ループバック インターフェイスでの MPLS ファイアウォール フィルターの概要
すべてのインターフェイスが重要ですが、ループバック インターフェイスは、すべてのルーティング プロトコルを実行および管理しているルーティング エンジンへのリンクであるため、最も重要な場合もあります。ループバック インターフェイスは、スイッチのルーティング エンジンに入るすべての制御トラフィックのゲートウェイです。QFX5100、QFX5110、QFX5200、およびQFX5210スイッチのファミリーMPLS上のループバックインターフェイス(lo0)にファイアウォールフィルターを設定することで、トラフィックを制御できます。 ループバックファイアウォールフィルターは、ルーティングエンジンCPUを宛先とするトラフィックにのみ影響します。ループバックファイアウォールフィルターは、 イングレス 方向(インターフェイスに入るパケット)にのみ適用できます。Junos OS リリース 19.2R1 以降では、QFX5100、QFX5110、QFX5200、および QFX5210 スイッチ上の LSR(ラベル スイッチ ルーター)上のループバック インターフェイスに MPLS ファイアウォール フィルターを適用できます。
MPLS ファイアウォール フィルタを設定する場合、パケットのフィルタリング基準(条件と一致条件)と、パケットがフィルタリング基準に一致した場合にスイッチが実行する アクション を定義します。フィルターはループバックインターフェイスに適用されるため、 family mpls でTTL(Time-to-live)一致条件を明示的に指定し、そのTTL値を1(ttl=1)に設定する必要があります。TTL は 8 ビット(IPv4)ヘッダー フィールドで、IP パケットのライフが終了してドロップされるまでの残り時間を示します。また、パケットを label、 exp、レイヤー 4 source port、レイヤー 4 destination portなどの他の MPLS 修飾子と一致させることもできます。
ループバック インターフェイスに MPLS ファイアウォール フィルターを追加するメリット
-
信頼できるネットワークからのトラフィックのみを受け入れるようにすることで、ルーティング エンジンを保護します。
-
ルーティング エンジンをサービス拒否攻撃から保護します。
-
送信元ポートと宛先ポートでパケットを一致させる柔軟性が得られます。たとえば、トレースルートを実行する場合、TCP または UDP を選択することで、トラフィックを選択的にフィルタリングできます。
ガイドラインと制限事項
-
ループバックファイアウォールフィルターは、 イングレス 方向にのみ適用できます
-
MPLSフィールド
label、exp、ttl=1、レイヤー4フィールドtcpおよびudpポート番号のみがサポートされます。 -
accept、discard、およびcountアクションのみがサポートされています。 -
TLL パケットで照合するには、
family mplsの下のttl=1を明示的に指定する必要があります。 -
ループバックインターフェイスに適用されるフィルターは、IPv6パケットの宛先ポート(内部ペイロード)ではマッチングできません。
-
MPLSラベルが2つを超えるパケットには、フィルターを適用できません。
-
TCP または UDP の一致条件にポート範囲を指定することはできません。
-
255 個のファイアウォール条件のみがサポートされています。
プラットフォーム固有の MPLSファイアウォールフィルター の動作
|
プラットフォーム |
違い |
|---|---|
|
QFX5100 / QFX5110 / QFX5200 / QFX5210 |
Junos OS 19.2R1から |
|
MXシリーズ |
|
|
PTXシリーズ |
|
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。