Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração de filtros de firewall MPLS e policiais em switches

Você pode configurar filtros de firewall para filtrar o tráfego MPLS. Para usar um filtro de firewall MPLS, você deve primeiro configurar o filtro e depois aplicá-lo em uma interface que você configurou para o encaminhamento do tráfego MPLS. Você também pode configurar um policiador para o filtro MPLS à polícia (ou seja, limite de taxa) do tráfego na interface à qual o filtro está conectado.

Ao configurar um filtro de firewall MPLS, você define os critérios de filtragem (termos, com condições de correspondência) e uma ação para o switch tomar se os pacotes corresponderem aos critérios de filtragem.

Nota:

Você só pode configurar filtros MPLS na direção de entrada. Os filtros de firewall MPLS de saída não são suportados.

Configuração de um filtro de firewall MPLS

Para configurar um filtro de firewall MPLS:

  1. Configure o nome do filtro, o nome do termo e pelo menos uma condição de correspondência — por exemplo, combine em pacotes MPLS com bits EXP definidos para 0 ou 4:
  2. Em cada termo de filtro de firewall, especifique as ações a serem tomadas se o pacote corresponde a todas as condições nesse termo — por exemplo, conte pacotes MPLS com bits EXP definidos para 0 ou 4:
  3. Quando terminar, siga as etapas abaixo para aplicar o filtro em uma interface.

Aplicar um filtro de firewall MPLS em uma interface MPLS

Para aplicar o filtro de firewall MPLS em uma interface que você configurou para o encaminhamento do tráfego MPLS (usando a family mpls declaração no nível hierárquica [edit interfaces interface-name unit unit-number] ):

Nota:

Você só pode aplicar filtros de firewall para filtrar pacotes MPLS que entram em uma interface.

  1. Aplique o filtro de firewall em uma interface MPLS — por exemplo, aplique o filtro de firewall para interface xe-0/0/5:
  2. Analise sua configuração e emita o commit comando:

Aplicar um filtro de firewall MPLS em uma interface de loopback

Aplicar um filtro de firewall MPLS em uma interface de loopback (lo0):

  1. Primeiro, especifique o formato do pacote usando o comando de correspondência de formato de pacote . Você deve reiniciar o PFE toda vez que configurar este comando.
  2. Configure as condições e ações do filtro de firewall conforme descrito em Configuração de um filtro de firewall MPLS. Você deve definir explicitamente a condição de correspondência de TTL para (ttl=1). Você também pode combinar pacotes com outras qualificatórias MPLS, comolabel, e Camada 4source port, e destination portexp.
  3. Aplique o filtro na interface de loopback como um filtro de entrada.
  4. Analise sua configuração e emita o commit comando:

A configuração a seguir é um exemplo.

Configuração de policiais para LSPs

Começando pelo Junos OS 13.2X51-D15, você pode enviar tráfego compatível com um filtro MPLS para um policiador de duas cores ou um policial de três cores. O policiamento LSP do MPLS permite que você controle a quantidade de tráfego encaminhado por um LSP específico. O policiamento ajuda a garantir que a quantidade de tráfego encaminhado por um LSP nunca exceda a alocação de largura de banda solicitada. O policiamento LSP é suportado em LSPs regulares, LSPs configurados com engenharia de tráfego consciente de DiffServ e LSPs multiclasse. Você pode configurar vários policiais para cada LSP multiclasse. Para LSPs regulares, cada policiador LSP é aplicado a todo o tráfego que atravessa o LSP. As limitações de largura de banda do policiador se tornam eficazes assim que a soma total de tráfego que atravessa o LSP excede o limite configurado.

Você configura o LSP multiclasse e os policiais LSP de engenharia de tráfego conscientes de DiffServ em um filtro. O filtro pode ser configurado para distinguir entre os diferentes tipos de classe e aplicar o policiador relevante a cada tipo de classe. Os policiais distinguem entre tipos de classe com base nos bits EXP.

Você configura os policiais LSP sob o family any filtro. O family any filtro é usado porque o policial é aplicado ao tráfego que entra no LSP. Esse tráfego pode ser de famílias diferentes: IPv6, MPLS etc. Você não precisa saber que tipo de tráfego está entrando no LSP, desde que as condições de correspondência se apliquem a todos os tipos de tráfego.

Ao configurar os policiais LSP MPLS, fique ciente das seguintes limitações:

  • Os policiais LSP têm suporte apenas para LSPs de pacotes.

  • Os policiais LSP são compatíveis apenas com o unicast next hops. Os próximos saltos multicast não são suportados.

  • O policial LSP é executado antes de qualquer filtro de saída.

  • O tráfego proveniente do mecanismo de roteamento (por exemplo, tráfego de ping) não faz o mesmo caminho de encaminhamento que o tráfego de trânsito. Esse tipo de tráfego não pode ser policiado.