Условия совпадения фильтра межсетевых экранов MPLS трафику

Можно настроить фильтр межсетевых экранов с условиями совпадения для MPLS трафика family mpls ( ).

Заявления и заявления для фильтров межсетевых экранов для семейства протоколов поддерживаются на всех интерфейсах, кроме интерфейсов управления и внутренних интерфейсов Ethernet (или), интерфейсов обратной связи input-list filter-namesoutput-list filter-namesmplsfxpem0 (или USB-модемных lo0 интерфейсов) umd
Если пакет имеет несколько MPLS меток, фильтр применяет условия совпадения только к нижней метке в стеке меток.
(QFX5100, QFX5110, QFX5200, QFX5210) При применении фильтра MPLS на интерфейсе обратной связи можно фильтровать только в полях label номеров уровня 4 и expttl=1tcpudp ,. Для TTL необходимо явно указать под для ttl=1family mpls совпадения для пакетов TTL=1. Единственными действиями, которые можно accept настроить, являются discard , и count . Фильтр можно применить только в направлении в отношении впада;
Для серия MX маршрутизаторов с MPC и MIC можно применить входящие и исходящие фильтры для MPLS семейства на основании параметров IPv4 MPLS и IPv6 с использованием условий внутреннего совпадения полезной нагрузки и включить выборочное зеркальное отражение трафика MPLS к устройству мониторинга (начиная с Junos OS выпуска 18.4R1). Для фильтрации на основе IP доступны дополнительные условия совпадения для параметра MPLS фильтра, а также для поддержки зеркального отражение портов, дополнительные действия (такие как зеркальное отражение порта и зеркальный экземпляр порта), которые доступны под параметром fromthen "фильтр".

Табл. 1 описывает match-conditions конфигурацию на уровне [edit firewall family mpls filter filter-name term term-name from] иерархии.

Табл. 1: Условия совпадения фильтра межсетевых экранов MPLS трафику
Условие совпадения	Описание
`apply-groups`	Укажите группы, из которых можно наследовать данные конфигурации. Можно указать несколько имен групп. Их необходимо перечислить в порядке приоритета наследование. Данные конфигурации в первой группе отнимает приоритет над данными в последующих группах.
`apply-groups-except`	Укажите, какие группы не должны наследовать данные конфигурации. Можно указать несколько имен групп.
`destination-port number`	Соответствие в поле UDP или TCP-порта назначения. В качестве цифрового значения можно указать одно из следующих текстовых синонимов (также указаны номера портов): `afsbgp`(1483), (179), `biff` (512), `bootpcbootps` (68), `cmd` (67), (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), `ekloginekshell` (2106), `exec` (512), `fingerftp` (79), `ftp-data` (21), (20), `http` (80) `httpsidentimap` (443), (113), (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldapldp` (646), `login` (513), `mobileip-agentmobilip-mn` (434), (435), `msdp` (639) (639) `netbios-dgmnetbios-nsnetbios-ssn` 138), (137), (139), `nfsdnntp` (2049), (119), `ntalk` (518), `ntppop3` (123), (110), `pptp` (1723), `printerradacct` (1813), `radiusrip` (1812), (520), `rkinit` (2108), `smtp` (2 `snmp` 5), `snmptrap` (161), (162), `snpp` (444), `socks` (1080), `ssh` (22), `sunrpcsyslog` (111), (514), `tacacs` (49), `tacacs-ds` (65), `talktelnet` (23), `tftp` (69), `timedwho` (525), (513) или `xdmcp` (177).
`exp number`	Экспериментальный (EXP) номер бита или диапазон номеров MPLS в загоне пакета. Для `числа`можно указать одно или более значений от 0 до 7 в двоичном, десятичном или hexademal формате, как подано ниже: Один бит EXP, например, `exp 3` Несколько битов EXP, например, `exp 0,4` Диапазон битов EXP, `exp [0-5]` например. Эти значения не поддерживаются на фильтрах, применяемых к интерфейсу обратной связи. Прим.: Это условие совпадения не поддерживается на маршрутизаторах пакетной переноски PTX.
`exp-except number`	Не совпадать в битовом номере EXP или диапазоне номеров битов в MPLS. For `number` , можно указать одно или более значений с `0` помощью `7` through. Прим.: Это условие совпадения не поддерживается на маршрутизаторах пакетной переноски PTX.
`forwarding-class class`	Класс переадваровки. `assured-forwardingbest-effort` Укажите, `expedited-forwardingnetwork-control` или.
`forwarding-class-except class`	Не совпадают в классе переадваровки. `assured-forwardingbest-effort` Укажите, `expedited-forwardingnetwork-control` или.
`interface interface-name`	Интерфейс, на котором был получен пакет. Можно настроить условие совпадения, которое соответствует пакетам в зависимости от интерфейса, на котором они были получены. Прим.: Если это условие совпадения настроено для не существует интерфейса, то термин не соответствует любому пакету.
`interface-set interface-set-name`	Со соответствовать интерфейсу, на котором был получен пакет, с указанным набором интерфейсов. Чтобы определить набор интерфейсов, включим `interface-set` в себя утверждение на уровне `[edit firewall]` иерархии. Прим.: Это условие совпадения не поддерживается на маршрутизаторах пакетной переноски PTX. Дополнительные сведения Обзор фильтрации пакетов, полученных на наборе интерфейсов см. в .
`ip-version number`	(Интерфейсы на расширенных гибких концентраторах PIC [FPC] только на серия T маршрутизаторах) Версия внутреннего IP-адреса. Для MPLS пакетов IPv4 с тегами, усоедините текст с синонимом `ipv4` . Прим.: Это условие совпадения не поддерживается на маршрутизаторах пакетной переноски PTX.
`label number`	MPLS меток или диапазон значений меток в MPLS пакета. Для `номера`можно указать одно или более значений от 0 до 1048575 в десятичной или hexadecimal формате, как подано ниже: Одна метка, например, `label 3` несколько меток, например, `label 0,4` Диапазон меток, `label [0-5]` например. Эти значения не поддерживаются на фильтрах, применяемых к интерфейсу обратной связи.
`loss-priority level`	Со соответствовать уровню приоритета потери пакетов (PLP). Укажите один или несколько уровней: `low`, `medium-lowmedium-high` , или `high` . Поддерживается M120 и M320 маршрутизаторах; M7i и M10i с расширенным CFEB (CFEB-E); и серия MX маршрутизаторов и коммутаторов серии EX. Для IP-трафика M320, серия MX и серия T с расширенными гибкими концентраторами PIC II (FFP) и коммутаторами серии EX необходимо включить утверждение на уровне иерархии, чтобы сфиксировать конфигурацию PLP с любым из четырех указанных `tri-color[edit class-of-service]` уровней. Если утверждение `tri-color` не включено, можно настроить только уровни `high` и `low` уровни. Это относится ко всем семействам протоколов. Для получения сведений об `tri-color` этом сообщении см. "Настройка и применение трехсторонней маркировки policers". Сведения об использовании классификаторов поведения (BA) для назначения уровня PLP входящих пакетов см. в "Сведениях о назначении классов переадностики выходным очередям".
`loss-priority-except level`	Не соответствует уровню PLP. Подробные сведения см. в `loss-priority` условии совпадения. Прим.: Это условие совпадения не поддерживается на маршрутизаторах пакетной переноски PTX.
`source-port number`	Соответствие в поле порта источника TCP или UDP. Нельзя указать условия `portsource-port` совпадения в одном и том же термине. Если настроить это условие совпадения для трафика IPv4, рекомендуется также настроить утверждение match или утверждение совпадения в том же термине, чтобы указать, какой протокол `protocol udpprotocol tcp` используется на порте. В текстовом поле можно указать один из текстовых синнимов, указанных в `destination-port` списке.
`ttl number`	Time To Live (TTL) — восьми-битное поле метки, которое MPLS оставшееся время, оставленное пакетом до окончания жизни и отброшенное. Для `number`можно указать значение от 0 до 255.

Табл. 2 описывает действия, которые можно настроить для MPLS межсетевых экранов на [edit firewall family mpls filter filter-name term term-name then] уровне иерархии.

Табл. 2: Поддерживаемые действия для MPLS межсетевых экранов
Действий	Описание
`accept`	Примите пакет
`count counter-name`	Посчитайте число пакетов, которые проходят этот фильтр или термин. Прим.: Рекомендуется настраивать счетчик для каждого термина в фильтре межсетевых экранов, чтобы можно было отслеживать число пакетов, которые соответствуют условиям, указанным в каждом термине фильтра.
`discard`	Тихо отбросить пакет без отправки сообщения протокола управления Интернетом (ICMP)
`policer`	Начиная Junos OS 13.2X51-D15, можно отправить трафик, MPLS на двухцветный фильтр.
`three-color-policer`	Начиная с Junos OS 13.2X51-D15, можно отправить трафик, MPLS фильтром, на трехцветный.

Условия совпадения фильтра межсетевых экранов MPLS трафику

Связанные темы