Présentation du filtrage IP et de la mise en miroir sélective des ports du trafic MPLS
Dans un paquet MPLS, l’en-tête IP vient immédiatement après l’en-tête MPLS. La fonctionnalité de filtrage IP fournit un mécanisme d’inspection approfondie, dans lequel un maximum de huit étiquettes MPLS de la charge utile interne peuvent être inspectées pour permettre le filtrage du trafic MPLS en fonction des paramètres IP. Le trafic MPLS filtré peut également être mis en miroir sur un périphérique de surveillance pour offrir des services basés sur le réseau MPLS central.
Filtrage IP du trafic MPLS
Avant Junos OS version 18.4R1, le filtrage basé sur les paramètres IP n’était pas pris en charge pour les filtres de la famille MPLS. Avec l’introduction de la fonctionnalité de filtrage basé sur IP, vous pouvez appliquer des filtres entrants et sortants aux paquets IPv4 et IPv6 balisés MPLS en fonction de paramètres IP, tels que les adresses source et de destination, le type de protocole de couche 4 et les ports source et de destination.
La fonctionnalité de filtrage IP vous permet de filtrer les paquets MPLS à l’entrée d’une interface, où le filtrage est effectué à l’aide de conditions de correspondance sur la charge utile interne du paquet MPLS. Le trafic MPLS sélectif peut ensuite être mis en miroir sur un périphérique de surveillance à distance à l’aide de tunnels logiques.
Pour prendre en charge le filtrage IP, des conditions de correspondance supplémentaires sont ajoutées pour permettre aux paquets MPLS d’être inspectés en profondeur afin d’analyser la charge utile interne avec les en-têtes de couche 3 et de couche 4 avant d’appliquer les filtres appropriés.
La fonctionnalité de filtrage IP n’est prise en charge que pour les paquets IPv4 et IPv6 balisés MPLS. En d’autres termes, les filtres MPLS ne correspondent aux paramètres IP que lorsque la charge utile IP vient immédiatement après les étiquettes MPLS.
Dans d’autres scénarios, lorsque la charge utile MPLS inclut des pseudowires, des protocoles autres que inet et inet6, ou d’autres encapsulations telles que le VPN de couche 2 ou VPLS, la fonctionnalité de filtrage IP n’est pas prise en charge.
Les conditions de correspondance suivantes ont été ajoutées pour le filtrage IP du trafic MPLS :
Adresse source IPv4
Adresse de destination IPv4
Adresse source IPv6
Adresse de destination IPv6
Protocole
Port source
Port de destination
Liste des préfixes IPv4 source
Liste des préfixes IPv4 de destination
Liste des préfixes IPv6 sources
Liste des préfixes IPv6 de destination
Les combinaisons de correspondances suivantes sont prises en charge pour le filtrage IP du trafic MPLS :
Les adresses source et de destination correspondent aux conditions avec les listes de préfixes IPv4 et IPv6.
Les adresses et les types de protocoles du port source et de destination correspondent aux conditions avec les listes de préfixes IPv4 et IPv6.
Mise en miroir sélective des ports du trafic MPLS
La mise en miroir de ports est la capacité de mise en miroir d’un paquet vers une destination configurée, en plus du traitement et du transfert normaux des paquets. La mise en miroir de ports est appliquée en tant qu’action pour un filtre de pare-feu, qui est appliqué à l’entrée ou à la sortie d’une interface. De même, la fonctionnalité de mise en miroir sélective des ports permet de mettre en miroir le trafic MPLS, qui est filtré en fonction de paramètres IP, vers une destination mise en miroir à l’aide de tunnels logiques.
Pour activer la mise en miroir sélective des ports, des actions supplémentaires sont configurées au niveau de la [edit firewall family mpls filter filter-nameterm term-name then]
hiérarchie, en plus des actions existantes counter
, accept
et discard
:
port-mirror
port-mirror-instance
Port Mirroring
Cette port-mirror
action active la mise en miroir globale des ports sur l’équipement, ce qui s’applique à tous les moteurs de transfert de paquets (PFE) et aux interfaces associées.
Pour le filtre de la famille MPLS, l’action est activée pour la port-mirror
mise en miroir globale des ports.
Port Mirroring Instance
Cette port-mirror-instance
action vous permet de personnaliser chaque instance avec des propriétés différentes pour l’échantillonnage d’entrée et les destinations de sortie de mise en miroir des ports, au lieu d’avoir à utiliser une seule configuration à l’échelle du système pour la mise en miroir des ports.
Vous ne pouvez configurer que deux instances de mise en miroir de ports par concentrateur PIC flexible (FPC) en incluant l’instruction au niveau de la instance port-mirror-instance-name
[edit forwarding-options port-mirror]
hiérarchie. Vous pouvez ensuite associer des instances de mise en miroir de ports individuelles à un FPC, un PIC ou une carte FEB (Forwarding Engine Board) en fonction du matériel de l’appareil.
Pour le filtre de la famille MPLS, l’action est activée uniquement pour l’instance port-mirror-instance
de mise en miroir des ports.
Pour les deux port-mirror
actions et, l’interface de sortie doit être activée avec la famille de couches 2 et port-mirror-instance
non la famille MPLS (couche 3) pour que la fonctionnalité de mise en miroir sélective des ports fonctionne.
Exemples de configurations
- Configuration du filtrage basé sur l’IP
- Configuration sélective de la mise en miroir des ports
- Configuration de destination en miroir
Configuration du filtrage basé sur l’IP
[edit firewall family mpls filter mpls-filter] term ipv4-term { from { ip-version { ipv4 { source-address { 10.10.10.10/24; } destination-address { 20.20.20.20/24; } protocol tcp { source-port 100; destination-port 200; } soure-prefix-list ipv4-source-users; destination-prefix-list ipv4-destination-users; } } exp 1; } then port-mirror; then accept; then count; } term ipv6-term { from { ip-version { ipv6 { source-address { 2000::1/128; } destination-address { 3000::1/128; } protocol tcp { source-port 100; destination-port 200; } source-prefix-list ipv6-source-users; destination-prefix-list ipv6-destination-users; } } exp 1; } then port-mirror-instance port-mirror-instance1; then accept; then count; }
[edit policy-options] prefix-list ipv4-source-users { 172.16.1.16/28; 172.16.2.16/28; } prefix-list ipv6-source-users { 2001::1/128; 3001::1/128; }
[edit interfaces] xe-0/0/1 { unit 0 { family inet { address 100.100.100.1/30; } family mpls { filter { input mpls-filter; } } } }
Configuration sélective de la mise en miroir des ports
[edit forwarding-options] port-mirroring { input { rate 2; run-length 4; maximum-packet-length 500; } family any { output { interface xe-2/0/2.0; } } }
[edit forwarding-options] port-mirroring { instance { port-mirror-instance1 { input { rate 3; run-length 5; maximum-packet-length 500; } family any { output { interface xe-2/0/2.0; } } } } }
L’interface xe-2/0/2.0
de sortie est configurée pour la famille de couches 2 et non pour la famille MPLS.
Pour les deux port-mirror
actions et, l’interface de sortie doit être activée avec la famille de couches 2 et port-mirror-instance
non la famille MPLS (couche 3) pour que la fonctionnalité de mise en miroir sélective des ports fonctionne.
Configuration de destination en miroir
[edit interfaces] xe-2/0/2 { vlan-tagging; encapsulation extended-vlan-bridge; unit 0 { vlan-id 600; } }
[edit bridge-domains] bd { domain-type bridge; interface xe-2/0/2.0; }