MPLSトラフィックのファイアウォールフィルター一致条件

MPLSトラフィック()の一致条件があるファイアウォールフィルターを設定できます。family mpls

プロトコルファミリーのファイアウォールフィルターのおよびステートメントは、管理インターフェイスと内部イーサネットインターフェイス(または)、ループバックインターフェイス()、USBモデムインターフェイス()を除くすべてのインターフェイスでサポートされていますinput-list filter-namesoutput-list filter-namesmplsfxpem0lo0umd
(QFX5100、QFX5110、QFX5200、QFX5210)ループバックインターフェイスでMPLSフィルターを適用している場合、フィルタリングできるのは、、、およびレイヤー4とポート番号フィールドのみです。labelexpttl=1tcpudp TTLの場合、TTL=1 パケットで照合するには、の下に明示的に指定する必要があります。ttl=1family mpls 設定できるアクションは、のみです。acceptdiscardcount フィルターはイングレス方向にのみ適用できます。
MPCとMICを搭載したMXシリーズルーターでは、内部ペイロード一致条件を使用して、MPLSタグ付きのIPv4およびIPv6パラメータに基づいてMPLSファミリーのインバウンドおよびアウトバウンドフィルターを適用し、監視デバイスへのMPLSトラフィックの選択的ポートミラーリングを有効にすることができます(Junos OSリリース18.4R1以降)。IP ベースのフィルタリングでは、MPLS フィルター条件パラメータで追加の一致条件を使用でき、ポートミラーリングをサポートするために、フィルタ条件パラメータで追加アクション(ポートミラーやポートミラーインスタンスなど)を使用できます。fromthen

表 1 はmatch-conditions、階[edit firewall family mpls filter filter-name term term-name from]層レベルで設定できるを説明します。

表 1: MPLSトラフィックのファイアウォールフィルター一致条件
一致条件	説明
`apply-groups`	設定データを継承するグループを指定します。複数のグループ名を指定できます。継承する優先度順に一覧化する必要があります。最初のグループの設定データは、以降のグループのデータよりも優先されます。
`apply-groups-except`	設定データを継承しないグループを指定します。複数のグループ名を指定できます。
`destination-port number`	UDPまたはTCP宛先ポートフィールドで一致します。数値の代わりに、以下のテキスト（ポート番号も記載されています）のいずれかを指定します。`afs` (1483)、 (`bgp`179)、 (512)、 (68)、 (67`bootps`)、 (514)、 (2401)、 (67)、 (53)、 (2`domaineklogin`105)`dhcp`、 (2106)、 `ekshell`(512)、 (79`exec`)、 (21)、 (20)、 (80)、 (443)、 (113)、 (143)、 (88)、 (543)、 (761)、 (7`finger`54)、 (760)`http`、 (5`krb-prop`44`https`)、 (389)、 `krbupdatekshellldap`(646)、 (513)、 (434)、 (435)、 (639)、`loginmobileip-agentmobilip-mnmsdpnetbios-dgm` (138)、 (137)、 (139)、 (2049)、 (119)、 (518)、 `biff`(123)、 (110)、 (1`nntpntalkntppop3`723)、 `bootpc`(515`sunrpcsyslogtacacs`)、 (1813)、`cmd` (1812)、 (520)、 `pptp`(2108)、 (25)、 (161)、 (162)`nfsd`、 (444)、`radiusriprkinitsmtpsnmpsnmptrapsnppsocksssh` (`netbios-ssn`1080`printerradacct`)、 (22)、 (111)、 (514)、 (49)、 (65)、 (517)、 (23)、 (69)、 (525)、 (513)、o`imapkerberos-seckloginkpasswd`r (177).`identtacacs-dstalktelnettftptimedcvspserverwhoxdmcpnetbios-nsftpftp-dataldp`
`exp number`	パケットの MPLS ヘッダー内の実験(EXP)ビット番号またはビット番号の範囲。の場合、以下に示すように、0 から 7 までの 1 つ以上の値を 2 進数、10 進数、または 16 進数形式で指定できます。`number` 単一の EXP ビット—例えば、 `exp 3` 複数の EXP ビット - 例えば、 `exp 0,4` EXP ビットの範囲—例えば、 .`exp [0-5]` これらの値は、ループバックインターフェイスに適用されるフィルターではサポートされていません。注: この一致条件は、PTX10001-36MR、PTX10003、PTX10004、PTX10008、および PTX10016デバイスでは非推奨であり、に置き換えられます。`exp0 number`
`exp-except number`	MPLS ヘッダーの EXP ビット番号またはビット番号の範囲では一致しません。については、からまでの 1 つ以上の値を指定できます。`number07` 注: この一致条件は、PTX10001-36MR、PTX10003、PTX10004、PTX10008、および PTX10016デバイスでは非推奨であり、に置き換えられます。`exp0-except`
`exp0 number`	パケットの TOS MPLS ヘッダー内の実験(EXP)ビット数またはビット数の範囲。の場合、以下に示すように、0 から 7 までの 1 つ以上の値を 2 進数、10 進数、または 16 進数形式で指定できます。`number` 単一の EXP ビット—例えば、 `exp0 3` 複数の EXP ビット - 例えば、 `exp0 0,4` EXP ビットの範囲—例えば、 .`exp0 [0-5]` これらの値は、ループバックインターフェイスに適用されるフィルターではサポートされていません。
`exp0-except number`	パケットのTOS MPLSヘッダーのEXPビット番号またはビット番号の範囲に一致しません。の場合、以下に示すように、0 から 7 までの 1 つ以上の値を 2 進数、10 進数、または 16 進数形式で指定できます。`number` 単一の EXP ビット—例えば、 `exp0-except 3` 複数の EXP ビット - 例えば、 `exp0-except 0,4` EXP ビットの範囲—例えば、 .`exp0-except [0-5]` これらの値は、ループバックインターフェイスに適用されるフィルターではサポートされていません。
`exp1 number`	TOS(トップオブスタック)MPLSヘッダーの隣にあるMPLSヘッダー内の実験(EXP)ビット番号またはビット番号の範囲。の場合、以下に示すように、0 から 7 までの 1 つ以上の値を 2 進数、10 進数、または 16 進数形式で指定できます。`number` 単一の EXP ビット—例えば、 `exp1 3` 複数の EXP ビット - 例えば、 `exp1 0,4` EXP ビットの範囲—例えば、 .`exp1 [0-5]` これらの値は、ループバックインターフェイスに適用されるフィルターではサポートされていません。
`exp1-except number`	TOS MPLSヘッダーの横にあるMPLSヘッダーのEXPビット番号またはビット番号の範囲では一致しません。の場合、以下に示すように、0 から 7 までの 1 つ以上の値を 2 進数、10 進数、または 16 進数形式で指定できます。`number` 単一の EXP ビット—例えば、 `exp1-except 3` 複数の EXP ビット - 例えば、 `exp1-except 0,4` EXP ビットの範囲—例えば、 .`exp1-except [0-5]` これらの値は、ループバックインターフェイスに適用されるフィルターではサポートされていません。
`forwarding-class class`	転送クラス。`assured-forwarding`、`best-effort`、`expedited-forwarding`、または`network-control` を指定します。注: PTX10001-36MRでは、PTX10003、PTX10004、PTX10008、PTX10016ルーター、またはビットを使用して転送クラスを取得します。`exp0exp1`
`forwarding-class-except class`	転送クラスでは一致しません。`assured-forwarding`、`best-effort`、`expedited-forwarding`、または`network-control` を指定します。
`interface interface-name`	パケットを受信したインターフェイス。受信したインターフェイスに基づいて、パケットを照合する一致条件を設定できます。注: 存在しないインターフェイスでこの一致条件を設定する場合、条件はパケットに一致しません。
`interface-set interface-set-name`	指定されたインターフェイスセットにパケットを受信したインターフェイスを一致させます。インターフェイスセットを定義するには、階層レベルにステートメントを含めます。`interface-set[edit firewall]` 注: この一致条件は、PTXシリーズのパケットトランスポートルーターではサポートされていません。詳細については、インターフェイスセットで受信したパケットのフィルタリングの概要を参照してください。
`ip-version number`	内部 IP バージョンに一致します。例えば、MPLSタグ付きIPv4パケットを照合するには、テキスト同義語で照合します。`ipv4` 内では、送信元と宛先のアドレスとポートに基づいて、パケットをさらに一致させることができます。`ip-version number` およびを参照してください。表 1 表 2
`label number`	パケットのMPLSヘッダー内のMPLSラベル値またはラベル値の範囲。の場合、以下に示すように、0 から 1048575 までの 1 つ以上の値を 10 進数または 16 進数形式で指定できます。`number` 1 つのラベル - 例えば、 `label 3` 複数のラベル - 例えば、 `label 0,4` ラベルの範囲 - 例えば、 .`label [0-5]` これらの値は、ループバックインターフェイスに適用されるフィルターではサポートされていません。注: このオプションは、PTX10001-36MR、PTX10003、PTX10004、PTX10008、およびPTX10016デバイスでは非推奨であり、に置き換えられます。`label0`
`label0 number`	パケットのTOS MPLSヘッダー内のMPLSラベル値またはラベル値の範囲。の場合、以下に示すように、0 から 1048575 までの 1 つ以上の値を 10 進数または 16 進数形式で指定できます。`number` 1 つのラベル - 例えば、 `label0 3` 複数のラベル - 例えば、 `label0 0,4` ラベルの範囲 - 例えば、 .`label0 [0-5]` これらの値は、ループバックインターフェイスに適用されるフィルターではサポートされていません。
`label0-except number`	パケットのTOS MPLSヘッダーのMPLSラベル値またはラベル値の範囲に一致しません。の場合、以下に示すように、0 から 1048575 までの 1 つ以上の値を 10 進数または 16 進数形式で指定できます。`number` 1 つのラベル - 例えば、 `label0-except 3` 複数のラベル - 例えば、 `label0-except 0,4` ラベルの範囲 - 例えば、 .`label0-except [0-5]` これらの値は、ループバックインターフェイスに適用されるフィルターではサポートされていません。
`label1 number`	TOS MPLSヘッダーの隣にあるMPLSヘッダーのMPLSヘッダーラベルのMPLSラベル値またはラベル値の範囲に一致します。の場合、以下に示すように、0 から 1048575 までの 1 つ以上の値を 10 進数または 16 進数形式で指定できます。`number` 1 つのラベル - 例えば、 `label1 3` 複数のラベル - 例えば、 `label1 0,4` ラベルの範囲 - 例えば、 .`label1 [0-5]` これらの値は、ループバックインターフェイスに適用されるフィルターではサポートされていません。
`label1-except number`	TOS MPLSヘッダーの隣にあるMPLSヘッダーのMPLSヘッダーラベルのMPLSラベル値またはラベル値の範囲で一致しません。の場合、以下に示すように、0 から 1048575 までの 1 つ以上の値を 10 進数または 16 進数形式で指定できます。`number` 1 つのラベル - 例えば、 `label1-except 3` 複数のラベル - 例えば、 `label1-except 0,4` ラベルの範囲 - 例えば、 .`label1-except [0-5]` これらの値は、ループバックインターフェイスに適用されるフィルターではサポートされていません。
\| \| `label number topbottomoffsetoffset-value`	受信MPLSパケットのトップラベル、ボトムラベル、または指定されたオフセット(ラベルスタックの上部または下部から)のラベルに一致します。 `top` - スタックのトップを参照して、スタックの最下部に向かって一致します。 `bottom` - トップオブスタックに向かってボトムオブスタックを参照して一致します。 - スタックの上部または下部を基準にして MPLS スタックの深さを基準にして一致します(= ( 0..15)。`offset<offset-value>offset-value` `label` `number` `top` `offset` `offset-value` - MPLS トップラベルフィルターは、0 から 15 までのスタックサンディングへのオフセットと一致します。0 は、暗黙的フィルタと CLI フィルタの両方で、スタックの先頭からの最初のラベル位置です。 `label` `number` `bottom` `offset` `offset-value` - MPLS ボトムラベルフィルターは、0 から 15 までのスタックサンディングへのオフセットと一致します。0 は、暗黙的フィルタと CLI フィルタの両方で、スタックの一番下から最初のラベル位置です。 - 上部または下部のオプションが横に指定されていない場合、デフォルトの一致は指定されたオフセットを持つスタックの先頭から開始されます。`labelnumberoffsetoffset-valuelabelnumber` つまり、ラベル番号のオフセット [n = 0..15] は、ラベル番号のトップオフセット [n = 0..15] と同等です。 - の横にオプションが指定されていない場合次に、デフォルトの一致がトップラベルで行われます(暗黙的なオフセット0とアンカーポイントはスタックの最上位です)。`labelnumberlabelnumber` 注: MPLS スタックの深さからオフセットのあるラベルのフィルター一致では、期待した動作が得られない場合があります。位置が bottom のフィルターラベルマッチングの場合、オフセットが MPLS スタックの深さから外れている場合、フィルターは常にスタック終了ラベルで一致します。位置を先頭とするフィルター一致の場合、オフセットがMPLSスタックの深さから外れている場合、設定されたラベルと照合するために負荷を支払うことを指します。注: 設定コマンドオプションは、Junos リリース 22.3R1 で導入されています。
`loss-priority level`	PLP（パケット損失の優先度）レベルに一致します。単一のレベルまたは複数のレベルを指定します。`low`、`medium-low`、`medium-high`、または`high`。 M120およびM320ルーターでサポートされています。拡張CFEB(CFEB-E)を搭載したM7iおよびM10iルーター。およびMXシリーズルーターとEXシリーズスイッチ。拡張II FPC(フレキシブルPICコンセントレータ)を搭載したM320、MXシリーズ、Tシリーズルーター、EXシリーズスイッチのIPトラフィックについては、指定された4つのレベルのいずれかでPLP設定をコミットするには、階層レベルにステートメントを含める必要があります。 `tri-color` `[edit class-of-service]tri-color`ステートメントが有効になっていない場合、`high` および `low`レベルのみを設定できます。これは、すべてのプロトコルファミリーに適用されます。 `tri-color`ステートメントに関する情報については、トライカラーマーキングポリサーの設定と適用を参照してください。動作集約(BA)分類子を使用して着信パケットのPLPレベルを設定する方法については、転送クラスが出力キューにクラスを割り当てる方法についてを参照してください。Understanding How Forwarding Classes Assign Classes to Output Queues 注: PTX10001-36MRでは、損失優先度を取得するために、PTX10003、PTX10004、PTX10008、PTX10016ルーター、またはビットが使用されます。`exp0exp1`
`loss-priority-except level`	PLPレベルに一致しません。詳細については、 `loss-priority`一致条件を参照してください。注: この一致条件は、PTXシリーズのパケットトランスポートルーターではサポートされていません。
`source-port number`	TCPまたはUDP送信元ポートフィールドで一致します。同じ項に `port`および `source-port`一致条件を指定することはできません。 IPv4 トラフィックのこの一致条件を設定した場合、ポートで使用されるプロトコルを指定するために、同じ条件で `protocol udp`または `protocol tcp`一致ステートメントを設定することもお勧めします。数値フィールドの代わりに、の下に記載されているテキストシノニムの 1 つを指定します`destination-port`。
`ttl0 number`	パケットのTTL番号またはTOS MPLSヘッダーの番号の範囲に一致します。TTL(Time To Live)は、MPLSラベルの8ビットフィールドで、パケットのライフが終了してドロップされるまでの残り時間を示します。には、0 から 255 までの値を指定できます。`number`
`ttl0-except number`	パケットの TOS MPLS ヘッダーの TTL 番号または番号の範囲が一致しません。TTL(Time To Live)は、MPLSラベルの8ビットフィールドで、パケットのライフが終了してドロップされるまでの残り時間を示します。には、0 から 255 までの値を指定できます。`number`
`ttl1 number`	パケットのTOS MPLSヘッダーの隣にあるMPLSヘッダーのTTL番号または番号の範囲に一致します。TTL(Time To Live)は、MPLSラベルの8ビットフィールドで、パケットのライフが終了してドロップされるまでの残り時間を示します。には、0 から 255 までの値を指定できます。`number`
`ttl1-except number`	パケットのTOS MPLSヘッダーの隣にあるMPLSヘッダーのTTL番号または数字の範囲に一致しません。TTL(Time To Live)は、MPLSラベルの8ビットフィールドで、パケットのライフが終了してドロップされるまでの残り時間を示します。には、0 から 255 までの値を指定できます。`number`

注:

、、、、、、、およびは、PTX10001-36MR、PTX10003、PTX10004、PTX10008、PTX10016でのみサポートされています。 exp0exp0-exceptexp1exp1-exceptip-versionlabel0label0-exceptlabel1label1-exceptttl0ttl0-exceptttl1ttl1-except

では、階層レベルで MPLS ファイアウォールフィルターに設定できるアクションを説明します。表 2[edit firewall family mpls filter filter-name term term-name then]

表 2: MPLS ファイアウォールフィルターでサポートされるアクション
アクション	説明
`accept`	パケットを受け取る
`count counter-name`	このフィルターまたは条件を通過したパケットの数をカウントします。注: 各フィルター条件で指定された条件に一致するパケットの数を監視できるように、ファイアウォールフィルターの各条件にカウンターを設定することをお勧めします。
`discard`	インターネット制御メッセージプロトコル(ICMP)メッセージを送信せずに、気付かれることなくパケットを破棄する
`policer`	Junos OS 13.2X51-D15 以降、MPLS フィルターに一致するトラフィックを 2 色ポリサーに送信できるようになりました。
`three-color-policer`	Junos OS 13.2X51-D15以降、MPLSフィルターに一致するトラフィックを3カラーポリサーに送信できるようになりました。

MPLSトラフィックのファイアウォールフィルター一致条件

関連項目