Filtros de firewall para MPLS
Configuração de filtros de firewall MPLS e policiais em roteadores
Você pode configurar um filtro de firewall MPLS para contar pacotes com base nos bits EXP para o rótulo MPLS de alto nível em um pacote. Você também pode configurar policiais para LSPs MPLS.
As seções a seguir discutem filtros de firewall MPLS e policiais:
- Configuração de filtros de firewall MPLS
- Exemplos: Configuração de filtros de firewall MPLS
- Configuração de policiais para LSPs
- Exemplo: Configurando um LSP Policer
- Configuração de policiais automáticos
- Escrevendo diferentes valores de DSCP e EXP em pacotes DE IP com tags MPLS
Configuração de filtros de firewall MPLS
Você pode configurar um filtro de firewall MPLS para contar pacotes com base nos bits EXP para o rótulo MPLS de alto nível em um pacote. Em seguida, você pode aplicar este filtro em uma interface específica. Você também pode configurar um policiador para o filtro MPLS à polícia (ou seja, limite de taxa) do tráfego na interface à qual o filtro está conectado. Você não pode aplicar filtros de firewall MPLS em interfaces Ethernet (fxp0) ou loopback (lo0).
Você pode configurar os seguintes atributos de critérios de correspondência para filtros MPLS no nível de hierarquia:[edit firewall family mpls filter filter-name term term-name from]
expexp-except
Esses atributos podem aceitar bits EXP na faixa de 0 a 7. Você pode configurar as seguintes opções:
Um único bit EXP — por exemplo,
exp 3;Vários bits EXP — por exemplo,
exp 0, 4;Uma variedade de bits EXP — por exemplo,
exp [0-5];
Se você não especificar um critério de correspondência (ou seja, não configure a declaração e use apenas a declaração com a palavra-chave de ação ), todos os pacotes MPLS que passam pela interface em que o filtro é aplicado serão contados.fromthencount
Você também pode configurar qualquer uma das seguintes palavras-chave de ação no nível de hierarquia:[edit firewall family mpls filter filter-name term term-name then]
countacceptdiscardnextpolicer
Para obter mais informações sobre como configurar filtros de firewall, consulte as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html Para obter mais informações sobre como configurar interfaces, consulte a Biblioteca de interfaces de rede do Junos OS para dispositivos de roteamento e a Biblioteca de interfaces de serviços do Junos OS para dispositivos de roteamento.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-network-interfaces/network-interfaces.htmlhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/services-interfaces/index.html
Exemplos: Configuração de filtros de firewall MPLS
Os exemplos a seguir ilustram como você pode configurar um filtro de firewall MPLS e, em seguida, aplicar o filtro em uma interface. Este filtro está configurado para contar pacotes MPLS com bits EXP definidos para 0 ou 4.
O seguinte mostra uma configuração para um filtro de firewall MPLS:
[edit firewall]
family mpls {
filter expf {
term expt0 {
from {
exp 0,4;
}
then {
count counter0;
accept;
}
}
}
}
O seguinte mostra como aplicar o filtro de firewall MPLS em uma interface:
[edit interfaces]
so-0/0/0 {
mtu 4474;
encapsulation ppp;
sonet-options {
fcs 32;
}
unit 0 {
point-to-point;
family mpls {
filter {
input expf;
output expf;
}
}
}
}
O filtro de firewall MPLS é aplicado à entrada e saída de uma interface (veja as declarações e as declarações no exemplo anterior).inputoutput
Configuração de policiais para LSPs
O policiamento LSP do MPLS permite que você controle a quantidade de tráfego encaminhado por um LSP específico. O policiamento ajuda a garantir que a quantidade de tráfego encaminhado por um LSP nunca exceda a alocação de largura de banda solicitada. O policiamento LSP é suportado em LSPs regulares, LSPs configurados com engenharia de tráfego consciente de DiffServ e LSPs multiclasse. Você pode configurar vários policiais para cada LSP multiclasse. Para LSPs regulares, cada policiador LSP é aplicado a todo o tráfego que atravessa o LSP. As limitações de largura de banda do policiador se tornam eficazes assim que a soma total de tráfego que atravessa o LSP excede o limite configurado.
O roteador PTX10003 oferece suporte apenas a LSPs regulares.
Você configura o LSP multiclasse e os policiais LSP de engenharia de tráfego conscientes de DiffServ em um filtro. O filtro pode ser configurado para distinguir entre os diferentes tipos de classe e aplicar o policiador relevante a cada tipo de classe. Os policiais distinguem entre tipos de classe com base nos bits EXP.
Você configura os policiais LSP sob o filtro.family any O filtro é usado porque o policial é aplicado ao tráfego que entra no LSP.family any Esse tráfego pode ser de famílias diferentes: IPv6, MPLS etc. Você não precisa saber que tipo de tráfego está entrando no LSP, desde que as condições de correspondência se apliquem a todos os tipos de tráfego.
Você pode configurar apenas aquelas condições compatíveis que se aplicam em todos os tipos de tráfego. A seguir, as condições de correspondência suportadas para os policiais LSP:
forwarding-classpacket-lengthinterfaceinterface-set
Para habilitar um policiador em um LSP, primeiro você precisa configurar um filtro de policiamento e depois incluí-lo na configuração de LSP. Para obter informações sobre como configurar policiais, veja as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego.https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/config-guide-policy/config-guide-policy.html
Para configurar um policiador para um LSP, especifique um filtro incluindo a opção à declaração:filterpolicing
policing { filter filter-name; }
Você pode incluir a declaração nos seguintes níveis de hierarquia:policing
[edit protocols mpls label-switched-path lsp-name][edit protocols mpls static-label-switched-path lsp-name][edit logical-systems logical-system-name protocols mpls label-switched-path lsp-name][edit logical-systems logical-system-name protocols mpls static-label-switched-path lsp-name]
Limitações do LSP Policer
Ao configurar os policiais LSP MPLS, fique ciente das seguintes limitações:
-
Os policiais LSP têm suporte apenas para LSPs de pacotes.
-
Os policiais LSP são compatíveis apenas com o unicast next hops. Os próximos saltos multicast não são suportados.
-
Os policiais LSP não têm suporte em interfaces agregadas.
-
O policial LSP é executado antes de qualquer filtro de saída.
-
O tráfego proveniente do mecanismo de roteamento (por exemplo, tráfego de ping) não faz o mesmo caminho de encaminhamento que o tráfego de trânsito. Esse tipo de tráfego não pode ser policiado.
-
Os policiais LSP trabalham em todos os roteadores da Série T e em roteadores da Série M que têm o circuito integrado (ASIC) específico para aplicativos(ASIC) do Processador de Internet II.
- Os policiais LSP não têm suporte para LSPs ponto a multiponto.
Começando pelo Junos OS Release 12.2R2, somente nos roteadores da Série T, você pode configurar um policiador LSP para que um LSP específico seja compartilhado em diferentes tipos de família de protocolo. Para isso, você deve configurar a declaração de interface lógica-policiador no nível de hierarquia.logical-interface-policer[edit firewall policer policer-name]
Exemplo: Configurando um LSP Policer
O exemplo a seguir mostra como você pode configurar um filtro de policiamento para um LSP:
[edit firewall]
policer police-ct1 {
if-exceeding {
bandwidth-limit 50m;
burst-size-limit 1500;
}
then {
discard;
}
}
policer police-ct0 {
if-exceeding {
bandwidth-limit 200m;
burst-size-limit 1500;
}
then {
discard;
}
}
family any {
filter bar {
term discard-ct0 {
then {
policer police-ct0;
accept;
}
}
}
term discard-ct1 {
then {
policer police-ct1;
accept;
}
}
}
Configuração de policiais automáticos
O policiamento automático de LSPs permite que você ofereça garantias de serviço rigorosas para o tráfego de rede. Essas garantias são especialmente úteis no contexto de serviços diferenciados para LSPs projetados em tráfego, fornecendo melhor emulação para fios ATM em uma rede MPLS. Para obter mais informações sobre serviços diferenciados para LSPs, consulte A introdução da engenharia de tráfego consciente da DiffServ.https://www.juniper.net/documentation/en_US/junos/topics/topic-map/diffserv-aware-traffic-engineering-configuraion.html
Serviços diferenciados para LSPs projetados em tráfego permitem que você forneça tratamento diferencial ao tráfego MPLS com base nos bits EXP. Para garantir essas garantias de tráfego, é insuficiente simplesmente marcar o tráfego adequadamente. Se o tráfego seguir um caminho congestionado, os requisitos podem não ser atendidos.
Os LSPs têm a garantia de serem estabelecidos ao longo de caminhos onde recursos suficientes estão disponíveis para atender aos requisitos. No entanto, mesmo que os LSPs sejam estabelecidos em tais caminhos e estejam marcados corretamente, esses requisitos não podem ser garantidos a menos que você garanta que não haja mais tráfego enviado a um LSP do que a largura de banda disponível.
É possível policiar o tráfego LSP configurando manualmente um filtro apropriado e aplicando-o ao LSP na configuração. No entanto, para grandes implantações, é complicado configurar milhares de filtros diferentes. Os grupos de configuração também não podem resolver esse problema, uma vez que diferentes LSPs podem ter diferentes requisitos de largura de banda, exigindo filtros diferentes. Para policiar o tráfego de vários LSPs, é melhor configurar policiais automáticos.
Quando você configura policiais automáticos para LSPs, um policial é aplicado a todos os LSPs configurados no roteador. No entanto, você pode desativar o policiamento automático em LSPs específicos.
Quando você configura policiais automáticos para LSP de engenharia de tráfego consciente de DiffServ, o GRES não é compatível.
Você não pode configurar o policiamento automático para LSPs que transportam tráfego CCC.
As seções a seguir descrevem como configurar os policiais automáticos para LSPs:
- Configuração de policiais automáticos para LSPs
- Configuração de policiais automáticos para LSPs de engenharia de tráfego conscientes de DiffServ
- Configuração de policiais automáticos para LSPs de ponto a multiponto
- Desativação do policiamento automático em um LSP
- Exemplo: Configuração do policiamento automático para um LSP
Configuração de policiais automáticos para LSPs
Para configurar policiais automáticos para LSPs padrão (nem LSPs projetados por DiffServ nem LSPs multiclasse), inclua a declaração com a opção ou a opção :auto-policingclass all policer-actionclass ct0 policer-action
auto-policing { class all policer-action; class ct0 policer-action; }
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
Você pode configurar as seguintes ações de policiador para policiais automáticos:
drop— Solte todos os pacotes.loss-priority-high— Definir a prioridade de perda de pacotes (PLP) em alta.loss-priority-low— Defina o PLP para baixo.
Essas ações de policiamento são aplicáveis a todos os tipos de LSPs. A ação padrão do policial é não fazer nada.
Os policiais automáticos para LSPs policiam o tráfego com base na quantidade de largura de banda configurada para os LSPs. Você configura a largura de banda para um LSP usando a declaração no nível de hierarquia.bandwidth[edit protocols mpls label-switched-path lsp-path-name] Se você tiver habilitado policiais automáticos em um roteador, altere a largura de banda configurada para um LSP e comprometa a configuração revisada, a mudança não afetará os LSPs ativos. Para forçar os LSPs a usar a nova alocação de largura de banda, emita um comando.clear mpls lsp
Você não pode configurar policiais automáticos para LSPs que atravessam interfaces agregadas ou interfaces de protocolo ponto a ponto (MLPPP) multilink.
Configuração de policiais automáticos para LSPs de engenharia de tráfego conscientes de DiffServ
Para configurar policiais automáticos para LSPs de engenharia de tráfego conscientes de DiffServ e para LSPs multiclasse, inclua a declaração:auto-policing
auto-policing { class all policer-action; class ctnumber policer-action; }
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
Você inclui a declaração ou uma declaração para cada uma das aulas ou mais (você pode configurar uma ação de policial diferente para cada classe).class all policer-actionclass ctnumber policer-action Para obter uma lista das ações que você pode substituir pela variável, veja .policer-actionConfiguração de policiais automáticos para LSPs A ação padrão do policial é não fazer nada.
Você não pode configurar policiais automáticos para LSPs que atravessam interfaces agregadas ou interfaces MLPPP.
Configuração de policiais automáticos para LSPs de ponto a multiponto
Você pode configurar policiais automáticos para LSPs de ponto a multiponto, incluindo a declaração com a opção ou a opção .auto-policingclass all policer-actionclass ct0 policer-action Você só precisa configurar a declaração no LSP principal de ponto a multiponto (para obter mais informações sobre LSPs primários de ponto a multiponto, veja Configuração do LSP principal de ponto para multiponto).auto-policinghttps://www.juniper.net/documentation/en_US/junos/topics/usage-guidelines/mpls-configuring-primary-and-branch-lsps-for-point-to-multipoint-lsps.html Nenhuma configuração adicional é necessária no subLSPs para o LSP de ponto a multiponto. O policiamento automático de ponto a multiponto é aplicado a todas as filiais do LSP ponto a multiponto. Além disso, o policiamento automático é aplicado a quaisquer interfaces VRF locais que tenham a mesma entrada de encaminhamento que uma filial de ponto a multiponto. A paridade de recursos para policiais automáticos para LSPs ponto a multiponto MPLS no chipset Junos Trio é suportada nos versões Junos OS 11.1R2, 11.2R2 e 11.4.
A configuração automática do policiador para LSPs ponto a multiponto é idêntica à configuração automática do policiamento para LSPs padrão. Para obter mais informações, veja .Configuração de policiais automáticos para LSPs
Desativação do policiamento automático em um LSP
Quando você habilita o policiamento automático, todos os LSPs no roteador ou sistema lógico são afetados. Para desativar o policiamento automático em um LSP específico em um roteador onde você habilitou o policiamento automático, inclua a declaração com a opção :policingno-auto-policing
policing no-auto-policing;
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit protocols mpls label-switched-path lsp-name][edit logical-systems logical-system-name protocols mpls label-switched-path lsp-name]
Exemplo: Configuração do policiamento automático para um LSP
Configure o policiamento automático para um LSP multiclasse, especificando diferentes ações para tipos de classe, e.ct0ct1ct2ct3
[edit protocols mpls]
diffserv-te {
bandwidth-model extended-mam;
}
auto-policing {
class ct1 loss-priority-low;
class ct0 loss-priority-high;
class ct2 drop;
class ct3 loss-priority-low;
}
traffic-engineering bgp-igp;
label-switched-path sample-lsp {
to 3.3.3.3;
bandwidth {
ct0 11;
ct1 1;
ct2 1;
ct3 1;
}
}
interface fxp0.0 {
disable;
}
interface t1-0/5/3.0;
interface t1-0/5/4.0;
Escrevendo diferentes valores de DSCP e EXP em pacotes DE IP com tags MPLS
Você pode definir seletivamente o campo de ponto de código DiffServ (DSCP) de pacotes IPv4 e IPv6 marcados por MPLS para 0 sem afetar a atribuição da fila de saída, e continuar a definir o campo MPLS EXP de acordo com a tabela de reescrita configurada, que é baseada em aulas de encaminhamento. Você pode realizar isso configurando um filtro de firewall para os pacotes com tags MPLS.
Visão geral dos filtros de firewall MPLS na interface de loopback
Embora todas as interfaces sejam importantes, a interface de loopback pode ser a mais importante porque é o link para o Mecanismo de Roteamento, que executa e gerencia todos os protocolos de roteamento. A interface de loopback é um gateway para todo o tráfego de controle que entra no mecanismo de roteamento do switch. Você pode controlar esse tráfego configurando um filtro de firewall na interface de loopback (lo0) em .family mpls Os filtros de firewall de loopback afetam apenas o tráfego destinado à CPU do mecanismo de roteamento. Você pode aplicar um filtro de firewall de loopback apenas na direção de entrada (pacotes que entram na interface). A partir do Junos OS Release 19.2R1, você pode aplicar um filtro de firewall MPLS em uma interface de loopback em um roteador de switch de rótulo (LSR) em QFX5100, QFX5110, QFX5200 e switches de QFX5210.
Ao configurar um filtro de firewall MPLS, você define critérios de filtragem (termos, com condições de correspondência) para os pacotes e uma ação para o switch tomar se os pacotes corresponderem aos critérios de filtragem. Como você aplica o filtro em uma interface de loopback, você deve especificar explicitamente a condição de correspondência do tempo de vida (TTL) sob e definir seu valor de TTL em 1 ().family mplsttl=1 O TTL é um campo de cabeçalho de 8 bits (IPv4) que significa o tempo restante que um pacote IP deixou antes que sua vida útil termine e seja descartado. Você também pode combinar pacotes com outras qualificatórias MPLS, como, Camada 4 e Camada 4.labelexpsource portdestination port
Benefícios da inclusão de filtros de firewall MPLS na interface de loopback
Protege o mecanismo de roteamento, garantindo que ele aceite o tráfego apenas de redes confiáveis.
Ajuda a proteger o mecanismo de roteamento contra ataques de negação de serviço.
Oferece a flexibilidade para combinar pacotes na porta de origem e na porta de destino. Por exemplo, se você executar um traceroute, você pode filtrar o tráfego seletivamente escolhendo TCP ou UDP.
Diretrizes e limitações
Você pode aplicar um filtro de firewall de loopback apenas na direção de entrada
Apenas os campos MPLS e os campos de Camada 4 e os números de porta são suportados.
labelexpttl=1tcpudpApenas , e as ações são apoiadas.
acceptdiscardcountVocê deve especificar explicitamente abaixo para combinar em pacotes TLL.
ttl=1family mplsOs filtros aplicados na interface de loopback não podem ser combinados na porta de destino (carga interna) de um pacote IPv6.
Você não pode aplicar um filtro em pacotes que tenham mais de duas etiquetas MPLS.
Você não pode especificar um intervalo de portas para condições de correspondência de TCP ou UDP.
Apenas 255 termos de firewall são suportados.
Configuração de filtros de firewall MPLS e policiais em switches
Você pode configurar filtros de firewall para filtrar o tráfego MPLS. Para usar um filtro de firewall MPLS, você deve primeiro configurar o filtro e depois aplicá-lo em uma interface que você configurou para o encaminhamento do tráfego MPLS. Você também pode configurar um policiador para o filtro MPLS à polícia (ou seja, limite de taxa) do tráfego na interface à qual o filtro está conectado.
Ao configurar um filtro de firewall MPLS, você define os critérios de filtragem (termos, com condições de correspondência) e uma ação para o switch tomar se os pacotes corresponderem aos critérios de filtragem.
Você só pode configurar filtros MPLS na direção de entrada. Os filtros de firewall MPLS de saída não são suportados.
- Configuração de um filtro de firewall MPLS
- Aplicar um filtro de firewall MPLS em uma interface MPLS
- Aplicar um filtro de firewall MPLS em uma interface de loopback
- Configuração de policiais para LSPs
Configuração de um filtro de firewall MPLS
Para configurar um filtro de firewall MPLS:
Aplicar um filtro de firewall MPLS em uma interface MPLS
Para aplicar o filtro de firewall MPLS em uma interface que você configurou para o encaminhamento do tráfego MPLS (usando a declaração no nível hierárquica ):family mpls[edit interfaces interface-name unit unit-number]
Você só pode aplicar filtros de firewall para filtrar pacotes MPLS que entram em uma interface.
Aplicar um filtro de firewall MPLS em uma interface de loopback
Aplicar um filtro de firewall MPLS em uma interface de loopback (lo0):
A configuração a seguir é um exemplo.
set groups lo_mpls_filter interfaces lo0 unit 0 family mpls filter input mpls_loset groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term from ttl 1set groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term from ip-version ipv4 protocol udp source-port 10set groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term from ip-version ipv4 protocol udp destination-port 11set groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term then count c1set groups lo_mpls_filter firewall family mpls filter mpls_lo term mpls_lo_term then accept
Configuração de policiais para LSPs
Começando pelo Junos OS 13.2X51-D15, você pode enviar tráfego compatível com um filtro MPLS para um policiador de duas cores ou um policial de três cores. O policiamento LSP do MPLS permite que você controle a quantidade de tráfego encaminhado por um LSP específico. O policiamento ajuda a garantir que a quantidade de tráfego encaminhado por um LSP nunca exceda a alocação de largura de banda solicitada. O policiamento LSP é suportado em LSPs regulares, LSPs configurados com engenharia de tráfego consciente de DiffServ e LSPs multiclasse. Você pode configurar vários policiais para cada LSP multiclasse. Para LSPs regulares, cada policiador LSP é aplicado a todo o tráfego que atravessa o LSP. As limitações de largura de banda do policiador se tornam eficazes assim que a soma total de tráfego que atravessa o LSP excede o limite configurado.
Você configura o LSP multiclasse e os policiais LSP de engenharia de tráfego conscientes de DiffServ em um filtro. O filtro pode ser configurado para distinguir entre os diferentes tipos de classe e aplicar o policiador relevante a cada tipo de classe. Os policiais distinguem entre tipos de classe com base nos bits EXP.
Você configura os policiais LSP sob o filtro.family any O filtro é usado porque o policial é aplicado ao tráfego que entra no LSP.family any Esse tráfego pode ser de famílias diferentes: IPv6, MPLS etc. Você não precisa saber que tipo de tráfego está entrando no LSP, desde que as condições de correspondência se apliquem a todos os tipos de tráfego.
Ao configurar os policiais LSP MPLS, fique ciente das seguintes limitações:
Os policiais LSP têm suporte apenas para LSPs de pacotes.
Os policiais LSP são compatíveis apenas com o unicast next hops. Os próximos saltos multicast não são suportados.
O policial LSP é executado antes de qualquer filtro de saída.
O tráfego proveniente do mecanismo de roteamento (por exemplo, tráfego de ping) não faz o mesmo caminho de encaminhamento que o tráfego de trânsito. Esse tipo de tráfego não pode ser policiado.
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.