Configuração de filtros de firewall MPLS e policiais em roteadores
Você pode configurar um filtro de firewall MPLS para contar pacotes com base nos bits EXP para o rótulo MPLS de alto nível em um pacote. Você também pode configurar policiais para LSPs MPLS.
As seções a seguir discutem filtros de firewall MPLS e policiais:
Configuração de filtros de firewall MPLS
Você pode configurar um filtro de firewall MPLS para contar pacotes com base nos bits EXP para o rótulo MPLS de alto nível em um pacote. Em seguida, você pode aplicar este filtro em uma interface específica. Você também pode configurar um policiador para o filtro MPLS à polícia (ou seja, limite de taxa) do tráfego na interface à qual o filtro está conectado. Você não pode aplicar filtros de firewall MPLS em interfaces Ethernet (fxp0) ou loopback (lo0).
Você pode configurar os seguintes atributos de critérios de correspondência para filtros MPLS no nível de [edit firewall family mpls filter filter-name term term-name from]
hierarquia:
exp
exp-except
Esses atributos podem aceitar bits EXP na faixa de 0 a 7. Você pode configurar as seguintes opções:
Um único bit EXP — por exemplo,
exp 3;
Vários bits EXP — por exemplo,
exp 0, 4;
Uma variedade de bits EXP — por exemplo,
exp [0-5];
Se você não especificar um critério de correspondência (ou seja, não configure a from
declaração e use apenas a then
declaração com a palavra-chave de ação count
), todos os pacotes MPLS que passam pela interface em que o filtro é aplicado serão contados.
Você também pode configurar qualquer uma das seguintes palavras-chave de ação no nível de [edit firewall family mpls filter filter-name term term-name then]
hierarquia:
count
accept
discard
next
policer
Para obter mais informações sobre como configurar filtros de firewall, consulte as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego. Para obter mais informações sobre como configurar interfaces, consulte a Biblioteca de interfaces de rede do Junos OS para dispositivos de roteamento e a Biblioteca de interfaces de serviços do Junos OS para dispositivos de roteamento.
Exemplos: Configuração de filtros de firewall MPLS
Os exemplos a seguir ilustram como você pode configurar um filtro de firewall MPLS e, em seguida, aplicar o filtro em uma interface. Este filtro está configurado para contar pacotes MPLS com bits EXP definidos para 0 ou 4.
O seguinte mostra uma configuração para um filtro de firewall MPLS:
[edit firewall] family mpls { filter expf { term expt0 { from { exp 0,4; } then { count counter0; accept; } } } }
O seguinte mostra como aplicar o filtro de firewall MPLS em uma interface:
[edit interfaces] so-0/0/0 { mtu 4474; encapsulation ppp; sonet-options { fcs 32; } unit 0 { point-to-point; family mpls { filter { input expf; output expf; } } } }
O filtro de firewall MPLS é aplicado à entrada e saída de uma interface (veja as declarações e output
as input
declarações no exemplo anterior).
Configuração de policiais para LSPs
O policiamento LSP do MPLS permite que você controle a quantidade de tráfego encaminhado por um LSP específico. O policiamento ajuda a garantir que a quantidade de tráfego encaminhado por um LSP nunca exceda a alocação de largura de banda solicitada. O policiamento LSP é suportado em LSPs regulares, LSPs configurados com engenharia de tráfego consciente de DiffServ e LSPs multiclasse. Você pode configurar vários policiais para cada LSP multiclasse. Para LSPs regulares, cada policiador LSP é aplicado a todo o tráfego que atravessa o LSP. As limitações de largura de banda do policiador se tornam eficazes assim que a soma total de tráfego que atravessa o LSP excede o limite configurado.
O roteador PTX10003 oferece suporte apenas a LSPs regulares.
Você configura o LSP multiclasse e os policiais LSP de engenharia de tráfego conscientes de DiffServ em um filtro. O filtro pode ser configurado para distinguir entre os diferentes tipos de classe e aplicar o policiador relevante a cada tipo de classe. Os policiais distinguem entre tipos de classe com base nos bits EXP.
Você configura os policiais LSP sob o family any
filtro. O family any
filtro é usado porque o policial é aplicado ao tráfego que entra no LSP. Esse tráfego pode ser de famílias diferentes: IPv6, MPLS etc. Você não precisa saber que tipo de tráfego está entrando no LSP, desde que as condições de correspondência se apliquem a todos os tipos de tráfego.
Você pode configurar apenas aquelas condições compatíveis que se aplicam em todos os tipos de tráfego. A seguir, as condições de correspondência suportadas para os policiais LSP:
forwarding-class
packet-length
interface
interface-set
Para habilitar um policiador em um LSP, primeiro você precisa configurar um filtro de policiamento e depois incluí-lo na configuração de LSP. Para obter informações sobre como configurar policiais, veja as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego.
Para configurar um policiador para um LSP, especifique um filtro incluindo a opção filter
à policing
declaração:
policing { filter filter-name; }
Você pode incluir a policing
declaração nos seguintes níveis de hierarquia:
[edit protocols mpls label-switched-path lsp-name]
[edit protocols mpls static-label-switched-path lsp-name]
[edit logical-systems logical-system-name protocols mpls label-switched-path lsp-name]
[edit logical-systems logical-system-name protocols mpls static-label-switched-path lsp-name]
Limitações do LSP Policer
Ao configurar os policiais LSP MPLS, fique ciente das seguintes limitações:
-
Os policiais LSP têm suporte apenas para LSPs de pacotes.
-
Os policiais LSP são compatíveis apenas com o unicast next hops. Os próximos saltos multicast não são suportados.
-
Os policiais LSP não têm suporte em interfaces agregadas.
-
O policial LSP é executado antes de qualquer filtro de saída.
-
O tráfego proveniente do mecanismo de roteamento (por exemplo, tráfego de ping) não faz o mesmo caminho de encaminhamento que o tráfego de trânsito. Esse tipo de tráfego não pode ser policiado.
-
Os policiais LSP trabalham em todos os roteadores da Série T e em roteadores da Série M que têm o circuito integrado (ASIC) específico para aplicativos(ASIC) do Processador de Internet II.
- Os policiais LSP não têm suporte para LSPs ponto a multiponto.
Começando pelo Junos OS Release 12.2R2, somente nos roteadores da Série T, você pode configurar um policiador LSP para que um LSP específico seja compartilhado em diferentes tipos de família de protocolo. Para isso, você deve configurar a declaração de interface lógica-policiador no nível de [edit firewall policer policer-name]
hierarquia.
Exemplo: Configurando um LSP Policer
O exemplo a seguir mostra como você pode configurar um filtro de policiamento para um LSP:
[edit firewall] policer police-ct1 { if-exceeding { bandwidth-limit 50m; burst-size-limit 1500; } then { discard; } } policer police-ct0 { if-exceeding { bandwidth-limit 200m; burst-size-limit 1500; } then { discard; } } family any { filter bar { term discard-ct0 { then { policer police-ct0; accept; } } } term discard-ct1 { then { policer police-ct1; accept; } } }
Configuração de policiais automáticos
O policiamento automático de LSPs permite que você ofereça garantias de serviço rigorosas para o tráfego de rede. Essas garantias são especialmente úteis no contexto de serviços diferenciados para LSPs projetados em tráfego, fornecendo melhor emulação para fios ATM em uma rede MPLS. Para obter mais informações sobre serviços diferenciados para LSPs, consulte A introdução da engenharia de tráfego consciente da DiffServ.
Serviços diferenciados para LSPs projetados em tráfego permitem que você forneça tratamento diferencial ao tráfego MPLS com base nos bits EXP. Para garantir essas garantias de tráfego, é insuficiente simplesmente marcar o tráfego adequadamente. Se o tráfego seguir um caminho congestionado, os requisitos podem não ser atendidos.
Os LSPs têm a garantia de serem estabelecidos ao longo de caminhos onde recursos suficientes estão disponíveis para atender aos requisitos. No entanto, mesmo que os LSPs sejam estabelecidos em tais caminhos e estejam marcados corretamente, esses requisitos não podem ser garantidos a menos que você garanta que não haja mais tráfego enviado a um LSP do que a largura de banda disponível.
É possível policiar o tráfego LSP configurando manualmente um filtro apropriado e aplicando-o ao LSP na configuração. No entanto, para grandes implantações, é complicado configurar milhares de filtros diferentes. Os grupos de configuração também não podem resolver esse problema, uma vez que diferentes LSPs podem ter diferentes requisitos de largura de banda, exigindo filtros diferentes. Para policiar o tráfego de vários LSPs, é melhor configurar policiais automáticos.
Quando você configura policiais automáticos para LSPs, um policial é aplicado a todos os LSPs configurados no roteador. No entanto, você pode desativar o policiamento automático em LSPs específicos.
Quando você configura policiais automáticos para LSP de engenharia de tráfego consciente de DiffServ, o GRES não é compatível.
Você não pode configurar o policiamento automático para LSPs que transportam tráfego CCC.
As seções a seguir descrevem como configurar os policiais automáticos para LSPs:
- Configuração de policiais automáticos para LSPs
- Configuração de policiais automáticos para LSPs de engenharia de tráfego conscientes de DiffServ
- Configuração de policiais automáticos para LSPs de ponto a multiponto
- Desativação do policiamento automático em um LSP
- Exemplo: Configuração do policiamento automático para um LSP
Configuração de policiais automáticos para LSPs
Para configurar policiais automáticos para LSPs padrão (nem LSPs projetados por DiffServ nem LSPs multiclasse), inclua a auto-policing
declaração com a opção class all policer-action
ou a opção class ct0 policer-action
:
auto-policing { class all policer-action; class ct0 policer-action; }
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit protocols mpls]
[edit logical-systems logical-system-name protocols mpls]
Você pode configurar as seguintes ações de policiador para policiais automáticos:
drop
— Solte todos os pacotes.loss-priority-high
— Definir a prioridade de perda de pacotes (PLP) em alta.loss-priority-low
— Defina o PLP para baixo.
Essas ações de policiamento são aplicáveis a todos os tipos de LSPs. A ação padrão do policial é não fazer nada.
Os policiais automáticos para LSPs policiam o tráfego com base na quantidade de largura de banda configurada para os LSPs. Você configura a largura de banda para um LSP usando a bandwidth
declaração no nível de [edit protocols mpls label-switched-path lsp-path-name]
hierarquia. Se você tiver habilitado policiais automáticos em um roteador, altere a largura de banda configurada para um LSP e comprometa a configuração revisada, a mudança não afetará os LSPs ativos. Para forçar os LSPs a usar a nova alocação de largura de banda, emita um clear mpls lsp
comando.
Você não pode configurar policiais automáticos para LSPs que atravessam interfaces agregadas ou interfaces de protocolo ponto a ponto (MLPPP) multilink.
Configuração de policiais automáticos para LSPs de engenharia de tráfego conscientes de DiffServ
Para configurar policiais automáticos para LSPs de engenharia de tráfego conscientes de DiffServ e para LSPs multiclasse, inclua a auto-policing
declaração:
auto-policing { class all policer-action; class ctnumber policer-action; }
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit protocols mpls]
[edit logical-systems logical-system-name protocols mpls]
Você inclui a class all policer-action
declaração ou uma class ctnumber policer-action
declaração para cada uma das aulas ou mais (você pode configurar uma ação de policial diferente para cada classe). Para obter uma lista das ações que você pode substituir pela policer-action
variável, veja Configuração de policiais automáticos para LSPs. A ação padrão do policial é não fazer nada.
Você não pode configurar policiais automáticos para LSPs que atravessam interfaces agregadas ou interfaces MLPPP.
Configuração de policiais automáticos para LSPs de ponto a multiponto
Você pode configurar policiais automáticos para LSPs de ponto a multiponto, incluindo a auto-policing
declaração com a opção class all policer-action
ou a opção class ct0 policer-action
. Você só precisa configurar a auto-policing
declaração no LSP principal de ponto a multiponto (para obter mais informações sobre LSPs primários de ponto a multiponto, veja Configuração do LSP principal de ponto para multiponto). Nenhuma configuração adicional é necessária no subLSPs para o LSP de ponto a multiponto. O policiamento automático de ponto a multiponto é aplicado a todas as filiais do LSP ponto a multiponto. Além disso, o policiamento automático é aplicado a quaisquer interfaces VRF locais que tenham a mesma entrada de encaminhamento que uma filial de ponto a multiponto. A paridade de recursos para policiais automáticos para LSPs ponto a multiponto MPLS no chipset Junos Trio é suportada nos versões Junos OS 11.1R2, 11.2R2 e 11.4.
A configuração automática do policiador para LSPs ponto a multiponto é idêntica à configuração automática do policiamento para LSPs padrão. Para obter mais informações, veja Configuração de policiais automáticos para LSPs.
Desativação do policiamento automático em um LSP
Quando você habilita o policiamento automático, todos os LSPs no roteador ou sistema lógico são afetados. Para desativar o policiamento automático em um LSP específico em um roteador onde você habilitou o policiamento automático, inclua a policing
declaração com a opção no-auto-policing
:
policing no-auto-policing;
Você pode incluir essa declaração nos seguintes níveis de hierarquia:
[edit protocols mpls label-switched-path lsp-name]
[edit logical-systems logical-system-name protocols mpls label-switched-path lsp-name]
Exemplo: Configuração do policiamento automático para um LSP
Configure o policiamento automático para um LSP multiclasse, especificando diferentes ações para tipos ct0
de classe, ct1
ct2
ect3
.
[edit protocols mpls] diffserv-te { bandwidth-model extended-mam; } auto-policing { class ct1 loss-priority-low; class ct0 loss-priority-high; class ct2 drop; class ct3 loss-priority-low; } traffic-engineering bgp-igp; label-switched-path sample-lsp { to 3.3.3.3; bandwidth { ct0 11; ct1 1; ct2 1; ct3 1; } } interface fxp0.0 { disable; } interface t1-0/5/3.0; interface t1-0/5/4.0;
Escrevendo diferentes valores de DSCP e EXP em pacotes DE IP com tags MPLS
Você pode definir seletivamente o campo de ponto de código DiffServ (DSCP) de pacotes IPv4 e IPv6 marcados por MPLS para 0 sem afetar a atribuição da fila de saída, e continuar a definir o campo MPLS EXP de acordo com a tabela de reescrita configurada, que é baseada em aulas de encaminhamento. Você pode realizar isso configurando um filtro de firewall para os pacotes com tags MPLS.