Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Sur cette page
 

Vue d’ensemble des filtres de pare-feu MPLS sur l’interface de bouclage

Bien que toutes les interfaces soient importantes, l’interface de bouclage peut être la plus importante car elle est le lien avec le moteur de routage, qui exécute et gère tous les protocoles de routage. L’interface de bouclage est une passerelle pour tout le trafic de contrôle qui entre dans le moteur de routage du commutateur. Vous pouvez contrôler ce trafic en configurant un filtre de pare-feu sur l’interface de bouclage (lo0) sur family mpls. Les filtres de pare-feu de bouclage affectent uniquement le trafic destiné au processeur du moteur de routage. Vous ne pouvez appliquer un filtre de pare-feu de bouclage que dans le sens d’entrée (paquets entrant dans l’interface). À partir de Junos OS version 19.2R1, vous pouvez appliquer un filtre de pare-feu MPLS à une interface de bouclage sur un routeur de commutation d’étiquettes (LSR) sur les commutateurs QFX5100, QFX5110, QFX5200 et QFX5210.

Lorsque vous configurez un filtre de pare-feu MPLS, vous définissez des critères de filtrage (termes, avec des conditions de correspondance) pour les paquets et une action que le commutateur doit effectuer si les paquets correspondent aux critères de filtrage. Étant donné que vous appliquez le filtre à une interface de bouclage, vous devez spécifier explicitement la condition de correspondance de durée de vie (TTL) sous family mpls et définir sa valeur TTL sur 1 (ttl=1). Le TTL est un champ d’en-tête de 8 bits (IPv4) qui indique le temps restant qu’un paquet IP a quitté avant la fin de sa durée de vie et sa perte. Vous pouvez également faire correspondre les paquets avec d’autres qualificateurs MPLS tels que label, , expCouche 4 et Couche 4 source portdestination port.

Avantages de l’ajout de filtres de pare-feu MPLS sur l’interface de bouclage

  • Protège le moteur de routage en veillant à ce qu’il accepte uniquement le trafic provenant de réseaux approuvés.

  • Aide à protéger le moteur de routage contre les attaques par déni de service.

  • Vous donne la possibilité de faire correspondre les paquets sur le port source et le port de destination. Par exemple, si vous exécutez un traceroute, vous pouvez filtrer le trafic de manière sélective en choisissant TCP ou UDP.

Lignes directrices et limites

  • Vous ne pouvez appliquer un filtre de pare-feu de bouclage que dans le sens entrant

  • Seuls les champs MPLS , , ttl=1exples champs labelde couche 4 et udp les numéros tcp de port sont pris en charge.

  • Seules les acceptactions , , discardet count sont prises en charge.

  • Vous devez explicitement spécifier ttl=1 sous family mpls to match sur les paquets TLL.

  • Les filtres appliqués sur l’interface de bouclage ne peuvent pas être mis en correspondance sur le port de destination (charge utile interne) d’un paquet IPv6.

  • Vous ne pouvez pas appliquer de filtre aux paquets qui ont plus de deux étiquettes MPLS.

  • Vous ne pouvez pas spécifier de plage de ports pour les conditions de correspondance TCP ou UDP.

  • Seuls 255 termes de pare-feu sont pris en charge.

Tableau de l'historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Version
Description
19.2R1
À partir de Junos OS version 19.2R1, vous pouvez appliquer un filtre de pare-feu MPLS à une interface de bouclage sur un routeur de commutation d’étiquettes (LSR) sur les commutateurs QFX5100, QFX5110, QFX5200 et QFX5210.