Descripción general de los filtros de firewall MPLS en la interfaz de circuito cerrado
Aunque todas las interfaces son importantes, la interfaz de circuito cerrado puede ser la más importante porque es el vínculo al motor de enrutamiento, que ejecuta y administra todos los protocolos de enrutamiento. La interfaz de circuito cerrado es una puerta de enlace para todo el tráfico de control que entra en el motor de enrutamiento del conmutador. Puede controlar este tráfico configurando un filtro de firewall en la interfaz de circuito cerrado (lo0) en family mpls
. Los filtros de firewall de circuito cerrado solo afectan al tráfico destinado a la CPU del motor de enrutamiento. Puede aplicar un filtro de firewall de circuito cerrado solo en la dirección de entrada (paquetes que entran en la interfaz). A partir de Junos OS versión 19.2R1, puede aplicar un filtro de firewall MPLS a una interfaz de circuito cerrado en un enrutador de conmutador de etiquetas (LSR) en conmutadores QFX5100, QFX5110, QFX5200 y QFX5210.
Cuando se configura un filtro de firewall MPLS, se definen criterios de filtrado (términos, con condiciones de coincidencia) para los paquetes y una acción que el conmutador debe realizar si los paquetes coinciden con los criterios de filtrado. Dado que se aplica el filtro a una interfaz de circuito cerrado, debe especificar explícitamente la condición de coincidencia del tiempo de vida (TTL) y family mpls
establecer su valor TTL en 1 (ttl=1
). El TTL es un campo de encabezado de 8 bits (IPv4) que indica el tiempo restante que le queda a un paquete IP antes de que termine su vida útil y se caiga. También puede hacer coincidir paquetes con otros calificadores MPLS como label
, exp
, Capa 4 source port
y Capa 4 destination port
.
Ventajas de agregar filtros de firewall MPLS en la interfaz de circuito cerrado
Protege el motor de enrutamiento asegurándose de que solo acepta tráfico de redes de confianza.
Ayuda a proteger el motor de enrutamiento de ataques de denegación de servicio.
Le ofrece la flexibilidad de hacer coincidir los paquetes en el puerto de origen y el puerto de destino. Por ejemplo, si ejecuta un traceroute, puede filtrar selectivamente el tráfico eligiendo TCP o UDP.
Directrices y limitaciones
Puede aplicar un filtro de firewall de circuito cerrado solo en la dirección de entrada
Solo se admiten los campos
label
MPLS ,ttl=1
exp
y los campostcp
y números de puerto deudp
capa 4.Solo
accept
se admiten ,discard
ycount
acciones.Debe especificar
ttl=1
explícitamente que el bajofamily mpls
coincida en los paquetes TLL.Los filtros aplicados en la interfaz de circuito cerrado no pueden coincidir en el puerto de destino (carga interna) de un paquete IPv6.
No puede aplicar un filtro en paquetes que tengan más de dos etiquetas MPLS.
No puede especificar un intervalo de puertos para condiciones de coincidencia TCP o UDP.
Solo se admiten 255 términos de firewall.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.