Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Übersicht über MPLS-Firewall-Filter auf der Loopback-Schnittstelle

Obwohl alle Schnittstellen wichtig sind, ist die Loopbackschnittstelle möglicherweise die wichtigste, da sie die Verbindung zur Routing-Engine darstellt, die alle Routingprotokolle ausführt und verwaltet. Die Loopback-Schnittstelle ist ein Gateway für den gesamten Steuerungsdatenverkehr, der in die Routing-Engine des Switches eingeht. Sie können diesen Datenverkehr steuern, indem Sie einen Firewall-Filter auf der Loopback-Schnittstelle (lo0) auf konfigurieren.family mpls Loopback-Firewall-Filter wirken sich nur auf den Datenverkehr aus, der für die Routing-Engine-CPU bestimmt ist. Sie können einen Loopback-Firewallfilter nur in Eingangsrichtung (Pakete, die in die Schnittstelle eingehen) anwenden. Ab Junos OS Version 19.2R1 können Sie einen MPLS-Firewallfilter auf eine Loopback-Schnittstelle auf einem Label Switch Router (LSR) auf QFX5100-, QFX5110-, QFX5200- und QFX5210-Switches anwenden.

Wenn Sie einen MPLS-Firewallfilter konfigurieren, definieren Sie Filterkriterien (Begriffe mit Übereinstimmungsbedingungen) für die Pakete und eine Aktion , die der Switch ausführen soll, wenn die Pakete den Filterkriterien entsprechen. Da Sie den Filter auf eine Loopbackschnittstelle anwenden, müssen Sie die Übereinstimmungsbedingung für die Gültigkeitsdauer (TTL) explizit angeben und ihren TTL-Wert auf 1 () festlegen.family mplsttl=1 Die TTL ist ein 8-Bit-Header-Feld (IPv4), das die verbleibende Zeit eines IP-Pakets angibt, bevor seine Lebensdauer endet und verworfen wird. Sie können Pakete auch mit anderen MPLS-Qualifizierern wie , , Layer 4 und Layer 4 abgleichen.labelexpsource portdestination port

Vorteile des Hinzufügens von MPLS-Firewall-Filtern auf der Loopback-Schnittstelle

  • Schützt die Routing-Engine, indem sichergestellt wird, dass sie nur Datenverkehr aus vertrauenswürdigen Netzwerken akzeptiert.

  • Schützt die Routing-Engine vor Denial-of-Service-Angriffen.

  • Bietet Ihnen die Flexibilität, Pakete auf dem Quell- und Zielport abzugleichen. Wenn Sie z. B. eine Traceroute ausführen, können Sie den Datenverkehr selektiv filtern, indem Sie entweder TCP oder UDP auswählen.

Richtlinien und Einschränkungen

  • Sie können einen Loopback-Firewallfilter nur in Eingangsrichtung anwenden

  • Es werden nur MPLS-Felder , und Layer-4-Felder und Portnummern unterstützt.labelexpttl=1tcpudp

  • Es werden nur , , und Aktionen unterstützt.acceptdiscardcount

  • Sie müssen explizit under angeben, um TLL-Paketen zu entsprechen.ttl=1family mpls

  • Filter, die auf die Loopback-Schnittstelle angewendet werden, können nicht auf dem Zielport (innere Nutzlast) eines IPv6-Pakets abgeglichen werden.

  • Sie können keinen Filter auf Pakete anwenden, die mehr als zwei MPLS-Labels haben.

  • Sie können keinen Portbereich für TCP- oder UDP-Übereinstimmungsbedingungen angeben.

  • Es werden nur 255 Firewall-Begriffe unterstützt.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Feature Explorer, um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Release
Beschreibung
19.2R1
Ab Junos OS Version 19.2R1 können Sie einen MPLS-Firewallfilter auf eine Loopback-Schnittstelle auf einem Label Switch Router (LSR) auf QFX5100-, QFX5110-, QFX5200- und QFX5210-Switches anwenden.