ループバック インターフェイスでの MPLS ファイアウォール フィルターの概要
すべてのインターフェイスが重要ですが、ループバック インターフェイスは、すべてのルーティング プロトコルを実行および管理しているルーティング エンジンへのリンクであるため、最も重要な場合もあります。ループバック インターフェイスは、スイッチのルーティング エンジンに入るすべての制御トラフィックのゲートウェイです。このトラフィックを制御するには、 上のループバックインターフェイス(lo0) でファイアウォールフィルターを設定します。family mpls
ループバック ファイアウォール フィルターは、ルーティング エンジン CPU を宛先とするトラフィックにのみ影響します。ループバックファイアウォールフィルターは、 イングレス 方向(インターフェイスに入るパケット)にのみ適用できます。Junos OS リリース 19.2R1 以降では、QFX5100、QFX5110、QFX5200、および QFX5210 スイッチ上の LSR(ラベル スイッチ ルーター)上のループバック インターフェイスに MPLS ファイアウォール フィルターを適用できます。
MPLS ファイアウォール フィルタを設定する場合、パケットのフィルタリング基準(条件と一致条件)と、パケットがフィルタリング基準に一致した場合にスイッチが実行する アクション を定義します。フィルターはループバックインターフェイスに適用されるため、 で TTL(有効期限)一致条件を明示的に指定し、そのTTL値を1()に設定する必要があります。family mpls
ttl=1
TTL は 8 ビット(IPv4)ヘッダー フィールドで、IP パケットのライフが終了してドロップされるまでの残り時間を示します。また、パケットを 、 、 レイヤー 4 、レイヤー 4 などの他の MPLS 修飾子と一致させることもできます。label
exp
source port
destination port
ループバック インターフェイスに MPLS ファイアウォール フィルターを追加するメリット
信頼できるネットワークからのトラフィックのみを受け入れるようにすることで、ルーティング エンジンを保護します。
ルーティング エンジンをサービス拒否攻撃から保護します。
送信元ポートと宛先ポートでパケットを一致させる柔軟性が得られます。たとえば、トレースルートを実行する場合、TCP または UDP を選択することで、トラフィックを選択的にフィルタリングできます。
ガイドラインと制限事項
ループバックファイアウォールフィルターは、 イングレス 方向にのみ適用できます
MPLS フィールド 、 、およびレイヤー 4 フィールドとポート番号のみがサポートされます。
label
exp
ttl=1
tcp
udp
、 、および のアクションのみがサポートされています。
accept
discard
count
TLL パケットで一致させるには、 の下に明示的に を指定する必要があります。
ttl=1
family mpls
ループバックインターフェイスに適用されるフィルターは、IPv6パケットの宛先ポート(内部ペイロード)ではマッチングできません。
MPLSラベルが2つを超えるパケットには、フィルターを適用できません。
TCP または UDP の一致条件にポート範囲を指定することはできません。
255 個のファイアウォール条件のみがサポートされています。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。