Configuração de filtros de firewall MPLS e policiais
Você pode configurar um filtro de firewall MPLS para contar pacotes com base nos bits EXP para o rótulo MPLS de alto nível em um pacote. Você também pode configurar policiais para LSPs MPLS.
As seções a seguir discutem filtros de firewall MPLS e policiais:
Configuração de filtros de firewall MPLS
Você pode configurar um filtro de firewall MPLS para contar pacotes com base nos bits EXP para o rótulo MPLS de alto nível em um pacote. Em seguida, você pode aplicar este filtro a uma interface específica na entrada ou saída. Você também pode configurar um policiador para o filtro MPLS à polícia (ou seja, limite de taxa) do tráfego na interface à qual o filtro está conectado. Você não pode aplicar filtros de firewall MPLS em interfaces de loopback.
Você pode configurar as seguintes condições de correspondência para filtros MPLS no nível de hierarquia:[edit firewall family mpls filter filter-name term term-name from]
exp
label
Estas condições de correspondência podem aceitar bits EXP na faixa de 0 a 7. Você pode configurar as seguintes opções:exp
Um único bit EXP — por exemplo,
exp 3;
Vários bits EXP — por exemplo,
exp 0, 4;
Uma variedade de bits EXP — por exemplo,
exp [0-5];
A condição da correspondência pode aceitar uma gama de valores de 0 a 1048575.label
Se você não especificar um critério de correspondência (ou seja, não configure a declaração e use apenas a declaração com a palavra-chave de ação ), todos os pacotes MPLS que passam pela interface em que o filtro é aplicado serão contados.from
then
count
Você também pode configurar qualquer uma das seguintes palavras-chave de ação no nível de hierarquia:[edit firewall family mpls filter filter-name term term-name then]
accept
count
discard
policer
three-color-policer
Exemplos: Configuração de filtros de firewall MPLS
Os exemplos a seguir ilustram como você pode configurar um filtro de firewall MPLS e, em seguida, aplicar o filtro em uma interface. Este filtro está configurado para contar pacotes MPLS com bits EXP definidos para 0 ou 4.
O seguinte mostra uma configuração para um filtro de firewall MPLS:
[edit firewall] family mpls { filter expf { term expt0 { from { exp 0,4; } then { count counter0; accept; } } } }
Configuração de policiais para LSPs
O policiamento LSP do MPLS permite que você controle a quantidade de tráfego encaminhado por um LSP específico. O policiamento ajuda a garantir que a quantidade de tráfego encaminhado por um LSP nunca exceda a alocação de largura de banda solicitada. O policiamento LSP é suportado em LSPs regulares, LSPs configurados com engenharia de tráfego consciente de DiffServ e LSPs multiclasse. Você pode configurar vários policiais para cada LSP multiclasse. Para LSPs regulares, cada policiador LSP é aplicado a todo o tráfego que atravessa o LSP. As limitações de largura de banda do policiador se tornam eficazes assim que a soma total de tráfego que atravessa o LSP excede o limite configurado.
Você configura o LSP multiclasse e os policiais LSP de engenharia de tráfego conscientes de DiffServ em um filtro. O filtro pode ser configurado para distinguir entre os diferentes tipos de classe e aplicar o policiador relevante a cada tipo de classe. Os policiais distinguem entre tipos de classe com base nos bits EXP.
Você configura os policiais LSP sob o filtro.family any
O filtro é usado porque o policial é aplicado ao tráfego que entra no LSP.family any
Esse tráfego pode ser de famílias diferentes: IPv6, MPLS etc. Você não precisa saber que tipo de tráfego está entrando no LSP, desde que as condições de correspondência se apliquem a todos os tipos de tráfego.
Limitações do LSP Policer
Ao configurar os policiais LSP MPLS, fique ciente das seguintes limitações:
Os policiais LSP têm suporte apenas para LSPs de pacotes.
Os policiais LSP são compatíveis apenas com o unicast next hops. Os próximos saltos multicast não são suportados.
Os policiais LSP não têm suporte em interfaces agregadas.
O policial LSP é executado antes de qualquer filtro de saída.
O tráfego proveniente do mecanismo de roteamento (por exemplo, tráfego de ping) não faz o mesmo caminho de encaminhamento que o tráfego de trânsito. Esse tipo de tráfego não pode ser policiado.