MPLS トラフィックの IP ベース フィルタリングと選択的ポート ミラーリングについて
MPLS パケットでは、IP ヘッダーは MPLS ヘッダーの直後に来ます。IP ベースのフィルタリング機能は、内部ペイロードの最大 8 つの MPLS ラベルを検査し、IP パラメータに基づいて MPLS トラフィックをフィルタリングできる、詳細な検査メカニズムを提供します。また、フィルタリングされた MPLS トラフィックを監視デバイスにポート ミラーリングして、コア MPLS ネットワークでネットワークベースのサービスを提供することもできます。
MPLS トラフィックの IP ベース フィルタリング
Junos OS リリース 18.4R1 以前までは、IP パラメータに基づくフィルタリングは MPLS ファミリー フィルターではサポートされていませんでした。IP ベース フィルタリング機能の導入により、送信元/宛先アドレス、レイヤー 4 プロトコル タイプ、送信元ポートと宛先ポートなどの IP パラメーターに基づいて、MPLS タグ付き IPv4/IPv6 パケットのインバウンドおよびアウトバウンド フィルターを適用できるようになりました。
IP ベースのフィルタリング機能を使用すると、インターフェイスのイングレスで MPLS パケットをフィルタリングできます。この場合、MPLS パケットの内部ペイロードの一致条件を使用してフィルタリングが行われます。その後、選択的 MPLS トラフィックを、論理トンネルを使用してリモート監視デバイスにポート ミラーリングできます。
IP ベースのフィルタリングをサポートするために、新たな一致条件が追加され、適切なフィルタが適用される前に、MPLS パケットを深く検査して、レイヤー 3 およびレイヤー 4 ヘッダーで内部ペイロードを解析できるようになりました。
IP ベースのフィルタリング機能は、MPLS タグ付きの IPv4 および IPv6 パケットでのみサポートされます。つまり、MPLSフィルターは、IPペイロードがMPLSラベルの直後に来る場合にのみ、IPパラメーターを一致させます。
MPLSペイロードに疑似回線、inetおよびinet6以外のプロトコル、またはレイヤー2 VPNやVPLSなどの他のカプセル化が含まれるその他のシナリオでは、IPベースのフィルタリング機能はサポートされていません。
MPLS トラフィックの IP ベースのフィルタリングに、以下の一致条件が追加されます。
IPv4 送信元アドレス
IPv4宛先アドレス
IPv6 送信元アドレス
IPv6 宛先アドレス
プロトコル
送信元ポート
宛先ポート
送信元 IPv4 プレフィックス リスト
宛先 IPv4 プレフィックス リスト
送信元 IPv6 プレフィックス リスト
宛先 IPv6 プレフィックス リスト
MPLS トラフィックの IP ベースのフィルタリングでは、以下の一致の組み合わせがサポートされています。
送信元アドレスと宛先アドレスは、IPv4 および IPv6 プレフィックス リストと条件を一致させます。
送信元と宛先のポートアドレスとプロトコルタイプは、IPv4およびIPv6プレフィックスリストと条件を一致させます。
MPLS トラフィックの選択的ポート ミラーリング
ポートミラーリングは、パケットの通常の処理と転送に加えて、設定された宛先にパケットをミラーリングする機能です。ポートミラーリングは、ファイアウォールフィルターのアクションとして適用され、任意のインターフェイスのイングレスまたはエグレスで適用されます。同様に、選択的ポート ミラーリング機能では、論理トンネルを使用して、IP パラメータに基づいてフィルタリングされた MPLS トラフィックをミラーリングされた宛先にミラーリングする機能が提供されます。
選択的ポートミラーリングを有効にするには、既存のcounter
、accept
、およびdiscard
アクションに加えて、追加のアクションが [edit firewall family mpls filter filter-nameterm term-name then]
階層レベルで設定されます。
port-mirror
port-mirror-instance
Port Mirroring
port-mirror
アクションにより、すべてのパケット転送エンジン(PFE)および関連するインターフェイスに適用される、デバイス上でグローバルにポートミラーリングが有効になります。
MPLSファミリーフィルターでは、グローバルポートミラーリングで port-mirror
アクションが有効になります。
Port Mirroring Instance
port-mirror-instance
アクションにより、ポートミラーリングにシステム全体の単一の設定を使用する代わりに、入力サンプリングとポートミラーリングの出力宛先の異なるプロパティで各インスタンスをカスタマイズできます。
[edit forwarding-options port-mirror]
階層レベルで instance port-mirror-instance-name
ステートメントを含めることで、フレキシブルPICコンセントレータ(FPC)ごとに2つのポートミラーリングインスタンスのみを設定できます。その後、個々のポートミラーリングインスタンスをFPC、PIC、または(デバイスのハードウェアに応じて転送エンジンボード(FEB))に関連付けることができます。
MPLSファミリーフィルターでは、ポートミラーリングインスタンスに対してのみ port-mirror-instance
アクションが有効になります。
port-mirror
アクションとport-mirror-instance
アクションの両方で、選択的ポートミラーリング機能が動作するためには、出力インターフェイスがファミリーMPLS(レイヤー3)ではなくレイヤー2ファミリーで有効になっている必要があります。
サンプル構成
IP ベースのフィルタリング設定
[edit firewall family mpls filter mpls-filter] term ipv4-term { from { ip-version { ipv4 { source-address { 10.10.10.10/24; } destination-address { 20.20.20.20/24; } protocol tcp { source-port 100; destination-port 200; } soure-prefix-list ipv4-source-users; destination-prefix-list ipv4-destination-users; } } exp 1; } then port-mirror; then accept; then count; } term ipv6-term { from { ip-version { ipv6 { source-address { 2000::1/128; } destination-address { 3000::1/128; } protocol tcp { source-port 100; destination-port 200; } source-prefix-list ipv6-source-users; destination-prefix-list ipv6-destination-users; } } exp 1; } then port-mirror-instance port-mirror-instance1; then accept; then count; }
[edit policy-options] prefix-list ipv4-source-users { 172.16.1.16/28; 172.16.2.16/28; } prefix-list ipv6-source-users { 2001::1/128; 3001::1/128; }
[edit interfaces] xe-0/0/1 { unit 0 { family inet { address 100.100.100.1/30; } family mpls { filter { input mpls-filter; } } } }
選択的ポート ミラーリングの設定
[edit forwarding-options] port-mirroring { input { rate 2; run-length 4; maximum-packet-length 500; } family any { output { interface xe-2/0/2.0; } } }
[edit forwarding-options] port-mirroring { instance { port-mirror-instance1 { input { rate 3; run-length 5; maximum-packet-length 500; } family any { output { interface xe-2/0/2.0; } } } } }
出力インターフェイス xe-2/0/2.0
は、ファミリー MPLS ではなくレイヤー 2 ファミリー用に設定されています。
port-mirror
アクションとport-mirror-instance
アクションの両方で、選択的ポートミラーリング機能が動作するためには、出力インターフェイスがファミリーMPLS(レイヤー3)ではなくレイヤー2ファミリーで有効になっている必要があります。
ミラーリングされた宛先の設定
[edit interfaces] xe-2/0/2 { vlan-tagging; encapsulation extended-vlan-bridge; unit 0 { vlan-id 600; } }
[edit bridge-domains] bd { domain-type bridge; interface xe-2/0/2.0; }