Conditions de correspondance du filtre de pare-feu pour le trafic MPLS

Vous pouvez configurer un filtre de pare-feu avec des conditions de correspondance pour le trafic MPLS (family mpls).

Les input-list filter-names déclarations et output-list filter-names les déclarations des filtres de pare-feu pour la mpls famille de protocoles sont prises en charge sur toutes les interfaces à l’exception des interfaces de gestion et des interfaces Ethernet internes (fxp ou em0), des interfaces de bouclage (lo0) et des interfaces modem USB (umd)
Si un paquet possède plusieurs étiquettes MPLS, le filtre applique les conditions de correspondance uniquement au label inférieur de la pile d’étiquettes.
(QFX5100, QFX5110, QFX5200, QFX5210) Si vous appliquez un filtre MPLS sur une interface de bouclage, vous pouvez filtrer uniquement sur les labelchamps , exp, ttl=1et de couche 4 tcp et udp numéro de port. Pour le TTL, vous devez spécifier ttl=1 explicitement sous family mpls pour correspondre sur TTL=1 paquets. Les seules actions que vous pouvez configurer sont accept, discardet count. Vous pouvez appliquer le filtre uniquement dans le sens d’entrée.
Pour les routeurs MX Series avec MPC et MIC, vous pouvez appliquer des filtres entrants et sortants pour la famille MPLS en fonction des paramètres IPv4 et IPv6 marqués par MPLS en utilisant des conditions de correspondance de charge utile internes, et activer la mise en miroir sélective du trafic MPLS vers un équipement de surveillance (à partir de Junos OS version 18.4R1). Pour le filtrage basé sur IP, des conditions de correspondance supplémentaires sont disponibles sous le paramètre de terme from de filtre MPLS, et pour prendre en charge la mise en miroir des ports, des actions supplémentaires (telles que port-miroir et port-miroir-instance) sont disponibles sous le paramètre de terme thende filtre.

Tableau 1 décrit les match-conditions paramètres que vous pouvez configurer au niveau de la [edit firewall family mpls filter filter-name term term-name from] hiérarchie.

Tableau 1 : Conditions de correspondance du filtre de pare-feu pour le trafic MPLS
Condition de correspondance	Description
`apply-groups`	Spécifiez les groupes dont les données de configuration doivent être héritées. Vous pouvez spécifier plusieurs noms de groupe. Vous devez les lister par ordre de priorité d’héritage. Les données de configuration du premier groupe ont la priorité sur les données des groupes suivants.
`apply-groups-except`	Spécifiez les groupes dont les données de configuration ne doivent pas hériter. Vous pouvez spécifier plusieurs noms de groupe.
`destination-port number`	Correspondance sur le champ de port de destination UDP ou TCP. Au lieu de la valeur numérique, vous pouvez spécifier l’un des synonymes de texte suivants (les numéros de port sont également répertoriés) : `afs`(1483), `bgp` (179), `biff` (512), `bootpc` (68), (67), `bootpscmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), `eklogin` (2105), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), `mobileip-agent` (434), `mobilip-mn` (435), `msdp` (639), (138), `netbios-nsnetbios-dgm` (137), (139), `netbios-ssnnfsd` (2049), `nntp` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), `snpp` (44) ( `socks` 1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513) ou `xdmcp` (177).
`exp number`	Nombre de bits expérimental (EXP) ou plage de nombres de bits dans l’en-tête MPLS d’un paquet. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs de 0 à 7 au format binaire, décimal ou hexadécimal, comme indiqué ci-dessous : Un seul bit EXP, par exemple, `exp 3` Plusieurs bits EXP, par exemple, `exp 0,4` Une gamme de bits EXP, par exemple , `exp [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage. REMARQUE : Cette condition de correspondance est obsolète sur les équipements PTX10001-36MR, PTX10003, PTX10004, PTX10008 et PTX10016 et est remplacée par `exp0 number`.
`exp-except number`	Ne correspondez pas au nombre de bits EXP ou à la plage de nombres de bits dans l’en-tête MPLS. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs à partir de `07`. REMARQUE : Cette condition de correspondance est obsolète sur les équipements PTX10001-36MR, PTX10003, PTX10004, PTX10008 et PTX10016 et est remplacée par `exp0-except`.
`exp0 number`	Nombre de bits expérimental (EXP) ou plage de nombres de bits dans l’en-tête TOS MPLS d’un paquet. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs de 0 à 7 au format binaire, décimal ou hexadécimal, comme indiqué ci-dessous : Un seul bit EXP, par exemple, `exp0 3` Plusieurs bits EXP, par exemple, `exp0 0,4` Une gamme de bits EXP, par exemple , `exp0 [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage.
`exp0-except number`	Ne correspondez pas au nombre de bits EXP ou à la plage de nombres de bits dans l’en-tête TOS MPLS d’un paquet. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs de 0 à 7 au format binaire, décimal ou hexadécimal, comme indiqué ci-dessous : Un seul bit EXP, par exemple, `exp0-except 3` Plusieurs bits EXP, par exemple, `exp0-except 0,4` Une gamme de bits EXP, par exemple , `exp0-except [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage.
`exp1 number`	Nombre de bits expérimental (EXP) ou plage de nombres de bits dans l’en-tête MPLS qui est à côté de l’en-tête MPLS TOS (haut de la pile). Pour `number`, vous pouvez spécifier une ou plusieurs valeurs de 0 à 7 au format binaire, décimal ou hexadécimal, comme indiqué ci-dessous : Un seul bit EXP, par exemple, `exp1 3` Plusieurs bits EXP, par exemple, `exp1 0,4` Une gamme de bits EXP, par exemple , `exp1 [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage.
`exp1-except number`	Ne correspondez pas au nombre de bits EXP ou à la plage de nombres de bits dans l’en-tête MPLS à côté de l’en-tête TOS MPLS. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs de 0 à 7 au format binaire, décimal ou hexadécimal, comme indiqué ci-dessous : Un seul bit EXP, par exemple, `exp1-except 3` Plusieurs bits EXP, par exemple, `exp1-except 0,4` Une gamme de bits EXP, par exemple , `exp1-except [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage.
`forwarding-class class`	Classe de transfert. Spécifiez `assured-forwarding`, `best-effort`ou `expedited-forwardingnetwork-control`. REMARQUE : Sur les routeurs PTX10001-36MR, PTX10003, PTX10004, PTX10008, PTX10016 ou `exp1` des bits `exp0` sont utilisés pour obtenir la classe de transfert.
`forwarding-class-except class`	Ne correspondez pas à la classe de transfert. Spécifiez `assured-forwarding`, `best-effort`ou `expedited-forwardingnetwork-control`.
`interface interface-name`	Interface sur laquelle le paquet a été reçu. Vous pouvez configurer une condition de correspondance qui correspond aux paquets en fonction de l’interface sur laquelle ils ont été reçus. REMARQUE : Si vous configurez cette condition de correspondance avec une interface qui n’existe pas, le terme ne correspond à aucun paquet.
`interface-set interface-set-name`	Faites correspondre l’interface sur laquelle le paquet a été reçu à l’ensemble d’interfaces spécifié. Pour définir un ensemble d’interfaces, incluez l’instruction `interface-set` au niveau de la `[edit firewall]` hiérarchie. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series. Pour plus d’informations, reportez-vous à la section Présentation du filtrage des paquets reçus sur un ensemble d’interfaces.
`ip-version number`	Version IP de match inner. Par exemple, pour correspondre aux paquets IPv4 marqués MPLS, correspondre sur le synonyme `ipv4`de texte . Vous `ip-version number` pouvez également faire correspondre les paquets en fonction des adresses et des ports source et de destination. Reportez-vous Tableau 1 et Tableau 2.
`label number`	Valeur de label MPLS ou plage de valeurs d’étiquettes dans l’en-tête MPLS d’un paquet. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs de 0 à 1048575 au format décimal ou hexadécimal, comme indiqué ci-dessous : Une seule étiquette, par exemple, `label 3` Plusieurs labels, par exemple, `label 0,4` Une gamme d’étiquettes, par exemple , `label [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage. REMARQUE : Cette option est obsolète sur les équipements PTX10001-36MR, PTX10003, PTX10004, PTX10008 et PTX10016 et est remplacée par `label0`.
`label0 number`	Valeur de label MPLS ou plage de valeurs de label dans l’en-tête MPLS TOS d’un paquet. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs de 0 à 1048575 au format décimal ou hexadécimal, comme indiqué ci-dessous : Une seule étiquette, par exemple, `label0 3` Plusieurs labels, par exemple, `label0 0,4` Une gamme d’étiquettes, par exemple , `label0 [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage.
`label0-except number`	Ne correspondez pas à la valeur du label MPLS ou à la plage de valeurs de label dans l’en-tête MPLS TOS d’un paquet. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs de 0 à 1048575 au format décimal ou hexadécimal, comme indiqué ci-dessous : Une seule étiquette, par exemple, `label0-except 3` Plusieurs labels, par exemple, `label0-except 0,4` Une gamme d’étiquettes, par exemple , `label0-except [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage.
`label1 number`	Correspondez à la valeur ou à la plage de valeurs de label MPLS dans le label d’en-tête MPLS de l’en-tête MPLS qui est à côté de l’en-tête MPLS TOS. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs de 0 à 1048575 au format décimal ou hexadécimal, comme indiqué ci-dessous : Une seule étiquette, par exemple, `label1 3` Plusieurs labels, par exemple, `label1 0,4` Une gamme d’étiquettes, par exemple , `label1 [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage.
`label1-except number`	Ne correspondez pas à la valeur de label MPLS ou à la plage de valeurs de label dans le label d’en-tête MPLS de l’en-tête MPLS qui se trouve à côté de l’en-tête TOS MPLS. Pour `number`, vous pouvez spécifier une ou plusieurs valeurs de 0 à 1048575 au format décimal ou hexadécimal, comme indiqué ci-dessous : Une seule étiquette, par exemple, `label1-except 3` Plusieurs labels, par exemple, `label1-except 0,4` Une gamme d’étiquettes, par exemple , `label1-except [0-5]`. Ces valeurs ne sont pas prises en charge sur les filtres appliqués à l’interface de bouclage.
`label number top` \| `bottom` \| `offset` `offset-value`	Faites correspondre le label supérieur, le label inférieur ou le label à un décalage spécifié (depuis le haut ou le bas de la pile de labels) du paquet MPLS entrant. `top` - Correspondez en référence au haut de la pile vers le bas de la pile. `bottom` - Correspondez en référence au bas de la pile vers le haut de la pile. `offset<offset-value>` - Correspondre en référence à la profondeur de la pile MPLS par rapport au sommet ou au bas de la pile, où `offset-value` = (0..15). `label` `number` `top` `offset` `offset-value` - Le filtre d’étiquette de dessus MPLS correspond avec un ponçage décalé à la pile de 0 à 15. 0 étant la première position d’étiquette en haut de la pile pour les filtres implicites et CLI. `label` `number` `bottom` `offset` `offset-value` - Le filtre de fond d’étiquette MPLS correspond à un ponçage décalé à la pile de 0 à 15. 0 étant la première position d’étiquette en bas de la pile pour les filtres implicites et CLI. `label` `number` `offset` `offset-value` - Si aucune option, de haut ou de bas, n’est fournie à `label` `number` côté, alors la correspondance par défaut commence à partir du haut de la pile avec un décalage donné. En d’autres termes, le décalage du numéro d’étiquette [n = 0..15] équivaut à l’offset supérieur du numéro d’étiquette [n = 0..15]. `label` `number` - Si aucune option n’est fournie à `label` `number` côté, alors la correspondance par défaut sera effectuée sur le label supérieur (décalage 0 implicite et point d’ancrage étant le haut de la pile). REMARQUE : La correspondance du filtre sur l’étiquette avec décalage par rapport à la profondeur de la pile MPLS peut ne pas donner le comportement attendu. Pour que le label du filtre corresponde à la position inférieure, si le décalage est hors de la profondeur de la pile MPLS, alors le filtre correspondra toujours sur le label de fin de pile. Pour la correspondance du filtre avec la position en haut, si le décalage est hors de la profondeur de la pile MPLS, pointera de payer la charge pour correspondre à l’étiquette configurée. REMARQUE : Les options de commande de configuration sont introduites dans la version 22.3R1 de Junos.
`loss-priority level`	Correspond au niveau de priorité de perte de paquets (PLP). Spécifiez un ou plusieurs niveaux : `low`, `medium-low`, `medium-high`ou `high`. Compatible avec les routeurs M120 et M320 ; M7i et routeurs M10i avec le CFEB-E amélioré (CFEB-E) ; et les routeurs MX Series et les commutateurs EX Series. Pour le trafic IP sur les routeurs M320, MX Series et T Series équipés de concentrateurs PIC flexibles (FPC) et de commutateurs EX Series, vous devez inclure l’instruction `tri-color` au niveau de la `[edit class-of-service]` hiérarchie pour valider une configuration PLP avec l’un des quatre niveaux spécifiés. Si l’instruction `tri-color` n’est pas activée, vous pouvez uniquement configurer les `high` niveaux et `low` . Cela s’applique à toutes les familles de protocoles. Pour plus d’informations sur l’instruction `tri-color` , voir Configuration et application de polices de marquage tricolore. Pour plus d’informations sur l’utilisation de classificateurs BA (Behavior Aggregate) pour définir le niveau PLP des paquets entrants, consultez la section Comprendre comment les classes de transfert attribuent des classes aux files d’attente de sortie. REMARQUE : Sur les routeurs PTX10001-36MR, PTX10003, PTX10004, PTX10008, PTX10016 ou `exp1` des bits `exp0` sont utilisés pour obtenir la priorité des pertes.
`loss-priority-except level`	Ne correspondez pas au niveau PLP. Pour plus de détails, consultez l’état des `loss-priority` correspondances. REMARQUE : Cette condition de correspondance n’est pas prise en charge sur les routeurs de transport de paquets PTX Series.
`source-port number`	Correspondance sur le champ de port source TCP ou UDP. Vous ne pouvez pas spécifier les `port` conditions et `source-port` les assortir dans le même terme. Si vous configurez cette condition de correspondance pour le trafic IPv4, nous vous recommandons de configurer également l’instruction `protocol udp` ou de `protocol tcp` correspondance dans le même terme pour spécifier quel protocole est utilisé sur le port. Au lieu du champ numérique, vous pouvez spécifier l’un des synonymes de texte répertoriés sous `destination-port`.
`ttl0 number`	Correspondez au numéro TTL ou à la plage de nombres dans l’en-tête TOS MPLS d’un paquet. Time To Live (TTL) est un champ de 8 bits dans le label MPLS qui indique le temps restant qu’un paquet a laissé avant que sa vie se termine et qu’il soit abandonné. Pour `number`, vous pouvez spécifier une valeur de 0 à 255.
`ttl0-except number`	Ne correspondez pas au nombre TTL ou à la plage de nombres dans l’en-tête TOS MPLS d’un paquet. Time To Live (TTL) est un champ de 8 bits dans le label MPLS qui indique le temps restant qu’un paquet a laissé avant que sa vie se termine et qu’il soit abandonné. Pour `number`, vous pouvez spécifier une valeur de 0 à 255.
`ttl1 number`	Faites correspondre le numéro de TTL ou la plage de nombres dans l’en-tête MPLS situé à côté de l’en-tête TOS MPLS d’un paquet. Time To Live (TTL) est un champ de 8 bits dans le label MPLS qui indique le temps restant qu’un paquet a laissé avant que sa vie se termine et qu’il soit abandonné. Pour `number`, vous pouvez spécifier une valeur de 0 à 255.
`ttl1-except number`	Ne correspondez pas au numéro TTL ou à la plage de nombres dans l’en-tête MPLS situé à côté de l’en-tête TOS MPLS d’un paquet. Time To Live (TTL) est un champ de 8 bits dans le label MPLS qui indique le temps restant qu’un paquet a laissé avant que sa vie se termine et qu’il soit abandonné. Pour `number`, vous pouvez spécifier une valeur de 0 à 255.

REMARQUE :

exp0, exp0-except, exp1exp1-except, , ip-version, label0, label0-exceptlabel1-exceptlabel1, ttl0, , ttl0-except, , ttl1, et ttl1-except sont uniquement pris en charge sur PTX10001-36MR, PTX10003, PTX10004, PTX10008, PTX10016.

Tableau 2 décrit les actions que vous pouvez configurer pour les filtres de pare-feu MPLS au niveau de la [edit firewall family mpls filter filter-name term term-name then] hiérarchie.

Tableau 2 : Actions prises en charge pour les filtres de pare-feu MPLS
Action	Description
`accept`	Accepter un paquet
`count counter-name`	Comptez le nombre de paquets qui passent ce filtre ou terme. REMARQUE : Nous vous recommandons de configurer un compteur pour chaque terme dans un filtre de pare-feu, afin de pouvoir surveiller le nombre de paquets qui correspondent aux conditions spécifiées dans chaque terme de filtre.
`discard`	Jeter un paquet en silence sans envoyer de message ICMP (Internet Control Message Protocol)
`policer`	À partir de Junos OS 13.2X51-D15, vous pouvez envoyer le trafic correspondant à un filtre MPLS vers un policer bicolore.
`three-color-policer`	À partir de Junos OS 13.2X51-D15, vous pouvez envoyer le trafic correspondant à un filtre MPLS vers un policer trois couleurs.

Conditions de correspondance du filtre de pare-feu pour le trafic MPLS

Rubriques connexes