MPLS トラフィックの IP ベース フィルタリングと選択的ポート ミラーリングについて
MPLS パケットでは、IP ヘッダーは MPLS ヘッダーの直後に来ます。IP ベースのフィルタリング機能は、内部ペイロードの最大 8 つの MPLS ラベルを検査し、IP パラメータに基づいて MPLS トラフィックをフィルタリングできる、詳細な検査メカニズムを提供します。また、フィルタリングされた MPLS トラフィックを監視デバイスにポート ミラーリングして、コア MPLS ネットワークでネットワークベースのサービスを提供することもできます。
MPLS トラフィックの IP ベース フィルタリング
Junos OS リリース 18.4R1 以前までは、IP パラメータに基づくフィルタリングは MPLS ファミリー フィルターではサポートされていませんでした。IP ベース フィルタリング機能の導入により、送信元/宛先アドレス、レイヤー 4 プロトコル タイプ、送信元ポートと宛先ポートなどの IP パラメーターに基づいて、MPLS タグ付き IPv4/IPv6 パケットのインバウンドおよびアウトバウンド フィルターを適用できるようになりました。
IP ベースのフィルタリング機能を使用すると、インターフェイスのイングレスで MPLS パケットをフィルタリングできます。この場合、MPLS パケットの内部ペイロードの一致条件を使用してフィルタリングが行われます。その後、選択的 MPLS トラフィックを、論理トンネルを使用してリモート監視デバイスにポート ミラーリングできます。
IP ベースのフィルタリングをサポートするために、新たな一致条件が追加され、適切なフィルタが適用される前に、MPLS パケットを深く検査して、レイヤー 3 およびレイヤー 4 ヘッダーで内部ペイロードを解析できるようになりました。
IP ベースのフィルタリング機能は、MPLS タグ付きの IPv4 および IPv6 パケットでのみサポートされます。つまり、MPLSフィルターは、IPペイロードがMPLSラベルの直後に来る場合にのみ、IPパラメーターを一致させます。
MPLSペイロードに疑似回線、inetおよびinet6以外のプロトコル、またはレイヤー2 VPNやVPLSなどの他のカプセル化が含まれるその他のシナリオでは、IPベースのフィルタリング機能はサポートされていません。
MPLS トラフィックの IP ベースのフィルタリングに、以下の一致条件が追加されます。
IPv4 送信元アドレス
IPv4宛先アドレス
IPv6 送信元アドレス
IPv6 宛先アドレス
プロトコル
送信元ポート
宛先ポート
送信元 IPv4 プレフィックス リスト
宛先 IPv4 プレフィックス リスト
送信元 IPv6 プレフィックス リスト
宛先 IPv6 プレフィックス リスト
MPLS トラフィックの IP ベースのフィルタリングでは、以下の一致の組み合わせがサポートされています。
送信元アドレスと宛先アドレスは、IPv4 および IPv6 プレフィックス リストと条件を一致させます。
送信元と宛先のポートアドレスとプロトコルタイプは、IPv4およびIPv6プレフィックスリストと条件を一致させます。
MPLS トラフィックの選択的ポート ミラーリング
ポートミラーリングは、パケットの通常の処理と転送に加えて、設定された宛先にパケットをミラーリングする機能です。ポートミラーリングは、ファイアウォールフィルターのアクションとして適用され、任意のインターフェイスのイングレスまたはエグレスで適用されます。同様に、選択的ポート ミラーリング機能では、論理トンネルを使用して、IP パラメータに基づいてフィルタリングされた MPLS トラフィックをミラーリングされた宛先にミラーリングする機能が提供されます。
選択的ポートミラーリングを有効にするには、既存の 、 、および アクションに加えて、追加のアクションが 階層レベルで設定されます。[edit firewall family mpls filter filter-nameterm term-name then]counteracceptdiscard
port-mirrorport-mirror-instance
Port Mirroring
このアクションにより 、すべてのパケット転送エンジン(PFE)と関連インターフェイスに適用される、デバイス上でグローバルにポートミラーリングが有効になります。port-mirror
MPLSファミリーフィルターの場合、 アクションはグローバルポートミラーリングで有効です。port-mirror
Port Mirroring Instance
この アクションにより、ポートミラーリングにシステム全体で単一の設定を使用する代わりに、入力サンプリングとポートミラーリングの出力宛先の異なるプロパティで各インスタンスをカスタマイズできます。port-mirror-instance
階層レベルで ステートメントを含めることで、フレキシブルPICコンセントレータ(FPC)ごとに2つのポートミラーリングインスタンスのみを設定できます。instance port-mirror-instance-name[edit forwarding-options port-mirror] その後、個々のポートミラーリングインスタンスをFPC、PIC、または(デバイスのハードウェアに応じて転送エンジンボード(FEB))に関連付けることができます。
MPLSファミリーフィルターの場合、アクションは ポートミラーリングインスタンスに対してのみ有効です。port-mirror-instance
および アクションの両方で、選択的ポート ミラーリング機能が動作するためには、出力インターフェイスがファミリー MPLS(レイヤー 3)ではなくレイヤー 2 ファミリーで有効になっている必要があります。port-mirrorport-mirror-instance
サンプル構成
IP ベースのフィルタリング設定
[edit firewall family mpls filter mpls-filter]
term ipv4-term {
from {
ip-version {
ipv4 {
source-address {
10.10.10.10/24;
}
destination-address {
20.20.20.20/24;
}
protocol tcp {
source-port 100;
destination-port 200;
}
soure-prefix-list ipv4-source-users;
destination-prefix-list ipv4-destination-users;
}
}
exp 1;
}
then port-mirror;
then accept;
then count;
}
term ipv6-term {
from {
ip-version {
ipv6 {
source-address {
2000::1/128;
}
destination-address {
3000::1/128;
}
protocol tcp {
source-port 100;
destination-port 200;
}
source-prefix-list ipv6-source-users;
destination-prefix-list ipv6-destination-users;
}
}
exp 1;
}
then port-mirror-instance port-mirror-instance1;
then accept;
then count;
}
[edit policy-options]
prefix-list ipv4-source-users {
172.16.1.16/28;
172.16.2.16/28;
}
prefix-list ipv6-source-users {
2001::1/128;
3001::1/128;
}
[edit interfaces]
xe-0/0/1 {
unit 0 {
family inet {
address 100.100.100.1/30;
}
family mpls {
filter {
input mpls-filter;
}
}
}
}
選択的ポート ミラーリングの設定
[edit forwarding-options]
port-mirroring {
input {
rate 2;
run-length 4;
maximum-packet-length 500;
}
family any {
output {
interface xe-2/0/2.0;
}
}
}
[edit forwarding-options]
port-mirroring {
instance {
port-mirror-instance1 {
input {
rate 3;
run-length 5;
maximum-packet-length 500;
}
family any {
output {
interface xe-2/0/2.0;
}
}
}
}
}
出力インターフェイス は、ファミリーMPLSではなく、レイヤー2ファミリー用に設定されています。xe-2/0/2.0
および アクションの両方で、選択的ポート ミラーリング機能が動作するためには、出力インターフェイスがファミリー MPLS(レイヤー 3)ではなくレイヤー 2 ファミリーで有効になっている必要があります。port-mirrorport-mirror-instance
ミラーリングされた宛先の設定
[edit interfaces]
xe-2/0/2 {
vlan-tagging;
encapsulation extended-vlan-bridge;
unit 0 {
vlan-id 600;
}
}
[edit bridge-domains]
bd {
domain-type bridge;
interface xe-2/0/2.0;
}