Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general de los filtros de firewall MPLS en la interfaz de circuito cerrado

Aunque todas las interfaces son importantes, la interfaz de circuito cerrado puede ser la más importante porque es el vínculo al motor de enrutamiento, que ejecuta y administra todos los protocolos de enrutamiento. La interfaz de circuito cerrado es una puerta de enlace para todo el tráfico de control que entra en el motor de enrutamiento del conmutador. Puede controlar este tráfico configurando un filtro de firewall en la interfaz de circuito cerrado (lo0) en .family mpls Los filtros de firewall de circuito cerrado solo afectan al tráfico destinado a la CPU del motor de enrutamiento. Puede aplicar un filtro de firewall de circuito cerrado solo en la dirección de entrada (paquetes que entran en la interfaz). A partir de Junos OS versión 19.2R1, puede aplicar un filtro de firewall MPLS a una interfaz de circuito cerrado en un enrutador de conmutador de etiquetas (LSR) en conmutadores QFX5100, QFX5110, QFX5200 y QFX5210.

Cuando se configura un filtro de firewall MPLS, se definen criterios de filtrado (términos, con condiciones de coincidencia) para los paquetes y una acción que el conmutador debe realizar si los paquetes coinciden con los criterios de filtrado. Dado que se aplica el filtro a una interfaz de circuito cerrado, debe especificar explícitamente la condición de coincidencia del tiempo de vida (TTL) y establecer su valor TTL en 1 ().family mplsttl=1 El TTL es un campo de encabezado de 8 bits (IPv4) que indica el tiempo restante que le queda a un paquete IP antes de que termine su vida útil y se caiga. También puede hacer coincidir paquetes con otros calificadores MPLS como , , Capa 4 y Capa 4 .labelexpsource portdestination port

Ventajas de agregar filtros de firewall MPLS en la interfaz de circuito cerrado

  • Protege el motor de enrutamiento asegurándose de que solo acepta tráfico de redes de confianza.

  • Ayuda a proteger el motor de enrutamiento de ataques de denegación de servicio.

  • Le ofrece la flexibilidad de hacer coincidir los paquetes en el puerto de origen y el puerto de destino. Por ejemplo, si ejecuta un traceroute, puede filtrar selectivamente el tráfico eligiendo TCP o UDP.

Directrices y limitaciones

  • Puede aplicar un filtro de firewall de circuito cerrado solo en la dirección de entrada

  • Solo se admiten los campos MPLS , y los campos y números de puerto de capa 4.labelexpttl=1tcpudp

  • Solo se admiten , y acciones.acceptdiscardcount

  • Debe especificar explícitamente que el bajo coincida en los paquetes TLL.ttl=1family mpls

  • Los filtros aplicados en la interfaz de circuito cerrado no pueden coincidir en el puerto de destino (carga interna) de un paquete IPv6.

  • No puede aplicar un filtro en paquetes que tengan más de dos etiquetas MPLS.

  • No puede especificar un intervalo de puertos para condiciones de coincidencia TCP o UDP.

  • Solo se admiten 255 términos de firewall.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
19.2R1
A partir de Junos OS versión 19.2R1, puede aplicar un filtro de firewall MPLS a una interfaz de circuito cerrado en un enrutador de conmutador de etiquetas (LSR) en conmutadores QFX5100, QFX5110, QFX5200 y QFX5210.