsynonym `ipv4` an. Anmerkung: Diese Übereinstimmungsbedingung wird auf Pakettransport-Routern der PTX-Serie nicht unterstützt.
`label number`	MPLS Labelwert oder -bereich von Labelwerten im Header MPLS Pakets. Als `Zahl`können Sie einen oder mehrere Werte von 0 bis 1048575 im Dezimal- oder Hexadezimalformat (wie unten angegeben) angeben: Ein einzelnes Label– zum Beispiel `label 3` Mehrere Labels, z. B. `label 0,4` Eine Reihe von Labels, zum Beispiel `label [0-5]` . Diese Werte werden auf Filtern, die an die Loopbackschnittstelle angewendet werden, nicht unterstützt.
`loss-priority level`	Passen Sie die Paketverlustprioritätsebene (PLP) an. Geben Sie eine einzelne oder mehrere Ebenen an: `low`oder `medium-lowmedium-highhigh` Wird auf Routern M120- M320 unterstützt. M7i- M10i mit Enhanced CFEB (CFEB-E); Router der MX-Serie und Switches der EX-Serie. Für den IP-Datenverkehr auf M320-, MX-Serie- und T-Serie-Routern mit Enhanced II Flexible PIC Concentrators (FPCs) und Switches der EX-Serie muss die Anweisung auf der Hierarchieebene enthalten sein, um eine PLP-Konfiguration mit einer der vier angegebenen Ebenen `tri-color[edit class-of-service]` festzulegen. Wenn die `tri-color` Aussage nicht aktiviert ist, können Sie nur die Ebenen `highlow` konfigurieren. Dies gilt für alle Protokollfamilien. Informationen zur Aussage finden Sie `tri-color` unter Konfigurieren und Anwenden von dreifarbigen Markierungs-Policern. Informationen zur Verwendung von BEHAVIOR Aggregate (BA)-Klassifizierern zum Festlegen der PLP-Ebene eingehender Pakete finden Sie unter Understanding How Forwarding Classes Assign Classes to Output Queues(Informationen dazu, wie Weiterleitungsklassen Klassen Ausgangswarteschlangen zuweisen).
`loss-priority-except level`	Nicht der PLP-Ebene übereinstimmen. Details finden Sie in der `loss-priority` Bedingungen für die Übereinstimmung. Anmerkung: Diese Übereinstimmungsbedingung wird auf Pakettransport-Routern der PTX-Serie nicht unterstützt.
`source-port number`	Übereinstimmung im TCP- oder UDP-Quellportfeld. Sie können nicht die `port` Bedingungen im gleichen Begriff `source-port` angeben. Wenn Sie diese Bedingungen für den IPv4-Datenverkehr konfigurieren, empfehlen wir Ihnen, die Oder-Übereinstimmungs-Anweisung im selben Begriff zu konfigurieren, um anzugeben, welches Protokoll für den Port `protocol udpprotocol tcp` verwendet wird. Sie können eines der unter . `destination-port`
`ttl number`	Time To Live (TTL) ist ein 8-Bit-Feld im label MPLS, das die verbleibende Zeit, die ein Paket vor seiner Lebensdauer hinter sich hat, nach und nach beendet wird. Als `Zahl`können Sie einen Wert zwischen 0 und 255 angeben.

Tabelle 2 beschreibt die Aktionen, die Sie für Firewall MPLS in der [edit firewall family mpls filter filter-name term term-name then] Hierarchieebene konfigurieren können.

Tabelle 2: Unterstützte Aktionen für MPLS Firewall-Filter
Aktion	Beschreibung
`accept`	Paket annehmen
`count counter-name`	Die Anzahl der Pakete, die diesen Filter oder Begriff bestehen, zählen. Anmerkung: Wir empfehlen, für jeden Begriff in einem Firewall-Filter einen Zähler zu konfigurieren, damit Sie die Anzahl der Pakete überwachen können, die den in jedem Filterbegriff angegebenen Bedingungen übereinstimmen.
`discard`	Paket unbedringt verwerfen, ohne eine ICMP-Nachricht (Internet Control Message Protocol) senden zu müssen
`policer`	Beginnend mit Junos OS 13.2X51-D15 können Sie Datenverkehr, der durch einen filterbasierten MPLS, an einen Zwei-Farb-Policer senden.
`three-color-policer`	Beginnend mit Junos OS 13.2X51-D15 Können Sie Datenverkehr, der durch einen bestimmten Filter MPLS, an einen dreifarbigen Policer senden.

Bedingungen für die Übereinstimmung von Firewall-Filtern MPLS Datenverkehrs

Verwandte Themen