Condições de correspondência do filtro de firewall para tráfego MPLS

Você pode configurar um filtro de firewall com condições de correspondência para tráfego MPLS (family mpls).

As input-list filter-names declarações e output-list filter-names declarações para filtros de firewall para a mpls família de protocolo são suportadas em todas as interfaces, exceto interfaces de gerenciamento e interfaces internas de Ethernet (fxp ou em0), interfaces de loopback (lo0) e interfaces de modem USB (umd)
(QFX5100, QFX5110, QFX5200, QFX5210) Se você estiver aplicando um filtro MPLS em uma interface de loopback, você só pode filtrar nos labelcampos de camada expttl=14 tcp e udp número de porta. Para TTL, você deve especificar ttl=1 explicitamente em family mpls correspondência com pacotes TTL=1. As únicas ações que você pode configurar são accept, discarde count. Você só pode aplicar o filtro na direção de entrada.
Para roteadores da Série MX com MPC e MIC, você pode aplicar filtros de entrada e saída para a família MPLS com base em parâmetros IPv4 e IPv6 com tag MPLS usando condições internas de correspondência de carga útil, e permitir o espelhamento de portas seletivas do tráfego MPLS para um dispositivo de monitoramento (a partir do Junos OS Release 18.4R1). Para filtragem baseada em IP, condições adicionais de correspondência estão disponíveis sob o parâmetro de termo from do filtro MPLS e para suporte a espelhamento de portas, ações adicionais (como espelho de porta e instância espelhada de porta), estão disponíveis sob o parâmetro do termo thenfiltro.

Tabela 1 descreve o que match-conditions você pode configurar no nível de [edit firewall family mpls filter filter-name term term-name from] hierarquia.

Nota: Você pode configurar filtros MPLS na direção de entrada apenas para plataformas ASIC Da Série PTX Express 4. Não oferecemos suporte aos filtros de firewall MPLS de saída nessas plataformas.

Tabela 1: Condições de correspondência do filtro de firewall para tráfego MPLS
Condição da partida	Descrição
`apply-groups`	Especifique de quais grupos herdar dados de configuração. Você pode especificar mais de um nome de grupo. Você deve listá-los em ordem de prioridade de herança. Os dados de configuração do primeiro grupo têm prioridade sobre os dados em grupos subsequentes.
`apply-groups-except`	Especifique de quais grupos não herdar dados de configuração. Você pode especificar mais de um nome de grupo.
`destination-port number`	Combine com o campo de porta de destino UDP ou TCP. No lugar do valor numérico, você pode especificar um dos seguintes sinônimos de texto (os números de porta também estão listados): `afs`(1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), (21) `eklogin` 05), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), (434), `mobileip-agentmobilip-mn` (435), `msdp` (639), `netbios-dgm` (138), `netbios-ns` (137), (139), (2049), (119), (518), (518), (137), `netbios-ssn` (139), `nfsd` (2049), (119), `nntpntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), (44) `snpp` 4), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513) ou `xdmcp` (177).
`exp number`	Número de bit experimental (EXP) ou alcance de números de bits no cabeçalho MPLS de um pacote. Para `number`, você pode especificar um ou mais valores de 0 a 7 em formato binário, decimais ou hexadecimal, conforme dado abaixo: Um único bit EXP — por exemplo, `exp 3` Vários bits EXP — por exemplo, `exp 0,4` Uma variedade de bits EXP — por exemplo, `exp [0-5]`. Esses valores não são suportados em filtros aplicados à interface de loopback. Nota: Esta condição de correspondência é preterida em dispositivos PTX10001-36MR, PTX10003, PTX10004, PTX10008 e PTX10016 e é substituída por `exp0 number`.
`exp-except number`	Não combine com o número de bit EXP ou o intervalo de números de bits no cabeçalho MPLS. Para `number`, você pode especificar um ou mais valores de `0` até `7`. Nota: Esta condição de correspondência é preterida em dispositivos PTX10001-36MR, PTX10003, PTX10004, PTX10008 e PTX10016 e é substituída por `exp0-except`.
`exp0 number`	Número de bit experimental (EXP) ou alcance de números de bits no cabeçalho TOS MPLS de um pacote. Para `number`, você pode especificar um ou mais valores de 0 a 7 em formato binário, decimais ou hexadecimal, conforme dado abaixo: Um único bit EXP — por exemplo, `exp0 3` Vários bits EXP — por exemplo, `exp0 0,4` Uma variedade de bits EXP — por exemplo, `exp0 [0-5]`. Esses valores não são suportados em filtros aplicados à interface de loopback.
`exp0-except number`	Não corresponda ao número de bits EXP ou ao intervalo de números de bits no cabeçalho TOS MPLS de um pacote. Para `number`, você pode especificar um ou mais valores de 0 a 7 em formato binário, decimais ou hexadecimal, conforme dado abaixo: Um único bit EXP — por exemplo, `exp0-except 3` Vários bits EXP — por exemplo, `exp0-except 0,4` Uma variedade de bits EXP — por exemplo, `exp0-except [0-5]`. Esses valores não são suportados em filtros aplicados à interface de loopback.
`exp1 number`	Número de bit experimental (EXP) ou alcance de números de bits no cabeçalho MPLS que fica ao lado do cabeçalho MPLS tos (topo da pilha). Para `number`, você pode especificar um ou mais valores de 0 a 7 em formato binário, decimais ou hexadecimal, conforme dado abaixo: Um único bit EXP — por exemplo, `exp1 3` Vários bits EXP — por exemplo, `exp1 0,4` Uma variedade de bits EXP — por exemplo, `exp1 [0-5]`. Esses valores não são suportados em filtros aplicados à interface de loopback.
`exp1-except number`	Não combine com o número de bit EXP ou o intervalo de números de bits no cabeçalho MPLS ao lado do cabeçalho TOS MPLS. Para `number`, você pode especificar um ou mais valores de 0 a 7 em formato binário, decimais ou hexadecimal, conforme dado abaixo: Um único bit EXP — por exemplo, `exp1-except 3` Vários bits EXP — por exemplo, `exp1-except 0,4` Uma variedade de bits EXP — por exemplo, `exp1-except [0-5]`. Esses valores não são suportados em filtros aplicados à interface de loopback.
`forwarding-class class`	Aula de encaminhamento. Especifique`assured-forwarding`, `best-effortexpedited-forwarding`ou `network-control`. Nota: Em PTX10001-36MR, PTX10003, PTX10004, PTX10008, PTX10016 roteadores `exp0` ou `exp1` bits são usados para obter a classe de encaminhamento.
`forwarding-class-except class`	Não corresponda à classe de encaminhamento. Especifique`assured-forwarding`, `best-effortexpedited-forwarding`ou `network-control`.
`interface interface-name`	Interface na qual o pacote foi recebido. Você pode configurar uma condição de correspondência que corresponda aos pacotes com base na interface na qual eles foram recebidos. Nota: Se você configurar essa condição de correspondência com uma interface que não existe, o termo não corresponde a nenhum pacote.
`interface-set interface-set-name`	Combine com a interface na qual o pacote foi recebido no conjunto de interface especificado. Para definir um conjunto de interface, inclua a `interface-set` declaração no nível de `[edit firewall]` hierarquia. Nota: Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX. Para obter mais informações, veja Filtragem de pacotes recebidos em uma visão geral do conjunto de interface.
`ip-version number`	Combine com a versão IP interna. Por exemplo, para combinar pacotes IPv4 com tag MPLS, combine com o sinônimo de `ipv4`texto. Dentro `ip-version number` você pode combinar ainda mais pacotes com base em endereços e portas de origem e destino. Consulte e Tabela 1 Tabela 2.
`label number`	Valor de rótulo MPLS ou intervalo de valores de rótulo no cabeçalho MPLS de um pacote. Para `number`, você pode especificar um ou mais valores de 0 a 1048575 em formato decimais ou hexadecimal, conforme dado abaixo: Um único rótulo — por exemplo, `label 3` Vários rótulos — por exemplo, `label 0,4` Uma variedade de rótulos — por exemplo, `label [0-5]`. Esses valores não são suportados em filtros aplicados à interface de loopback. Nota: Essa opção é preterida em dispositivos de PTX10001-36MR, PTX10003, PTX10004, PTX10008 e PTX10016 e é substituída por `label0`.
`label0 number`	Valor de rótulo MPLS ou intervalo de valores de rótulo no cabeçalho TOS MPLS de um pacote. Para `number`, você pode especificar um ou mais valores de 0 a 1048575 em formato decimais ou hexadecimal, conforme dado abaixo: Um único rótulo — por exemplo, `label0 3` Vários rótulos — por exemplo, `label0 0,4` Uma variedade de rótulos — por exemplo, `label0 [0-5]`. Esses valores não são suportados em filtros aplicados à interface de loopback.
`label0-except number`	Não corresponda ao valor do rótulo MPLS ou à faixa de valores de rótulo no cabeçalho TOS MPLS de um pacote. Para `number`, você pode especificar um ou mais valores de 0 a 1048575 em formato decimais ou hexadecimal, conforme dado abaixo: Um único rótulo — por exemplo, `label0-except 3` Vários rótulos — por exemplo, `label0-except 0,4` Uma variedade de rótulos — por exemplo, `label0-except [0-5]`. Esses valores não são suportados em filtros aplicados à interface de loopback.
`label1 number`	Combine com o valor do rótulo MPLS ou a faixa de valores de rótulo no rótulo de cabeçalho MPLS do cabeçalho MPLS que está ao lado do cabeçalho MPLS TOS. Para `number`, você pode especificar um ou mais valores de 0 a 1048575 em formato decimais ou hexadecimal, conforme dado abaixo: Um único rótulo — por exemplo, `label1 3` Vários rótulos — por exemplo, `label1 0,4` Uma variedade de rótulos — por exemplo, `label1 [0-5]`. Esses valores não são suportados em filtros aplicados à interface de loopback.
`label1-except number`	Não corresponda ao valor do rótulo MPLS ou à faixa de valores de rótulo no rótulo de cabeçalho MPLS do cabeçalho MPLS que fica ao lado do cabeçalho MPLS DO TOS. Para `number`, você pode especificar um ou mais valores de 0 a 1048575 em formato decimais ou hexadecimal, conforme dado abaixo: Um único rótulo — por exemplo, `label1-except 3` Vários rótulos — por exemplo, `label1-except 0,4` Uma variedade de rótulos — por exemplo, `label1-except [0-5]`. Esses valores não são suportados em filtros aplicados à interface de loopback.
`label number top` \| `bottom` \| `offset` `offset-value`	Combine com o rótulo superior ou inferior ou o rótulo em uma compensação especificada (da parte superior ou inferior da pilha de rótulos) do pacote MPLS de entrada. `top` - Combine com referência ao top-of-stack em direção ao fundo da pilha. `bottom` - Combine com referência à parte inferior da pilha em direção ao topo da pilha. `offset<offset-value>` - Combine com referência à profundidade de pilha MPLS em relação à parte superior ou inferior da pilha, onde `offset-value` = (0,15). `label` `number` `top` `offset` `offset-value` - O filtro de rótulo superior MPLS combina com uma compensação para empilhar lixamento de 0 a 15. 0 sendo a primeira posição de rótulo do topo da pilha para filtros implícitos e CLI. `label` `number` `bottom` `offset` `offset-value` - O filtro de rótulo inferior MPLS combina com uma compensação para empilhar lixamento de 0 a 15. 0 sendo a primeira posição de rótulo da parte inferior da pilha para filtros implícitos e CLI. `label` `number` `offset` `offset-value` - Se nenhuma opção, superior ou inferior, for fornecida ao `label` `number` lado, a correspondência padrão começa do topo da pilha com determinada compensação. Em outras palavras, a compensação do número de rótulos [n = 0,15] é equivalente à compensação superior do número de rótulos [n = 0,15]. `label` `number` - Se nenhuma opção for fornecida ao lado, `label` `number` a correspondência padrão será feita na etiqueta superior (offset implícito 0 e ponto âncora sendo top-of-stack). Nota: Filtrar correspondência no rótulo com compensação da profundidade da pilha MPLS pode não dar o comportamento esperado. Para combinar o rótulo do filtro com a posição como inferior, se a compensação estiver fora da profundidade da pilha MPLS, o filtro sempre será compatível com o rótulo de ponta da pilha. Para combinar o filtro com a posição como superior, se a compensação estiver fora da profundidade da pilha MPLS, apontará para pagar carga para combinar com o rótulo configurado. Nota: As opções de comando de configuração são introduzidas no Junos Release 22.3R1.
`loss-priority level`	Corresponda ao nível de prioridade de perda de pacote (PLP). Especifique um único nível ou vários níveis: `low`ou`medium-lowmedium-highhigh`... Suporte para roteadores M120 e M320; Roteadores M7i e M10i com CFEB aprimorado (CFEB-E); e roteadores da Série MX e switches da Série EX. Para tráfego IP em roteadores M320, Série MX e Série T com concentradores PIC flexíveis (FPCs) Aprimorados II e switches da Série EX, você deve incluir a `tri-color` declaração no `[edit class-of-service]` nível de hierarquia para confirmar uma configuração de PLP com qualquer um dos quatro níveis especificados. Se a `tri-color` declaração não estiver habilitada, você só poderá configurar os níveis e `low` os `high` níveis. Isso se aplica a todas as famílias de protocolo. Para obter informações sobre a `tri-color` declaração, veja Configuração e aplicação de policiais tricolores de marcação. Para obter informações sobre o uso de classificadores agregados de comportamento (BA) para definir o nível PLP de pacotes de entrada, veja Entenda como as aulas de encaminhamento atribuem classes às filas de saída. Nota: Em PTX10001-36MR, PTX10003, PTX10004, PTX10008, roteadores `exp0` de PTX10016 ou `exp1` bits são usados para obter a prioridade de perda.
`loss-priority-except level`	Não corresponda ao nível de PLP. Para obter mais informações, veja a condição da `loss-priority` partida. Nota: Esta condição de correspondência não é suportada em roteadores de transporte de pacotes da série PTX.
`source-port number`	Combine com o campo de porta de origem TCP ou UDP. Você não pode especificar as `port` condições e `source-port` combinar no mesmo termo. Se você configurar esta condição de correspondência para tráfego IPv4, recomendamos que você também configure a `protocol udp` declaração ou `protocol tcp` correspondência no mesmo termo para especificar qual protocolo está sendo usado na porta. No lugar do campo numérico, você pode especificar um dos sinônimos de texto listados em `destination-port`.
`ttl0 number`	Combine com o número de TTL ou o intervalo de números no cabeçalho TOS MPLS de um pacote. Time To Live (TTL) é um campo de 8 bits no rótulo MPLS que significa o tempo restante que um pacote deixou antes que sua vida útil termine e seja descartado. Para `number`, você pode especificar um valor de 0 a 255.
`ttl0-except number`	Não combine o número de TTL ou o intervalo de números no cabeçalho TOS MPLS de um pacote. Time To Live (TTL) é um campo de 8 bits no rótulo MPLS que significa o tempo restante que um pacote deixou antes que sua vida útil termine e seja descartado. Para `number`, você pode especificar um valor de 0 a 255.
`ttl1 number`	Combine com o número de TTL ou o intervalo de números no cabeçalho MPLS que está ao lado do cabeçalho TOS MPLS de um pacote. Time To Live (TTL) é um campo de 8 bits no rótulo MPLS que significa o tempo restante que um pacote deixou antes que sua vida útil termine e seja descartado. Para `number`, você pode especificar um valor de 0 a 255.
`ttl1-except number`	Não combine o número de TTL ou o intervalo de números no cabeçalho MPLS que está ao lado do cabeçalho TOS MPLS de um pacote. Time To Live (TTL) é um campo de 8 bits no rótulo MPLS que significa o tempo restante que um pacote deixou antes que sua vida útil termine e seja descartado. Para `number`, você pode especificar um valor de 0 a 255.

Nota:

exp0, exp0-except, exp1, , ip-versionlabel1exp1-exceptttl0label1-exceptlabel0label0-except, ttl0-excepte ttl1ttl1-except só são suportados em PTX10001-36MR, PTX10003, PTX10004, PTX10008, PTX10016.

Tabela 2 descreve as ações que você pode configurar para filtros de firewall MPLS no nível de [edit firewall family mpls filter filter-name term term-name then] hierarquia.

Tabela 2: Ações apoiadas para filtros de firewall MPLS
Ação	Descrição
`accept`	Aceite um pacote
`count counter-name`	Conte o número de pacotes que passam por este filtro ou termo. Nota: Recomendamos que você configure um contador para cada termo em um filtro de firewall, para que possa monitorar o número de pacotes que correspondam às condições especificadas em cada termo do filtro.
`discard`	Descarte um pacote silenciosamente sem enviar uma mensagem de Protocolo de Mensagem de Controle de Internet (ICMP)
`policer`	Começando pelo Junos OS 13.2X51-D15, você pode enviar tráfego compatível com um filtro MPLS para um policiador de duas cores.
`three-color-policer`	Começando pelo Junos OS 13.2X51-D15, você pode enviar tráfego compatível com um filtro MPLS para um policial de três cores.

Condições de correspondência do filtro de firewall para tráfego MPLS

Tópicos relacionados