Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de filtros de firewall MPLS e policiais em roteadores

Você pode configurar um filtro de firewall MPLS para contar pacotes com base nos bits EXP para o rótulo MPLS de alto nível em um pacote. Você também pode configurar policiais para LSPs MPLS.

As seções a seguir discutem filtros de firewall MPLS e policiais:

Configuração de filtros de firewall MPLS

Você pode configurar um filtro de firewall MPLS para contar pacotes com base nos bits EXP para o rótulo MPLS de alto nível em um pacote. Em seguida, você pode aplicar este filtro em uma interface específica. Você também pode configurar um policiador para o filtro MPLS à polícia (ou seja, limite de taxa) do tráfego na interface à qual o filtro está conectado. Você não pode aplicar filtros de firewall MPLS em interfaces Ethernet (fxp0) ou loopback (lo0).

Você pode configurar os seguintes atributos de critérios de correspondência para filtros MPLS no nível de [edit firewall family mpls filter filter-name term term-name from] hierarquia:

  • exp

  • exp-except

Esses atributos podem aceitar bits EXP na faixa de 0 a 7. Você pode configurar as seguintes opções:

  • Um único bit EXP — por exemplo, exp 3;

  • Vários bits EXP — por exemplo, exp 0, 4;

  • Uma variedade de bits EXP — por exemplo, exp [0-5];

Se você não especificar um critério de correspondência (ou seja, não configure a from declaração e use apenas a then declaração com a palavra-chave de ação count ), todos os pacotes MPLS que passam pela interface em que o filtro é aplicado serão contados.

Você também pode configurar qualquer uma das seguintes palavras-chave de ação no nível de [edit firewall family mpls filter filter-name term term-name then] hierarquia:

  • count

  • accept

  • discard

  • next

  • policer

Para obter mais informações sobre como configurar filtros de firewall, consulte as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego. Para obter mais informações sobre como configurar interfaces, consulte a Biblioteca de interfaces de rede do Junos OS para dispositivos de roteamento e a Biblioteca de interfaces de serviços do Junos OS para dispositivos de roteamento.

Exemplos: Configuração de filtros de firewall MPLS

Os exemplos a seguir ilustram como você pode configurar um filtro de firewall MPLS e, em seguida, aplicar o filtro em uma interface. Este filtro está configurado para contar pacotes MPLS com bits EXP definidos para 0 ou 4.

O seguinte mostra uma configuração para um filtro de firewall MPLS:

O seguinte mostra como aplicar o filtro de firewall MPLS em uma interface:

O filtro de firewall MPLS é aplicado à entrada e saída de uma interface (veja as declarações e output as input declarações no exemplo anterior).

Configuração de policiais para LSPs

O policiamento LSP do MPLS permite que você controle a quantidade de tráfego encaminhado por um LSP específico. O policiamento ajuda a garantir que a quantidade de tráfego encaminhado por um LSP nunca exceda a alocação de largura de banda solicitada. O policiamento LSP é suportado em LSPs regulares, LSPs configurados com engenharia de tráfego consciente de DiffServ e LSPs multiclasse. Você pode configurar vários policiais para cada LSP multiclasse. Para LSPs regulares, cada policiador LSP é aplicado a todo o tráfego que atravessa o LSP. As limitações de largura de banda do policiador se tornam eficazes assim que a soma total de tráfego que atravessa o LSP excede o limite configurado.

Nota:

O roteador PTX10003 oferece suporte apenas a LSPs regulares.

Você configura o LSP multiclasse e os policiais LSP de engenharia de tráfego conscientes de DiffServ em um filtro. O filtro pode ser configurado para distinguir entre os diferentes tipos de classe e aplicar o policiador relevante a cada tipo de classe. Os policiais distinguem entre tipos de classe com base nos bits EXP.

Você configura os policiais LSP sob o family any filtro. O family any filtro é usado porque o policial é aplicado ao tráfego que entra no LSP. Esse tráfego pode ser de famílias diferentes: IPv6, MPLS etc. Você não precisa saber que tipo de tráfego está entrando no LSP, desde que as condições de correspondência se apliquem a todos os tipos de tráfego.

Você pode configurar apenas aquelas condições compatíveis que se aplicam em todos os tipos de tráfego. A seguir, as condições de correspondência suportadas para os policiais LSP:

  • forwarding-class

  • packet-length

  • interface

  • interface-set

Para habilitar um policiador em um LSP, primeiro você precisa configurar um filtro de policiamento e depois incluí-lo na configuração de LSP. Para obter informações sobre como configurar policiais, veja as políticas de roteamento, filtros de firewall e guia de usuários de policiais de tráfego.

Para configurar um policiador para um LSP, especifique um filtro incluindo a opção filter à policing declaração:

Você pode incluir a policing declaração nos seguintes níveis de hierarquia:

Limitações do LSP Policer

Ao configurar os policiais LSP MPLS, fique ciente das seguintes limitações:

  • Os policiais LSP têm suporte apenas para LSPs de pacotes.

  • Os policiais LSP são compatíveis apenas com o unicast next hops. Os próximos saltos multicast não são suportados.

  • Os policiais LSP não têm suporte em interfaces agregadas.

  • O policial LSP é executado antes de qualquer filtro de saída.

  • O tráfego proveniente do mecanismo de roteamento (por exemplo, tráfego de ping) não faz o mesmo caminho de encaminhamento que o tráfego de trânsito. Esse tipo de tráfego não pode ser policiado.

  • Os policiais LSP trabalham em todos os roteadores da Série T e em roteadores da Série M que têm o circuito integrado (ASIC) específico para aplicativos(ASIC) do Processador de Internet II.

  • Os policiais LSP não têm suporte para LSPs ponto a multiponto.
Nota:

Começando pelo Junos OS Release 12.2R2, somente nos roteadores da Série T, você pode configurar um policiador LSP para que um LSP específico seja compartilhado em diferentes tipos de família de protocolo. Para isso, você deve configurar a declaração de interface lógica-policiador no nível de [edit firewall policer policer-name] hierarquia.

Exemplo: Configurando um LSP Policer

O exemplo a seguir mostra como você pode configurar um filtro de policiamento para um LSP:

Configuração de policiais automáticos

O policiamento automático de LSPs permite que você ofereça garantias de serviço rigorosas para o tráfego de rede. Essas garantias são especialmente úteis no contexto de serviços diferenciados para LSPs projetados em tráfego, fornecendo melhor emulação para fios ATM em uma rede MPLS. Para obter mais informações sobre serviços diferenciados para LSPs, consulte A introdução da engenharia de tráfego consciente da DiffServ.

Serviços diferenciados para LSPs projetados em tráfego permitem que você forneça tratamento diferencial ao tráfego MPLS com base nos bits EXP. Para garantir essas garantias de tráfego, é insuficiente simplesmente marcar o tráfego adequadamente. Se o tráfego seguir um caminho congestionado, os requisitos podem não ser atendidos.

Os LSPs têm a garantia de serem estabelecidos ao longo de caminhos onde recursos suficientes estão disponíveis para atender aos requisitos. No entanto, mesmo que os LSPs sejam estabelecidos em tais caminhos e estejam marcados corretamente, esses requisitos não podem ser garantidos a menos que você garanta que não haja mais tráfego enviado a um LSP do que a largura de banda disponível.

É possível policiar o tráfego LSP configurando manualmente um filtro apropriado e aplicando-o ao LSP na configuração. No entanto, para grandes implantações, é complicado configurar milhares de filtros diferentes. Os grupos de configuração também não podem resolver esse problema, uma vez que diferentes LSPs podem ter diferentes requisitos de largura de banda, exigindo filtros diferentes. Para policiar o tráfego de vários LSPs, é melhor configurar policiais automáticos.

Quando você configura policiais automáticos para LSPs, um policial é aplicado a todos os LSPs configurados no roteador. No entanto, você pode desativar o policiamento automático em LSPs específicos.

Nota:

Quando você configura policiais automáticos para LSP de engenharia de tráfego consciente de DiffServ, o GRES não é compatível.

Nota:

Você não pode configurar o policiamento automático para LSPs que transportam tráfego CCC.

As seções a seguir descrevem como configurar os policiais automáticos para LSPs:

Configuração de policiais automáticos para LSPs

Para configurar policiais automáticos para LSPs padrão (nem LSPs projetados por DiffServ nem LSPs multiclasse), inclua a auto-policing declaração com a opção class all policer-action ou a opção class ct0 policer-action :

Você pode incluir essa declaração nos seguintes níveis de hierarquia:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Você pode configurar as seguintes ações de policiador para policiais automáticos:

  • drop— Solte todos os pacotes.

  • loss-priority-high— Definir a prioridade de perda de pacotes (PLP) em alta.

  • loss-priority-low— Defina o PLP para baixo.

Essas ações de policiamento são aplicáveis a todos os tipos de LSPs. A ação padrão do policial é não fazer nada.

Os policiais automáticos para LSPs policiam o tráfego com base na quantidade de largura de banda configurada para os LSPs. Você configura a largura de banda para um LSP usando a bandwidth declaração no nível de [edit protocols mpls label-switched-path lsp-path-name] hierarquia. Se você tiver habilitado policiais automáticos em um roteador, altere a largura de banda configurada para um LSP e comprometa a configuração revisada, a mudança não afetará os LSPs ativos. Para forçar os LSPs a usar a nova alocação de largura de banda, emita um clear mpls lsp comando.

Nota:

Você não pode configurar policiais automáticos para LSPs que atravessam interfaces agregadas ou interfaces de protocolo ponto a ponto (MLPPP) multilink.

Configuração de policiais automáticos para LSPs de engenharia de tráfego conscientes de DiffServ

Para configurar policiais automáticos para LSPs de engenharia de tráfego conscientes de DiffServ e para LSPs multiclasse, inclua a auto-policing declaração:

Você pode incluir essa declaração nos seguintes níveis de hierarquia:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Você inclui a class all policer-action declaração ou uma class ctnumber policer-action declaração para cada uma das aulas ou mais (você pode configurar uma ação de policial diferente para cada classe). Para obter uma lista das ações que você pode substituir pela policer-action variável, veja Configuração de policiais automáticos para LSPs. A ação padrão do policial é não fazer nada.

Nota:

Você não pode configurar policiais automáticos para LSPs que atravessam interfaces agregadas ou interfaces MLPPP.

Configuração de policiais automáticos para LSPs de ponto a multiponto

Você pode configurar policiais automáticos para LSPs de ponto a multiponto, incluindo a auto-policing declaração com a opção class all policer-action ou a opção class ct0 policer-action . Você só precisa configurar a auto-policing declaração no LSP principal de ponto a multiponto (para obter mais informações sobre LSPs primários de ponto a multiponto, veja Configuração do LSP principal de ponto para multiponto). Nenhuma configuração adicional é necessária no subLSPs para o LSP de ponto a multiponto. O policiamento automático de ponto a multiponto é aplicado a todas as filiais do LSP ponto a multiponto. Além disso, o policiamento automático é aplicado a quaisquer interfaces VRF locais que tenham a mesma entrada de encaminhamento que uma filial de ponto a multiponto. A paridade de recursos para policiais automáticos para LSPs ponto a multiponto MPLS no chipset Junos Trio é suportada nos versões Junos OS 11.1R2, 11.2R2 e 11.4.

A configuração automática do policiador para LSPs ponto a multiponto é idêntica à configuração automática do policiamento para LSPs padrão. Para obter mais informações, veja Configuração de policiais automáticos para LSPs.

Desativação do policiamento automático em um LSP

Quando você habilita o policiamento automático, todos os LSPs no roteador ou sistema lógico são afetados. Para desativar o policiamento automático em um LSP específico em um roteador onde você habilitou o policiamento automático, inclua a policing declaração com a opção no-auto-policing :

Você pode incluir essa declaração nos seguintes níveis de hierarquia:

Exemplo: Configuração do policiamento automático para um LSP

Configure o policiamento automático para um LSP multiclasse, especificando diferentes ações para tipos ct0de classe, ct1ct2ect3.

Escrevendo diferentes valores de DSCP e EXP em pacotes DE IP com tags MPLS

Você pode definir seletivamente o campo de ponto de código DiffServ (DSCP) de pacotes IPv4 e IPv6 marcados por MPLS para 0 sem afetar a atribuição da fila de saída, e continuar a definir o campo MPLS EXP de acordo com a tabela de reescrita configurada, que é baseada em aulas de encaminhamento. Você pode realizar isso configurando um filtro de firewall para os pacotes com tags MPLS.