Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

루프백 인터페이스의 MPLS 방화벽 필터 개요

모든 인터페이스가 중요하지만 루프백 인터페이스는 모든 라우팅 프로토콜을 실행하고 관리하는 라우팅 엔진에 대한 링크이기 때문에 가장 중요할 수 있습니다. 루프백 인터페이스는 스위치의 라우팅 엔진으로 들어오는 모든 제어 트래픽의 게이트웨이입니다. 의 루프백 인터페이스(lo0)에서 방화벽 필터를 구성하여 이 트래픽을 제어할 수 있습니다 family mpls. 루프백 방화벽 필터는 라우팅 엔진 CPU로 향하는 트래픽에만 영향을 미칩니다. 루프백 방화벽 필터는 수신 방향(인터페이스에 들어오는 패킷)으로만 적용할 수 있습니다. Junos OS 릴리스 19.2R1부터 QFX5100, QFX5110, QFX5200 및 QFX5210 스위치의 레이블 스위치 라우터(LSR)에 있는 루프백 인터페이스에 MPLS 방화벽 필터를 적용할 수 있습니다.

MPLS 방화벽 필터를 구성할 때 패킷에 대한 필터링 기준(용어, 일치 조건 포함)과 패킷이 필터링 기준과 일치할 경우 스위치가 취할 작업을 정의합니다. 루프백 인터페이스에 필터를 적용하기 때문에 에서 family mpls TTL(Time to Live) 일치 조건을 명시적으로 지정하고 해당 TTL 값을 1(ttl=1)로 설정해야 합니다. TTL은 8비트(IPv4) 헤더 필드로, IP 패킷의 수명이 다해 삭제되기까지 남은 시간을 나타냅니다. 또한 , exp, 레이어 4, 레이어 4 destination portsource port등의 다른 MPLS 한정자와 label패킷을 일치시킬 수 있습니다.

루프백 인터페이스에 MPLS 방화벽 필터를 추가할 경우의 이점

  • 라우팅 엔진이 신뢰할 수 있는 네트워크의 트래픽만 허용하도록 하여 라우팅 엔진을 보호합니다.

  • 서비스 거부 공격으로부터 라우팅 엔진을 보호합니다.

  • 소스 포트와 대상 포트의 패킷을 일치시킬 수 있는 유연성을 제공합니다. 예를 들어 traceroute를 실행하는 경우 TCP 또는 UDP를 선택하여 트래픽을 선택적으로 필터링할 수 있습니다.

지침 및 제한 사항

  • 루프백 방화벽 필터는 수신 방향으로만 적용할 수 있습니다

  • MPLS 필드 label, exp, ttl=1 레이어 4 필드 tcpudp 포트 번호만 지원됩니다.

  • , discard, 작업 countaccept지원됩니다.

  • TLL 패킷에서 일치시키려면 아래 family mpls 를 명시적으로 지정해야 ttl=1 합니다.

  • 루프백 인터페이스에 적용된 필터는 IPv6 패킷의 대상 포트(내부 페이로드)에서 일치시킬 수 없습니다.

  • 두 개 이상의 MPLS 레이블이 있는 패킷에는 필터를 적용할 수 없습니다.

  • TCP 또는 UDP 일치 조건에 대한 포트 범위를 지정할 수 없습니다.

  • 255개의 방화벽 용어만 지원됩니다.

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

릴리스
설명
19.2R1
Junos OS 릴리스 19.2R1부터 QFX5100, QFX5110, QFX5200 및 QFX5210 스위치의 레이블 스위치 라우터(LSR)에 있는 루프백 인터페이스에 MPLS 방화벽 필터를 적용할 수 있습니다.