Vue d’ensemble des filtres de pare-feu MPLS sur l’interface de bouclage
Bien que toutes les interfaces soient importantes, l’interface de bouclage peut être la plus importante car elle est le lien avec le moteur de routage, qui exécute et gère tous les protocoles de routage. L’interface de bouclage est une passerelle pour tout le trafic de contrôle qui entre dans le moteur de routage du commutateur. Vous pouvez contrôler ce trafic en configurant un filtre de pare-feu sur l’interface de bouclage (lo0) sur family mpls
. Les filtres de pare-feu de bouclage affectent uniquement le trafic destiné au processeur du moteur de routage. Vous ne pouvez appliquer un filtre de pare-feu de bouclage que dans le sens d’entrée (paquets entrant dans l’interface). À partir de Junos OS version 19.2R1, vous pouvez appliquer un filtre de pare-feu MPLS à une interface de bouclage sur un routeur de commutation d’étiquettes (LSR) sur les commutateurs QFX5100, QFX5110, QFX5200 et QFX5210.
Lorsque vous configurez un filtre de pare-feu MPLS, vous définissez des critères de filtrage (termes, avec des conditions de correspondance) pour les paquets et une action que le commutateur doit effectuer si les paquets correspondent aux critères de filtrage. Étant donné que vous appliquez le filtre à une interface de bouclage, vous devez spécifier explicitement la condition de correspondance de durée de vie (TTL) sous family mpls
et définir sa valeur TTL sur 1 (ttl=1
). Le TTL est un champ d’en-tête de 8 bits (IPv4) qui indique le temps restant qu’un paquet IP a quitté avant la fin de sa durée de vie et sa perte. Vous pouvez également faire correspondre les paquets avec d’autres qualificateurs MPLS tels que label
, , exp
Couche 4 et Couche 4 source port
destination port
.
Avantages de l’ajout de filtres de pare-feu MPLS sur l’interface de bouclage
Protège le moteur de routage en veillant à ce qu’il accepte uniquement le trafic provenant de réseaux approuvés.
Aide à protéger le moteur de routage contre les attaques par déni de service.
Vous donne la possibilité de faire correspondre les paquets sur le port source et le port de destination. Par exemple, si vous exécutez un traceroute, vous pouvez filtrer le trafic de manière sélective en choisissant TCP ou UDP.
Lignes directrices et limites
Vous ne pouvez appliquer un filtre de pare-feu de bouclage que dans le sens entrant
Seuls les champs MPLS , ,
ttl=1
exp
les champslabel
de couche 4 etudp
les numérostcp
de port sont pris en charge.Seules les
accept
actions , ,discard
etcount
sont prises en charge.Vous devez explicitement spécifier
ttl=1
sousfamily mpls
to match sur les paquets TLL.Les filtres appliqués sur l’interface de bouclage ne peuvent pas être mis en correspondance sur le port de destination (charge utile interne) d’un paquet IPv6.
Vous ne pouvez pas appliquer de filtre aux paquets qui ont plus de deux étiquettes MPLS.
Vous ne pouvez pas spécifier de plage de ports pour les conditions de correspondance TCP ou UDP.
Seuls 255 termes de pare-feu sont pris en charge.
Tableau de l'historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.