ループバック インターフェイスでの MPLS ファイアウォール フィルターの概要
すべてのインターフェイスが重要ですが、ループバック インターフェイスは、すべてのルーティング プロトコルを実行および管理しているルーティング エンジンへのリンクであるため、最も重要な場合もあります。ループバック インターフェイスは、スイッチのルーティング エンジンに入るすべての制御トラフィックのゲートウェイです。このトラフィックは、 family mpls
のループバックインターフェイス(lo0)でファイアウォールフィルターを設定することで制御できます。ループバック ファイアウォール フィルターは、ルーティング エンジン CPU を宛先とするトラフィックにのみ影響します。ループバックファイアウォールフィルターは、 イングレス 方向(インターフェイスに入るパケット)にのみ適用できます。Junos OS リリース 19.2R1 以降では、QFX5100、QFX5110、QFX5200、および QFX5210 スイッチ上の LSR(ラベル スイッチ ルーター)上のループバック インターフェイスに MPLS ファイアウォール フィルターを適用できます。
MPLS ファイアウォール フィルタを設定する場合、パケットのフィルタリング基準(条件と一致条件)と、パケットがフィルタリング基準に一致した場合にスイッチが実行する アクション を定義します。フィルターはループバックインターフェイスに適用されるため、 family mpls
でTTL(Time-to-live)一致条件を明示的に指定し、そのTTL値を1(ttl=1
)に設定する必要があります。TTL は 8 ビット(IPv4)ヘッダー フィールドで、IP パケットのライフが終了してドロップされるまでの残り時間を示します。また、パケットを label
、 exp
、レイヤー 4 source port
、レイヤー 4 destination port
などの他の MPLS 修飾子と一致させることもできます。
ループバック インターフェイスに MPLS ファイアウォール フィルターを追加するメリット
信頼できるネットワークからのトラフィックのみを受け入れるようにすることで、ルーティング エンジンを保護します。
ルーティング エンジンをサービス拒否攻撃から保護します。
送信元ポートと宛先ポートでパケットを一致させる柔軟性が得られます。たとえば、トレースルートを実行する場合、TCP または UDP を選択することで、トラフィックを選択的にフィルタリングできます。
ガイドラインと制限事項
ループバックファイアウォールフィルターは、 イングレス 方向にのみ適用できます
MPLSフィールド
label
、exp
、ttl=1
、レイヤー4フィールドtcp
およびudp
ポート番号のみがサポートされます。accept
、discard
、およびcount
アクションのみがサポートされています。TLL パケットで照合するには、
family mpls
の下のttl=1
を明示的に指定する必要があります。ループバックインターフェイスに適用されるフィルターは、IPv6パケットの宛先ポート(内部ペイロード)ではマッチングできません。
MPLSラベルが2つを超えるパケットには、フィルターを適用できません。
TCP または UDP の一致条件にポート範囲を指定することはできません。
255 個のファイアウォール条件のみがサポートされています。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。