Condiciones de coincidencia de filtro de firewall para tráfico MPLS

Puede configurar un filtro de firewall con condiciones de coincidencia para el tráfico MPLS (family mpls).

Las input-list filter-names instrucciones y output-list filter-names de los filtros de firewall de la mpls familia de protocolos se admiten en todas las interfaces, excepto en las interfaces de administración y las interfaces Ethernet internas (fxp o em0), las interfaces de circuito cerrado () y laslo0 interfaces de módem USB (umd)
Si un paquete tiene varias etiquetas MPLS, el filtro aplica las condiciones de coincidencia solo a la etiqueta inferior de la pila de etiquetas.
(QFX5100, QFX5110, QFX5200, QFX5210) Si está aplicando un filtro MPLS en una interfaz de circuito cerrado, solo puede filtrar en los labelcampos , exp, ttl=1, y capa 4 tcp y udp número de puerto. Para TTL, debe especificar explícitamente en family mpls para coincidir ttl=1 en paquetes TTL=1. Las únicas acciones que puede configurar son accept, discardy count. Puede aplicar el filtro solo en la dirección de entrada.
En el caso de los enrutadores serie MX con MPC y MIC, puede aplicar filtros de entrada y salida para la familia MPLS basado en los parámetros IPv4 e IPv6 con etiquetas MPLS mediante el uso de condiciones de coincidencia de carga interna, y habilitar la duplicación de puerto selectiva del tráfico MPLS en un dispositivo de monitoreo (a partir de Junos OS versión 18.4R1). Para el filtrado basado en IP, están disponibles condiciones de coincidencia adicionales bajo el parámetro de término from de filtro MPLS y, para admitir la duplicación de puertos, se pueden realizar acciones adicionales (como port-mirror y port-mirror-instance) bajo el parámetro de término thende filtro.

Tabla 1 describe la match-conditions que se puede configurar en el [edit firewall family mpls filter filter-name term term-name from] nivel de jerarquía.

Tabla 1: Condiciones de coincidencia de filtro de firewall para tráfico MPLS
Condición de coincidencia	Description
`apply-groups`	Especifique de qué grupos heredar los datos de configuración. Puede especificar más de un nombre de grupo. Debe enumerarlos por orden de prioridad de herencia. Los datos de configuración del primer grupo tienen prioridad sobre los datos de los grupos subsiguientes.
`apply-groups-except`	Especifique de qué grupos no se heredarán los datos de configuración. Puede especificar más de un nombre de grupo.
`destination-port number`	Coincidencia en el campo de puerto de destino UDP o TCP. En lugar del valor numérico, puede especificar uno de los sinónimos de texto siguientes (también se enumeran los números de puerto): `afs`(1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), (21) `eklogin` 05), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), `mobileip-agent` (434), `mobilip-mn` (435), `msdp` (639), `netbios-dgm` (138), `netbios-ns` (137), `netbios-ssn` (139), `nfsd` (2049), `nntp` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), (44) `snpp` 4), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513) o `xdmcp` (177).
`exp number`	Número de bits experimental (EXP) o rango de números de bits en el encabezado MPLS de un paquete. Para `number`, puede especificar uno o más valores del 0 al 7 en formato binario, decimal o hexadecimal, como se indica a continuación: Un solo bit EXP, por ejemplo, `exp 3` Varios bits EXP; por ejemplo, `exp 0,4` Un rango de bits EXP, por ejemplo, `exp [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado. Nota: Esta condición de coincidencia está en desuso en los dispositivos PTX10001-36MR, PTX10003, PTX10004, PTX10008 y PTX10016, y se sustituye por `exp0 number`.
`exp-except number`	No coincida en el número de bits EXP ni en el intervalo de números de bits del encabezado MPLS. Para `number`, puede especificar uno o varios valores desde a través `7`de `0` . Nota: Esta condición de coincidencia está en desuso en los dispositivos PTX10001-36MR, PTX10003, PTX10004, PTX10008 y PTX10016, y se sustituye por `exp0-except`.
`exp0 number`	Número de bits experimental (EXP) o rango de números de bits en el encabezado TOS MPLS de un paquete. Para `number`, puede especificar uno o más valores del 0 al 7 en formato binario, decimal o hexadecimal, como se indica a continuación: Un solo bit EXP, por ejemplo, `exp0 3` Varios bits EXP; por ejemplo, `exp0 0,4` Un rango de bits EXP, por ejemplo, `exp0 [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado.
`exp0-except number`	No coincida con el número de bits EXP ni el intervalo de números de bits en el encabezado TOS MPLS de un paquete. Para `number`, puede especificar uno o más valores del 0 al 7 en formato binario, decimal o hexadecimal, como se indica a continuación: Un solo bit EXP, por ejemplo, `exp0-except 3` Varios bits EXP; por ejemplo, `exp0-except 0,4` Un rango de bits EXP, por ejemplo, `exp0-except [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado.
`exp1 number`	Número de bits experimental (EXP) o rango de números de bits en el encabezado MPLS que está junto al encabezado MPLS tos (parte superior de la pila). Para `number`, puede especificar uno o más valores del 0 al 7 en formato binario, decimal o hexadecimal, como se indica a continuación: Un solo bit EXP, por ejemplo, `exp1 3` Varios bits EXP; por ejemplo, `exp1 0,4` Un rango de bits EXP, por ejemplo, `exp1 [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado.
`exp1-except number`	No coincida en el número de bits EXP ni en el intervalo de números de bits en el encabezado MPLS junto al encabezado TOS MPLS. Para `number`, puede especificar uno o más valores del 0 al 7 en formato binario, decimal o hexadecimal, como se indica a continuación: Un solo bit EXP, por ejemplo, `exp1-except 3` Varios bits EXP; por ejemplo, `exp1-except 0,4` Un rango de bits EXP, por ejemplo, `exp1-except [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado.
`forwarding-class class`	Clase de reenvío. Especifique `assured-forwarding`, `best-effort`, `expedited-forwarding`o `network-control`. Nota: En los enrutadores PTX10001-36MR, PTX10003, PTX10004, PTX10008, PTX10016 o `exp0exp1` bits se utilizan para obtener la clase de reenvío.
`forwarding-class-except class`	No haga coincidir en la clase de reenvío. Especifique `assured-forwarding`, `best-effort`, `expedited-forwarding`o `network-control`.
`interface interface-name`	Interfaz en la que se recibió el paquete. Puede configurar una condición de coincidencia que coincida con los paquetes según la interfaz en la que se recibieron. Nota: Si configura esta condición de coincidencia con una interfaz que no existe, el término no coincide con ningún paquete.
`interface-set interface-set-name`	Coincida la interfaz en la que se recibió el paquete con el conjunto de interfaces especificado. Para definir un conjunto de interfaces, incluya la `interface-set` instrucción en el `[edit firewall]` nivel de jerarquía. Nota: Esta condición de coincidencia no es compatible con los enrutadores de transporte de paquetes de la serie PTX. Para obtener más información, consulte Descripción general del filtrado de paquetes recibidos en un conjunto de interfaces.
`ip-version number`	Coincida con laversión ip nner. Por ejemplo, para hacer coincidir paquetes IPv4 etiquetados con MPLS, haga coincidir en el sinónimo `ipv4`de texto . Dentro `ip-version number` de usted puede hacer coincidir paquetes basados en direcciones y puertos de origen y destino. Consulte Tabla 1 y Tabla 2.
`label number`	Valor de etiqueta MPLS o rango de valores de etiqueta en el encabezado MPLS de un paquete. Para `number`, puede especificar uno o más valores del 0 al 1048575 en formato decimal o hexadecimal, como se indica a continuación: Una sola etiqueta, por ejemplo, `label 3` Varias etiquetas, por ejemplo, `label 0,4` Una gama de etiquetas, por ejemplo, `label [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado. Nota: Esta opción está en desuso en los dispositivos PTX10001-36MR, PTX10003, PTX10004, PTX10008 y PTX10016, y se sustituye por `label0`.
`label0 number`	Valor de etiqueta MPLS o rango de valores de etiqueta en el encabezado TOS MPLS de un paquete. Para `number`, puede especificar uno o más valores del 0 al 1048575 en formato decimal o hexadecimal, como se indica a continuación: Una sola etiqueta, por ejemplo, `label0 3` Varias etiquetas, por ejemplo, `label0 0,4` Una gama de etiquetas, por ejemplo, `label0 [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado.
`label0-except number`	No coincida con el valor de la etiqueta MPLS o el rango de valores de etiqueta en el encabezado TOS MPLS de un paquete. Para `number`, puede especificar uno o más valores del 0 al 1048575 en formato decimal o hexadecimal, como se indica a continuación: Una sola etiqueta, por ejemplo, `label0-except 3` Varias etiquetas, por ejemplo, `label0-except 0,4` Una gama de etiquetas, por ejemplo, `label0-except [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado.
`label1 number`	Coincida con el valor de la etiqueta MPLS o el rango de valores de etiqueta en la etiqueta de encabezado MPLS del encabezado MPLS que está junto al encabezado TOS MPLS. Para `number`, puede especificar uno o más valores del 0 al 1048575 en formato decimal o hexadecimal, como se indica a continuación: Una sola etiqueta, por ejemplo, `label1 3` Varias etiquetas, por ejemplo, `label1 0,4` Una gama de etiquetas, por ejemplo, `label1 [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado.
`label1-except number`	No coincida en el valor de la etiqueta MPLS ni en el rango de valores de etiqueta en la etiqueta de encabezado MPLS del encabezado MPLS que está junto al encabezado TOS MPLS. Para `number`, puede especificar uno o más valores del 0 al 1048575 en formato decimal o hexadecimal, como se indica a continuación: Una sola etiqueta, por ejemplo, `label1-except 3` Varias etiquetas, por ejemplo, `label1-except 0,4` Una gama de etiquetas, por ejemplo, `label1-except [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado.
`label number top` \| `bottom` \| `offset` `offset-value`	Haga coincidir la etiqueta superior, la etiqueta inferior o la etiqueta en un desplazamiento especificado (desde la parte superior o inferior de la pila de etiquetas) del paquete MPLS entrante. `top` - Hacer coincidir con referencia a la parte superior de la pila hacia la parte inferior de la pila. `bottom` - Hacer coincidir con referencia a la parte inferior de la pila hacia la parte superior de la pila. `offset<offset-value>` - Coincidencia con referencia a la profundidad de la pila MPLS con respecto a la parte superior o inferior de la pila, donde `offset-value` = (0..15). `label` `number` `top` `offset` `offset-value` - Coincidencia de filtro de etiqueta superior MPLS con un desplazamiento para apilar lijado de 0 a 15. 0 siendo la primera posición de etiqueta desde la parte superior de la pila para filtros implícitos y CLI. `label` `number` `bottom` `offset` `offset-value` - Coincidencia de filtro de etiqueta inferior MPLS con un offset para apilar lijado de 0 a 15. 0 siendo la primera posición de etiqueta desde la parte inferior de la pila para los filtros implícitos y CLI. `label` `number` `offset` `offset-value` - Si no se proporcionan opciones, arriba o abajo, junto a `label` `number` , entonces la coincidencia predeterminada comienza desde la parte superior de la pila con un desplazamiento dado. En otras palabras, el desplazamiento de número de etiqueta [n = 0..15] equivale al desplazamiento superior del número de etiqueta [n = 0..15]. `label` `number` - Si no se proporcionan opciones junto a `label` `number` , la coincidencia predeterminada se hará en la etiqueta superior (desplazamiento implícito 0 y punto de anclaje que es la parte superior de la pila). Nota: La coincidencia de filtro en la etiqueta con desplazamiento fuera de la profundidad de la pila MPLS puede no dar el comportamiento esperado. Para la coincidencia de etiqueta del filtro con la posición inferior, si el desplazamiento está fuera de la profundidad de la pila de MPLS, el filtro siempre coincidirá en la etiqueta de extremo de pila. Para la coincidencia de filtro con la posición superior, si el desplazamiento está fuera de la profundidad de la pila de MPLS, apuntará a pagar carga para que coincida con la etiqueta configurada. Nota: Las opciones de comando de configuración se introducen en Junos versión 22.3R1.
`loss-priority level`	Coincida con el nivel de prioridad de pérdida de paquetes (PLP). Especifique un solo nivel o varios niveles: `low`, `medium-low`, `medium-high`, o `high`. Compatible con enrutadores M120 y M320; enrutadores M7i y M10i con la CFEB mejorada (CFEB-E); y enrutadores de la serie MX y conmutadores de la serie EX. Para el tráfico IP en enrutadores serie M320, MX y T con concentradores de PIC flexibles (FPC) mejorados ii y conmutadores serie EX, debe incluir la instrucción en el `tri-color` `[edit class-of-service]` nivel de jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. Si la `tri-color` instrucción no está habilitada, solo puede configurar los `high` niveles y `low` . Esto se aplica a todas las familias de protocolos. Para obtener más información acerca de la `tri-color` instrucción, consulte Configurar y aplicar policiacos de marcado tricolor. Para obtener más información acerca del uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo las clases de reenvío asignan clases a colas de salida. Nota: En los enrutadores PTX10001-36MR, PTX10003, PTX10004, PTX10008, PTX10016, o `exp1` bits se `exp0` utilizan para obtener la prioridad de pérdida.
`loss-priority-except level`	No coincida con el nivel de PLP. Para obtener más información, consulte la condición de `loss-priority` coincidencia. Nota: Esta condición de coincidencia no es compatible con los enrutadores de transporte de paquetes de la serie PTX.
`source-port number`	Coincidencia en el campo de puerto de origen TCP o UDP. No puede especificar las `port` condiciones y `source-port` coincidir en el mismo término. Si configura esta condición de coincidencia para el tráfico IPv4, recomendamos que también configure la `protocol udp` instrucción o `protocol tcp` match en el mismo término para especificar qué protocolo se utiliza en el puerto. En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en `destination-port`.
`ttl0 number`	Coincida el número TTL o el intervalo de números en el encabezado TOS MPLS de un paquete. Tiempo de vida (TTL) es un campo de 8 bits en la etiqueta MPLS que significa el tiempo restante que un paquete ha dejado antes de que finalice su vida útil y se caiga. Para `number`, puede especificar un valor del 0 al 255.
`ttl0-except number`	No coincida con el número TTL o el intervalo de números en el encabezado TOS MPLS de un paquete. Tiempo de vida (TTL) es un campo de 8 bits en la etiqueta MPLS que significa el tiempo restante que un paquete ha dejado antes de que finalice su vida útil y se caiga. Para `number`, puede especificar un valor del 0 al 255.
`ttl1 number`	Coincida el número TTL o el intervalo de números en el encabezado MPLS que está junto al encabezado TOS MPLS de un paquete. Tiempo de vida (TTL) es un campo de 8 bits en la etiqueta MPLS que significa el tiempo restante que un paquete ha dejado antes de que finalice su vida útil y se caiga. Para `number`, puede especificar un valor del 0 al 255.
`ttl1-except number`	No coincida con el número TTL ni el intervalo de números en el encabezado MPLS que está junto al encabezado TOS MPLS de un paquete. Tiempo de vida (TTL) es un campo de 8 bits en la etiqueta MPLS que significa el tiempo restante que un paquete ha dejado antes de que finalice su vida útil y se caiga. Para `number`, puede especificar un valor del 0 al 255.

Nota:

exp0, exp0-except, exp1, exp1-except, ip-versionlabel0, label0-exceptlabel1, ttl1label1-exceptttl0ttl0-exceptttl1-except solo se admiten en PTX10001-36MR, PTX10003, PTX10004, PTX10008, PTX10016.

Tabla 2 describe las acciones que puede configurar para los filtros de firewall MPLS en el [edit firewall family mpls filter filter-name term term-name then] nivel jerárquico.

Tabla 2: Acciones compatibles para filtros de firewall MPLS
Acción	Descripción
`accept`	Aceptar un paquete
`count counter-name`	Cuente la cantidad de paquetes que pasan este filtro o término. Nota: Recomendamos que configure un contador para cada término en un filtro de firewall, de modo que pueda supervisar la cantidad de paquetes que coincidan con las condiciones especificadas en cada término de filtro.
`discard`	Descarte un paquete en silencio sin enviar un mensaje del Protocolo de mensaje de control de Internet (ICMP)
`policer`	A partir de Junos OS 13.2X51-D15, puede enviar tráfico emparejado por un filtro MPLS a un agente de policía de dos colores.
`three-color-policer`	A partir de Junos OS 13.2X51-D15, puede enviar tráfico emparejado por un filtro MPLS a un agente de policía de tres colores.

Condiciones de coincidencia de filtro de firewall para tráfico MPLS

Temas relacionados