MPLS 트래픽에 대한 방화벽 필터 일치 조건

MPLS 트래픽()에 대한 일치 조건으로 방화벽 필터를 구성할 수 있습니다.family mpls

프로토콜 제품군의 방화벽 필터 에 대한 및 문은 관리 인터페이스 및 내부 이더넷 인터페이스( 또는 ), 루프백 인터페이스(), USB 모뎀 인터페이스()를 제외한 모든 인터페이스에서 지원됩니다input-list filter-namesoutput-list filter-namesmplsfxpem0lo0umd
(QFX5100, QFX5110, QFX5200, QFX5210) 루프백 인터페이스에 MPLS 필터를 적용하는 경우 , , , 레이어 4 및 포트 번호 필드만 필터링할 수 있습니다.labelexpttl=1tcpudp TTL의 경우, TTL=1 패킷에서 일치하도록 아래 를 명시적으로 지정해야 합니다.ttl=1family mpls 구성할 수 있는 유일한 작업은 , , 입니다 .acceptdiscardcount 수신 방향으로만 필터를 적용할 수 있습니다.
MPC 및 MIC가 있는 MX 시리즈 라우터의 경우, 내부 페이로드 일치 조건을 사용하여 MPLS 태그가 지정된 IPv4 및 IPv6 매개 변수를 기반으로 MPLS 제품군에 인바운드 및 아웃바운드 필터를 적용하고, 모니터링 디바이스로 MPLS 트래픽의 선택적 포트 미러링을 활성화할 수 있습니다(Junos OS 릴리스 18.4R1부터 시작). IP 기반 필터링의 경우, MPLS 필터 용어 매개변수 아래에서 추가 일치 조건을 사용할 수 있으며, 포트 미러링을 지원하기 위해 필터 용어 매개변수 아래에서 추가 작업(예: port-mirror 및 port-mirror-instance)을 사용할 수 있습니다.fromthen

표 1에는 계층 match-conditions수준에서 구성할 수 있는 이(가) [edit firewall family mpls filter filter-name term term-name from]설명되어 있습니다.

표 1: MPLS 트래픽에 대한 방화벽 필터 일치 조건
일치 조건	설명
`apply-groups`	구성 데이터를 상속하는 그룹을 지정합니다. 그룹 이름을 하나 이상 지정할 수 있습니다. 상속 우선순위를 순서대로 나열해야 합니다. 첫 번째 그룹의 구성 데이터는 후속 그룹의 데이터보다 우선권을 갖습니다.
`apply-groups-except`	구성 데이터를 상속하지 않는 그룹을 지정합니다. 그룹 이름을 하나 이상 지정할 수 있습니다.
`destination-port number`	UDP 또는 TCP 대상 포트 필드에서 일치합니다. 숫자 값 대신 다음 텍스트 동의어 중 하나를 지정할 수 있습니다(포트 번호도 나열되어 있습니다). `afs` (1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), `eklogin` (2105), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), `mobileip-agent` (434), `mobilip-mn` (435), `msdp` (639), `netbios-dgm` (138), `netbios-ns` (137), `netbios-ssn` (139), `nfsd` (2049), `nntp` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), `snpp` (444), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513), or `xdmcp` (177).
`exp number`	패킷의 MPLS 헤더에 있는 실험적(EXP) 비트 번호 또는 비트 번호 범위입니다. 의 경우 아래와 같이 0에서 7까지 이진수, 10진수 또는 16진수 형식으로 하나 이상의 값을 지정할 수 있습니다.`number` 단일 EXP 비트 - 예: `exp 3` 여러 EXP 비트 - 예: `exp 0,4` EXP 비트 범위(예: ).`exp [0-5]` 이러한 값은 루프백 인터페이스에 적용된 필터에서 지원되지 않습니다. 주: 이 일치 조건은 PTX10001-36MR, PTX10003, PTX10004, PTX10008 및 PTX10016 디바이스에서 더 이상 사용되지 않으며 로 대체 됩니다.`exp0 number`
`exp-except number`	MPLS 헤더의 EXP 비트 번호 또는 비트 번호 범위를 일치시키지 마십시오. 의 경우 에서 까지 하나 이상의 값을 지정할 수 있습니다.`number07` 주: 이 일치 조건은 PTX10001-36MR, PTX10003, PTX10004, PTX10008 및 PTX10016 디바이스에서 더 이상 사용되지 않으며 로 대체 됩니다.`exp0-except`
`exp0 number`	패킷의 TOS MPLS 헤더에 있는 실험적(EXP) 비트 번호 또는 비트 번호 범위입니다. 의 경우 아래와 같이 0에서 7까지 이진수, 10진수 또는 16진수 형식으로 하나 이상의 값을 지정할 수 있습니다.`number` 단일 EXP 비트 - 예: `exp0 3` 여러 EXP 비트 - 예: `exp0 0,4` EXP 비트 범위(예: ).`exp0 [0-5]` 이러한 값은 루프백 인터페이스에 적용된 필터에서 지원되지 않습니다.
`exp0-except number`	패킷의 TOS MPLS 헤더에서 EXP 비트 번호 또는 비트 번호 범위를 일치시키지 마십시오. 의 경우 아래와 같이 0에서 7까지 이진수, 10진수 또는 16진수 형식으로 하나 이상의 값을 지정할 수 있습니다.`number` 단일 EXP 비트 - 예: `exp0-except 3` 여러 EXP 비트 - 예: `exp0-except 0,4` EXP 비트 범위(예: ).`exp0-except [0-5]` 이러한 값은 루프백 인터페이스에 적용된 필터에서 지원되지 않습니다.
`exp1 number`	TOS(top of stack) MPLS 헤더 옆에 있는 MPLS 헤더의 실험적(EXP) 비트 번호 또는 비트 번호 범위입니다. 의 경우 아래와 같이 0에서 7까지 이진수, 10진수 또는 16진수 형식으로 하나 이상의 값을 지정할 수 있습니다.`number` 단일 EXP 비트 - 예: `exp1 3` 여러 EXP 비트 - 예: `exp1 0,4` EXP 비트 범위(예: ).`exp1 [0-5]` 이러한 값은 루프백 인터페이스에 적용된 필터에서 지원되지 않습니다.
`exp1-except number`	TOS MPLS 헤더 옆에 있는 MPLS 헤더의 EXP 비트 번호 또는 비트 번호 범위를 일치시키지 마십시오. 의 경우 아래와 같이 0에서 7까지 이진수, 10진수 또는 16진수 형식으로 하나 이상의 값을 지정할 수 있습니다.`number` 단일 EXP 비트 - 예: `exp1-except 3` 여러 EXP 비트 - 예: `exp1-except 0,4` EXP 비트 범위(예: ).`exp1-except [0-5]` 이러한 값은 루프백 인터페이스에 적용된 필터에서 지원되지 않습니다.
`forwarding-class class`	포워딩 클래스. `assured-forwarding`, `best-effort`, `expedited-forwarding` 또는 `network-control`을(를) 지정합니다. 주: PTX10001-36MR에서는 PTX10003, PTX10004, PTX10008, PTX10016 라우터 또는 비트를 사용하여 포워딩 클래스를 얻습니다.`exp0exp1`
`forwarding-class-except class`	포워딩 클래스에서 일치시키지 마십시오. `assured-forwarding`, `best-effort`, `expedited-forwarding` 또는 `network-control`을(를) 지정합니다.
`interface interface-name`	패킷이 수신된 인터페이스입니다. 패킷이 수신된 인터페이스를 기반으로 패킷과 일치하는 일치 조건을 구성할 수 있습니다. 주: 존재하지 않는 인터페이스를 사용하여 이 일치 조건을 구성할 경우, 용어는 패킷과 일치하지 않습니다.
`interface-set interface-set-name`	패킷이 수신된 인터페이스를 지정된 인터페이스 모음과 일치시킵니다. 인터페이스 집합을 정의하려면 계층 수준에서 문을 포함합니다.`interface-set[edit firewall]` 주: 이 일치 조건은 PTX 시리즈 패킷 전송 라우터에서는 지원되지 않습니다. 자세한 정보는 인터페이스 세트에서 수신된 패킷 필터링 개요을 참조하십시오.
`ip-version number`	내부 IP 버전을 일치시킵니다. 예를 들어, MPLS 태그가 지정된 IPv4 패킷을 일치시키려면 텍스트 동의어 를 일치시킵니다.`ipv4` 내부 에서는 소스 및 대상 주소와 포트를 기반으로 패킷을 추가로 일치시킬 수 있습니다.`ip-version number` 및 를 참조하십시오 .표 1 표 2
`label number`	패킷의 MPLS 헤더에 있는 MPLS 레이블 값 또는 레이블 값 범위. 의 경우 아래와 같이 0에서 1048575 사이의 하나 이상의 값을 10진수 또는 16진수 형식으로 지정할 수 있습니다.`number` 단일 레이블 - 예: `label 3` 여러 레이블 - 예: `label 0,4` 레이블 범위(예: .`label [0-5]` 이러한 값은 루프백 인터페이스에 적용된 필터에서 지원되지 않습니다. 주: 이 옵션은 PTX10001-36MR, PTX10003, PTX10004, PTX10008 및 PTX10016 장치에서 더 이상 사용되지 않으며 로 대체 됩니다.`label0`
`label0 number`	패킷의 TOS MPLS 헤더에 있는 MPLS 레이블 값 또는 레이블 값 범위. 의 경우 아래와 같이 0에서 1048575 사이의 하나 이상의 값을 10진수 또는 16진수 형식으로 지정할 수 있습니다.`number` 단일 레이블 - 예: `label0 3` 여러 레이블 - 예: `label0 0,4` 레이블 범위(예: .`label0 [0-5]` 이러한 값은 루프백 인터페이스에 적용된 필터에서 지원되지 않습니다.
`label0-except number`	패킷의 TOS MPLS 헤더에 있는 MPLS 레이블 값 또는 레이블 값 범위를 일치시키지 마십시오. 의 경우 아래와 같이 0에서 1048575 사이의 하나 이상의 값을 10진수 또는 16진수 형식으로 지정할 수 있습니다.`number` 단일 레이블 - 예: `label0-except 3` 여러 레이블 - 예: `label0-except 0,4` 레이블 범위(예: .`label0-except [0-5]` 이러한 값은 루프백 인터페이스에 적용된 필터에서 지원되지 않습니다.
`label1 number`	TOS MPLS 헤더 옆에 있는 MPLS 헤더의 MPLS 헤더 레이블에 있는 MPLS 레이블 값 또는 레이블 값 범위를 일치시킵니다. 의 경우 아래와 같이 0에서 1048575 사이의 하나 이상의 값을 10진수 또는 16진수 형식으로 지정할 수 있습니다.`number` 단일 레이블 - 예: `label1 3` 여러 레이블 - 예: `label1 0,4` 레이블 범위(예: .`label1 [0-5]` 이러한 값은 루프백 인터페이스에 적용된 필터에서 지원되지 않습니다.
`label1-except number`	TOS MPLS 헤더 옆에 있는 MPLS 헤더의 MPLS 헤더 레이블에 있는 MPLS 레이블 값 또는 레이블 값 범위를 일치시키지 마십시오. 의 경우 아래와 같이 0에서 1048575 사이의 하나 이상의 값을 10진수 또는 16진수 형식으로 지정할 수 있습니다.`number` 단일 레이블 - 예: `label1-except 3` 여러 레이블 - 예: `label1-except 0,4` 레이블 범위(예: .`label1-except [0-5]` 이러한 값은 루프백 인터페이스에 적용된 필터에서 지원되지 않습니다.
\| \| `label number topbottomoffsetoffset-value`	수신 MPLS 패킷의 상단 레이블, 하단 레이블 또는 지정된 오프셋(레이블 스택의 상단 또는 하단에서)의 레이블을 일치시킵니다. `top` - 스택 상단을 참조하여 스택 하단으로 일치시킵니다. `bottom` - 스택 하단을 참조하여 스택 상단으로 일치시킵니다. - 스택의 상단 또는 하단과 관련하여 MPLS 스택 깊이를 참조하여 일치시킵니다(여기서 = (0..15).`offset<offset-value>offset-value` `label` `number` `top` `offset` `offset-value` - MPLS 상단 레이블 필터는 0에서 15까지의 스택 샌딩 오프셋과 일치합니다. 0은 암시적 필터와 CLI 필터 모두에 대한 스택 상단의 첫 번째 레이블 위치입니다. `label` `number` `bottom` `offset` `offset-value` - MPLS 하단 라벨 필터는 0에서 15까지의 스택 샌딩에 대한 오프셋과 일치합니다. 0은 암시적 필터와 CLI 필터 모두에 대한 스택 하단의 첫 번째 레이블 위치입니다. - 상단 또는 하단 옵션이 옆에 제공되지 않으면 기본 일치는 주어진 오프셋이 있는 스택 상단에서 시작됩니다.`labelnumberoffsetoffset-valuelabelnumber` 즉, 레이블 번호 오프셋 [n = 0..15]는 레이블 번호 상단 오프셋 [n = 0..15]와 동일합니다. - 옆에 옵션이 제공되지 않는 경우 그런 다음 기본 일치는 맨 위 레이블에서 수행됩니다(암시적 오프셋 0 및 앵커 포인트는 스택 상단임).`labelnumberlabelnumber` 주: MPLS 스택 깊이에서 오프셋이 있는 레이블의 필터 일치는 예상된 동작을 제공하지 않을 수 있습니다. 위치가 하단인 필터 레이블 일치의 경우, 오프셋이 MPLS 스택 깊이를 벗어나면 필터는 항상 스택 끝 레이블에서 일치합니다. 위치가 맨 위로 표시된 필터 일치의 경우, 오프셋이 MPLS 스택 깊이를 벗어나면 구성된 레이블과 일치하기 위해 지불 부하를 가리킵니다. 주: 구성 명령 옵션은 Junos 릴리스 22.3R1에 도입되어 있습니다.
`loss-priority level`	패킷 손실 우선순위(PLP) 수준을 일치시킵니다. 단일 수준 또는 여러 수준을 지정합니다. `low`, `medium-low`, `medium-high` 또는 `high` M120 및 M320 라우터에서 지원; 향상된 CFEB(CFEB-E)가 있는 M7i 및 M10i 라우터; MX 시리즈 라우터와 EX 시리즈 스위치가 있습니다. Enhanced II FPC(Flexible PIC Concentrator)가 있는 M320, MX 시리즈 및 T 시리즈 라우터와 EX 시리즈 스위치의 IP 트래픽의 경우, 계층 수준에 문을 포함 시켜 지정된 4개 수준 중 하나로 PLP 구성을 커밋해야 합니다. `tri-color` `[edit class-of-service]` `tri-color` 문이 활성화되어 있지 않은 경우, `high` 및 `low` 수준만 구성할 수 있습니다. 이는 모든 프로토콜 제품군에 적용됩니다. `tri-color` 문에 대한 정보는 삼색 마킹 폴리서 구성 및 적용을 참조하십시오. 수신 패킷의 PLP 수준을 설정하기 위한 행동 집계(BA) 분류자 사용에 대한 자세한 내용은 포워딩 클래스가 출력 대기열에 클래스를 할당하는 방법 이해하기를 참조하십시오.Understanding How Forwarding Classes Assign Classes to Output Queues 주: PTX10001-36MR에서는 PTX10003, PTX10004, PTX10008, PTX10016 라우터 또는 비트를 사용하여 손실 우선 순위를 얻습니다.`exp0exp1`
`loss-priority-except level`	PLP 수준을 일치시키지 마십시오. 자세한 내용은 `loss-priority` 일치 조건을 참조하십시오. 주: 이 일치 조건은 PTX 시리즈 패킷 전송 라우터에서는 지원되지 않습니다.
`source-port number`	TCP 또는 UDP 소스 포트 필드에서 일치합니다. 동일한 용어에 `port` 및 `source-port` 일치 조건을 지정할 수 없습니다. IPv4 트래픽에 대해 이 일치 조건을 구성하는 경우, 동일한 용어에 또는 일치 문을 구성하여 포트에서 사용 중인 프로토콜을 지정하는 것이 좋습니다.`protocol udpprotocol tcp` 숫자 필드 대신 `destination-port` 아래에 나열된 텍스트 동의어 중 하나를 지정할 수 있습니다.
`ttl0 number`	패킷의 TOS MPLS 헤더에 있는 TTL 번호 또는 숫자 범위를 일치시킵니다. TTL(Time To Live)은 MPLS 레이블의 8비트 필드로, 패킷의 수명이 다해 삭제되기까지 남은 시간을 나타냅니다. 의 경우 0에서 255 사이의 값을 지정할 수 있습니다.`number`
`ttl0-except number`	패킷의 TOS MPLS 헤더에 있는 TTL 번호 또는 숫자 범위를 일치시키지 마십시오. TTL(Time To Live)은 MPLS 레이블의 8비트 필드로, 패킷의 수명이 다해 삭제되기까지 남은 시간을 나타냅니다. 의 경우 0에서 255 사이의 값을 지정할 수 있습니다.`number`
`ttl1 number`	패킷의 TOS MPLS 헤더 옆에 있는 MPLS 헤더의 TTL 번호 또는 숫자 범위를 일치시킵니다. TTL(Time To Live)은 MPLS 레이블의 8비트 필드로, 패킷의 수명이 다해 삭제되기까지 남은 시간을 나타냅니다. 의 경우 0에서 255 사이의 값을 지정할 수 있습니다.`number`
`ttl1-except number`	패킷의 TOS MPLS 헤더 옆에 있는 MPLS 헤더의 TTL 번호 또는 숫자 범위를 일치시키지 마십시오. TTL(Time To Live)은 MPLS 레이블의 8비트 필드로, 패킷의 수명이 다해 삭제되기까지 남은 시간을 나타냅니다. 의 경우 0에서 255 사이의 값을 지정할 수 있습니다.`number`

주:

, , PTX10016 PTX10008 PTX10004 PTX10003 PTX10001, , exp0exp0-exceptexp1exp1-exceptip-versionlabel0label0-exceptlabel1label1-exceptttl0ttl0-exceptttl1ttl1-except

에서는 계층 수준에서 MPLS 방화벽 필터에 대해 구성할 수 있는 작업을 설명합니다.표 2[edit firewall family mpls filter filter-name term term-name then]

표 2: MPLS 방화벽 필터에 대해 지원되는 작업
작업	설명
`accept`	패킷 수락
`count counter-name`	이 필터 또는 용어를 통과하는 패킷 수를 카운트합니다. 주: 각 필터 용어에서 지정한 조건과 일치하는 패킷 수를 모니터링할 수 있도록 방화벽 필터에서 각 용어에 대한 카운터를 구성하는 것이 좋습니다.
`discard`	ICMP(Internet Control Message Protocol) 메시지를 보내지 않고 조용히 패킷 폐기
`policer`	Junos OS 13.2X51-D15부터는 MPLS 필터와 일치하는 트래픽을 2색 폴리서로 보낼 수 있습니다.
`three-color-policer`	Junos OS 13.2X51-D15부터는 MPLS 필터와 일치하는 트래픽을 3색 폴리서로 보낼 수 있습니다.

MPLS 트래픽에 대한 방화벽 필터 일치 조건

관련 항목