MPLS トラフィックのファイアウォールフィルター一致条件

MPLS トラフィックの一致条件(family mpls)でファイアウォールフィルターを設定できます。

input-list filter-namesプロトコルファミリーのファイアウォールフィルターmplsのおよび output-list filter-names ステートメントは、管理インターフェイスと内部イーサネットインターフェイス(またはem0)、ループバックインターフェイス(fxp)、USBモデムインターフェイス(lo0umd)を除くすべてのインターフェイスでサポートされています。
パケットに複数の MPLS ラベルがある場合、フィルターはラベルスタック内の最下部のラベルのみに一致条件を適用します。
(QFX5100、QFX5110、QFX5200、QFX5210)ループバックインターフェイスにMPLSフィルターを適用する場合、、ttl=1expおよびレイヤー4tcpとudpポート番号のフィールドでのみフィルタリングlabelできます。TTL の場合、TTL=1 パケットで一致させるには、の下family mplsを明示的に指定ttl=1する必要があります。設定できる唯一のアクションは、 accept、 discard、および countです。フィルターは、イングレス方向にのみ適用できます。
MPCおよびMICを搭載したMXシリーズルーターでは、内部ペイロード一致条件を使用して、MPLSタグ付きIPv4およびIPv6パラメーターに基づいて、MPLSファミリーのインバウンドおよびアウトバウンドフィルターを適用し、監視デバイスを対象にMPLSトラフィックの選択的ポートミラーリングを有効にすることができます(Junos OSリリース18.4R1以降)。IPベースのフィルタリングでは、MPLSフィルター条件 from パラメータで追加の一致条件を使用でき、ポートミラーリングをサポートするために、追加のアクション(ポートミラーやポートミラーインスタンスなど)は、フィルター条件 thenパラメーターの下で使用できます。

表 1 は、 match-conditions 階層レベルで設定できるを [edit firewall family mpls filter filter-name term term-name from] 説明しています。

表 1: MPLS トラフィックのファイアウォールフィルター一致条件
一致条件	説明
`apply-groups`	設定データを継承するグループを指定します。複数のグループ名を指定できます。継承優先度順に一覧表示する必要があります。最初のグループの設定データは、後続のグループのデータよりも優先されます。
`apply-groups-except`	設定データを継承しないグループを指定します。複数のグループ名を指定できます。
`destination-port number`	UDP または TCP 宛先ポートフィールドで一致します。数値の代わりに、以下のテキストシノニム(ポート番号も記載されています)のいずれかを指定します。`afs`(1483)、 `bgp` (179)、 `biff` (512)、 `bootpc` (68)、 `bootps` (67) `cmd` 、(514) `cvspserver` 、(2401) `dhcp` 、(67)、 `domain` (53)、 `eklogin` (21 05、 `ekshell` (2106)、 `exec` (512)、 `finger` (79) `ftp` 、(21)、 `ftp-data` (20)、 `http` (80) `https` 、(443) `ident` 、(113)、 `imap` (143) `kerberos-sec` (88)、(543) `kpasswdklogin` 、(761)、 `krb-prop` (754)、 `krbupdate` (760) `kshell` 、(544) `ldap` 、(389) `ldp` 、(646) `login` 、(513) `mobileip-agent` 、(434) `mobilip-mn` 、(435) `msdp` 、(639) `netbios-dgm` 、(138) `netbios-ns` 、(137)、(139) `netbios-ssn` 、(2049) `nfsdnntp` 、(119)、(58) `ntalkntp` (123)、 `pop3` (110)、 `pptp` (1723)、 `printer` (515) `radacct` 、(1813) `radius` 、(1812) `rip` 、(520) `rkinit` 、(2108) `smtp` 、(25)、(161) `snmp` 、(162) `snmptrapsnpp` 、(44 4)、 `socks` (1080) `ssh` 、(22)、 `sunrpc` (111) `syslog` 、(514) `tacacs` 、(49)、 `tacacs-ds` (65) `talk` 、(517) `telnet` 、(23)、(69) `tftp` 、 `timed` (525)、(513) `who` 、または`xdmcp`(177)。
`exp0 number`	パケットの TOS MPLS ヘッダー内の実験(EXP)ビット数またはビット番号の範囲。の場合 `number`、以下に示すように、0~7 の 1 つ以上の値を 2 進、10 進、または 16 進形式で指定できます。単一の EXP ビット(たとえば、 `exp0 3` 例えば、複数の EXP ビット `exp0 0,4` EXP ビットの範囲(例: `exp0 [0-5]`. これらの値は、ループバックインターフェイスに適用されるフィルターではサポートされていません。注: `exp0` は、非推奨の一致条件を `exp` 置き換えます。
`exp0-except number`	パケットの TOS MPLS ヘッダーの EXP ビット番号またはビット番号の範囲を一致しません。の場合 `number`、以下に示すように、0~7 の 1 つ以上の値を 2 進、10 進、または 16 進形式で指定できます。単一の EXP ビット(たとえば、 `exp0-except 3` 例えば、複数の EXP ビット `exp0-except 0,4` EXP ビットの範囲(例: `exp0-except [0-5]`. これらの値は、ループバックインターフェイスに適用されるフィルターではサポートされていません。
`exp1 number`	TOS(スタックの最上位)MPLS ヘッダーの横にある MPLS ヘッダーの実験(EXP)ビット番号またはビット番号の範囲。の場合 `number`、以下に示すように、0~7 の 1 つ以上の値を 2 進、10 進、または 16 進形式で指定できます。単一の EXP ビット(たとえば、 `exp1 3` 例えば、複数の EXP ビット `exp1 0,4` EXP ビットの範囲(例: `exp1 [0-5]`. これらの値は、ループバックインターフェイスに適用されるフィルターではサポートされていません。
`exp1-except number`	TOS MPLS ヘッダーの横にある MPLS ヘッダーの EXP ビット番号またはビット番号の範囲では一致しません。の場合 `number`、以下に示すように、0~7 の 1 つ以上の値を 2 進、10 進、または 16 進形式で指定できます。単一の EXP ビット(たとえば、 `exp1-except 3` 例えば、複数の EXP ビット `exp1-except 0,4` EXP ビットの範囲(例: `exp1-except [0-5]`. これらの値は、ループバックインターフェイスに適用されるフィルターではサポートされていません。
`forwarding-class class`	転送クラス。、、 `best-effortexpedited-forwarding`、またはを指定`assured-forwarding`します`network-control`。注: PTX10001-36MR では、PTX10003、PTX10004、PTX10008、PTX10016 ルーター、 `exp0` または `exp1` ビットを使用して転送クラスを取得します。
`forwarding-class-except class`	転送クラスで一致しません。、、 `best-effortexpedited-forwarding`、またはを指定`assured-forwarding`します`network-control`。
`interface interface-name`	パケットを受信したインターフェイス。受信したインターフェイスに基づいて、パケットに一致する一致条件を設定できます。注: 存在しないインターフェイスでこの一致条件を設定した場合、条件はどのパケットにも一致しません。
`interface-set interface-set-name`	指定されたインターフェイスセットにパケットを受信したインターフェイスに一致します。インターフェイスセットを定義するには、階層レベルで `interface-set` ステートメントを `[edit firewall]` 含めます。注: この一致条件は、PTXシリーズパケットトランスポートルーターではサポートされていません。詳細については、を参照してくださいインターフェイスセットで受信したパケットのフィルタリングの概要。
`ip-version number`	inner IP バージョンに一致します。例えば、 MPLS タグ付き IPv4 パケットを照合し、テキストシノニム `ipv4`で一致させます。内 `ip-version number` では、送信元と宛先のアドレスとポートに基づいて、パケットをさらに一致させることができます。を参照してください表 1 表 2。
`label0 number`	パケットの TOS MPLS ヘッダーにおける MPLS ラベル値またはラベル値の範囲。の場合 `number`、以下に示すように、0~1048575の10進数または16進形式で1つ以上の値を指定できます。単一のラベル(例えば、 `label0 3` 複数のラベル(例えば、 `label0 0,4` 一連のラベル(例: `label0 [0-5]`. これらの値は、ループバックインターフェイスに適用されるフィルターではサポートされていません。注: `label0` は、非推奨の一致条件を `label` 置き換えます。
`label0-except number`	パケットの TOS MPLS ヘッダーの MPLS ラベル値またはラベル値の範囲を照会しません。の場合 `number`、以下に示すように、0~1048575の10進数または16進形式で1つ以上の値を指定できます。単一のラベル(例えば、 `label0-except 3` 複数のラベル(例えば、 `label0-except 0,4` 一連のラベル(例: `label0-except [0-5]`. これらの値は、ループバックインターフェイスに適用されるフィルターではサポートされていません。
`label1 number`	TOS MPLS ヘッダーの横にある MPLS ヘッダーの MPLS ヘッダーラベルの MPLS ラベル値またはラベル値の範囲に一致します。の場合 `number`、以下に示すように、0~1048575の10進数または16進形式で1つ以上の値を指定できます。単一のラベル(例えば、 `label1 3` 複数のラベル(例えば、 `label1 0,4` 一連のラベル(例: `label1 [0-5]`. これらの値は、ループバックインターフェイスに適用されるフィルターではサポートされていません。
`label1-except number`	TOS MPLS ヘッダーの横にある MPLS ヘッダーの MPLS ヘッダーラベルの MPLS ラベル値またはラベル値の範囲では一致しません。の場合 `number`、以下に示すように、0~1048575の10進数または16進形式で1つ以上の値を指定できます。単一のラベル(例えば、 `label1-except 3` 複数のラベル(例えば、 `label1-except 0,4` 一連のラベル(例: `label1-except [0-5]`. これらの値は、ループバックインターフェイスに適用されるフィルターではサポートされていません。
`label number top` \| `bottom` \| `offset` `offset-value`	受信する MPLS パケットの(ラベルスタックの上または下から)指定されたオフセットで、トップラベル、または下のラベルまたはラベルを一致させます。 `top` - トップオスタックからボトムオブスタックに一致。 `bottom` - トップオブスタックに向けて、ボトムオブスタックを参照して照会。 `offset<offset-value>` - スタックのトップまたはボトムに関する MPLS スタックの深さに一致します。where `offset-value` = (0..15)。 `label` `number` `top` `offset` `offset-value` - MPLSトップラベルフィルターは、0から15までのスタックサンディングへのオフセットと一致します。0は、暗黙的なフィルターとCLIフィルターの両方で、スタックの最上位からの最初のラベル位置です。 `label` `number` `bottom` `offset` `offset-value` - MPLSボトムラベルフィルターは、0から15のスタックサンディングへのオフセットと一致します。0は、暗黙的なフィルターとCLIフィルターの両方で、スタックの最下部からの最初のラベル位置です。 `label` `number` `offset` `offset-value` - トップまたはボトムのオプションが提供 `label` `number` されていない場合、デフォルトの一致は、指定されたオフセットを持つトップオスタックから始まります。つまり、ラベル番号オフセット [n = 0..15] は、ラベル番号上のオフセット [n = 0..15] に相当します。 `label` `number` - の横に `label` `number` オプションが提供されていない場合、デフォルトの一致はトップラベル(暗黙的なオフセット0とアンカーポイントはtop-of-stack)で行われます。注: MPLSスタックの深さからのオフセットを持つラベルのフィルター一致は、期待される動作を与えない場合があります。位置が最下部のフィルターラベルの場合、オフセットがMPLSスタックの深さから外れている場合、フィルターは常にスタックの終わりラベルで一致します。位置がtopのフィルターの場合、オフセットがMPLSスタックの深さから外れている場合、設定されたラベルに一致するように負荷を支払うことになります。注: 設定コマンドオプションは、Junos リリース 22.3R1 で導入されています。
`loss-priority level`	PLP(パケット損失の優先度)レベルに一致します。 1 つのレベルまたは複数のレベルを指定します。`low`、、 `medium-lowmedium-high`、または `high`. M120およびM320ルーターでサポートされています。Enhanced CFEB(CFEB-E)を搭載したM7iおよびM10iルーター。MXシリーズルーターとEXシリーズスイッチです拡張 II FPC(フレキシブル PIC コンセントレータ)、EX シリーズスイッチを搭載した M320、MX シリーズ、T シリーズルーターの IP トラフィックの場合、指定された 4 つのレベルのいずれかに PLP 設定をコミットするには、階層レベルにステートメント`[edit class-of-service]`を含める `tri-color` 必要があります。ステートメントが`tri-color`有効でない場合、および `low` レベルのみを設定`high`できます。これは、すべてのプロトコルファミリーに適用されます。ステートメントの詳細 `tri-color` については、トライカラーマーキングポリサーの設定と適用を参照してください。受信パケットの PLP レベルを設定する BA(動作集約)分類子の使用については、転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。注: PTX10001-36MR では、PTX10003、PTX10004、PTX10008、PTX10016 ルーター、 `exp0` または `exp1` ビットを使用して損失の優先度を取得します。
`loss-priority-except level`	PLP レベルに一致しません。詳細については、一致条件を `loss-priority` 参照してください。注: この一致条件は、PTXシリーズパケットトランスポートルーターではサポートされていません。
`source-port number`	TCP または UDP 送信元ポートフィールドで一致します。同じ条件に `port` および `source-port` 一致条件を指定することはできません。 IPv4トラフィックに対してこの一致条件を設定する場合、ポートで使用されるプロトコルを指定するために、同じ条件でまたは `protocol tcp` 一致ステートメントを設定`protocol udp`することもお勧めします。数値フィールドの代わりに、の下 `destination-port`に記載されているテキスト同義語の1つを指定できます。
`ttl0 number`	パケットの TOS MPLS ヘッダーの TTL 番号または数値の範囲を照合します。Time To Live(TTL)は、MPLS ラベルの 8 ビットフィールドで、パケットがライフ終了前に残り、ドロップされた残りの時間を示します。の場合 `number`、0~255の値を指定できます。
`ttl0-except number`	パケットの TOS MPLS ヘッダーの TTL 数または数値の範囲を一致しません。Time To Live(TTL)は、MPLS ラベルの 8 ビットフィールドで、パケットがライフ終了前に残り、ドロップされた残りの時間を示します。の場合 `number`、0~255の値を指定できます。
`ttl1 number`	パケットの TOS MPLS ヘッダーの横にある MPLS ヘッダーの TTL 番号または数値の範囲を照合します。Time To Live(TTL)は、MPLS ラベルの 8 ビットフィールドで、パケットがライフ終了前に残り、ドロップされた残りの時間を示します。の場合 `number`、0~255の値を指定できます。
`ttl1-except number`	パケットの TOS MPLS ヘッダーの横にある MPLS ヘッダーの TTL 番号または数値の範囲を一致しません。Time To Live(TTL)は、MPLS ラベルの 8 ビットフィールドで、パケットがライフ終了前に残り、ドロップされた残りの時間を示します。の場合 `number`、0~255の値を指定できます。

注:

exp0、 exp0-except、 exp1、exp1-exceptlabel0-exceptlabel1label0ip-versionttl0ttl0-exceptlabel1-exceptttl1、および、ttl1-exceptおよび、PTX10001-36MR、PTX10003、PTX10004、PTX10008、PTX10016 でのみサポートされています。

表 2 階層レベルで [edit firewall family mpls filter filter-name term term-name then] MPLS ファイアウォールフィルターに設定できるアクションについて説明します。

表 2: MPLS ファイアウォールフィルターでサポートされているアクション
対処	説明
`accept`	パケットを受け入れる
`count counter-name`	このフィルターまたは条件を通過したパケット数をカウントします。注: 各フィルター条件で指定された条件に一致するパケット数を監視できるように、ファイアウォールフィルターの各条件にカウンターを設定することをお勧めします。
`discard`	インターネット制御メッセージプロトコル(ICMP)メッセージを送信せずに、通知なくパケットを破棄する
`policer`	Junos OS 13.2X51-D15 以降では、MPLS フィルターで一致したトラフィックを 2 カラーポリサーに送信できます。
`three-color-policer`	Junos OS 13.2X51-D15 以降では、MPLS フィルターで一致したトラフィックを 3 カラーポリサーに送信できます。

MPLS トラフィックのファイアウォール フィルター一致条件

関連項目

MPLS トラフィックのファイアウォールフィルター一致条件