Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

MPLS トラフィックの IP ベース フィルタリングと選択的ポート ミラーリングの理解

MPLS パケットでは、IP ヘッダーは MPLS ヘッダーの直後に送信されます。IPベースのフィルタリング機能は、ディープインスペクションメカニズムを提供します。ここでは、内部ペイロードの最大8つのMPLSラベルを検査して、IPパラメーターに基づいてMPLSトラフィックのフィルタリングを有効にすることができます。フィルタリングされたMPLSトラフィックを監視デバイスにポートミラーリングして、コアMPLSネットワークでネットワークベースのサービスを提供することもできます。

MPLS トラフィックの IP ベース のフィルタリング

Junos OS Release 18.4R1以前は、MPLSファミリーフィルターでは、IPパラメーターに基づくフィルタリングはサポートされていませんでした。IPベースのフィルタリング機能を導入すると、送信元と宛先アドレス、レイヤー4プロトコルタイプ、送信元および宛先ポートなど、IPパラメーターに基づいて、MPLSタグ付きIPv4およびIPv6パケットにインバウンドおよびアウトバウンドフィルターを適用できます。

IPベースのフィルタリング機能により、インターフェイスのイングレスでMPLSパケットをフィルタリングでき、MPLSパケットの内部ペイロードの一致条件を使用してフィルタリングが行われます。その後、選択した MPLS トラフィックを、論理トンネルを使用してリモート監視デバイスにポート ミラーリングできます。

IPベースのフィルタリングをサポートするために、MPLSパケットを詳細に検査して、適切なフィルターが適用される前にレイヤー3およびレイヤー4ヘッダーを持つ内部ペイロードを解析できる追加の一致条件が追加されます。

注:

IP ベースのフィルタリング機能は、MPLS タグ付き IPv4 および IPv6 パケットに対してのみサポートされています。つまり、MPLS フィルターは、IP ペイロードが MPLS ラベルの直後に来る場合にのみ、IP パラメーターを一致させます。

他のシナリオでは、MPLS ペイロードに疑似配線、inet および inet6 以外のプロトコル、レイヤー 2 VPN や VPLS などのその他のカプセル化が含まれている場合、IP ベースのフィルタリング機能はサポートされていません。

MPLS トラフィックの IP ベース のフィルタリングに、以下の一致条件が追加されます。

  • IPv4 送信元アドレス

  • IPv4 宛先アドレス

  • IPv6 送信元アドレス

  • IPv6 宛先アドレス

  • プロトコル

  • 送信元ポート

  • 宛先ポート

  • 送信元 IPv4 プレフィックス リスト

  • 宛先 IPv4 プレフィックス リスト

  • 送信元 IPv6 プレフィックス リスト

  • 宛先 IPv6 プレフィックス リスト

注:

MPLS トラフィックの IP ベース のフィルタリングでは、以下の一致の組み合わせがサポートされています。

  • IPv4およびIPv6プレフィックスリストを使用した送信元と宛先のアドレス一致条件。

  • 送信元と宛先のポートアドレスとプロトコルタイプは、IPv4およびIPv6プレフィックスリストとの一致条件です。

MPLS トラフィックの選択的ポート ミラーリング

ポートミラーリングは、パケットの通常の処理と転送に加えて、設定された宛先にパケットをミラーリングする機能です。ポートミラーリングは、ファイアウォールフィルターのアクションとして適用され、どのインターフェイスのイングレスまたはエグレスでも適用されます。同様に、選択的ポートミラーリング機能は、IPパラメーターに基づいてフィルタリングされたMPLSトラフィックを、論理トンネルを使用してミラーリングされた宛先にミラーリングする機能を提供します。

選択的なポートミラーリングを有効にするには、既存counteraccept[edit firewall family mpls filter filter-nameterm term-name then] 、 、および アクションに加えて、 階層レベルで追加のアクションをdiscard設定します。

  • port-mirror

  • port-mirror-instance

Port Mirroring

このアクションにより port-mirror 、デバイス上でグローバルにポートミラーリングが有効になります。これは、すべてのパケット転送エンジン(PFEs)と関連するインターフェイスに適用されます。

MPLSファミリーフィルターでは、グローバルポートミラーリングに port-mirror 対してアクションが有効になります。

Port Mirroring Instance

この port-mirror-instance アクションにより、ポートミラーリングに単一のシステム全体設定を使用する必要なく、入力サンプリングとポートミラーリング出力先に対して異なるプロパティで各インスタンスをカスタマイズできます。

階層レベルで [edit forwarding-options port-mirror] ステートメントを含instance port-mirror-instance-nameめることで、FPC(フレキシブルPICコンセントレータ)ごとに2つのポートミラーリングインスタンスのみを設定できます。デバイスのハードウェアに応じて、個々のポートミラーリングインスタンスをFPC、PIC、または(転送エンジンボード(FEB)に関連付けることができます。

MPLSファミリーフィルターでは port-mirror-instance 、ポートミラーリングインスタンスに対してのみアクションが有効になります。

注:

および の両方 port-mirrorport-mirror-instance アクションにおいて、選択的ポートミラーリング機能を機能させるには、出力インターフェイスをレイヤー2ファミリーで有効にし、ファミリーMPLS(レイヤー3)で有効にする必要があります。

設定例

IPベースのフィルタリング設定

選択的なポート ミラーリング設定

注:

出力インターフェイス xe-2/0/2.0 は、MPLSファミリーではなく、レイヤー2ファミリーに設定されています。

および の両方 port-mirrorport-mirror-instance アクションにおいて、選択的ポートミラーリング機能を機能させるには、出力インターフェイスをレイヤー2ファミリーで有効にし、ファミリーMPLS(レイヤー3)で有効にする必要があります。

ミラーリングされた宛先設定