Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción del filtrado basado en IP y la duplicación selectiva de puertos del tráfico MPLS

En un paquete MPLS, el encabezado IP viene inmediatamente después del encabezado MPLS. La función de filtrado basado en IP proporciona un mecanismo de inspección profunda, en el que se pueden inspeccionar un máximo de hasta ocho etiquetas MPLS de la carga interna para permitir el filtrado del tráfico MPLS basado en parámetros IP. El tráfico MPLS filtrado también se puede duplicar en un puerto a un dispositivo de monitoreo para ofrecer servicios basados en red en la red central de MPLS.

Filtrado basado en IP del tráfico MPLS

Antes de Junos OS versión 18.4R1, el filtrado basado en parámetros IP no era compatible con el filtro de la familia MPLS. Con la introducción de la función de filtrado basado en IP, puede aplicar filtros de entrada y salida para paquetes IPv4 e IPv6 etiquetados por MPLS según parámetros IP, como direcciones de origen y destino, tipo de protocolo de capa 4 y puertos de origen y destino.

La función de filtrado basado en IP le permite filtrar paquetes MPLS en la entrada de una interfaz, donde el filtrado se realiza mediante condiciones de coincidencia en la carga interna del paquete MPLS. El tráfico MPLS selectiva puede entonces ser replicado por puerto a un dispositivo de monitoreo remoto mediante túneles lógicos.

Para admitir el filtrado basado en IP, se agregan condiciones de coincidencia adicionales que permiten que los paquetes MPLS se inspeccionen en profundidad para analizar la carga interna con los encabezados de las capas 3 y 4 antes de aplicar los filtros adecuados.

Nota:

La función de filtrado basado en IP solo se admite para paquetes IPv4 e IPv6 con etiquetas MPLS. En otras palabras, los filtros MPLS solo coinciden con los parámetros IP cuando la carga IP viene inmediatamente después de las etiquetas MPLS.

En otras situaciones, en las que la carga MPLS incluye pseudocables, protocolos distintos a inet e inet6 u otras encapsulaciones como VPN de capa 2 o VPLS, no se admite la función de filtrado basado en IP.

Se agregan las siguientes condiciones de coincidencia para el filtrado basado en IP del tráfico MPLS:

  • Dirección de origen IPv4

  • Dirección de destino IPv4

  • Dirección de origen IPv6

  • Dirección de destino IPv6

  • Protocolo

  • Puerto de origen

  • Puerto de destino

  • Lista de prefijos IPv4 de origen

  • Lista de prefijos IPv4 de destino

  • Lista de prefijos IPv6 de origen

  • Lista de prefijos IPv6 de destino

Nota:

Se admiten las siguientes combinaciones de coincidencia para el filtrado basado en IP del tráfico MPLS:

  • Las direcciones de origen y destino coinciden con condiciones con listas de prefijoS IPv4 e IPv6.

  • Los tipos de protocolo y dirección de puerto de origen y destino coinciden con condiciones con listas de prefijos IPv4 e IPv6.

Duplicación de puerto selectiva del tráfico MPLS

La duplicación de puertos es la capacidad de duplicar un paquete a un destino configurado, además del procesamiento y reenvío normales de los paquetes. La duplicación de puertos se aplica como una acción para un filtro de firewall, que se aplica en la entrada o salida de cualquier interfaz. De manera similar, la función de duplicación de puerto selectiva ofrece la capacidad de duplicar el tráfico MPLS, que se filtra según los parámetros de IP, a un destino reflejado mediante túneles lógicos.

Para habilitar la duplicación selectiva de puertos, se configuran acciones adicionales en el [edit firewall family mpls filter filter-nameterm term-name then] nivel jerárquico, además de las acciones existentescounteraccept, y discard las acciones:

  • port-mirror

  • port-mirror-instance

Port Mirroring

La port-mirror acción permite la duplicación de puertos globalmente en el dispositivo, lo que se aplica a todos los motores de reenvío de paquetes (PPE) y las interfaces asociadas.

Para el filtro de la familia MPLS, la port-mirror acción está habilitada para la duplicación de puerto global.

Port Mirroring Instance

La port-mirror-instance acción le permite personalizar cada instancia con diferentes propiedades para el muestreo de entrada y los destinos de salida de duplicación de puertos, en lugar de tener que usar una única configuración en todo el sistema para la duplicación de puertos.

Solo puede configurar dos instancias de duplicación de puertos por concentrador de PIC flexible (FPC) incluyendo la instance port-mirror-instance-name instrucción en el [edit forwarding-options port-mirror] nivel de jerarquía. A continuación, puede asociar instancias de duplicación de puerto individual con una FPC, PIC o (FEB) según el hardware del dispositivo.

Para el filtro de familia MPLS, la port-mirror-instance acción solo está habilitada para la instancia de duplicación de puerto.

Nota:

Para ambas port-mirror acciones port-mirror-instance , la interfaz de salida debe habilitarse con la familia de capa 2 y no con la familia MPLS (capa 3) para que funcione la función de duplicación de puerto selectiva.

Configuraciones de ejemplo

Configuración de filtrado basado en IP

Configuración de duplicación de puerto selectiva

Nota:

La interfaz xe-2/0/2.0 de salida está configurada para la familia de capa 2 y no para la familia MPLS.

Para ambas port-mirror acciones port-mirror-instance , la interfaz de salida debe habilitarse con la familia de capa 2 y no con la familia MPLS (capa 3) para que funcione la función de duplicación de puerto selectiva.

Configuración de destino duplicada