Descripción del filtrado basado en IP y la duplicación selectiva de puertos del tráfico MPLS
En un paquete MPLS, el encabezado IP viene inmediatamente después del encabezado MPLS. La función de filtrado basado en IP proporciona un mecanismo de inspección profunda, donde se puede inspeccionar un máximo de ocho etiquetas MPLS de la carga interna para permitir el filtrado del tráfico MPLS basado en parámetros IP. El tráfico MPLS filtrado también se puede transferir a un dispositivo de monitoreo para ofrecer servicios basados en red en la red MPLS principal.
Filtrado basado en IP del tráfico MPLS
Antes de Junos OS versión 18.4R1, el filtrado basado en parámetros IP no se admitía para el filtro de familia MPLS. Con la introducción de la función de filtrado basado en IP, puede aplicar filtros de entrada y salida para paquetes IPv4 e IPv6 etiquetados con MPLS en función de parámetros IP, como direcciones de origen y destino, tipo de protocolo de capa 4 y puertos de origen y destino.
La función de filtrado basado en IP permite filtrar paquetes MPLS en la entrada de una interfaz, donde el filtrado se realiza mediante condiciones de coincidencia en la carga interna del paquete MPLS. A continuación, el tráfico MPLS selectivo se puede reflejar en un dispositivo de supervisión remota mediante túneles lógicos.
Para admitir el filtrado basado en IP, se agregan condiciones de coincidencia adicionales que permiten inspeccionar en profundidad los paquetes MPLS para analizar la carga interna con encabezados de capa 3 y capa 4 antes de aplicar los filtros adecuados.
La función de filtrado basado en IP solo se admite para paquetes IPv4 e IPv6 etiquetados con MPLS. En otras palabras, los filtros MPLS coinciden con los parámetros IP solo cuando la carga IP viene inmediatamente después de las etiquetas MPLS.
En otros escenarios, donde la carga MPLS incluye pseudocables, protocolos distintos de inet e inet6, u otras encapsulaciones como VPN de capa 2 o VPLS, no se admite la característica de filtrado basado en IP.
Se agregan las siguientes condiciones de coincidencia para el filtrado basado en IP del tráfico MPLS:
Dirección de origen IPv4
Dirección de destino IPv4
Dirección de origen IPv6
Dirección de destino IPv6
Protocolo
Puerto de origen
Puerto de destino
Lista de prefijos IPv4 de origen
Lista de prefijos IPv4 de destino
Lista de prefijos IPv6 de origen
Lista de prefijos IPv6 de destino
Se admiten las siguientes combinaciones de coincidencias para el filtrado basado en IP del tráfico MPLS:
La dirección de origen y destino coincide con las condiciones con las listas de prefijos IPv4 e IPv6.
La dirección del puerto de origen y destino y los tipos de protocolo coinciden con las condiciones con las listas de prefijos IPv4 e IPv6.
Duplicación selectiva de puertos del tráfico MPLS
La duplicación de puertos es la capacidad de reflejar un paquete a un destino configurado, además del procesamiento y reenvío normales de los paquetes. La duplicación de puertos se aplica como una acción para un filtro de firewall, que se aplica en la entrada o salida de cualquier interfaz. De manera similar, la función de duplicación selectiva de puertos proporciona la capacidad de reflejar el tráfico MPLS, que se filtra en función de los parámetros IP, a un destino reflejado mediante túneles lógicos.
Para habilitar la creación selectiva de reflejo de puertos, se configuran acciones adicionales en el nivel de [edit firewall family mpls filter filter-nameterm term-name then] jerarquía, además de las acciones , y discard las counteracceptexistentes:
port-mirrorport-mirror-instance
Port Mirroring
La port-mirror acción habilita la duplicación de puertos globalmente en el dispositivo, lo que se aplica a todos los motores de reenvío de paquetes (PFE) y las interfaces asociadas.
Para el filtro de familia MPLS, la acción está habilitada para la creación de reflejo global de port-mirror puertos.
Port Mirroring Instance
La port-mirror-instance acción le permite personalizar cada instancia con propiedades diferentes para el muestreo de entrada y los destinos de salida de la duplicación de puertos, en lugar de tener que usar una única configuración de todo el sistema para la creación de reflejo de puertos.
Solo puede configurar dos instancias de creación de reflejo de puerto por concentrador de PIC flexible (FPC) incluyendo la instance port-mirror-instance-name instrucción en el nivel de [edit forwarding-options port-mirror] jerarquía. A continuación, puede asociar instancias de creación de reflejo de puertos individuales con una FPC, PIC o (placa de motor de reenvío (FEB), según el hardware del dispositivo.
Para el filtro de familia MPLS, la port-mirror-instance acción solo se habilita para la instancia de creación de reflejo de puertos.
Para ambas port-mirrorport-mirror-instance acciones, la interfaz de salida debe estar habilitada con la familia de capa 2 y no con la familia MPLS (capa 3) para que la función de duplicación selectiva de puertos funcione.
Configuraciones de ejemplo
- Configuración de filtrado basado en IP
- Configuración de duplicación selectiva de puertos
- Configuración de destino reflejada
Configuración de filtrado basado en IP
[edit firewall family mpls filter mpls-filter]
term ipv4-term {
from {
ip-version {
ipv4 {
source-address {
10.10.10.10/24;
}
destination-address {
20.20.20.20/24;
}
protocol tcp {
source-port 100;
destination-port 200;
}
soure-prefix-list ipv4-source-users;
destination-prefix-list ipv4-destination-users;
}
}
exp 1;
}
then port-mirror;
then accept;
then count;
}
term ipv6-term {
from {
ip-version {
ipv6 {
source-address {
2000::1/128;
}
destination-address {
3000::1/128;
}
protocol tcp {
source-port 100;
destination-port 200;
}
source-prefix-list ipv6-source-users;
destination-prefix-list ipv6-destination-users;
}
}
exp 1;
}
then port-mirror-instance port-mirror-instance1;
then accept;
then count;
}
[edit policy-options]
prefix-list ipv4-source-users {
172.16.1.16/28;
172.16.2.16/28;
}
prefix-list ipv6-source-users {
2001::1/128;
3001::1/128;
}
[edit interfaces]
xe-0/0/1 {
unit 0 {
family inet {
address 100.100.100.1/30;
}
family mpls {
filter {
input mpls-filter;
}
}
}
}
Configuración de duplicación selectiva de puertos
[edit forwarding-options]
port-mirroring {
input {
rate 2;
run-length 4;
maximum-packet-length 500;
}
family any {
output {
interface xe-2/0/2.0;
}
}
}
[edit forwarding-options]
port-mirroring {
instance {
port-mirror-instance1 {
input {
rate 3;
run-length 5;
maximum-packet-length 500;
}
family any {
output {
interface xe-2/0/2.0;
}
}
}
}
}
La interfaz xe-2/0/2.0 de salida está configurada para la familia de capa 2 y no para la familia MPLS.
Para ambas port-mirrorport-mirror-instance acciones, la interfaz de salida debe estar habilitada con la familia de capa 2 y no con la familia MPLS (capa 3) para que la función de duplicación selectiva de puertos funcione.
Configuración de destino reflejada
[edit interfaces]
xe-2/0/2 {
vlan-tagging;
encapsulation extended-vlan-bridge;
unit 0 {
vlan-id 600;
}
}
[edit bridge-domains]
bd {
domain-type bridge;
interface xe-2/0/2.0;
}