MPLS 태그 지정된 IPv4 또는 IPv6 트래픽에 대한 방화벽 필터 일치 조건

MPLS 플로우에서 IPv4 또는 IPv6 패킷 헤더 주소 또는 포트 필드의 일치

코어 네트워크에서 네트워크 기반 서비스를 지원하기 위해 MPLS 트래픽()의 인터넷 프로토콜 버전 4(IPv4) 또는 버전 6(IPv6) 패킷 헤더 필드와 일치하는 방화벽 필터를 구성할 수 있습니다.family mpls 방화벽 필터는 IPv4 또는 IPv6 패킷을 단일 MPLS 레이블 또는 최대 5개의 MPLS 레이블이 함께 쌓인 MPLS 패킷의 내부 페이로드로 일치시킬 수 있습니다. 헤더의 IPv4 주소 및 IPv4 포트 번호 또는 IPv6 주소 및 IPv6 포트 번호를 기반으로 일치 조건을 구성할 수 있습니다.

MPLS 태그가 지정된 IPv4 헤더를 기반으로 하는 방화벽 필터는 T320, T640, T1600, TX Matrix 및 TX Matrix Plus 라우터 및 스위치의 FPC(Flexible PIC Concentrator)의 인터페이스에 대해서만 지원됩니다. 그러나 MPLS 태그가 지정된 IPv6 헤더를 기반으로 하는 방화벽 필터는 T4000 코어 라우터의 Type 5 FPC 인터페이스에 대해서만 지원됩니다. 라우터 또는 스위치 루프백 인터페이스(), 라우터 또는 스위치 관리 인터페이스(lo0fxp0 또는 em0) 또는 USB 모뎀 인터페이스(umd)에는 기능이 지원되지 않습니다.

MPLS 플로우에서 패킷의 레이어 4 헤더에 있는 주소 또는 포트 필드와 일치하는 방화벽 필터 용어를 구성하려면 일치 조건을 사용하여 ip-version ipv4 용어가 내부 IP 필드를 기반으로 패킷을 일치시키도록 지정합니다.

• IPv4 헤더의 소스 또는 대상 주소 필드에서 MPLS 태그가 지정된 IPv4 패킷을 일치시키려면 계층 수준에서 일치 조건을 [edit firewall family mpls filter filter-name term term-name from ip-version ipv4] 지정합니다.

• 레이어 4 헤더의 소스 또는 대상 포트 필드에서 MPLS 태그가 지정된 IPv4 패킷을 일치시키려면 계층 수준에서 일치 조건을 [edit firewall family mpls filter filter-name term term-name from ip-version ipv4 protocol (udp | tcp)] 지정합니다.

MPLS 플로우에서 패킷의 IPv6 헤더에 있는 주소 또는 포트 필드와 일치하는 방화벽 필터 용어를 구성하려면 일치 조건을 사용하여 ip-version ipv6 용어가 내부 IP 필드를 기반으로 패킷을 일치시키도록 지정합니다.

• IPv6 헤더의 소스 또는 대상 주소 필드에서 MPLS 태그가 지정된 IPv6 패킷을 일치시키려면 계층 수준에서 일치 조건을 지정해야 합니다 [edit firewall family mpls filter filter-name term term-name from ip-version ipv6] .

• 레이어 4 헤더의 소스 또는 대상 포트 필드에서 MPLS 태그가 지정된 IPv6 패킷을 일치시키려면 계층 수준에서 일치 조건을 [edit firewall family mpls filter filter-name term term-name from ip-version ipv6 protocol (udp | tcp)] 지정합니다.

MPLS 트래픽에 대한 IP 주소 일치 조건

표 1 은(는) 계층 수준에서 구성할 [edit firewall family mpls filter filter-name term term-name from ip-version ip-version] 수 있는 IP 주소별 일치 조건을 설명합니다.

표 1: MPLS 트래픽에 대한 IP 주소별 방화벽 필터 일치 조건

일치 조건	설명
destination-address address	패킷을 수신할 대상 노드의 주소를 일치시킵니다.
destination-address address except	패킷을 수신할 대상 노드의 주소를 일치시키지 마십시오.
protocol number	IP 프로토콜 유형 필드를 일치시킵니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(필드 값도 나열되어 있음). ah(51), dstopts (60), egp (8), esp (50), fragment (44), gre (47), hop-by-hop (0), icmp (1), icmp6 (58), icmpv6 (58), igmp (2), ipip (4), (41 ipv6 ), ospf (89), pim (103), rsvp (46), sctp (132), tcp (6), udp (17) 또는 vrrp (112).
source-address address	패킷을 전송하는 소스 노드의 주소를 일치시킵니다.
source-address address except	패킷을 전송하는 소스 노드의 주소를 일치시키지 마십시오.

MPLS 트래픽에 대한 IP 포트 일치 조건

표 2은(는) 계층 수준에서 구성할 [edit firewall family mpls filter filter-name term term-name from ip-version ip-version protocol (udp | tcp )] 수 있는 특정 IP 포트를 match-conditions 설명합니다.

표 2: MPLS 트래픽에 대한 IP 포트별 방화벽 필터 일치 조건

일치 조건	설명
destination-port number	UDP 또는 TCP 대상 포트 필드에서 일치합니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열되어 있습니다). afs (1483), bgp (179), biff (512), bootpc (68), bootps (67), cmd (514), cvspserver (2401), dhcp (67), domain (53), eklogin (2105), ekshell (2106), exec (512), finger (79), ftp (21), ftp-data (20), http (80), https (443), ident (113), imap (143), kerberos-sec (88), klogin (543), kpasswd (761), krb-prop (754), krbupdate (760), kshell (544), ldap (389), ldp (646), login (513), mobileip-agent (434), mobilip-mn (435), msdp (639), netbios-dgm (138), netbios-ns (137), netbios-ssn (139), nfsd (2049), nntp (119), ntalk (518), ntp (123), pop3 (110), pptp (1723), printer (515), radacct (1813), radius (1812), rip (520), rkinit (2108), smtp (25), snmp (161), snmptrap (162), snpp (444), socks (1080), ssh (22), sunrpc (111), syslog (514), tacacs (49), tacacs-ds (65), talk (517), telnet (23), tftp (69), timed (525), who (513), or xdmcp (177).
destination-port-except number	UDP 또는 TCP 대상 포트 필드를 일치시키지 마십시오. 숫자 값 대신, destination-port 일치 조건으로 나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.
source-port number	TCP 또는 UDP 소스 포트 필드에서 일치합니다. 숫자 필드 대신 destination-port 아래에 나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.
source-port-except number	TCP 또는 UDP 소스 포트 필드를 일치시키지 마십시오.

MPLS 트래픽에 대한 인터페이스 일치 조건

표 3 에는 계층 수준에서 구성할 수 있는 인터페이스별 match-conditions 설명이 [edit firewall family mpls filter filter-name term term-name] 나와 있습니다.

표 3: MPLS 트래픽에 대한 인터페이스별 방화벽 필터 일치 조건

일치 조건	설명
interface-group interface-device name | unit-list	인터페이스 그룹을 일치시킵니다. 옵션은 다음과 같습니다. interface-device name - 인터페이스 장치의 이름입니다. 이더넷 장치만 허용됩니다. 디바이스 인터페이스 이름에는 다음이 포함됩니다 ge, ae, xe and et. unit-list - 하나 이상의 논리적 인터페이스 단위 번호입니다. 범위: <0-16385> 또는 <0-16385>-<0-16385> 범위의 문자열입니다. 예: unit-list[12 23-33 44]