Descripción del filtrado basado en IP y espejado selectivo de puertos del tráfico MPLS
En un paquete MPLS, el encabezado IP se encuentra inmediatamente después del encabezado de MPLS. La característica de filtrado basada en IP proporciona un mecanismo de inspección profundo en el que se puede inspeccionar hasta ocho etiquetas MPLS de la carga interna para permitir el filtrado de tráfico MPLS basándose en parámetros IP. El tráfico MPLS filtrado también se puede trasladar a un dispositivo de supervisión para ofrecer servicios basados en red en la red MPLS principal.
Filtrado basado en IP de tráfico MPLS
Antes de Junos OS versión 18.4 R1, no se admitía filtros basados en parámetros IP para el filtro Family MPLS. Con la introducción de la característica de filtrado basada en IP, puede aplicar filtros entrantes y salientes para paquetes IPv4 e IPv6 con etiquetas MPLS, basándose en parámetros IP, como direcciones de origen y de destino, tipo de protocolo de capa 4, y puertos de origen y destino.
La función de filtrado basada en IP permite filtrar MPLS paquetes en la entrada de una interfaz, donde el filtrado se realiza utilizando condiciones de coincidencia interna del paquete MPLS. A continuación, el tráfico MPLS selectivo se puede trasladar a un dispositivo de supervisión remoto mediante túneles lógicos.
Para admitir el filtrado basado en IP, se agregan condiciones adicionales que permiten Inspeccionar exhaustivamente los paquetes MPLS con el fin de analizar la carga interna con los encabezados de capa 3 y capa 4 antes de que se apliquen los filtros adecuados.
La característica de filtrado basada en IP solo se admite para paquetes IPv4 e IPv6 con MPLS etiquetas. Es decir, los filtros de MPLS coinciden con los parámetros de IP sólo cuando la carga IP se produce inmediatamente después de las etiquetas MPLS.
En otros escenarios, en los que la carga de MPLS incluye pseudowires, protocolos distintos de inet y inet6, u otras encapsulaciones como la capa 2 VPN o VPLS, la característica de filtrado basada en IP no se admite.
Se agregan las siguientes condiciones para el filtrado basado en IP de tráfico de MPLS:
Dirección IPv4 de origen
Dirección IPv4 de destino
Dirección IPv6 de origen
Dirección de destino IPv6
Protocolo
Puerto de origen
Puerto de destino
Lista de prefijos IPv4 de origen
Lista de prefijos IPv4 de destino
Lista de prefijos IPv6 de origen
Lista de prefijos IPv6 de destino
Se admiten las siguientes combinaciones de coincidencias para el filtrado basado en IP de tráfico de MPLS:
Las direcciones de origen y destino coinciden con las listas de prefijos IPv4 e IPv6.
Los tipos de protocolo y dirección de puerto de origen y destino coinciden con las listas de prefijos IPv4 e IPv6.
Espejado selectivo de puertos de tráfico MPLS
La duplicación de puertos es la capacidad de duplicar un paquete en un destino configurado, además del procesamiento normal y el reenvío de los paquetes. La duplicación de puertos se aplica como una acción a un filtro de firewall, que se aplica en la entrada o salida de cualquier interfaz. De forma similar, la característica de duplicación de puertos selectiva ofrece la capacidad de reflejar MPLS tráfico, que se filtra según los parámetros IP, a un destino reflejado mediante túneles lógicos.
Para activar la duplicación de puertos selectiva, se configuran [edit firewall family mpls filter filter-nameterm term-name then] acciones adicionales en el nivel de jerarquía, counterademás acceptde las discard acciones existentes, y:
port-mirrorport-mirror-instance
Port Mirroring
La port-mirror acción habilita el duplicado de puertos globalmente en el dispositivo, que se aplica a todos los motores de reenvío de paquetes (PFEs) y a las interfaces asociadas.
En el caso de MPLS filtro port-mirror familia, la acción está habilitada para el reflejo de puertos global.
Port Mirroring Instance
La port-mirror-instance acción permite personalizar cada instancia con distintas propiedades para el muestreo de entrada y los destinos de salida de duplicación de puertos, en lugar de tener que usar una sola configuración de todo el sistema para la creación de reflejo del puerto.
Puede configurar solo dos instancias de duplicación de puertos para el concentrador PIC flexible (FPC) si instance port-mirror-instance-name incluye la instrucción [edit forwarding-options port-mirror] en el nivel jerárquico. A continuación, puede asociar instancias de creación de reflejo de puerto individuales con FPC, PIC o (el motor de reenvío (FEB) en función del hardware del dispositivo.
Por MPLS filtro familia, la port-mirror-instance acción solo está activada para la instancia de creación de reflejo del puerto.
Para las port-mirror acciones port-mirror-instance y, la interfaz de salida debe estar habilitada con la familia de capa 2 y no con MPLS de familia (capa 3) para que funcione la creación de reflejos de Puerto selectivo.
Configuraciones de ejemplo
- Configuración de filtros basada en IP
- Configuración selectiva de la creación de reflejos
- Configuración de destino reflejada
Configuración de filtros basada en IP
[edit firewall family mpls filter mpls-filter]
term ipv4-term {
from {
ip-version {
ipv4 {
source-address {
10.10.10.10/24;
}
destination-address {
20.20.20.20/24;
}
protocol tcp {
source-port 100;
destination-port 200;
}
soure-prefix-list ipv4-source-users;
destination-prefix-list ipv4-destination-users;
}
}
exp 1;
}
then port-mirror;
then accept;
then count;
}
term ipv6-term {
from {
ip-version {
ipv6 {
source-address {
2000::1/128;
}
destination-address {
3000::1/128;
}
protocol tcp {
source-port 100;
destination-port 200;
}
source-prefix-list ipv6-source-users;
destination-prefix-list ipv6-destination-users;
}
}
exp 1;
}
then port-mirror-instance port-mirror-instance1;
then accept;
then count;
}
[edit policy-options]
prefix-list ipv4-source-users {
172.16.1.16/28;
172.16.2.16/28;
}
prefix-list ipv6-source-users {
2001::1/128;
3001::1/128;
}
[edit interfaces]
xe-0/0/1 {
unit 0 {
family inet {
address 100.100.100.1/30;
}
family mpls {
filter {
input mpls-filter;
}
}
}
}
Configuración selectiva de la creación de reflejos
[edit forwarding-options]
port-mirroring {
input {
rate 2;
run-length 4;
maximum-packet-length 500;
}
family any {
output {
interface xe-2/0/2.0;
}
}
}
[edit forwarding-options]
port-mirroring {
instance {
port-mirror-instance1 {
input {
rate 3;
run-length 5;
maximum-packet-length 500;
}
family any {
output {
interface xe-2/0/2.0;
}
}
}
}
}
La interfaz xe-2/0/2.0 de salida está configurada para la familia de capa 2 y no para MPLS de familia.
Para las port-mirror acciones port-mirror-instance y, la interfaz de salida debe estar habilitada con la familia de capa 2 y no con MPLS de familia (capa 3) para que funcione la creación de reflejos de Puerto selectivo.
Configuración de destino reflejada
[edit interfaces]
xe-2/0/2 {
vlan-tagging;
encapsulation extended-vlan-bridge;
unit 0 {
vlan-id 600;
}
}
[edit bridge-domains]
bd {
domain-type bridge;
interface xe-2/0/2.0;
}