Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Übersicht über MPLS-Firewall-Filter auf der Loopback-Schnittstelle

Obwohl alle Schnittstellen wichtig sind, ist die Loopbackschnittstelle möglicherweise die wichtigste, da sie die Verbindung zur Routing-Engine darstellt, die alle Routingprotokolle ausführt und verwaltet. Die Loopback-Schnittstelle ist ein Gateway für den gesamten Steuerungsdatenverkehr, der in die Routing-Engine des Switches eingeht. Sie können diesen Datenverkehr steuern, indem Sie einen Firewall-Filter auf der Loopback-Schnittstelle (lo0) auf family mplskonfigurieren. Loopback-Firewall-Filter wirken sich nur auf den Datenverkehr aus, der für die Routing-Engine-CPU bestimmt ist. Sie können einen Loopback-Firewallfilter nur in Eingangsrichtung (Pakete, die in die Schnittstelle eingehen) anwenden. Ab Junos OS Version 19.2R1 können Sie einen MPLS-Firewallfilter auf eine Loopback-Schnittstelle auf einem Label Switch Router (LSR) auf QFX5100-, QFX5110-, QFX5200- und QFX5210-Switches anwenden.

Wenn Sie einen MPLS-Firewallfilter konfigurieren, definieren Sie Filterkriterien (Begriffe mit Übereinstimmungsbedingungen) für die Pakete und eine Aktion , die der Switch ausführen soll, wenn die Pakete den Filterkriterien entsprechen. Da Sie den Filter auf eine Loopbackschnittstelle anwenden, müssen Sie die Übereinstimmungsbedingung für die Gültigkeitsdauer (TTL) explizit angeben family mpls und ihren TTL-Wert auf 1 (ttl=1) festlegen. Die TTL ist ein 8-Bit-Header-Feld (IPv4), das die verbleibende Zeit eines IP-Pakets angibt, bevor seine Lebensdauer endet und verworfen wird. Sie können Pakete auch mit anderen MPLS-Qualifizierern wie label, exp, Layer 4 source portund Layer 4 destination portabgleichen.

Vorteile des Hinzufügens von MPLS-Firewall-Filtern auf der Loopback-Schnittstelle

  • Schützt die Routing-Engine, indem sichergestellt wird, dass sie nur Datenverkehr aus vertrauenswürdigen Netzwerken akzeptiert.

  • Schützt die Routing-Engine vor Denial-of-Service-Angriffen.

  • Bietet Ihnen die Flexibilität, Pakete auf dem Quell- und Zielport abzugleichen. Wenn Sie z. B. eine Traceroute ausführen, können Sie den Datenverkehr selektiv filtern, indem Sie entweder TCP oder UDP auswählen.

Richtlinien und Einschränkungen

  • Sie können einen Loopback-Firewallfilter nur in Eingangsrichtung anwenden

  • Es werden nur MPLS-Felder label, expund ttl=1 Layer-4-Felder tcp und udp Portnummern unterstützt.

  • Es werden nur accept, discard, und count Aktionen unterstützt.

  • Sie müssen explizit under family mpls angebenttl=1, um TLL-Paketen zu entsprechen.

  • Filter, die auf die Loopback-Schnittstelle angewendet werden, können nicht auf dem Zielport (innere Nutzlast) eines IPv6-Pakets abgeglichen werden.

  • Sie können keinen Filter auf Pakete anwenden, die mehr als zwei MPLS-Labels haben.

  • Sie können keinen Portbereich für TCP- oder UDP-Übereinstimmungsbedingungen angeben.

  • Es werden nur 255 Firewall-Begriffe unterstützt.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
19.2R1
Ab Junos OS Version 19.2R1 können Sie einen MPLS-Firewallfilter auf eine Loopback-Schnittstelle auf einem Label Switch Router (LSR) auf QFX5100-, QFX5110-, QFX5200- und QFX5210-Switches anwenden.