Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general de los filtros de firewall MPLS en la interfaz de circuito cerrado

Aunque todas las interfaces son importantes, la interfaz de circuito cerrado puede ser la más importante, ya que es el vínculo al motor de enrutamiento, que ejecuta y administra todos los protocolos de enrutamiento. La interfaz de circuito cerrado es una puerta de enlace para todo el tráfico de control que entra en el motor de enrutamiento del conmutador. Puede controlar este tráfico configurando un filtro de firewall en la interfaz de circuito cerrado (lo0) en family mpls. Los filtros de firewall de circuito cerrado afectan solo al tráfico destinado a la CPU del motor de enrutamiento. Puede aplicar un filtro de firewall de circuito cerrado solo en la dirección de entrada (paquetes que ingresan en la interfaz). A partir de Junos OS versión 19.2R1, puede aplicar un filtro de firewall MPLS a una interfaz de circuito cerrado en un enrutador de conmutación de etiquetas (LSR) en conmutadores QFX5100, QFX5110, QFX5200 y QFX5210.

Al configurar un filtro de firewall MPLS, se definen criterios de filtrado (términos, con condiciones de coincidencia) para los paquetes y una acción que debe realizar el conmutador si los paquetes coinciden con los criterios de filtrado. Dado que aplica el filtro a una interfaz de circuito cerrado, debe especificar explícitamente la condición de coincidencia de tiempo de vida (TTL) en family mpls y establecer su valor TTL en 1 (ttl=1). El TTL es un campo de encabezado de 8 bits (IPv4) que significa el tiempo que queda un paquete IP antes de que finalice su vida útil y se caiga. También puede hacer coincidir paquetes con otros calificadores MPLS como label, exp, , capa 4 source porty capa 4 destination port.

Beneficios de agregar filtros de firewall MPLS en la interfaz de circuito cerrado

  • Protege el motor de enrutamiento al asegurarse de que acepta tráfico solo de redes de confianza.

  • Ayuda a proteger el motor de enrutamiento de ataques de denegación de servicio.

  • Le da la flexibilidad para hacer coincidir paquetes en el puerto de origen y el puerto de destino. Por ejemplo, si ejecuta una ruta de seguimiento, puede filtrar selectivamente el tráfico eligiendo TCP o UDP.

Pautas y limitaciones

  • Puede aplicar un filtro de firewall de circuito cerrado solo en la dirección de entrada

  • Solo se admiten los campos labelexpMPLS, ttl=1 los campos tcp de capa 4 y udp los números de puerto.

  • Solo acceptse discardadmiten , y count las acciones.

  • Debe especificar ttl=1 explícitamente en family mpls para coincidir en paquetes TLL.

  • Los filtros aplicados en la interfaz de circuito cerrado no se pueden hacer coincidir en el puerto de destino (carga interna) de un paquete IPv6.

  • No puede aplicar un filtro en paquetes que tengan más de dos etiquetas MPLS.

  • No puede especificar un rango de puertos para condiciones de coincidencia TCP o UDP.

  • Solo se admiten 255 términos de firewall.

Tabla de historial de versiones
Liberación
Descripción
19.2R1
A partir de Junos OS versión 19.2R1, puede aplicar un filtro de firewall MPLS a una interfaz de circuito cerrado en un enrutador de conmutación de etiquetas (LSR) en conmutadores QFX5100, QFX5110, QFX5200 y QFX5210.