Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre le filtrage basé sur IP et la mise en miroir des ports sélectifs du trafic MPLS

Dans un paquet MPLS, l’en-tête IP vient immédiatement après l’en-tête MPLS. La fonction de filtrage IP fournit un mécanisme d’inspection approfondie, dans lequel un maximum de huit étiquettes MPLS de la charge utile interne peuvent être inspectées pour permettre le filtrage du trafic MPLS en fonction des paramètres IP. Le trafic MPLS filtré peut également être mis en miroir par port vers un équipement de surveillance afin de proposer des services basés sur le réseau dans le réseau MPLS central.

Filtrage IP du trafic MPLS

Avant junos OS version 18.4R1, le filtrage basé sur les paramètres IP n’était pas pris en charge pour le filtre de la famille MPLS. Avec l’introduction de la fonctionnalité de filtrage basé sur IP, vous pouvez appliquer des filtres entrants et sortants aux paquets IPv4 et IPv6 balisés MPLS en fonction des paramètres IP, tels que les adresses source et de destination, le type de protocole de couche 4, ainsi que les ports source et de destination.

La fonctionnalité de filtrage IP vous permet de filtrer les paquets MPLS à l’entrant d’une interface, où le filtrage est effectué à l’aide de conditions de correspondance sur la charge utile interne du paquet MPLS. Le trafic MPLS sélectif peut ensuite être mis en miroir par port vers un équipement de surveillance à distance à l’aide de tunnels logiques.

Pour prendre en charge le filtrage IP, des conditions de correspondance supplémentaires sont ajoutées qui permettent d’inspecter en profondeur les paquets MPLS afin d’analyser la charge utile interne avec les en-têtes de couche 3 et 4 avant d’appliquer les filtres appropriés.

Remarque :

La fonctionnalité de filtrage ip est prise en charge uniquement pour les paquets IPv4 et IPv6 balisés par MPLS. En d’autres termes, les filtres MPLS ne correspondent aux paramètres IP que lorsque la charge utile IP vient immédiatement après les étiquettes MPLS.

Dans d’autres scénarios, où la charge utile MPLS inclut des pseudowires, des protocoles autres que inet et inet6, ou d’autres encapsulations comme VPN de couche 2 ou VPLS, la fonction de filtrage IP n’est pas prise en charge.

Les conditions de correspondance suivantes sont ajoutées pour le filtrage IP du trafic MPLS :

  • Adresse source IPv4

  • Adresse de destination IPv4

  • Adresse source IPv6

  • Adresse de destination IPv6

  • Protocole

  • Port source

  • Port de destination

  • Liste des préfixes IPv4 source

  • Liste de préfixes IPv4 de destination

  • Liste des préfixes IPv6 source

  • Liste de préfixes IPv6 de destination

Remarque :

Les combinaisons de correspondance suivantes sont prises en charge pour le filtrage IP du trafic MPLS :

  • Les conditions d’correspondance des adresses source et de destination avec les listes de préfixes IPv4 et IPv6.

  • Les adresses de port source et de destination et les types de protocoles correspondent aux conditions avec les listes de préfixes IPv4 et IPv6.

Mise en miroir sélective des ports du trafic MPLS

La mise en miroir des ports permet de mettre en miroir un paquet vers une destination configurée, en plus du traitement et du transfert normaux des paquets. La mise en miroir des ports est appliquée à un filtre de pare-feu à l’entrée ou à la sortie de n’importe quelle interface. De même, la fonction de mise en miroir des ports sélectifs permet de mettre en miroir le trafic MPLS, qui est filtré en fonction des paramètres IP, vers une destination en miroir à l’aide de tunnels logiques.

Pour activer la mise en miroir sélective des ports, des actions supplémentaires sont configurées au niveau de la [edit firewall family mpls filter filter-nameterm term-name then] hiérarchie, en plus des actions existantes counter, acceptet discard des actions :

  • port-mirror

  • port-mirror-instance

Port Mirroring

Cette port-mirror action permet la mise en miroir globale des ports sur l’équipement, ce qui s’applique à tous les moteurs de transfert de paquets (PFE) et aux interfaces associées.

Pour le filtre de la famille MPLS, l’action est activée pour la port-mirror mise en miroir globale des ports.

Port Mirroring Instance

L’action port-mirror-instance vous permet de personnaliser chaque instance avec différentes propriétés pour l’échantillonnage d’entrée et la mise en miroir des ports destinations de sortie, au lieu d’avoir à utiliser une seule configuration à l’échelle du système pour la mise en miroir des ports.

Vous ne pouvez configurer que deux instances de mise en miroir de ports par concentrateur PIC flexible (FPC) en incluant l’instruction instance port-mirror-instance-name au niveau de la [edit forwarding-options port-mirror] hiérarchie. Vous pouvez ensuite associer des instances de mise en miroir de ports individuelles à une carte FPC, PIC ou (Carte du moteur de transfert (FEB) en fonction du matériel de l’équipement.

Pour le filtre de la famille MPLS, l’action port-mirror-instance est activée uniquement pour l’instance de mise en miroir des ports.

Remarque :

Pour les actions et port-mirror-instance les deuxport-mirror, l’interface de sortie doit être activée avec la famille de couche 2 et non avec la famille MPLS (couche 3) pour que la fonctionnalité de mise en miroir des ports sélectif fonctionne.

Exemples de configurations

Configuration du filtrage BASÉ SUR IP

Configuration sélective de la mise en miroir des ports

Remarque :

L’interface xe-2/0/2.0 de sortie est configurée pour la famille de couche 2 et non pour la famille MPLS.

Pour les actions et port-mirror-instance les deuxport-mirror, l’interface de sortie doit être activée avec la famille de couche 2 et non avec la famille MPLS (couche 3) pour que la fonctionnalité de mise en miroir des ports sélectif fonctionne.

Configuration de destination en miroir