Condiciones de coincidencia del filtro de firewall para el tráfico MPLS

Puede configurar un filtro de firewall con condiciones coincidentes para el tráfico MPLS (family mpls).

Las input-list filter-names instrucciones y output-list filter-names de los filtros de firewall de la familia de mpls protocolos se admiten en todas las interfaces excepto en las interfaces de administración y Ethernet internas (fxp o em0), las interfaces de circuito cerrado (lo0) y las interfaces de módem USB (umd)
(QFX5100, QFX5110, QFX5200, QFX5210) Si va a aplicar un filtro MPLS en una interfaz de circuito cerrado, solo puede filtrar en los campos , , ttl=1, y Capa 4 tcp y udp número de labelexppuerto. Para TTL, debe especificar ttl=1 explícitamente en family mpls para que coincida en paquetes TTL=1. Las únicas acciones que puede configurar son accept, discard, y count. Puede aplicar el filtro solo en la dirección de entrada.
En el caso de los enrutadores de la serie MX con MPC y MIC, puede aplicar filtros de entrada y salida para la familia MPLS basados en parámetros IPv4 e IPv6 etiquetados con MPLS mediante condiciones de coincidencia de carga interna y habilitar la duplicación selectiva de puertos del tráfico MPLS en un dispositivo de supervisión (a partir de Junos OS versión 18.4R1). Para el filtrado basado en IP, hay condiciones de coincidencia adicionales disponibles bajo el parámetro de término from de filtro MPLS y, para admitir la creación de reflejo de puertos, hay acciones adicionales (como puerto-espejo y puerto-espejo-instancia) disponibles bajo el parámetro filter term then.

Tabla 1 Describe cómo match-conditions se puede configurar en el nivel jerárquico [edit firewall family mpls filter filter-name term term-name from] .

Tabla 1: Condiciones de coincidencia del filtro de firewall para el tráfico MPLS
Condición de coincidencia	Description
`apply-groups`	Especifique de qué grupos desea heredar los datos de configuración. Puede especificar más de un nombre de grupo. Debe enumerarlos en orden de prioridad de herencia. Los datos de configuración del primer grupo tienen prioridad sobre los datos de los grupos siguientes.
`apply-groups-except`	Especifique de qué grupos no desea heredar los datos de configuración. Puede especificar más de un nombre de grupo.
`destination-port number`	Coincidir en el campo Puerto de destino UDP o TCP. En lugar del valor numérico, puede especificar uno de los siguientes sinónimos de texto (también se enumeran los números de puerto): `afs`(1483), `bgp` (179), `biff` (512), `bootpc` (68), `bootps` (67), `cmd` (514), `cvspserver` (2401), `dhcp` (67), `domain` (53), `eklogin` (2105), `ekshell` (2106), `exec` (512), `finger` (79), `ftp` (21), `ftp-data` (20), `http` (80), `https` (443), `ident` (113), `imap` (143), `kerberos-sec` (88), `klogin` (543), `kpasswd` (761), `krb-prop` (754), `krbupdate` (760), `kshell` (544), `ldap` (389), `ldp` (646), `login` (513), `mobileip-agent` (434), `mobilip-mn` (435), `msdp` (639), `netbios-dgm` (138), `netbios-ns` (137), `netbios-ssn` (139), `nfsd` (2049), `nntp` (119), `ntalk` (518), `ntp` (123), `pop3` (110), `pptp` (1723), `printer` (515), `radacct` (1813), `radius` (1812), `rip` (520), `rkinit` (2108), `smtp` (25), `snmp` (161), `snmptrap` (162), `snpp` (444), `socks` (1080), `ssh` (22), `sunrpc` (111), `syslog` (514), `tacacs` (49), `tacacs-ds` (65), `talk` (517), `telnet` (23), `tftp` (69), `timed` (525), `who` (513) o `xdmcp` (177).
`exp number`	Número de bits experimental (EXP) o intervalo de números de bits en el encabezado MPLS de un paquete. Para `number`, puede especificar uno o más valores del 0 al 7 en formato binario, decimal o hexadecimal, como se indica a continuación: Un solo bit EXP, por ejemplo, `exp 3` Varios bits EXP, por ejemplo, `exp 0,4` Un rango de bits EXP, por ejemplo, `exp [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado. Nota: Esta condición de coincidencia está en desuso en los dispositivos PTX10001-36 MR, PTX10003, PTX10004, PTX10008 y PTX10016 y se sustituye por `exp0 number`.
`exp-except number`	No coincida en el número de bits EXP ni en el intervalo de números de bits del encabezado MPLS. Para `number`, puede especificar uno o varios valores desde `0` .`7` Nota: Esta condición de coincidencia está en desuso en los dispositivos PTX10001-36 MR, PTX10003, PTX10004, PTX10008 y PTX10016 y se sustituye por `exp0-except`.
`exp0 number`	Número de bits experimental (EXP) o rango de números de bits en el encabezado MPLS de TOS de un paquete. Para `number`, puede especificar uno o más valores del 0 al 7 en formato binario, decimal o hexadecimal, como se indica a continuación: Un solo bit EXP, por ejemplo, `exp0 3` Varios bits EXP, por ejemplo, `exp0 0,4` Un rango de bits EXP, por ejemplo, `exp0 [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado.
`exp0-except number`	No coincida con el número de bits EXP ni con el intervalo de números de bits en el encabezado MPLS de TOS de un paquete. Para `number`, puede especificar uno o más valores del 0 al 7 en formato binario, decimal o hexadecimal, como se indica a continuación: Un solo bit EXP, por ejemplo, `exp0-except 3` Varios bits EXP, por ejemplo, `exp0-except 0,4` Un rango de bits EXP, por ejemplo, `exp0-except [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado.
`exp1 number`	Número de bits experimental (EXP) o intervalo de números de bits en el encabezado MPLS situado junto al encabezado MPLS TOS (parte superior de la pila). Para `number`, puede especificar uno o más valores del 0 al 7 en formato binario, decimal o hexadecimal, como se indica a continuación: Un solo bit EXP, por ejemplo, `exp1 3` Varios bits EXP, por ejemplo, `exp1 0,4` Un rango de bits EXP, por ejemplo, `exp1 [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado.
`exp1-except number`	No coincida en el número de bits EXP ni en el intervalo de números de bits del encabezado MPLS situado junto al encabezado MPLS de TOS. Para `number`, puede especificar uno o más valores del 0 al 7 en formato binario, decimal o hexadecimal, como se indica a continuación: Un solo bit EXP, por ejemplo, `exp1-except 3` Varios bits EXP, por ejemplo, `exp1-except 0,4` Un rango de bits EXP, por ejemplo, `exp1-except [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado.
`forwarding-class class`	Clase de reenvío. Especifique `assured-forwarding`, `best-effort`, `expedited-forwarding`, o `network-control`. Nota: En PTX10001-36MR, se utilizan enrutadores `exp0` PTX10003, PTX10004, PTX10008 PTX10016 o `exp1` bits para obtener la clase de reenvío.
`forwarding-class-except class`	No coincida en la clase de reenvío. Especifique `assured-forwarding`, `best-effort`, `expedited-forwarding`, o `network-control`.
`interface interface-name`	Interfaz en la que se recibió el paquete. Puede configurar una condición de coincidencia que coincida con los paquetes en función de la interfaz en la que se recibieron. Nota: Si configura esta condición de coincidencia con una interfaz que no existe, el término no coincide con ningún paquete.
`interface-set interface-set-name`	Haga coincidir la interfaz en la que se recibió el paquete con el conjunto de interfaces especificado. Para definir un conjunto de interfaces, incluya la `interface-set` instrucción en el nivel de `[edit firewall]` jerarquía. Nota: Esta condición de coincidencia no se admite en los enrutadores de transporte de paquetes de la serie PTX. Para obtener más información, consulte Información general sobre el filtrado de paquetes recibidos en un conjunto de interfaces.
`ip-version number`	Coincidir con la versión de IP interna. Por ejemplo, para hacer coincidir paquetes IPv4 etiquetados con MPLS, haga coincidir en el texto el sinónimo `ipv4`. Dentro `ip-version number` de usted puede hacer coincidir aún más los paquetes en función de las direcciones y puertos de origen y destino. Consulte Tabla 1 y Tabla 2.
`label number`	Valor de etiqueta MPLS o rango de valores de etiqueta en el encabezado MPLS de un paquete. Para `number`, puede especificar uno o más valores del 0 al 1048575 en formato decimal o hexadecimal, como se indica a continuación: Una sola etiqueta, por ejemplo, `label 3` Varias etiquetas, por ejemplo, `label 0,4` Un rango de etiquetas, por ejemplo, `label [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado. Nota: Esta opción está en desuso en los dispositivos PTX10001-36MR, PTX10003, PTX10004, PTX10008 y PTX10016 y se sustituye por `label0`.
`label0 number`	Valor de etiqueta MPLS o rango de valores de etiqueta en el encabezado MPLS de TOS de un paquete. Para `number`, puede especificar uno o más valores del 0 al 1048575 en formato decimal o hexadecimal, como se indica a continuación: Una sola etiqueta, por ejemplo, `label0 3` Varias etiquetas, por ejemplo, `label0 0,4` Un rango de etiquetas, por ejemplo, `label0 [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado.
`label0-except number`	No coincida con el valor de etiqueta MPLS ni con el rango de valores de etiqueta en el encabezado MPLS de TOS de un paquete. Para `number`, puede especificar uno o más valores del 0 al 1048575 en formato decimal o hexadecimal, como se indica a continuación: Una sola etiqueta, por ejemplo, `label0-except 3` Varias etiquetas, por ejemplo, `label0-except 0,4` Un rango de etiquetas, por ejemplo, `label0-except [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado.
`label1 number`	Haga coincidir el valor de la etiqueta MPLS o el intervalo de valores de etiqueta en la etiqueta del encabezado MPLS del encabezado MPLS situado junto al encabezado MPLS de TOS. Para `number`, puede especificar uno o más valores del 0 al 1048575 en formato decimal o hexadecimal, como se indica a continuación: Una sola etiqueta, por ejemplo, `label1 3` Varias etiquetas, por ejemplo, `label1 0,4` Un rango de etiquetas, por ejemplo, `label1 [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado.
`label1-except number`	No coincida en el valor de etiqueta MPLS o rango de valores de etiqueta en la etiqueta de encabezado MPLS del encabezado MPLS que está junto al encabezado MPLS de TOS. Para `number`, puede especificar uno o más valores del 0 al 1048575 en formato decimal o hexadecimal, como se indica a continuación: Una sola etiqueta, por ejemplo, `label1-except 3` Varias etiquetas, por ejemplo, `label1-except 0,4` Un rango de etiquetas, por ejemplo, `label1-except [0-5]`. Estos valores no se admiten en los filtros aplicados a la interfaz de circuito cerrado.
`label number top` \| `bottom` \| `offset` `offset-value`	Haga coincidir la etiqueta superior, la etiqueta inferior o la etiqueta en un desplazamiento especificado (desde la parte superior o inferior de la pila de etiquetas) del paquete MPLS entrante. `top` - Hacer coincidir con referencia a la parte superior de la pila hacia la parte inferior de la pila. `bottom` - Hacer coincidir con referencia a la parte inferior de la pila hacia la parte superior de la pila. `offset<offset-value>` - Coincidir con referencia a la profundidad de pila MPLS con respecto a la parte superior o inferior de la pila, donde `offset-value` = (0..15). `label` `number` `top` `offset` `offset-value` - El filtro de etiqueta superior MPLS coincide con un desplazamiento para lijar la pila de 0 a 15. 0 es la primera posición de etiqueta desde la parte superior de la pila para los filtros implícitos y CLI. `label` `number` `bottom` `offset` `offset-value` - El filtro de etiqueta inferior MPLS coincide con un desplazamiento para lijar la pila de 0 a 15. 0 es la primera posición de etiqueta desde la parte inferior de la pila para los filtros implícitos y CLI. `label` `number` `offset` `offset-value` - Si no se proporcionan opciones, superior o inferior, al lado `label` `number` , la coincidencia predeterminada comienza desde la parte superior de la pila con el desplazamiento dado. En otras palabras, el desplazamiento del número de etiqueta [n = 0..15] es equivalente al desplazamiento superior del número de etiqueta [n = 0..15]. `label` `number` - Si no se proporcionan opciones al lado, `label` `number` la coincidencia predeterminada se realizará en la etiqueta superior (el desplazamiento implícito 0 y el punto de anclaje en la parte superior de la pila). Nota: Es posible que la coincidencia del filtro en la etiqueta con el desplazamiento fuera de la profundidad de la pila MPLS no proporcione el comportamiento esperado. Para que la etiqueta del filtro coincida con la posición como inferior, si el desplazamiento está fuera de la profundidad de la pila MPLS, el filtro siempre coincidirá con la etiqueta del final de la pila. Para que el filtro coincida con la posición como superior, si el desplazamiento está fuera de la profundidad de la pila MPLS, apuntará a pagar la carga para que coincida con la etiqueta configurada. Nota: Las opciones del comando de configuración se introdujeron en la versión 22.3R1 de Junos.
`loss-priority level`	Coincidir con el nivel de prioridad de pérdida de paquetes (PLP). Especifique uno o varios niveles: `low`, `medium-low`, `medium-high`, o `high`. Compatible con enrutadores M120 y M320; enrutadores M7i y M10i con el CFEB-E mejorado; y enrutadores serie MX y conmutadores serie EX. Para el tráfico IP en enrutadores serie M320, MX y T con concentradores PIC flexibles (FPC) II mejorados y conmutadores serie EX, debe incluir la `tri-color` instrucción en el `[edit class-of-service]` nivel de jerarquía para confirmar una configuración PLP con cualquiera de los cuatro niveles especificados. Si la `tri-color` instrucción no está habilitada, sólo podrá configurar los `high` niveles y `low` . Esto se aplica a todas las familias de protocolos. Para obtener información acerca de la `tri-color` instrucción, vea Configurar y aplicar políticas de marcado tricolor. Para obtener información acerca del uso de clasificadores de agregado de comportamiento (BA) para establecer el nivel PLP de los paquetes entrantes, consulte Descripción de cómo las clases de reenvío asignan clases a las colas de salida. Nota: En PTX10001-36MR, se utilizan enrutadores `exp0` PTX10003, PTX10004, PTX10008, PTX10016 o `exp1` bits para obtener la prioridad de pérdida.
`loss-priority-except level`	No coincida con el nivel de PLP. Para obtener más información, consulte la condición de `loss-priority` coincidencia. Nota: Esta condición de coincidencia no se admite en los enrutadores de transporte de paquetes de la serie PTX.
`source-port number`	Coincidir en el campo Puerto de origen TCP o UDP. No puede especificar las `port` condiciones y `source-port` coincidir en el mismo término. Si configura esta condición de coincidencia para el tráfico IPv4, se recomienda configurar también la `protocol udp` instrucción de coincidencia o `protocol tcp` en el mismo término para especificar qué protocolo se está utilizando en el puerto. En lugar del campo numérico, puede especificar uno de los sinónimos de texto enumerados en `destination-port`.
`ttl0 number`	Haga coincidir el número TTL o el rango de números en el encabezado MPLS de TOS de un paquete. Tiempo de vida (TTL) es un campo de 8 bits en la etiqueta MPLS que significa el tiempo restante que le queda a un paquete antes de que termine su vida útil y se caiga. Para `number`, puede especificar un valor del 0 al 255.
`ttl0-except number`	No coincida con el número TTL ni el intervalo de números en el encabezado MPLS de TOS de un paquete. Tiempo de vida (TTL) es un campo de 8 bits en la etiqueta MPLS que significa el tiempo restante que le queda a un paquete antes de que termine su vida útil y se caiga. Para `number`, puede especificar un valor del 0 al 255.
`ttl1 number`	Haga coincidir el número TTL o el intervalo de números en el encabezado MPLS que se encuentra junto al encabezado MPLS de TOS de un paquete. Tiempo de vida (TTL) es un campo de 8 bits en la etiqueta MPLS que significa el tiempo restante que le queda a un paquete antes de que termine su vida útil y se caiga. Para `number`, puede especificar un valor del 0 al 255.
`ttl1-except number`	No coincida con el número TTL ni el intervalo de números en el encabezado MPLS situado junto al encabezado MPLS TOS de un paquete. Tiempo de vida (TTL) es un campo de 8 bits en la etiqueta MPLS que significa el tiempo restante que le queda a un paquete antes de que termine su vida útil y se caiga. Para `number`, puede especificar un valor del 0 al 255.

Nota:

exp0, exp0-except, exp1, exp1-except, ip-version, label0label0-exceptlabel1label1-except, ttl0-exceptttl0ttl1y ttl1-except solo se admiten en PTX10001-36MR, PTX10003, PTX10004, PTX10008, PTX10016.

Tabla 2 describe las acciones que puede configurar para los filtros de firewall MPLS en el nivel jerárquico [edit firewall family mpls filter filter-name term term-name then] .

Tabla 2: Acciones admitidas para filtros de firewall MPLS
Acción	Description
`accept`	Aceptar un paquete
`count counter-name`	Cuente el número de paquetes que pasan este filtro o término. Nota: Se recomienda configurar un contador para cada término en un filtro de firewall, de modo que pueda supervisar el número de paquetes que coinciden con las condiciones especificadas en cada término de filtro.
`discard`	Descartar un paquete silenciosamente sin enviar un mensaje del Protocolo de mensajes de control de Internet (ICMP)
`policer`	A partir de Junos OS 13.2X51-D15, puede enviar tráfico coincidente con un filtro MPLS a un controlador de dos colores.
`three-color-policer`	A partir de Junos OS 13.2X51-D15, puede enviar tráfico coincidente con un filtro MPLS a un controlador de tres colores.

Condiciones de coincidencia del filtro de firewall para el tráfico MPLS

Temas relacionados