MPLS 트래픽에 대한 방화벽 필터 일치 조건

MPLS 트래픽(family mpls)에 대한 일치 조건으로 방화벽 필터를 구성할 수 있습니다.

output-list filter-names 프로토콜 체계를 위한 방화벽 필터 mpls 및 문은 관리 인터페이스 및 내부 이 input-list filter-names 더넷 인터페이스(또는em0), 루프백 인터페이스() 및 USB 모뎀 인터페이스(fxplo0)를 제외한 모든 인터페이스에서 지원됩니다.umd
패킷에 여러 개의 MPLS 레이블이 있는 경우 필터는 레이블 스택의 하단 레이블에만 일치 조건을 적용합니다.
(QFX5100, QFX5110, QFX5200, QFX5210) 루프백 인터페이스에 MPLS 필터를 적용하는 경우, , , 레이어 4 udptcp 및 포트 번호 필드에서만 필터링label할 수 있습니다. ttl=1exp TTL의 경우, TTL=1 패킷과 일치하도록 아래에 family mpls 명시적으로 지정 ttl=1 해야 합니다. 구성할 수 있는 유일한 조치는 , discard, 입니다.acceptcount 필터를 수신 방향으로만 적용할 수 있습니다.
MPC 및 MIC가 있는 MX 시리즈 라우터의 경우, 내부 페이로드 일치 조건을 사용하여 MPLS 태그된 IPv4 및 IPv6 매개 변수를 기반으로 MPLS 제품군에 대한 인바운드 및 아웃바운드 필터를 적용하고 모니터링 디바이스에 MPLS 트래픽의 선택적 포트 미러링을 활성화할 수 Junos OS 릴리스 18.4R1부터 시작). IP 기반 필터링의 경우, MPLS 필터 용어 from 매개 변수에 따라 추가 일치 조건을 사용할 수 있으며 포트 미러링을 지원하기 위해 필터 용어 then매개 변수에서 추가 작업(예: 포트 미러 및 포트 미러 인스턴스)을 사용할 수 있습니다.

표 1 은(는) match-conditions 계층 수준에서 구성할 수 있는 을(를 [edit firewall family mpls filter filter-name term term-name from] ) 설명합니다.

표 1: MPLS 트래픽에 대한 방화벽 필터 일치 조건
일치 조건	설명
`apply-groups`	구성 데이터를 상속할 그룹을 지정합니다. 그룹 이름을 두 개 이상 지정할 수 있습니다. 상속 우선 순위 순서대로 나열해야 합니다. 첫 번째 그룹의 구성 데이터는 후속 그룹의 데이터보다 우선합니다.
`apply-groups-except`	구성 데이터를 상속하지 않는 그룹을 지정합니다. 그룹 이름을 두 개 이상 지정할 수 있습니다.
`destination-port number`	UDP 또는 TCP 대상 포트 필드에서 일치합니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열되어 있음). `afs`(1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), (514), `cmd` (2401), `cvspserverdhcp` (67), `domain` (53), (21) `eklogin` 05), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), (80), `httphttps` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), (543), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), (389), `ldapldp` (646), `login` (513), `mobileip-agent` (434), (435), `mobilip-mnmsdp` (639), `netbios-dgm` (138), `netbios-ns` (137), `netbios-ssn` (139), (2049), `nfsdnntp` (119), (519), (519), `ntalkntp` (123), `pop3` (110), (1723), `printerpptp` (515), `radacct` (1813), `radius` (1812), `rip` (520), (2108), `smtprkinit` (25), `snmp` (161), (162), `snmptrap` (44) `snpp` 4), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), (65), `tacacs-ds` (517), `talk` (23), `telnet` (69), `timedtftp` (525), (513), `who` 또는 `xdmcp` (177).
`exp number`	패킷의 MPLS 헤더에서 실험(EXP) 비트 수 또는 비트 숫자 범위. 의 경우 `number`, 아래와 같이 0에서 7까지의 한 개 이상의 값을 이진수, 10진수 또는 16진수 형식으로 지정할 수 있습니다. 단일 EXP 비트 -예를 들어, `exp 3` 여러 EXP 비트 -예를 들어, `exp 0,4` EXP 비트 범위(예 `exp [0-5]`: . 이러한 값은 루프백 인터페이스에 적용된 필터에서는 지원되지 않습니다. 주: 이 일치 조건은 PTX10001-36MR, PTX10003, PTX10004, PTX10008 및 PTX10016 디바이스에서 더 이상 사용되지 않으며 으로 대체됩니다 `exp0 number`.
`exp-except number`	MPLS 헤더에서 EXP 비트 번호 또는 비트 번호 범위를 일치시키지 마십시오. 의 경우 `number`, 에서 `0` 까지 `7`하나 이상의 값을 지정할 수 있습니다. 주: 이 일치 조건은 PTX10001-36MR, PTX10003, PTX10004, PTX10008 및 PTX10016 디바이스에서 더 이상 사용되지 않으며 으로 대체됩니다 `exp0-except`.
`exp0 number`	패킷의 TOS MPLS 헤더에서 실험(EXP) 비트 수 또는 비트 숫자 범위. 의 경우 `number`, 아래와 같이 0에서 7까지의 한 개 이상의 값을 이진수, 10진수 또는 16진수 형식으로 지정할 수 있습니다. 단일 EXP 비트 -예를 들어, `exp0 3` 여러 EXP 비트 -예를 들어, `exp0 0,4` EXP 비트 범위(예 `exp0 [0-5]`: . 이러한 값은 루프백 인터페이스에 적용된 필터에서는 지원되지 않습니다.
`exp0-except number`	패킷의 TOS MPLS 헤더에서 EXP 비트 수 또는 비트 숫자 범위를 일치시키지 마십시오. 의 경우 `number`, 아래와 같이 0에서 7까지의 한 개 이상의 값을 이진수, 10진수 또는 16진수 형식으로 지정할 수 있습니다. 단일 EXP 비트 -예를 들어, `exp0-except 3` 여러 EXP 비트 -예를 들어, `exp0-except 0,4` EXP 비트 범위(예 `exp0-except [0-5]`: . 이러한 값은 루프백 인터페이스에 적용된 필터에서는 지원되지 않습니다.
`exp1 number`	TOS(스택 맨 위) MPLS 헤더 옆에 있는 MPLS 헤더의 실험적(EXP) 비트 수 또는 비트 숫자 범위. 의 경우 `number`, 아래와 같이 0에서 7까지의 한 개 이상의 값을 이진수, 10진수 또는 16진수 형식으로 지정할 수 있습니다. 단일 EXP 비트 -예를 들어, `exp1 3` 여러 EXP 비트 -예를 들어, `exp1 0,4` EXP 비트 범위(예 `exp1 [0-5]`: . 이러한 값은 루프백 인터페이스에 적용된 필터에서는 지원되지 않습니다.
`exp1-except number`	TOS MPLS 헤더 옆에 있는 MPLS 헤더의 EXP 비트 수 또는 비트 숫자 범위를 일치시키지 마십시오. 의 경우 `number`, 아래와 같이 0에서 7까지의 한 개 이상의 값을 이진수, 10진수 또는 16진수 형식으로 지정할 수 있습니다. 단일 EXP 비트 -예를 들어, `exp1-except 3` 여러 EXP 비트 -예를 들어, `exp1-except 0,4` EXP 비트 범위(예 `exp1-except [0-5]`: . 이러한 값은 루프백 인터페이스에 적용된 필터에서는 지원되지 않습니다.
`forwarding-class class`	포워딩 클래스. , , 또는 `network-control`을(를`expedited-forwarding`) `best-effort`지정합니다`assured-forwarding`. 주: PTX10001-36MR에서 PTX10003, PTX10004, PTX10008, PTX10016 라우터 `exp0` 또는 `exp1` 비트는 포워딩 클래스를 획득하는 데 사용됩니다.
`forwarding-class-except class`	포워딩 클래스에서 일치시키지 마십시오. , , 또는 `network-control`을(를`expedited-forwarding`) `best-effort`지정합니다`assured-forwarding`.
`interface interface-name`	패킷이 수신된 인터페이스. 패킷이 수신된 인터페이스를 기반으로 패킷과 일치하는 일치 조건을 구성할 수 있습니다. 주: 존재하지 않는 인터페이스로 이 일치 조건을 구성하는 경우, 용어는 패킷과 일치하지 않습니다.
`interface-set interface-set-name`	패킷이 수신된 인터페이스를 지정된 인터페이스 세트와 일치합니다. 인터페이스 세트를 정의하려면 계층 수준에서 문을 `[edit firewall]` 포함합니다`interface-set`. 주: 이 일치 조건은 PTX 시리즈 패킷 전송 라우터에서 지원되지 않습니다. 자세한 내용은 을(를) 참조하십시오 인터페이스 세트에서 수신된 패킷 필터링 개요.
`ip-version number`	inner IP 버전을 일치시킬 수 있습니다. 예를 들어, MPLS 태그 처리된 IPv4 패킷을 일치하려면 텍스트 동의어 에서 일치합니다 `ipv4`. 내부에서 `ip-version number` 소스 및 대상 주소 및 포트를 기반으로 패킷을 더 일치시킬 수 있습니다. 및 을 표 2참조하십시오표 1.
`label number`	패킷의 MPLS 헤더에서 레이블 값 또는 레이블 값 범위를 MPLS. 의 경우 `number`, 아래와 같이 10진수 또는 16진수 형식으로 0~1048575 하나 이상의 값을 지정할 수 있습니다. 단일 레이블 -예를 들어, `label 3` 여러 레이블 -예를 들어, `label 0,4` 레이블 범위- 예: `label [0-5]`. 이러한 값은 루프백 인터페이스에 적용된 필터에서는 지원되지 않습니다. 주: 이 옵션은 PTX10001-36MR, PTX10003, PTX10004, PTX10008 및 PTX10016 디바이스에서 더 이상 사용되지 않으며 으로 대체됩니다 `label0`.
`label0 number`	패킷의 TOS MPLS 헤더에서 레이블 값 또는 레이블 값 범위를 MPLS. 의 경우 `number`, 아래와 같이 10진수 또는 16진수 형식으로 0~1048575 하나 이상의 값을 지정할 수 있습니다. 단일 레이블 -예를 들어, `label0 3` 여러 레이블 -예를 들어, `label0 0,4` 레이블 범위- 예: `label0 [0-5]`. 이러한 값은 루프백 인터페이스에 적용된 필터에서는 지원되지 않습니다.
`label0-except number`	패킷의 TOS MPLS 헤더에서 MPLS 레이블 값 또는 레이블 값 범위를 일치시키지 마십시오. 의 경우 `number`, 아래와 같이 10진수 또는 16진수 형식으로 0~1048575 하나 이상의 값을 지정할 수 있습니다. 단일 레이블 -예를 들어, `label0-except 3` 여러 레이블 -예를 들어, `label0-except 0,4` 레이블 범위- 예: `label0-except [0-5]`. 이러한 값은 루프백 인터페이스에 적용된 필터에서는 지원되지 않습니다.
`label1 number`	TOS MPLS 헤더 옆에 있는 MPLS 헤더의 MPLS 헤더 레이블에서 MPLS 레이블 값 또는 레이블 값 범위를 일치시킬 수 있습니다. 의 경우 `number`, 아래와 같이 10진수 또는 16진수 형식으로 0~1048575 하나 이상의 값을 지정할 수 있습니다. 단일 레이블 -예를 들어, `label1 3` 여러 레이블 -예를 들어, `label1 0,4` 레이블 범위- 예: `label1 [0-5]`. 이러한 값은 루프백 인터페이스에 적용된 필터에서는 지원되지 않습니다.
`label1-except number`	TOS MPLS 헤더 옆에 있는 MPLS 헤더의 MPLS 헤더 레이블에서 MPLS 레이블 값 또는 레이블 값 범위를 일치시키지 마십시오. 의 경우 `number`, 아래와 같이 10진수 또는 16진수 형식으로 0~1048575 하나 이상의 값을 지정할 수 있습니다. 단일 레이블 -예를 들어, `label1-except 3` 여러 레이블 -예를 들어, `label1-except 0,4` 레이블 범위- 예: `label1-except [0-5]`. 이러한 값은 루프백 인터페이스에 적용된 필터에서는 지원되지 않습니다.
`label number top` \| `bottom` \| `offset` `offset-value`	수신 MPLS 패킷의 지정된 오프셋(레이블 스택의 상단 또는 하단)에서 맨 위 레이블 또는 하단 레이블 또는 레이블을 일치시킬 수 있습니다. `top` - 상위 스택에 대한 참조와 일치하여 언더레이(bottom-of-stack)로 전환. `bottom` - 스택 최하위 스택에 대한 참조와 일치. `offset<offset-value>` - 스택의 상단 또는 하단과 관련하여 MPLS 스택 깊이와 일치합니다. 여기서 `offset-value` = (0..15). `label` `number` `top` `offset` `offset-value` - MPLS 맨 위 레이블 필터는 0에서 15까지 스택 샌딩에 대한 오프셋과 일치합니다. 0은 암시적 및 CLI 필터 모두에 대해 스택 맨 위에서 첫 레이블 위치가 됩니다. `label` `number` `bottom` `offset` `offset-value` - MPLS 하단 레이블 필터는 0에서 15까지 스택 샌딩에 대한 오프셋과 일치합니다. 0은 암시적 필터와 CLI 필터 모두에 대해 스택 맨 아래에서 첫 번째 레이블 위치입니다. `label` `number` `offset` `offset-value` - 상단 또는 하단 옵션이 옆에 `label` `number` 제공되지 않으면 기본 일치가 주어진 오프셋이 있는 상위 스택에서 시작됩니다. 즉, 레이블 번호 오프셋 [n = 0..15]는 레이블 번호 맨 위 오프셋 [n = 0..15]에 해당합니다. `label` `number` - 옆에 `label` `number` 옵션이 제공되지 않으면 기본 일치가 최상위 레이블에서 수행됩니다(암시적 오프셋 0 및 앵커 지점이 최상위 레이블임). 주: MPLS 스택 깊이에서 오프셋된 레이블의 필터 일치는 예상 동작을 제공하지 않을 수 있습니다. 하단 위치와 필터 레이블 일치의 경우 오프셋이 MPLS 스택 깊이에서 벗어난 경우 필터는 항상 end-of-stack 레이블에서 일치합니다. 위 위치와 필터 일치의 경우 오프셋이 MPLS 스택 깊이에서 벗어난 경우 구성된 레이블과 일치하도록 부하를 지불해야 합니다. 주: 구성 명령 옵션은 Junos 릴리스 22.3R1에서 도입되었습니다.
`loss-priority level`	패킷 손실 우선순위(PLP) 수준을 일치합니다. 단일 수준 또는 여러 수준을 지정합니다. `low`, `medium-low`, `medium-high`, .`high` M120 및 M320 라우터에서 지원됩니다. Enhanced CFEB(CFEB-E)가 탑재된 M7i 및 M10i 라우터 MX 시리즈 라우터와 EX 시리즈 스위치를 지원합니다. Enhanced II FPC(Flexible PIC Concentrator) 및 EX 시리즈 스위치가 있는 M320, MX 시리즈 및 T 시리즈 라우터의 IP 트래픽의 경우, 계층 수준에 문을 `[edit class-of-service]` 포함 `tri-color` 시켜 4개의 수준이 지정되어 있는 PLP 구성을 커밋해야 합니다. `tri-color` 문이 활성화되지 않은 경우, 및 `low` 수준만 구성할 `high` 수 있습니다. 이는 모든 프로토콜 체계에 적용됩니다. 문에 `tri-color` 대한 정보는 삼색 마킹 폴리서 구성 및 적용을 참조하십시오. 수신 패킷의 PLP 수준을 설정하기 위한 행동 집계(BA) 분류자 사용 관련 정보는 포워딩 클래스가 클래스를 출력 대기열에 할당하는 방법 이해하기를 참조하십시오. 주: PTX10001-36MR, PTX10003, PTX10004, PTX10008, PTX10016 라우터 `exp0` 또는 `exp1` 비트는 손실 우선순위를 획득하는 데 사용됩니다.
`loss-priority-except level`	PLP 수준을 일치시키지 마십시오. 자세한 내용은 일치 조건을 참조하십시오 `loss-priority` . 주: 이 일치 조건은 PTX 시리즈 패킷 전송 라우터에서 지원되지 않습니다.
`source-port number`	TCP 또는 UDP 소스 포트 필드에서 일치합니다. 동일한 용어에 `port` 및 `source-port` 일치 조건을 지정할 수 없습니다. IPv4 트래픽에 대해 이 일치 조건을 구성하는 경우, 포트에서 사용 중인 프로토콜을 `protocol udp` 지정하기 위해 동일한 용어에 또는 `protocol tcp` 일치 문을 구성하는 것이 좋습니다. 숫자 필드 대신 에 나열된 `destination-port`텍스트 동의어 중 하나를 지정할 수 있습니다.
`ttl0 number`	패킷의 TOS MPLS 헤더에서 TTL 번호 또는 숫자 범위를 일치시킬 수 있습니다. TTL(Time To Live)은 MPLS 레이블의 8비트 필드로, 이는 패킷이 수명이 종료되고 손실되기 전에 남은 시간을 나타냅니다. 의 경우 `number`, 0에서 255까지의 값을 지정할 수 있습니다.
`ttl0-except number`	패킷의 TOS MPLS 헤더에서 TTL 번호나 숫자 범위를 일치시키지 마십시오. TTL(Time To Live)은 MPLS 레이블의 8비트 필드로, 이는 패킷이 수명이 종료되고 손실되기 전에 남은 시간을 나타냅니다. 의 경우 `number`, 0에서 255까지의 값을 지정할 수 있습니다.
`ttl1 number`	패킷의 TOS MPLS 헤더 옆에 있는 MPLS 헤더에서 TTL 번호 또는 숫자 범위를 일치시킬 수 있습니다. TTL(Time To Live)은 MPLS 레이블의 8비트 필드로, 이는 패킷이 수명이 종료되고 손실되기 전에 남은 시간을 나타냅니다. 의 경우 `number`, 0에서 255까지의 값을 지정할 수 있습니다.
`ttl1-except number`	패킷의 TOS MPLS 헤더 옆에 있는 MPLS 헤더에서 TTL 번호나 숫자 범위를 일치시키지 마십시오. TTL(Time To Live)은 MPLS 레이블의 8비트 필드로, 이는 패킷이 수명이 종료되고 손실되기 전에 남은 시간을 나타냅니다. 의 경우 `number`, 0에서 255까지의 값을 지정할 수 있습니다.

주:

exp0, exp0-except, exp1, exp1-exceptlabel0-exceptlabel1label1-exceptlabel0ip-version, , ttl0-exceptttl0, ttl1ttl1-except 및 은(는) PTX10001-36MR, PTX10003, PTX10004, PTX10008, PTX10016에서만 지원됩니다.

표 2 은(는) 계층 수준에서 MPLS 방화벽 필터에 대해 구성할 수 있는 [edit firewall family mpls filter filter-name term term-name then] 작업을 설명합니다.

표 2: MPLS 방화벽 필터에 대해 지원되는 작업
실행	설명
`accept`	패킷 수락
`count counter-name`	이 필터 또는 용어를 통과하는 패킷 수를 계산합니다. 주: 각 필터 용어에 지정된 조건과 일치하는 패킷 수를 모니터링할 수 있도록 방화벽 필터에서 각 용어에 대한 카운터를 구성하는 것이 좋습니다.
`discard`	ICMP(Internet Control Message Protocol) 메시지를 보내지 않고 패킷을 조용히 폐기합니다.
`policer`	Junos OS 13.2X51-D15부터 MPLS 필터와 일치하는 트래픽을 2색 폴리서로 보낼 수 있습니다.
`three-color-policer`	Junos OS 13.2X51-D15부터는 MPLS 필터와 일치하는 트래픽을 3색 폴리서로 보낼 수 있습니다.

MPLS 트래픽에 대한 방화벽 필터 일치 조건

관련 항목