Descripción del filtrado basado en IP y la duplicación selectiva de puertos del tráfico MPLS
En un paquete MPLS, el encabezado IP viene inmediatamente después del encabezado MPLS. La función de filtrado basado en IP proporciona un mecanismo de inspección profunda, en el que se pueden inspeccionar un máximo de hasta ocho etiquetas MPLS de la carga interna para permitir el filtrado del tráfico MPLS basado en parámetros IP. El tráfico MPLS filtrado también se puede duplicar en un puerto a un dispositivo de monitoreo para ofrecer servicios basados en red en la red central de MPLS.
Filtrado basado en IP del tráfico MPLS
Antes de Junos OS versión 18.4R1, el filtrado basado en parámetros IP no era compatible con el filtro de la familia MPLS. Con la introducción de la función de filtrado basado en IP, puede aplicar filtros de entrada y salida para paquetes IPv4 e IPv6 etiquetados por MPLS según parámetros IP, como direcciones de origen y destino, tipo de protocolo de capa 4 y puertos de origen y destino.
La función de filtrado basado en IP le permite filtrar paquetes MPLS en la entrada de una interfaz, donde el filtrado se realiza mediante condiciones de coincidencia en la carga interna del paquete MPLS. El tráfico MPLS selectiva puede entonces ser replicado por puerto a un dispositivo de monitoreo remoto mediante túneles lógicos.
Para admitir el filtrado basado en IP, se agregan condiciones de coincidencia adicionales que permiten que los paquetes MPLS se inspeccionen en profundidad para analizar la carga interna con los encabezados de las capas 3 y 4 antes de aplicar los filtros adecuados.
La función de filtrado basado en IP solo se admite para paquetes IPv4 e IPv6 con etiquetas MPLS. En otras palabras, los filtros MPLS solo coinciden con los parámetros IP cuando la carga IP viene inmediatamente después de las etiquetas MPLS.
En otras situaciones, en las que la carga MPLS incluye pseudocables, protocolos distintos a inet e inet6 u otras encapsulaciones como VPN de capa 2 o VPLS, no se admite la función de filtrado basado en IP.
Se agregan las siguientes condiciones de coincidencia para el filtrado basado en IP del tráfico MPLS:
Dirección de origen IPv4
Dirección de destino IPv4
Dirección de origen IPv6
Dirección de destino IPv6
Protocolo
Puerto de origen
Puerto de destino
Lista de prefijos IPv4 de origen
Lista de prefijos IPv4 de destino
Lista de prefijos IPv6 de origen
Lista de prefijos IPv6 de destino
Se admiten las siguientes combinaciones de coincidencia para el filtrado basado en IP del tráfico MPLS:
Las direcciones de origen y destino coinciden con condiciones con listas de prefijoS IPv4 e IPv6.
Los tipos de protocolo y dirección de puerto de origen y destino coinciden con condiciones con listas de prefijos IPv4 e IPv6.
Duplicación de puerto selectiva del tráfico MPLS
La duplicación de puertos es la capacidad de duplicar un paquete a un destino configurado, además del procesamiento y reenvío normales de los paquetes. La duplicación de puertos se aplica como una acción para un filtro de firewall, que se aplica en la entrada o salida de cualquier interfaz. De manera similar, la función de duplicación de puerto selectiva ofrece la capacidad de duplicar el tráfico MPLS, que se filtra según los parámetros de IP, a un destino reflejado mediante túneles lógicos.
Para habilitar la duplicación selectiva de puertos, se configuran acciones adicionales en el [edit firewall family mpls filter filter-nameterm term-name then] nivel jerárquico, además de las acciones existentescounteraccept, y discard las acciones:
port-mirrorport-mirror-instance
Port Mirroring
La port-mirror acción permite la duplicación de puertos globalmente en el dispositivo, lo que se aplica a todos los motores de reenvío de paquetes (PPE) y las interfaces asociadas.
Para el filtro de la familia MPLS, la port-mirror acción está habilitada para la duplicación de puerto global.
Port Mirroring Instance
La port-mirror-instance acción le permite personalizar cada instancia con diferentes propiedades para el muestreo de entrada y los destinos de salida de duplicación de puertos, en lugar de tener que usar una única configuración en todo el sistema para la duplicación de puertos.
Solo puede configurar dos instancias de duplicación de puertos por concentrador de PIC flexible (FPC) incluyendo la instance port-mirror-instance-name instrucción en el [edit forwarding-options port-mirror] nivel de jerarquía. A continuación, puede asociar instancias de duplicación de puerto individual con una FPC, PIC o (FEB) según el hardware del dispositivo.
Para el filtro de familia MPLS, la port-mirror-instance acción solo está habilitada para la instancia de duplicación de puerto.
Para ambas port-mirror acciones port-mirror-instance , la interfaz de salida debe habilitarse con la familia de capa 2 y no con la familia MPLS (capa 3) para que funcione la función de duplicación de puerto selectiva.
Configuraciones de ejemplo
- Configuración de filtrado basado en IP
- Configuración de duplicación de puerto selectiva
- Configuración de destino duplicada
Configuración de filtrado basado en IP
[edit firewall family mpls filter mpls-filter]
term ipv4-term {
from {
ip-version {
ipv4 {
source-address {
10.10.10.10/24;
}
destination-address {
20.20.20.20/24;
}
protocol tcp {
source-port 100;
destination-port 200;
}
soure-prefix-list ipv4-source-users;
destination-prefix-list ipv4-destination-users;
}
}
exp 1;
}
then port-mirror;
then accept;
then count;
}
term ipv6-term {
from {
ip-version {
ipv6 {
source-address {
2000::1/128;
}
destination-address {
3000::1/128;
}
protocol tcp {
source-port 100;
destination-port 200;
}
source-prefix-list ipv6-source-users;
destination-prefix-list ipv6-destination-users;
}
}
exp 1;
}
then port-mirror-instance port-mirror-instance1;
then accept;
then count;
}
[edit policy-options]
prefix-list ipv4-source-users {
172.16.1.16/28;
172.16.2.16/28;
}
prefix-list ipv6-source-users {
2001::1/128;
3001::1/128;
}
[edit interfaces]
xe-0/0/1 {
unit 0 {
family inet {
address 100.100.100.1/30;
}
family mpls {
filter {
input mpls-filter;
}
}
}
}
Configuración de duplicación de puerto selectiva
[edit forwarding-options]
port-mirroring {
input {
rate 2;
run-length 4;
maximum-packet-length 500;
}
family any {
output {
interface xe-2/0/2.0;
}
}
}
[edit forwarding-options]
port-mirroring {
instance {
port-mirror-instance1 {
input {
rate 3;
run-length 5;
maximum-packet-length 500;
}
family any {
output {
interface xe-2/0/2.0;
}
}
}
}
}
La interfaz xe-2/0/2.0 de salida está configurada para la familia de capa 2 y no para la familia MPLS.
Para ambas port-mirror acciones port-mirror-instance , la interfaz de salida debe habilitarse con la familia de capa 2 y no con la familia MPLS (capa 3) para que funcione la función de duplicación de puerto selectiva.
Configuración de destino duplicada
[edit interfaces]
xe-2/0/2 {
vlan-tagging;
encapsulation extended-vlan-bridge;
unit 0 {
vlan-id 600;
}
}
[edit bridge-domains]
bd {
domain-type bridge;
interface xe-2/0/2.0;
}