Conditions de correspondance du filtre de pare-feu pour le trafic MPLS

Vous pouvez configurer un filtre de pare-feu avec des conditions de correspondance pour le trafic MPLS (family mpls).

Les input-list filter-names instructions et pour les filtres de pare-feu de la mpls famille de protocoles sont prises en charge sur toutes les interfaces à l’exception des interfaces de gestion et des interfaces Ethernet internes ( ou em0), des interfaces de bouclage () et output-list filter-names des interfaces de modem USB (lo0fxpumd)
(QFX5100, QFX5110, QFX5200, QFX5210) Si vous appliquez un filtre MPLS sur une interface de bouclage, vous ne pouvez filtrer que sur les labelchamps , , , , expttl=1et Couche 4 tcp et udp Numéro de port. Pour le TTL, vous devez explicitement spécifier ttl=1 sous family mpls to match sur les paquets TTL=1. Les seules actions que vous pouvez configurer sont accept, discard, et count. Vous ne pouvez appliquer le filtre que dans le sens d’entrée.
Pour les routeurs MX Series avec MPC et MIC, vous pouvez appliquer des filtres entrants et sortants pour la famille MPLS en fonction des paramètres IPv4 et IPv6 marqués MPLS à l’aide de conditions de correspondance de charge utile interne, et activer la mise en miroir sélective du trafic MPLS sur un équipement de surveillance (à partir de Junos OS version 18.4R1). Pour le filtrage basé sur IP, des conditions de correspondance supplémentaires sont disponibles sous le paramètre de terme from de filtre MPLS, et pour prendre en charge la mise en miroir de ports, des actions supplémentaires (telles que port-mirror et port-mirror-instance) sont disponibles sous le paramètre de terme thende filtre.

Tableau 1 décrit ce que match-conditions vous pouvez configurer au niveau de la [edit firewall family mpls filter filter-name term term-name from] hiérarchie.

Tableau 1 : Conditions de correspondance du filtre de pare-feu pour le trafic MPLS
Condition de correspondance	Description
`apply-groups`	Spécifiez les groupes dont vous souhaitez hériter des données de configuration. Vous pouvez spécifier plusieurs noms de groupe. Vous devez les lister par ordre de priorité d’héritage. Les données de configuration du premier groupe sont prioritaires sur les données des groupes suivants.
`apply-groups-except`	Spécifiez les groupes dont vous ne souhaitez pas hériter des données de configuration. Vous pouvez spécifier plusieurs noms de groupe.
`destination-port number`	Correspondance dans le champ Port de destination UDP ou TCP. À la place de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) : `afs`( 1483), (179), (512), (68), (67), (514), (2401), (67), (53), (2105), (2106), (512), (79), (21), (20), (80), (443), (113), (143), (88), (543), (761), (754), (760), (544), (389), (646), (513), (434), (435), (639), (138), (137), (139), (2049), (119), (518), `bgpbiffbootpcbootpscmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttpsidentimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdpnetbios-dgmnetbios-nsnetbios-ssnnfsdnntpntalkntp` (123), (110), (1723), (515), (1813), (1812), (520), (2108), (25), (161), (162), (444), (1080), (22), (111), (514), (49), (65), (517), (23), (69), (525), `whotalkradacctprinterpptppop3radiusripsockssnppsshsnmptrapsunrpcsnmpsyslogtacacssmtprkinittelnettftptacacs-dstimed` (513) ou `xdmcp` (177).
`exp number`	Numéro de bits expérimental (EXP) ou plage de numéros de bits dans l’en-tête MPLS d’un paquet. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs comprises entre 0 et 7 au format binaire, décimal ou hexadécimal, comme indiqué ci-dessous : Un seul bit EXP (par exemple, `exp 3` Plusieurs bits EXP (par exemple, `exp 0,4` Une plage de bits EXP, par exemple, `exp [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage. REMARQUE : Cette condition de correspondance est obsolète sur les appareils PTX10001-36MR, PTX10003, PTX10004, PTX10008 et PTX10016 et est remplacée par `exp0 number`.
`exp-except number`	Ne faites pas correspondre le numéro de bits EXP ou la plage de numéros de bits dans l’en-tête MPLS. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs de `0` à travers `7`. REMARQUE : Cette condition de correspondance est obsolète sur les appareils PTX10001-36MR, PTX10003, PTX10004, PTX10008 et PTX10016 et est remplacée par `exp0-except`.
`exp0 number`	Numéro de bits expérimental (EXP) ou plage de nombres de bits dans l’en-tête MPLS TOS d’un paquet. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs comprises entre 0 et 7 au format binaire, décimal ou hexadécimal, comme indiqué ci-dessous : Un seul bit EXP (par exemple, `exp0 3` Plusieurs bits EXP (par exemple, `exp0 0,4` Une plage de bits EXP, par exemple, `exp0 [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage.
`exp0-except number`	Ne faites pas correspondre le numéro de bits EXP ou la plage de numéros de bits dans l’en-tête MPLS TOS d’un paquet. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs comprises entre 0 et 7 au format binaire, décimal ou hexadécimal, comme indiqué ci-dessous : Un seul bit EXP (par exemple, `exp0-except 3` Plusieurs bits EXP (par exemple, `exp0-except 0,4` Une plage de bits EXP, par exemple, `exp0-except [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage.
`exp1 number`	Numéro de bits expérimental (EXP) ou plage de numéros de bits dans l’en-tête MPLS qui se trouve à côté de l’en-tête MPLS TOS (sommet de la pile). Pour `number`, vous pouvez spécifier une ou plusieurs valeurs comprises entre 0 et 7 au format binaire, décimal ou hexadécimal, comme indiqué ci-dessous : Un seul bit EXP (par exemple, `exp1 3` Plusieurs bits EXP (par exemple, `exp1 0,4` Une plage de bits EXP, par exemple, `exp1 [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage.
`exp1-except number`	Ne faites pas correspondre le numéro de bits EXP ou la plage de numéros de bits dans l’en-tête MPLS en regard de l’en-tête MPLS TOS. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs comprises entre 0 et 7 au format binaire, décimal ou hexadécimal, comme indiqué ci-dessous : Un seul bit EXP (par exemple, `exp1-except 3` Plusieurs bits EXP (par exemple, `exp1-except 0,4` Une plage de bits EXP, par exemple, `exp1-except [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage.
`forwarding-class class`	Classe de transfert. Spécifiez `assured-forwarding`, , `expedited-forwardingbest-effort`, ou `network-control`. REMARQUE : Sur les routeurs PTX10001-36MR, des routeurs PTX10003, PTX10004, PTX10008 PTX10016 ou `exp1` des `exp0` bits sont utilisés pour obtenir la classe de transfert.
`forwarding-class-except class`	Ne pas correspondre sur la classe de transfert. Spécifiez `assured-forwarding`, , `expedited-forwardingbest-effort`, ou `network-control`.
`interface interface-name`	Interface sur laquelle le paquet a été reçu. Vous pouvez configurer une condition de correspondance qui fait correspondre les paquets en fonction de l’interface sur laquelle ils ont été reçus. REMARQUE : Si vous configurez cette condition de correspondance avec une interface qui n’existe pas, le terme ne correspond à aucun paquet.
`interface-set interface-set-name`	Faites correspondre l’interface sur laquelle le paquet a été reçu à l’ensemble d’interfaces spécifié. Pour définir un jeu d’interfaces, incluez l’instruction `interface-set` au niveau de la `[edit firewall]` hiérarchie. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. Pour plus d’informations, reportez-vous à la section Vue d’ensemble du filtrage des paquets reçus sur un ensemble d’interfaces.
`ip-version number`	Correspond à la version IP interne. Par exemple, pour faire correspondre des paquets IPv4 avec balise MPLS, faites correspondre sur le synonyme `ipv4`de texte . À l’intérieur `ip-version number` , vous pouvez faire correspondre les paquets en fonction des adresses et des ports source et de destination. Reportez-vous à la Tableau 2section Tableau 1 et .
`label number`	Valeur d’étiquette MPLS ou plage de valeurs d’étiquette dans l’en-tête MPLS d’un paquet. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs comprises entre 0 et 1048575 au format décimal ou hexadécimal, comme indiqué ci-dessous : Une seule étiquette, par exemple, `label 3` Plusieurs étiquettes, par exemple, `label 0,4` Une gamme d’étiquettes, par exemple, `label [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage. REMARQUE : Cette option est obsolète sur les appareils PTX10001-36MR, PTX10003, PTX10004, PTX10008 et PTX10016 et est remplacée par `label0`.
`label0 number`	Valeur d’étiquette MPLS ou plage de valeurs d’étiquette dans l’en-tête MPLS TOS d’un paquet. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs comprises entre 0 et 1048575 au format décimal ou hexadécimal, comme indiqué ci-dessous : Une seule étiquette, par exemple, `label0 3` Plusieurs étiquettes, par exemple, `label0 0,4` Une gamme d’étiquettes, par exemple, `label0 [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage.
`label0-except number`	Ne faites pas correspondre la valeur d’étiquette MPLS ou la plage de valeurs d’étiquette dans l’en-tête MPLS TOS d’un paquet. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs comprises entre 0 et 1048575 au format décimal ou hexadécimal, comme indiqué ci-dessous : Une seule étiquette, par exemple, `label0-except 3` Plusieurs étiquettes, par exemple, `label0-except 0,4` Une gamme d’étiquettes, par exemple, `label0-except [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage.
`label1 number`	Faites correspondre la valeur d’étiquette MPLS ou la plage de valeurs d’étiquette dans l’étiquette d’en-tête MPLS de l’en-tête MPLS qui se trouve en regard de l’en-tête MPLS TOS. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs comprises entre 0 et 1048575 au format décimal ou hexadécimal, comme indiqué ci-dessous : Une seule étiquette, par exemple, `label1 3` Plusieurs étiquettes, par exemple, `label1 0,4` Une gamme d’étiquettes, par exemple, `label1 [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage.
`label1-except number`	Ne faites pas de correspondance sur la valeur d’étiquette MPLS ou la plage de valeurs d’étiquette dans l’étiquette d’en-tête MPLS de l’en-tête MPLS qui se trouve en regard de l’en-tête MPLS TOS. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs comprises entre 0 et 1048575 au format décimal ou hexadécimal, comme indiqué ci-dessous : Une seule étiquette, par exemple, `label1-except 3` Plusieurs étiquettes, par exemple, `label1-except 0,4` Une gamme d’étiquettes, par exemple, `label1-except [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage.
`label number top` \| `bottom` \| `offset` `offset-value`	Faites correspondre l’étiquette supérieure, ou l’étiquette inférieure ou l’étiquette à un décalage spécifié (à partir du haut ou du bas de la pile d’étiquettes) du paquet MPLS entrant. `top` - Faites correspondre la référence entre le haut de la pile et le bas de la pile. `bottom` - Faites correspondre la référence entre le bas de la pile et le haut de la pile. `offset<offset-value>` - Correspondance avec la référence à la profondeur de pile MPLS par rapport au haut ou au bas de la pile, où `offset-value` = (0..15). `label` `number` `top` `offset` `offset-value` - Le filtre MPLS de l’étiquette supérieure correspond à un ponçage décalé à l’empilement de 0 à 15. 0 étant la première position de l’étiquette à partir du haut de la pile pour les filtres implicites et CLI. `label` `number` `bottom` `offset` `offset-value` - Le filtre d’étiquette inférieur MPLS correspond à un ponçage décalé à la pile de 0 à 15. 0 étant la première position de l’étiquette à partir du bas de la pile pour les filtres implicites et CLI. `label` `number` `offset` `offset-value` - Si aucune option, en haut ou en bas, n’est fournie à `label` `number` côté, la correspondance par défaut commence en haut de la pile avec un décalage donné. En d’autres termes, le décalage du numéro d’étiquette [n = 0..15] est équivalent au décalage supérieur du numéro d’étiquette [n = 0..15]. `label` `number` - Si aucune option n’est fournie à côté de l’étiquette supérieure, la correspondance par défaut sera effectuée sur l’étiquette supérieure (décalage implicite 0 et point d’ancrage étant en haut de `label` `number` la pile). REMARQUE : La correspondance du filtre sur l’étiquette avec un décalage par rapport à la profondeur de la pile MPLS peut ne pas donner le comportement attendu. Pour la correspondance de l’étiquette de filtre avec la position en bas, si le décalage est hors de la profondeur de la pile MPLS, le filtre correspondra toujours sur l’étiquette de fin de pile. Pour la correspondance du filtre avec la position en haut, si le décalage est hors de la profondeur de la pile MPLS, pointera vers la charge utile pour correspondre à l’étiquette configurée. REMARQUE : Les options de commande de configuration sont présentées dans Junos version 22.3R1.
`loss-priority level`	Faites correspondre le niveau de priorité de perte de paquets (PLP). Spécifiez un ou plusieurs niveaux : `low`, , `medium-lowmedium-high`, ou `high`. Pris en charge sur les routeurs M120 et M320 ; Routeurs M7i et M10i avec CFEB-E (Enhanced CFEB) ; et les routeurs et commutateurs EX Series et MX Series. Pour le trafic IP sur les routeurs M320, MX Series et T Series avec des concentrateurs PIC flexibles (FPC) Enhanced II et des commutateurs EX Series, vous devez inclure l’instruction au niveau de la `[edit class-of-service]` hiérarchie pour valider une configuration PLP avec l’un `tri-color` des quatre niveaux spécifiés. Si l’instruction n’est `tri-color` pas activée, vous ne pouvez configurer que les `high` niveaux et `low` . Cela s’applique à toutes les familles de protocoles. Pour plus d’informations sur l’instruction, reportez-vous à la `tri-color`section Configuration et application des mécanismes de contrôle du marquage tricolore. Pour plus d’informations sur l’utilisation des classificateurs d’agrégation de comportement (BA) pour définir le niveau PLP des paquets entrants, consultez Comprendre comment les classes de transfert affectent des classes aux files d’attente de sortie. REMARQUE : Sur le PTX10001-36MR, des routeurs PTX10003, PTX10004, PTX10008 PTX10016 ou `exp1` des `exp0` bits sont utilisés pour obtenir la priorité de perte.
`loss-priority-except level`	Ne correspond pas au niveau PLP. Pour plus de détails, voir la condition de `loss-priority` correspondance. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series.
`source-port number`	Correspondance dans le champ Port source TCP ou UDP. Vous ne pouvez pas spécifier les `port` conditions de correspondance et `source-port` dans le même terme. Si vous configurez cette condition de correspondance pour le trafic IPv4, nous vous recommandons de configurer également l’instruction `protocol udp` or `protocol tcp` match dans le même terme pour spécifier le protocole utilisé sur le port. À la place du champ numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous `destination-port`.
`ttl0 number`	Faites correspondre le numéro TTL ou la plage de numéros dans l’en-tête MPLS TOS d’un paquet. La durée de vie (TTL) est un champ de 8 bits dans l’étiquette MPLS qui indique le temps restant qu’un paquet a quitté avant la fin de sa vie et sa perte. Pour `number`, vous pouvez spécifier une valeur comprise entre 0 et 255.
`ttl0-except number`	Ne correspond pas au numéro TTL ou à la plage de numéros dans l’en-tête MPLS TOS d’un paquet. La durée de vie (TTL) est un champ de 8 bits dans l’étiquette MPLS qui indique le temps restant qu’un paquet a quitté avant la fin de sa vie et sa perte. Pour `number`, vous pouvez spécifier une valeur comprise entre 0 et 255.
`ttl1 number`	Faites correspondre le numéro TTL ou la plage de numéros dans l’en-tête MPLS qui se trouve en regard de l’en-tête MPLS TOS d’un paquet. La durée de vie (TTL) est un champ de 8 bits dans l’étiquette MPLS qui indique le temps restant qu’un paquet a quitté avant la fin de sa vie et sa perte. Pour `number`, vous pouvez spécifier une valeur comprise entre 0 et 255.
`ttl1-except number`	Ne faites pas correspondre le numéro TTL ou la plage de numéros dans l’en-tête MPLS qui se trouve à côté de l’en-tête MPLS TOS d’un paquet. La durée de vie (TTL) est un champ de 8 bits dans l’étiquette MPLS qui indique le temps restant qu’un paquet a quitté avant la fin de sa vie et sa perte. Pour `number`, vous pouvez spécifier une valeur comprise entre 0 et 255.

REMARQUE :

exp0, , et ne sont pris en charge que sur les PTX10001-36MR, PTX10003, PTX10004, PTX10008, exp0-exceptexp1-exceptlabel0label1-exceptttl1ip-versionexp1label1ttl0label0-exceptttl0-exceptPTX10016.ttl1-except

Tableau 2 décrit les actions que vous pouvez configurer pour les filtres de pare-feu MPLS au niveau de la [edit firewall family mpls filter filter-name term term-name then] hiérarchie.

Tableau 2 : Actions prises en charge pour les filtres de pare-feu MPLS
Action	Description
`accept`	Accepter un paquet
`count counter-name`	Comptez le nombre de paquets qui passent ce filtre ou ce terme. REMARQUE : Nous vous recommandons de configurer un compteur pour chaque terme dans un filtre de pare-feu, afin de pouvoir surveiller le nombre de paquets qui correspondent aux conditions spécifiées dans chaque terme de filtre.
`discard`	Rejeter un paquet en mode silencieux sans envoyer de message ICMP (Internet Control Message Protocol)
`policer`	À partir de Junos OS 13.2X51-D15, vous pouvez envoyer le trafic correspondant à un filtre MPLS vers un mécanisme de contrôle bicolore.
`three-color-policer`	À partir de Junos OS 13.2X51-D15, vous pouvez envoyer le trafic correspondant à un filtre MPLS vers un mécanisme de contrôle tricolore.

Conditions de correspondance du filtre de pare-feu pour le trafic MPLS

Rubriques connexes