Comment utiliser l'ACL définie par l'utilisateur pour faire correspondre les informations IP internes

7 0 0 0

Problème

PE1 ---- P ---- PE2

|

CE8850

Dans la topologie ci-dessus, un tunnel MPLS est établi entre PE1, P et PE2. P est un nœud de transit MPLS. La mise en miroir des ports est effectuée sur le nœud P. Tout le trafic entrant et sortant sur P est reflété sur CE8850. De cette façon, les paquets mis en miroir sur CE8850 sont des paquets IP avec des étiquettes MPLS. Le client souhaite filtrer les informations IP internes de ces paquets MPLS, telles que l'adresse IP source, l'adresse IP de destination, le numéro de protocole, le numéro de port source de couche 4 et le numéro de port de destination de couche 4, pour les statistiques de trafic et la surveillance.

Solution

Résumé de la résolution

Le CE8850 peut filtrer les informations IP internes des paquets MPLS en fonction du champ ipv4-head de la liste de contrôle d'accès définie par l'utilisateur (dont le numéro de liste de contrôle d'accès est 5000-5999).

Détails de la résolution

1. La plage ACL définie par l'utilisateur est 5000-5999. Vous pouvez extraire un élément de contenu du paquet en fonction de la position de décalage et du décalage. Notez que le décalage doit être un multiple de 4. Il existe trois modes:

(1) tête l2 : le décalage s'étend de 2 à 114. Pour les paquets IP courants, l'en-tête Ethernet externe peut être décalé. Les paquets MPLS ne peuvent être décalés que vers l'en-tête Ethernet.

(2) tête ipv4 : décalage varie de 0 à 96. Pour les paquets IP courants, l'en-tête IPv4 peut être décalé. Pour les paquets MPLS, il ne peut être décalé que vers la position d'étiquette MPLS.

(3) l4-head : le décalage s'étend de 0 à 96. Pour les paquets IP courants, l'en-tête UDP peut être décalé. Pour les paquets MPLS, il ne peut être décalé que vers la position d'étiquette MPLS.

2. La structure du paquet MPLS est la suivante: en-tête Ethernet + étiquette MPLS + en-tête IPv4. Par conséquent, si le mode tête ipv4 est sélectionné, le paquet MPLS ne peut être décalé qu'à la position d'étiquette MPLS. Pour correspondre à l'en-tête IPv4 interne, la valeur de décalage doit d'abord être ajoutée avec les octets de l'étiquette MPLS (chaque couche de l'étiquette MPLS fait 4 octets). Pour les paquets avec des étiquettes MPLS de couche N, la valeur de décalage par rapport à l'en-tête IPv4 est 4 * N.

imgDownload? uuid = 3d4eaa77eb6746a3ae744c0

3. La structure de l'en-tête IPv4 est la suivante: l'adresse IP source doit compenser 12 octets, l'adresse IP de destination doit compenser 16 octets, le numéro de protocole doit compenser 9 octets, le numéro de port source de la couche 4 doit compenser 20 octets, et le numéro de port de destination de la couche 4 doit compenser 22 octets.

imgDownload? uuid = 49c224c9448e42ff900bbf0

4. Par conséquent, pour un paquet avec des étiquettes MPLS de couche N, les informations IP internes peuvent être mises en correspondance selon le décalage suivant:

(1) Correspond à l'IP source interne
acl 5000
autorisation de règle ipv4-head 0x01010101 0xffffffff 4 * N + 12
(a) 0x01010101 est l'adresse IP source interne.
(b) "0xffffffff" indique le masque. "f" indique que le bit correspondant doit être strictement mis en correspondance. "0" indique que le bit correspondant n'a pas besoin d'être mis en correspondance.
(c) 4 * N + 12 est le décalage, indiquant que les 4 * N + 12 octets sont décalés de l'en-tête du paquet MPLS, qui est l'adresse IP source du paquet interne.
(d) La signification de cette règle est de décaler les 4 * N + 12 octets de l'en-tête du paquet MPLS et de correspondre strictement à l'IP source 01010101.

(2) Faites correspondre l'adresse IP de destination interne.
acl 5000
autorisation de règle ipv4-head 0x02020202 0xffffffff 4 * N + 16
(a) 0x02020202 est l'adresse IP de destination interne.
(b) La signification de cette règle est de décaler les 4 * N + 16 octets de l'en-tête du paquet MPLS et de correspondre strictement à l'IP de destination 02020202.

(3) Faites correspondre le numéro de protocole TCP interne.
acl 5000
autorisation de règle ipv4-head 0x00060000 0x00ff0000 4 * N + 8
(a) Le décalage de l'octet 4 * N + 8 par rapport à l'en-tête du paquet MPLS est le TTL, et l'octet suivant est le numéro de protocole TCP. Cependant, comme le décalage ne peut être qu'un multiple de 4, seul l'octet 4 * N + 8 peut être décalé.

(b) Il peut utiliser le masque pour ignorer la valeur TTL et correspondre uniquement au numéro de protocole TCP. Autrement dit, la valeur de masque de l'octet du numéro de protocole TCP est "ff" et le masque des autres octets est défini sur "00".

(c) La signification de cette règle est que les 4 * N + 8 octets sont décalés de l'en-tête du paquet MPLS, le premier octet est ignoré et la valeur 6 du deuxième octet est strictement mise en correspondance, qui est le protocole TCP nombre.

(4) Faites correspondre le numéro de port source TCP interne.
acl 5000
autorisation de règle ipv4-head 0x12340000 0xffff0000 4 * N + 20
La signification de cette règle est que les 4 * N + 20 octets sont décalés de l'en-tête du paquet MPLS, et les deux derniers octets sont strictement mis en correspondance, c'est-à-dire le numéro de port source interne.

(5) Correspond au numéro de port de destination TCP interne

acl 5000
autorisation de règle ipv4-head 0x00005678 0x0000ffff 4 * N + 20
La signification de cette règle est que les 4 * N + 20 octets sont décalés de l'en-tête du paquet MPLS, les deux premiers octets sont ignorés et les deux derniers octets sont strictement mis en correspondance, qui est le numéro de port de destination interne.

(6) Faites correspondre les numéros de port source et de destination TCP internes.
acl 5000
autorisation de règle ipv4-head 0x12345678 0xffffffff 4 * N + 20

5. Remarque:
(1) Le décalage doit être un multiple de 4 et les valeurs de décalage maximales prises en charge par les différents modes de la règle définie par usr sont différentes (répertoriées ci-dessus).

(2) Lorsque vous utilisez cette méthode, vous devez connaître la structure du paquet, connaître l'emplacement du paquet à faire correspondre et utiliser le décalage correct pour faire correspondre les informations du paquet.

(3) Cette méthode nécessite des ressources ACL. Avant d'utiliser cette méthode, vérifiez si les ressources ACL sont suffisantes.



  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier