Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configurando filtros MPLS firewall e agentes de segurança em roteadores

Você pode configurar um filtro MPLS firewall para contar pacotes com base nos bits DE EXP para o rótulo de MPLS nível superior em um pacote. Você também pode configurar agentes de polícia para MPLS LSPs.

As seções a seguir discutem MPLS filtros de firewall e agentes de segurança:

Configuração de filtros MPLS firewall

Você pode configurar um filtro MPLS firewall para contar pacotes com base nos bits DE EXP para o rótulo de MPLS nível superior em um pacote. Em seguida, você pode aplicar esse filtro a uma interface específica. Você também pode configurar um MPLS para a polícia (ou seja, limite de taxa) do tráfego na interface à qual o filtro está conectado. Você não pode aplicar MPLS firewall às interfaces Ethernet (fxp0) ou loopback (lo0).

Você pode configurar os seguintes atributos de critério de combinação para MPLS filtros em nível [edit firewall family mpls filter filter-name term term-name from] de hierarquia:

  • exp

  • exp-except

Esses atributos podem aceitar bits DE EXP no intervalo de 0 a 7. Você pode configurar as seguintes opções:

  • Um único bit de EXP, por exemplo, exp 3;

  • Vários bits de EXP, por exemplo, exp 0, 4;

  • Uma variedade de bits DE EXP, por exemplo, exp [0-5];

Se você não especificar um critério de combinação (ou seja, se você não configurar a instrução e usar apenas a instrução com a palavra-chave de ação), todos os pacotes de MPLS que passam pela interface na qual o filtro é aplicado serão fromthencount contabilizados.

Você também pode configurar qualquer das seguintes palavras-chave de ação no nível [edit firewall family mpls filter filter-name term term-name then] da hierarquia:

  • count

  • accept

  • discard

  • next

  • policer

Para obter mais informações sobre como configurar filtros de firewall, consulte as Políticas de Roteamento, Filtros de Firewall e Guia de Usuário dos Políciadores de Tráfego. Para obter mais informações sobre como configurar interfaces, consulte a Biblioteca de Interfaces de Rede do Junos OS para Dispositivos de Roteamento e a Biblioteca de Interfaces de Serviços do Junos OS para Dispositivos de Roteamento.

Exemplos: Configuração de filtros MPLS firewall

Os exemplos a seguir ilustram como você pode configurar um MPLS firewall e aplicar o filtro a uma interface. Esse filtro está configurado para contar MPLS pacotes com bits EXP definidos para 0 ou 4.

A seguir mostra uma configuração para um filtro MPLS firewall:

A seguir mostra como aplicar o filtro de firewall MPLS a uma interface:

O MPLS de firewall é aplicado à entrada e saída de uma interface (consulte as e declarações inputoutput no exemplo anterior).

Configuração de polícias para LSPs

MPLS de LSP permite controlar a quantidade de tráfego encaminhado por um LSP específico. O policiamento ajuda a garantir que a quantidade de tráfego encaminhado por um LSP nunca exceda a alocação de largura de banda necessária. O policiamento por LSP é suportado em LSPs regulares, LSPs configurados com engenharia de tráfego DiffServ e LSPs multiclasses. Você pode configurar vários policiais para cada LSP multiclasse. Para LSPs regulares, cada polícia de LSP é aplicado a todo o tráfego que atravessa o LSP. As limitações de largura de banda do policial tornam-se eficazes assim que a soma total de tráfego que atravessa o LSP exceder o limite configurado.

Nota:

O PTX10003 roteador só aceita LSPs regulares.

Você configura os agentes de LSP multiclasse e LSP de engenharia de tráfego conscientes do DiffServ em um filtro. O filtro pode ser configurado para diferenciar os diferentes tipos de classe e aplicar o policial relevante a cada tipo de classe. Os agentes de polícia diferenciam os tipos de classe com base nos bits de EXP.

Você configura os agentes de LSP sob o family any filtro. O filtro é usado porque o policial é aplicado ao family any tráfego que entra no LSP. Esse tráfego pode ser de famílias diferentes: IPv6, MPLS e assim por diante. Você não precisa saber que tipo de tráfego está entrando no LSP, desde que as condições de combinação se apliquem a todos os tipos de tráfego.

Você pode configurar apenas as condições de combinação aplicadas em todos os tipos de tráfego. As condições de combinação suportadas para os policiais LSP são as seguintes:

  • forwarding-class

  • packet-length

  • interface

  • interface-set

Para habilitar um policial em um LSP, primeiro você precisa configurar um filtro de policiamento e depois incluí-lo na configuração LSP. Para obter informações sobre como configurar os agentes de segurança, consulte as Políticas de Roteamento, Filtros de Firewall e Guia de Usuário dos Políciadores de Tráfego.

Para configurar um policial para um LSP, especifique um filtro incluindo a filter opção à policing instrução:

Você pode incluir a policing declaração nos seguintes níveis de hierarquia:

Limitações do LSP Policer

Ao configurar MPLS LSP, saiba das seguintes limitações:

  • Os policiais LSP são suportados apenas para LSPs de pacotes.

  • Os policiais de LSP têm suporte apenas para unicast next hops. Os próximos hops multicast não são suportados.

  • Os policiais LSP não são suportados em interfaces agregadas.

  • O polícial de LSP é executado antes de qualquer filtro de saída.

  • O tráfego de origem Mecanismo de Roteamento (por exemplo, tráfego de ping) não toma o mesmo caminho de encaminhamento que o tráfego de trânsito. Esse tipo de tráfego não pode ser fiscalizado.

  • Os policiais de LSP trabalham em todos os Série T e roteadores Série M que têm o circuito integrado específico do aplicativo (ASIC) do Processador de Internet II.

Nota:

A partir da versão 12.2R2 Junos OS, somente Série T roteadores, você pode configurar um polícial LSP para que um LSP específico seja compartilhado em diferentes tipos de família de protocolo. Para isso, você deve configurar a instrução logical-interface-policer em nível [edit firewall policer policer-name] de hierarquia.

Exemplo: Configuração de um LSP Policer

O exemplo a seguir mostra como você pode configurar um filtro de policiamento para um LSP:

Configuração de Automatic Policers

O policiamento automático de LSPs permite que você forneça garantias rigorosas de serviço para o tráfego de rede. Essas garantias são especialmente úteis no contexto de serviços diferenciados para LSPs projetados para tráfego, fornecendo melhor emulação para cabos ATM em uma rede MPLS de segurança. Para obter mais informações sobre serviços diferenciados para LSPs, consulte DiffServ-Aware Traffic Engineering Introduction.

Serviços diferenciados para LSPs projetados para tráfego permitem que você forneça tratamento diferencial para MPLS tráfego com base nos bits DE EXP. Para garantir essas garantias de tráfego, é insuficiente apenas marcar o tráfego de maneira adequada. Se o tráfego seguir um caminho congestionado, os requisitos podem não ser atendidos.

Garante-se que os LSPs sejam estabelecidos ao longo dos caminhos onde há recursos suficientes para atender aos requisitos. Entretanto, mesmo que os LSPs sejam estabelecidos ao longo desses caminhos e sejam marcados corretamente, esses requisitos não podem ser garantidos a menos que você garanta que nenhum tráfego seja enviado a um LSP do que a largura de banda disponível.

É possível policiar o tráfego LSP configurando manualmente um filtro apropriado e aplicando-o ao LSP na configuração. No entanto, para grandes implantações, é complicado configurar milhares de filtros diferentes. Grupos de configuração também não podem resolver esse problema, pois diferentes LSPs podem ter diferentes requisitos de largura de banda, exigindo filtros diferentes. Para o tráfego policial de inúmeros LSPs, é melhor configurar os policiais automáticos.

Quando você configura policiais automáticos para LSPs, um policial é aplicado a todos os LSPs configurados no roteador. No entanto, você pode desativar o policiamento automático em LSPs específicos.

Nota:

Quando você configura agentes de segurança automáticos para LSP de engenharia de tráfego consciente do DiffServ, o GRES não tem suporte.

Nota:

Você não pode configurar o policiamento automático para LSPs que transportam tráfego CCC.

As seções a seguir descreverão como configurar os policiais automáticos para LSPs:

Configuração de polícias automáticos para LSPs

Para configurar agentes de segurança automáticos para LSPs padrão (nem LSPs de tráfego consciente de DiffServ nem LSPs multiclasses), inclua a instrução com a opção ou a auto-policingclass all policer-actionclass ct0 policer-action opção:

Você pode incluir essa declaração nos seguintes níveis de hierarquia:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Você pode configurar as seguintes ações de polícia para policiais automáticos:

  • drop— Solte todos os pacotes.

  • loss-priority-high— Deem alta prioridade à perda de pacotes (PLP).

  • loss-priority-low— Desempaixe o PLP.

Essas ações de polícia são aplicáveis a todos os tipos de LSPs. A ação de polícia padrão é não fazer nada.

Agentes de segurança automáticos para tráfego policial de LSPs com base na quantidade de largura de banda configurada para os LSPs. Você configura a largura de banda de um LSP usando bandwidth a instrução em [edit protocols mpls label-switched-path lsp-path-name] nível de hierarquia. Se você habilitar agentes de segurança automáticos em um roteador, alterar a largura de banda configurada para um LSP e cometer a configuração revisada, a mudança não afetará os LSPs ativos. Para obrigar os LSPs a usar a nova alocação de largura de banda, emipe um clear mpls lsp comando.

Nota:

Você não pode configurar agentes de segurança automáticos para LSPs que atravessem interfaces agregadas ou interfaces Multilink Point-to-Point Protocol (MLPPP).

Configuração de polícias automáticos para LSPs de engenharia de tráfego conscientes do DiffServ

Para configurar agentes de segurança automáticos para LSPs de engenharia de tráfego conscientes do DiffServ e para LSPs multiclasse, inclua a auto-policing declaração:

Você pode incluir essa declaração nos seguintes níveis de hierarquia:

  • [edit protocols mpls]

  • [edit logical-systems logical-system-name protocols mpls]

Você inclui a declaração ou uma declaração para cada uma ou mais classes (você pode configurar uma ação de polícia diferente class all policer-actionclass ctnumber policer-action para cada classe). Para uma lista das ações que você pode substituir pela policer-action variável, consulte Configuração de polícias automáticos para LSPs . A ação de polícia padrão é não fazer nada.

Nota:

Você não pode configurar agentes de polícia automáticos para LSPs que atravessem interfaces agregadas ou interfaces MLPPP.

Configuração de polícias automáticos para LSPs point-to-multipoint

Você pode configurar agentes de polícia automáticos para LSPs point-to-multipoint incluindo a auto-policing instrução com a class all policer-action opção ou a class ct0 policer-action opção. Você só precisa configurar a instrução no LSP ponto-a-multipoint principal (para obter mais informações sobre LSPs principais de ponto a multipoint, consulte Configurando o LSP principal de ponto para auto-policingmultipoint). Não é necessária nenhuma configuração adicional nos subLSPs para O LSP ponto-a-multipoint. O policiamento automático ponto a multipoint é aplicado a todas as filiais do LSP ponto a multipoint. Além disso, o policiamento automático é aplicado a quaisquer interfaces de VRF locais que tenham a mesma entrada de encaminhamento que uma filial ponto a multipoint. A paridade dos policiais automáticos para MPLS LSPs ponto a multipoint no chipset Junos Trio é suportada nas versões junos OS 11.1R2, 11.2R2 e 11.4.

A configuração de policer automático para LSPs ponto-a-multipoint é idêntica à configuração de policer automático para LSPs padrão. Para obter mais informações, consulte Configuração de polícias automáticos para LSPs .

Desativação do policiamento automático em um LSP

Ao habilitar o policiamento automático, todos os LSPs do roteador ou do sistema lógico são afetados. Para desativar o policiamento automático em um LSP específico em um roteador onde você habilita o policiamento automático, inclua a policing instrução com a no-auto-policing opção:

Você pode incluir essa declaração nos seguintes níveis de hierarquia:

Exemplo: Configurando o Policiamento Automático para um LSP

Configure o policiamento automático para um LSP multiclasse, especificando diferentes ações para tipos de ct0ct1 classe, ct2 e ct3 .

Como escrever diferentes valores de DSCP e EXP em MPLS pacotes IP tagged

Você pode definir seletivamente o campo de ponto de código DiffServ (DSCP) de pacotes IPv4 e IPv6 marcados com MPLS para 0 sem afetar a atribuição da fila de saída e continuar a definir o campo MPLS EXP de acordo com a tabela de reescrita configurada, que é baseada em classes de encaminhamento. Você pode fazer isso configurando um filtro de firewall para os pacotes MPLS com tags.